赖、接收抵赖、第三方抵赖等6.2.2威胁赋值判断威胁出现的频率是威胁赋值的重要内容,评估者应根据经验和(或)有关的统计数据来进行判断。在评估中,需要综合考虑以下三个方面,形成各种威胁出现的频率:以往安全事件报告中出现过的威胁及其频率的统计;实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计;近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计,以及发布的威胁预警。对威胁出现的频率进行等级化处理,不同等级分别代表威胁出现的频率的高低。等级数值越大,威胁出现的频率越高。表4是威胁出现频率的赋值方法。表4 威胁赋值表等级标识定义5很高出现的频率很高(或≥1次/周);或在大多数情况下几乎不可避免;或可以证实经常发生过4高出现的频率较高(或≥1次/月);或在大多数情况下很有可能会发生;或可以证实多次发生过3中等出现的频率中等(或>1次/半年);或在某种情况下可能会发生;或被证实曾经发生过2低出现的频率较小;或一般不太可能发生;或没有被证实发生过1很低威胁几乎不可能发生;仅可能在非常罕见和例外的情况下发生6.3脆弱性识别6.3.1脆弱性识别内容脆弱性是资产本身存在的,如果没有被相应的威胁利用,单纯的脆弱性本身不会对资产造成损害。而且如果系统足够强健,严重的威胁也不会导致安全事件发生,并造成损失。即威胁总是要利用资产的脆弱性才可能造成危害。脆弱性识别以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估;脆弱性识别所采用的方法主要有:问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。对脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及网络结构、系统软件、应用中间件、应用系统等各个层面的安全问题。管理脆弱性又可分为技术管理脆弱性和公司管理脆弱性两方面,前者与具体技术活动相关,后者与管理环境相关。表5为脆弱性识别内容的参考。