2回答
我见过一些组织在网络安全方面投资不足,人手不足的情况,因此很难满足其安全计划中定义的政策要求。我认为许多公司没有对网络安全进行适当的投资,这种情况相当普遍。
我的问题与衡量不符合政策要求的风险有关。通过进行标准风险评估来衡量风险的定义是明确的:确定威胁/漏洞,并评估利用的影响和可能性。但是,如果您不知道漏洞的可能性/影响,因为您根本没有人力在所有系统中执行风险评估,那么这种情况又如何呢?基本术语:
浏览 0提问于2020-06-11得票数 0
回答已采纳
3回答
我对风险评估和风险分析之间的区别感到有点困惑。许多人主张在需求阶段进行风险评估,在设计阶段进行风险分析。
你能给我解释一下他们之间的区别吗?
浏览 0提问于2015-10-24得票数 1
回答已采纳
2回答
我正在寻找一种完全开放的量化风险评估方法。我将open定义为类似于或CC BY-SA许可证的方法。
我看上去很漂亮,八度,克拉姆和其他几个都有严格的许可。
浏览 0提问于2011-05-14得票数 11
我正在进行我的第一次IT风险评估任务,尽管我已经完成了所需的步骤并了解了我正在开发的系统,但我想知道是否有一个与不同IT系统相关联的通用IT风险列表。这是因为他开始的每一次评估都不需要从头开始。鉴于IT风险评估已经进行了很长一段时间,因此,现在必须有一个由某人编制的列表才能作为参考,这是合乎逻辑的。例如,如果我正在处理客户端服务器类型的应用程序评估,我可以引用与客户端和服务器相关的
浏览 0提问于2013-08-11得票数 0
回答已采纳
我正在为iso 27001:2013编写一个isms实现。迄今为止,无论采用何种风险评估方法,我都使用了基于资产的方法,其中的方法侧重于资产价值评估、威胁、脆弱性和控制实施状态值,以计算与基础资产相关的风险。最近,我遇到了一个基于业务流程的风险评估。我在谷歌上搜索过,发现了很少有帮助的网站,尽管在风险评估方法或相关模板方面找不到任何具体的东西。寻求帮助,提出一个基于流程的方法,用于风险</e
浏览 0提问于2016-04-06得票数 2
4回答
人们推荐什么技术来跟踪一个新程序的质量水平?他们的方法是采用一个定义不明确的术语,比如“质量水平”,量化它,然后做出预测吗?目前我使用bug率和S曲线,但我正在寻找其他方法来评估、估计和预测质量水平。
浏览 2提问于2009-04-07得票数 0
3回答
企业级安全测试方法
、、、、
我被要求为一家公司做风险评估。该范围涵盖了大约100个应用程序和不同的业务单位。主要任务是评估目前实施的安全控制措施,并在评估后提出建议。还提供关于防止数据泄漏、源代码和其他敏感信息的建议。我将其作为使用NIST CSF等框架的组织级安全风险评估,而我的同事则更多地考虑进行SDLC/敏捷/devops过程风险评估的风险评估,在我看来,这不是安全风险评估<
浏览 0提问于2018-12-23得票数 6
1回答
我是一个内部开发团队的一员,该团队提供我们公司在世界各地的工厂使用的软件,用于生产和订单管理,并使站点能够通过广域网彼此共享数据。我最近受命在4个月内完成以下目标:因此,我的问题是:我应该如何最好地分析企业软件系统及其周围的基础设施的风险和漏洞?或者,换一种说法,我应该如何分解分析我们系统
浏览 0提问于2014-03-21得票数 1
回答已采纳
但风险分析(例如: ISO 27005、NIST SP 800-30、EBIOS等)怎么办?我在互联网上看到的唯一一件事就是关于这些方法为什么如此伟大等的大量理论论文。我知道在互联网上发布你的组织风险分析结果可能不是个好主意,但是我们(初学者)应该怎么做呢?
您知道我应该从哪里开始或研究IT安全风险分析的更实际的概述吗?
浏览 0提问于2021-05-16得票数 1
4回答
是量化金融中常用的一种风险度量,用于评估所经历的最大负回报。 start, end = r_start, r_end我熟悉一种普遍的看法,即向量化的解决方案会更好。问题如下:
它有多大的益处?
浏览 6提问于2016-04-20得票数 17
回答已采纳
我试图弄清楚上述概念是如何结合在一起的。据我所知,安全需求工程(SRE)、风险分析(RA)和威胁建模(TM)是最终允许信息系统更接近预期安全目标的方法(CIA Triad、IAS Octave等)。我是否错误地说,SRE是一个包罗万象的过程,它可以包含RA,而RA反过来又可以使用TM来确定威胁?
有没有人对SRE的基本原理和它包含的概念有很好的来源?
浏览 0提问于2015-05-16得票数 4
2回答
哪一个是最适合这种用途的?我需要评估当前可用的Java-COM桥的JVM崩溃、本机内存泄漏和非托管线程创建(因为在使用线程池的J2EE容器中不推荐)的风险。
浏览 4提问于2010-10-30得票数 5
2回答
我正在为我工作的组织开发一种威胁建模/架构风险分析(ARA)方法。我们的业务包括一个主要产品(由大约500名开发人员在十年内开发)。该产品包含数百个功能,其中大部分远离攻击表面,处理的数据很少。为了优化我们的ARA,我希望实现一种特性风险评估方法,它将允许软件架构师(不了解安全)轻松地评估他们正在产生的特性的影响。根据他们的评分,他们要么做一个轻量级的ARA版本,一个更详细的版本,甚至咨询安全团队(如果它是一</em
浏览 0提问于2017-10-10得票数 6
回答已采纳
我刚刚意识到,在没有启用MongoChef选项的情况下,我已经使用MongoChef(一个数据库GUI)连接(发送用户名和密码)到我的生产MongoChef数据库好几周了。最近,我从另一个GUI切换到了MongoChef,完全忘记了启用SSL。谢谢
浏览 0提问于2016-10-12得票数 4
回答已采纳
2回答
计算技术脆弱性问题的业务影响
、、、、
是否有任何预定义的、全球公认的方法、框架或标准专门用于计算技术的业务影响(网络、Web、移动.)脆弱性问题?
评分和计算影响是我正在研究的关键问题。
浏览 0提问于2017-04-25得票数 1
2回答
有必要平衡风险和成本。需要进行风险评估,以确定预防措施的成本效益。在进行风险评估时应遵循哪些框架?我认为这里还没有任何问题涉及到这一点。
请-没有答案只包含链接到外部资源。我想要一个或两个详细的答案,包括概述风险评估通常是如何在大型组织进行。
浏览 0提问于2012-10-08得票数 10
回答已采纳
我正在建立一个私人网络应用程序,我计划在我和几个精选的朋友之间使用。我们每个人都有第三方服务的API密钥,我的web应用程序需要访问这些服务,这样它就可以调用第三方服务API,并返回我们希望一起评估的数据。因为这是一个私有/静态的web应用程序,我不觉得需要将这些密钥存储在数据库中,我希望将这些密钥直接存储在我的web服务器上。
如果我走这条路,主要的安全风险是什么?我已经做了很长一段时间的标准web开发,但我对网络安全的知识非常缺乏。我很感激你的指导和想法!
浏览 0提问于2018-02-11得票数 4
我正在从事一个混合音乐推荐系统项目,我的目标是根据用户的口味创建推荐播放列表。我已经实现了使用协作过滤算法的第一部分,现在我正在研究基于内容的过滤部分。为了提高推荐系统的准确性,我阅读了数十篇关于推荐系统评估的研究论文。在这些评价中考虑到了许多变量(例如覆盖面等)
其中一些论文谈到用户对推荐系统的信心,将其定义为需要考虑的最重要参数之一。我读到了10条推荐的条目,如果用户喜欢其中的3或4种,那就足够
浏览 0提问于2019-04-25得票数 0
回答已采纳
我们在上一次复古期间引入了一种新的做法:如果不查看源代码,就很难评估回归风险;我们的sprint长达三周,即使我们可以查看源代码,也没有足够的时间这样做。在不查看源代码的情况下提供回归风险评估时,是否有任何良好的拇指规则?
浏览 0提问于2018-07-13得票数 2
回答已采纳
2回答
我正在为一家希望与ISO 27001保持一致的公司定义一种风险评估方法。该标准明确规定,其目的是保护中情局(机密性、完整性、可用性)。在我的风险方法中,是否有将每项资产/过程的后果分别与保密性、完整性和可用性相比较的分数,还是仅给每个资产/过程一个分数就足够了。在大多数被批准的工具中,我把它当作后果的一个分数。独立评估每个中情局的后果不是正确的方法吗?
浏览 0提问于2016-10-20得票数 1
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
腾讯会议
云直播
对象存储活动推荐
腾讯云开发者
