标签：Severity 攻击 评级 Evita THROP Heavens 评估

Evita评级

       基于Evita的风险评级是与攻击树是紧密相关的。大致步骤为：

1. 根据Safety、Private、Fiancial、Operational，分别记为Ss、Sp、Sf、So完成Severity的评级；
2. 对不同攻击资产完成这五个项目的评分；
3. 根据五个项目的评分和计算一个attack potential；
4. 将攻击树表格化，含有攻击目标、攻击方法、攻击资产；
5. 根据攻击树的or、and关系计算每个method的最终attack potential，记为Ai；
6. 根据功能安全和非功能安全的差异，结合Ai和Severity，确定Securiy Risk Level；

Severity的评级

         EVITA针对信息安全风险评估方法来源并参考了ISO 26262中的功能安全风险评估方法，黑色字体部分来自ISO 26262，红色字体部分是EVITA扩展出来的。和Heavens相比，主要有下面的不同：

（1）Evita比Heavens划分的更加细致，Heavens只有四个等级，而Evita有五个等级；

（2）隐私、Financial方面的描述不一样，Heavens的定级更加偏向于根据最终造成的结果评级，而Evita则更加偏向于根据具体的内容评级；操作方面细化的Heavens比Evita更加详细；

（3）影响方面，Evita增加了对于多辆车影响的评估因子，这是Heavens所没有的，即Heavens是从单辆车的角度，而Evita会加入是否会引起大规模影响的考虑；

（4）Evita没有增加对于法律法规的影响，即发动攻击后，对周围公共安全造成危害和破坏法律法规引起的损失的综合考量；

Attack Potential评级

       完成攻击需要的时间，专业技能，对系统的了解，机会窗口，装备，跟heavens相比，主要是多了完成攻击需要的时间，以及不同子项上的评分差异；

Result

标签：Severity,攻击,评级,Evita,THROP,Heavens,评估
来源： https://blog.csdn.net/qq_24925595/article/details/104771565

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。