风险的构成因素
风险由以下要素构成:威胁threat(威胁、威胁事件 threat sources threat events)、脆弱性vulnerability、易感条件predisposing、影响impact、可能性likelihood、聚集Aggregation、不确定性Uncertainty
威胁:指通过信息系统,通过未经授权的访问、破坏、披露或修改信息,可能对组织运营造成不利影响的事件。
脆弱性:存在漏洞。
易感条件:指组织信息系统中存在的条件,威胁事件一旦启动,对组织运营造成不利影响的可能性。
可能性:加权风险因素,基于对给定威胁能够利用给定漏洞的概率分析。
影响:指未经授权的活动后果可能造成的伤害程度。
聚集:风险聚合将多个离散或较低级别的风险汇总为更一般或更高级别的风险。
不确定性:不完全了解组织和相关风险。
以NIST800-30的示意图为例:
各个关键因素之间的关系:风险=F(可能性likelihood x 不利影响impact)
关键因素 | 影响 |
---|---|
威胁源 | 试图攻击者。 对抗性和非对抗性特征。(攻击或无意破坏) 有意图、目标、能力特征。 |
可能性 | 成功和失败网络攻击的历史数据;攻击检测率。 威胁发生后产生影响的可能性。 |
影响 | 对组织和实体危害程度。 |