简述对威胁、脆弱性、及泄密影响分析

本阶段是涉密信息系统安全风险评估的重要环节，其主要内容包括以下几种。

　　1、窃密威胁分析

　　（1）窃密对象的资产价值。

　　（2）秘密可能被接触的范围和频率。

　　（3）潜在威胁源的窃密动机和窃密能力。

　　2、脆弱性分析

　　（1）制度缺陷

　　（2）管理缺陷

　　（3）技术缺陷（如设计、实现、实施等发面）。

　　（4）脆弱性被窃密者利用的难易程度。这一点是由多种因素综合确定的，包括脆弱性的严重程度，是否存在可被利用的途径等。

　　（5）脆弱性之间的相互影响关系。某些失、泄密渠道有可能成为其他泄密渠道产生的前提条件，或者使这些失泄密渠道被利用的可能性增加。因此，分析保密脆弱性时，必须考虑脆弱性之间的相互影响关系。这一点可通过事件树或故障树模型加以=分析。

　　3、已有安保措施下的失泄密影响分析

　　识别脆弱性的目的在于明确安保改进的对象和重点。脆弱性分析所采用的方法主要有问卷调查、人员问询、工具扫描、手动检查、文档审查、渗透测试等。已有安保措施下的失泄密影响分析是明确在采取安保措施下失、泄密后可能造成的相对损失。