16.5.2 OWASP风险评估方法参考

2025-06-18 21:57:50 更新

	风险评估步骤	说明
1	确定风险类别（identifying a Risk）	收集攻击者、攻击方法、利用漏洞和业务影响方面信息，确定评级对象潜在风险
2	评估可能性因素（Factors for Estimating Likelihood）	从攻击者因素（技术水平、动机、机会和成本）、漏洞因素（发现难易程度、利用难易程度、公开程度、利用后入侵检测）分析安全事件出现可能性
3	评估影响因素（Factors for Estimating impact）	①技术影响因素（保密性、完整性、可用性、问责性方面损失） ②业务影响因素（金融财务损失、声誉损失、不合规损失、侵犯隐私损失）
4	确定风险严重程度（Determining the Severity of the Risk）	把可能性评估和影响评估放在一起，计算风险总体严重程度可能性评估和影响评估分成0-9级别
5	决定修复内容（Deciding What to Fix）	将应用程序风险分类，获得以优先级排列的修复列表一般先修复最严重风险
6	定制合适风险评级模型（Customizing Your Risk Rating Model）	根据评估对象，调整模型使其与风险评级准确度一致如添加可能性因素，如攻击者机会窗口、加密算法强度等根据自身业务安全需求，增加权重因素调整风险值计算

	风险评估步骤	说明
1	确定风险类别（identifying a Risk）	收集攻击者、攻击方法、利用漏洞和业务影响方面信息，确定评级对象潜在风险
2	评估可能性因素（Factors for Estimating Likelihood）	从攻击者因素（技术水平、动机、机会和成本）、漏洞因素（发现难易程度、利用难易程度、公开程度、利用后入侵检测）分析安全事件出现可能性
3	评估影响因素（Factors for Estimating impact）	①技术影响因素（保密性、完整性、可用性、问责性方面损失） ②业务影响因素（金融财务损失、声誉损失、不合规损失、侵犯隐私损失）
4	确定风险严重程度（Determining the Severity of the Risk）	把可能性评估和影响评估放在一起，计算风险总体严重程度可能性评估和影响评估分成0-9级别
5	决定修复内容（Deciding What to Fix）	将应用程序风险分类，获得以优先级排列的修复列表一般先修复最严重风险
6	定制合适风险评级模型（Customizing Your Risk Rating Model）	根据评估对象，调整模型使其与风险评级准确度一致如添加可能性因素，如攻击者机会窗口、加密算法强度等根据自身业务安全需求，增加权重因素调整风险值计算