整体流程

风险评估主要参考威胁的可能性以及威胁发生可能造成的影响,根据二者得出一个评估结果,即风险等级,根据该评估结果确定不可容忍的风险等级,当然不可容忍的尺度不同的OEM可能在某些细节上是不一样的,这个需要Tier1安全团队和OEM的安全团队协商,定制出不可容忍的风险等级。一般来说,高风险是一定需要处理的,迷惑点主要在于medium,这个见仁见智了,个人觉得medium的风险等级可以综合CVSS、OWASP等的评级子项重新进行评估,在medium中重新分优先级。类似的,对于low的风险等级,如果OEM要求需要处理,ps:谁叫别人是金主爸爸嘞,也可以综合CVSS、OWASP等的评级子项重新评估。

  • 风险评级主要目的是为了对列出的威胁进行排序,列出哪些是需要优先考虑的,哪些是可以稍后考虑的,以及在目前的技术条件下是可以不考虑的;
  • 评级的结果不是固定的,我们需要安全人员不断的follow各类漏洞库(典型的漏洞库如NVD、国家漏洞库)、近十年发生的汽车攻击事件、各种安全论坛(看雪、freebuf等)、与研发人员及其他相关人员头脑风暴来不断完善评级结果;

likelihood

根据威胁,按照上面的4个子项进行打分,得出一个综合分数(TL参数值总和),得出对应的TL数值:

impact

根据威胁,参考上面4个参考子项得出一个综合值(影响等级参数总和),进而得出IL分值。上面的图是自己翻译3061得出的,有标准的崽可以详细参考3061,翻译这玩意,每个人都是哈姆莱特。

result

根据威胁等级和影响等级我们可以得出风险等级,QM一般是不需要处理的,high是一定需要处理的,low和medium,还是建议通过其他的评级手段综合考虑。再次强调一下,一定要跟OEM这些金主爸爸们确定,不然这锅背不起啊。

风险评估-HEAVENS相关推荐

  1. 基于熵权法优劣解距离法_维普资讯中文期刊服务平台-基于改进TOPSIS方法的航空装备预研项目技术风险评估...

    摘 要:技术风险是引发费用风险和进度风险的主要因素,因此在航空装备的研制中需要重点管控和规避.为提供可靠的航空装备预研项目技术方案的选择依据,采用改进的TOPSIS方法对五种不同航空装备预研方案的技术 ...

  2. 机器学习:信用风险评估评分卡建模方法及原理

    #课程介绍 信用风险评分卡为信用风险管理提供了一种有效的.经验性的解决方法,是消费信贷管理中广泛应用的技术手段. 评分卡是信用风险评估领域常见的建模方法.评分卡并不加单对应于某一种机器学习算法,而是一 ...

  3. NC:港大张彤团队-基于组学的耐药基因风险评估框架

    香港大学(港大)土木工程系张彤教授领导的小组,开发了一套全新的评估框架,针对被世界卫生组织宣布为全球公共卫生威胁的抗生素耐药性(抗性)基因,系统地评估其对人类所构成的风险.研究成果已于Nature C ...

  4. [ZZ]风险评估和最佳实践

    风险评估和最佳实践 计算机世界报 2007年12月03日第46期 B24) 由于每当出现新版本的浏览器时,情况都会发生变化,所以JavaScript/CSS/DHTML/XHR范例具有不稳定性,因此我 ...

  5. 神经网络贷款风险评估(base on keras and python ) 原创 2017年08月18日 14:35:17 标签: python / 神经网络 / keras 300 用我

    神经网络贷款风险评估(base on keras and python ) 原创 2017年08月18日 14:35:17 标签: python / 神经网络 / keras / 300 编辑 删除 ...

  6. 软件测试作业2:在敏捷宣言遵循的12条原则中挑选1条你感兴趣的原则进行风险评估

    作业2 1.在敏捷宣言遵循的12条原则中挑选1条你感兴趣的原则进行风险评估. "原则"参见Lec 6, slide 8-11; "风险"参见Lec 3, sli ...

  7. 信息安全风险评估实施

    风险评估的实施过程包括信息安全风险评估准备.资产识 别.威胁识别.脆弱性识别.已有安全措施确认和风险分析六个 阶段. 风险评估准备,随后进行资产识别,威胁识别,脆弱性识别.三个识别通过后进行已有安全措 ...

  8. 风险评估资产重要性识别_如何有效的进行风险评估?

    前言 信息安全是网络发展和信息化进程的产物,近几年,无论是国家层面,还是企业本身,都对信息安全愈发的重视.风险管理的理念也逐步被引入到信息安全领域,并迅速得到较为广泛的认可.风险评估逐步成为信息安全管 ...

  9. 化验室计算机系统验证风险评估,计算机化系统验证风险评估报告.doc

    计算机化系统验证风险评估报告 计算机系统验证风险评估报告 部 门姓 名签 名日 期起草人起草人审核人审核人审核人审核人审核人批准人 目录 1.概述:3 2.风险评估小组成员及主要职责3 3.基本定义和 ...

  10. navicat10.1.7英文版_【纯干货】风险评估和管理(PDA TR 49内容节选11 中英文版)...

    点击关注 不迷路 点击链接,查看 1.[纯干货]PDA TR49 生物制品清洁验证考虑要点(中英文版)节选1(1.0-2.0) 2.[纯干货]清洁程序的设计与开发(中英文版)(PDA TR 49内容节 ...

最新文章

  1. 万网稳居国内域名主机网站榜首 西部数码第二
  2. html5 progress css,CSS content: attr() on HTML5 progress doesn't work
  3. 图片懒加载原理-实例二
  4. mysql1401错误_mysql错误代号-I(1401~1450)
  5. java死锁以及解决方案
  6. TCP四次握手释放连接
  7. Spring JSF集成教程
  8. codeforces-constructive algorithms(构造算法.)
  9. mysql5.5函数大全_mysql 函数大全
  10. 61家公司入选“2021年大中华区最佳职场”榜单;针对“奥密克戎”!云顶新耀与加拿大生物技术公司研发新型疫苗 | 美通社头条...
  11. aardio部署_GitHub - wiseshrek/aardio-erp: aardio10开发企业管理系统:aardio-erp框架源码
  12. 计算机主板的结构平面草图,10分钟浓缩10年 教你看懂主板基本结构
  13. EDK2编译报错,请帮我看看这个是什么错误
  14. 实现内容自动撑开盒子
  15. springboot搭建redis时提示RedisCommandExecutionException: CLUSTERDOWN Hash slot not served解决办法
  16. MongoDB——聚合管道之$project操作
  17. powerdesigner 导入sql文件生成模型
  18. 解决linux vi/vim或命令行出现方向键、删除出现乱码
  19. 浅谈短视频背后的社会道德伦理问题(个人观点,仅供参考)
  20. Siri触发器原理及改进

热门文章

  1. 双人对战的球类游戏ios源码
  2. 认知的方法论 --以学习python编程语言为例
  3. opengl 3D平衡球小游戏
  4. android 渠道排名,八大安卓渠道6月数据报告总汇
  5. 文件内容批量简体转换繁体
  6. java判断闰年的方法_Java判断闰年的2种方法示例|chu
  7. Rust vs. Go:为什么他们在一起更好
  8. unity自定义Scene窗口
  9. 量化交易让股市成为你的印钞机
  10. gnuradio3.8.2的安装步骤