第1个回答 2019-06-03
风险不仅仅依靠脆弱性一个指标来确定的,一个风险判定指标包括资产重要程度、脆弱性(脆弱性利用难易程度、脆弱性发生后影响)、威胁(威胁源动机、威胁源能力)、安全措施有效性,风险=(资产重要程度+脆弱性+威胁)-安全措施有效性脆弱性的赋值主要考虑两个方面,脆弱性被利用的难易程度和脆弱性发生后的影响,值得说明的是这里脆弱性发生后的影响应剥离资产方面的考虑,仅考虑脆弱性发生后造成的后果,不与资产进行关联。不好意思,再多说两句,一个资产面临的威胁、脆弱性和安全措施有效性都是一对多的希望能帮到您!