一：概述

从资产识别、胁分类、脆弱性识别、风险计算、处置建议等5个环节进行完善，通过不断持续优化完善，以期实现基于数据安全风险评估的体系化建设
威胁识别+脆弱性识别=安全事件的可能性
资产识别+资产脆弱性=安全事件的损失

image.png

二：资产识别

2.1资产类型

云上资产包括云主机,Lb,原生容器,pod等，另外还包括云数据库，云Es等Pass资产

2.2资产赋值

2.2.1机密性

image.png

2.2.2完整性

根据资产在完整性上的不同要求，将其分为5个的等级，不同等级对应资产完整性缺失后对组织产生的影响

image.png

2.2.3可用性

根据资产在可用性上的不同要求，将其分为5个的等级，不同等级对应资产可用性异常后对组织产生的影响。

image.png

2.3重要性

资产价值应依据机密性、完整性、可用性上的赋值等级，经过综合评定后最终确定。其重要等级也分为5个等级

image.png

2.4标签化

对同类资产进行打标签，可打多个标签

三：脆弱性识别

脆弱性是对一个或多个资产弱点的集合，脆弱性识别也可称为弱点识别，而该弱点是资产本身存在的，如果没有威胁利用，单纯的弱点不会引发安全事件。威胁总是利用资产脆弱点才能造成破坏，这也是弱点和威胁的区别。

3.1脆弱性类型

• 主机安全配置
• 应用漏洞
• 系统漏洞
• 网络结构（安全组，vpc）

• 弱口令

  
  image.png

3.2脆弱性定级

可以根据资产的损害程度、技术实现的难易程度，以及弱点的流行程度等多个维度，采用等级方式对已识别的脆弱性严重程度进行赋值。对某个资产脆弱性赋值还应参考管理脆弱性的严重程度。

image.png

四：威胁性识别

主要采用供给链和溯源的方式进行
下面的威胁等级可参考

image.png

五：风险分析与评估

5.1 风险计算

风险计算原理其范式形式如下：
风险值=R（A,T,V）=R（L（T,V）,F（Ia,Va））；
其中：R标识安全风险计算函数。A表示资产；T表示威胁；V表示脆弱；Ia表示资产价值；Va表示脆弱性的严重程度。L表示威胁利用资产的脆弱性导致安全事件发生的可能性。F表示安全事件发生后的损失。
风险计算三个关键环节：
安全事件发生的可能性=L（威胁频率，资产脆弱性）=L（T,V）；
安全事件发生后的损失=F（资产价值，脆弱性严重程度）=F（Ia,Va）；
风险值=R（安全事件发生的可能性，安全事件发生后的损失）=R（L（T,V）,F（Ia,Va））

5.2风险评级

image.png

5.3 风险处置

风险处置目的是以减少脆弱性或降低安全事件发生的可能性

5.4风险评估

六：矩阵法计算风险

https://blog.csdn.net/suiyideAli/article/details/84076685

七：参考

https://blog.csdn.net/a59a59/article/details/104240790
https://blog.csdn.net/a59a59/article/details/104290332