| 威胁识别是对网络资产有可能受到的安全危害进行分析,一般从威胁来源、威胁途径、威胁意图等几个方面来分析,如下图所示。
|
|
|
|
|
|
|
| 首先是标记出潜在的威胁源,并且形成一份威胁列表,列出被评估的网络系统面临的潜在威胁源。威胁源按照其性质一般可分为自然威胁和人为威胁,其中自然威胁有雷电、洪水、地震、火灾等,而人为威胁则有盗窃、破坏、网络攻击等。对威胁进行分类的方式有多种,针对以上的威胁来源,可以根据其表现形式对威胁进行分类。《信息安全技术信息安全风险评估规范(征求意见稿)》给出了一种基于表现形式的威胁分类方法,如下表所示。
|
|
|
|
|
|
|
|
|
| 威胁途径是指威胁资产的方法和过程步骤,威胁者为了实现其意图,会使用各种攻击方法和工具,如计算机病毒、特洛伊木马、蠕虫、漏洞利用和嗅探程序。通过各种方法的组合,完成威胁实施。下图是关于口令威胁途径的分析。
|
|
|
|
|
|
|
| 威胁效果是指威胁成功后,给网络系统造成的影响。一般来说,威胁效果抽象为三种:非法访问、欺骗、拒绝服务。例如最早的拒绝服务是“电子邮件炸弹”,它能使用户在很短的时间内收到大量电子邮件,使用户系统不能处理正常业务,严重时会使系统崩溃、网络瘫痪。
|
|
|
| 威胁意图是指威胁主体实施威胁的目的。根据威胁者的身份,威胁意图可以分为挑战、情报信息获取、恐怖主义、经济利益和报复。
|
|
|
| 威胁频率是指出现威胁活动的可能性。一般通过已经发生的网络安全事件、行业领域统计报告和有关的监测统计数据来判断出现威胁活动的频繁程度。例如,通过IDS和安全日志分析,可以掌握某些威胁活动出现的可能性。
|
|
|
| 可以对威胁出现的频率进行等级化处理,不同等级分别代表威胁出现的频率的高低。等级数值越大,威胁出现的频率越高。《信息安全技术信息安全风险评估规范(征求意见稿)》给出了一种威胁出现频率的赋值方法,如下表所示。
|
|
|
|
|
|
|
| 威胁的可能性赋值通过结合威胁发生的来源、威胁所需要的能力、威胁出现的频率等综合分析而得出判定。下表提供了一种威胁可能性的赋值方法。
|
|
|
|
|
|
|
