SSE一CMM安全工程过程之风险过程PA04评估威胁

PA04评估威胁

评估威胁过程区域的目的在于识别安全威肋圾其性质和特征。由于威胁可发生变化， 因此必须定期地对其进行监视，以保证由本过程区域所产生的安全理解始终得到维持。

本过程区域基本实施有6项：

◇BP.04.01识别由自然因素所引起的有关威胁

◇BP.04.02识别由人为因素所引起的有关威胁

◇BP.04.03制定评判威胁的测度单位

◇BP.04.04评估威胁源的动机和能力

◇BP.04.05评估威胁事件出现的可能性

◇BP.04.06监控威胁的变化
       这是需要注意的是BP.04.03项，即需要确定用什么指标来衡量威胁的高低。自然和人为威胁都有与之相关的测度单位，应根据具体情况，对可能在特定位置中出现的事件，建立测度范围。比如说，“未授权访问”是个威胁，那么它威胁的范围，可以根据具体情况设定为一台主机，一个VPN域，或一个业务区等作为它威胁的范围测度单位，或者比如我们常说的十年一遇的冰灾，百年一遇的洪水，十年，百年也可作为威胁的范围测试单位。如果某一特定威胁不存在标准的测度单位，可以设立一个标准测度单位，并对标准单位进行描述。

在BP.04.04项中，我们主要根据攻击者对系统有多大兴趣，攻击者拥有的知识、技俞邑、 工具和其它资源来评估威胁源的动力和能力。比如在IATF模型中，威胁被定为7级，第1级定义为“无意的或意外的事件”；第7级定义为“占有丰富程度资源的熟练的对手，愿意冒较大的风险