風險評估
風險所造成事情大小和傷害,並且考慮發生的可能性的機會。這樣要如何判斷公司資訊系統的安全風險性,這裡介紹一個模型DREAD,也就是:
Damage Potential
Reproducibility
Exploitability
Affected users
Discoverability
但考量安全否認的時候很都會覺得安全業務時會彼此衝突,認為說為了安全就要犧牲一下功能性的服務等等一切的便利。其實如果一個好的產品能夠用非常好的安全性,對用戶的安全和產品的穩定性,事實上會是一個加分的動作。
| 等級 | 高 | 中 | 低 |
| Damage Potential | 完全獲得許可證自行管理的權限並且能夠非法上傳檔案 | 洩漏敏感資訊 | 新樓其他人的資訊 |
| Reproducibility | 攻擊者可以隨意的在攻擊 | 攻擊者可以重複攻擊,但是會有時間上的限制。 | 攻擊者很難重複的攻擊 |
| Exploitability | 出現在在短時間之內就可以掌握攻擊的方法 | 熟練的攻擊者才能完成這次攻擊 | 漏洞的條件非常嚴格 |
| Affected users | 所有的使用者,於是設定,關連使用者 | 部分使用者 | 極少的使用者,匿名的使用者。 |
| Discoverability | 非常明顯攻擊非常容易 | 只能私有的區域網路內攻擊 | 發現漏洞極其困難 |