一脑豹、威脅和脆弱性之間的關系
| 威脅主體 | 可能利用的脆弱性 | 導致的風險 |
|---|---|---|
| 惡意軟件 | 缺少防病毒軟件 | 病毒感染 |
| 黑客 | 服務器上運行的功能強大的服務 | 對機密信息的未授權(quán)訪問 |
| 用戶 | 操作系統(tǒng)中配置錯誤的參數(shù) | 系統(tǒng)故障 |
| 火災 | 缺少滅火器材 | 設施和計算機受到破壞,可能付出生命代價 |
| 雇員 | 缺少訓練或?qū)嵤藴? 缺少審計 |
共享至關重要的信息 在數(shù)據(jù)處理應用程序中更改輸入和輸出 |
| 承包商 | 松懈的訪問控制機制 | 竊取商業(yè)秘密 |
| 攻擊者 | 編寫較差的應用程序 缺少嚴格的防火墻設置 |
造成緩沖區(qū)溢出 進行拒絕服務攻擊 |
| 入侵者 | 缺少保安 | 打破窗戶蔬芥,盜竊計算機和設備 |
二、如何使用SLE和ALE進行風險分析
| 資產(chǎn) | 威脅 | 單一損失預期(SLE) | 年發(fā)生比率(ARO) | 年度損失預期(ALE) |
|---|---|---|---|---|
| 設施 | 火災 | 230 000 美元 | 0.1 | 23 000 美元 |
| 商業(yè)秘密 | 盜竊 | 40 000 美元 | 0.01 | 400 美元 |
| 文件服務器 | 故障 | 11 500 美元 | 0.1 | 1150 美元 |
| 數(shù)據(jù) | 病毒 | 6500 美元 | 1.0 | 6500 美元 |
| 客戶信用卡信息 | 盜竊 | 300 000 美元 | 3.0 | 900 000 美元 |
