在威胁分析风险评估(TARA)过程中,风险等级由对资产安全属性侵害造成后果的影响等级和威胁的可能性两方面综合评估。
备注:以上内容的评估皆是建立在由信息安全问题引起并导致的前提下。
影响等级评估
影响等级说明,影响从安全(Safety)、财产(Financial)、操作(Operational)、隐私(Privacy )几个维度进行评估
安全(Safety)评估参考
财产(Financial)评估参考
操作(Operational)评估参考
隐私(Privacy )评估参考
影响等级取值参考
攻击可行性评估
攻击可行性从暴露时间(Elapsed Time)、专业经验(Expertise)、所需信息(Knowledge about TOE)、机会窗口(Window of Opportunity)、所需设备(Equipment)几个维度进行评估
暴露时间(Elapsed Time)
专业经验(Expertise)
所需信息(Knowledge about TOE)
机会窗口(Window of Opportunity)
所需设备(Equipment)
攻击可行性取值
风险等级矩阵
