判定能力——使用所有信息源的情报方法，可判定威胁的能力和结构。技术研究与开发（R&D）活动、声明（公开的和秘密的）和收集情报的行动（可能是目标定位冒险）可以提供威胁的发展情况：技术能力、技术能力的开发或“武器化”、作战测试状态和进行作战的准备程度。也要对威胁预测进行评估，确立研制未来能力发展的时间表。 
    确定I&M（指示和预警）指标——根据动机和技术能力，要研究指示或预警即将来临的作战（情报收集或攻击）的特征，以便提供指示和预警（I&M）模板，该模板把指示准备和攻击序列的预期行为特征化。 
    ②内部脆弱性评估 
    内部脆弱性评估决定着允许接近潜在的攻击者的作战安全或技术安全（分别为OPSEC和INFOSEC）的可能区域。脆弱性评估可以由分析、仿真或测试实现。工程分析和仿真方法在正常作战或独特条件（如在硬件错误发生地或具体的状态出现期间）下不断搜索访问路径。测试方法运用配备有攻击工具的独立评估人员不断扫描系统（如通信连接、计算机、数据库或显示）的访问手段和应用大量的措施（利用、干扰、拒绝服务或破坏）。 
    ③风险评估 
    有必要把外部威胁和内部脆弱性评估结合起来实现一个风险评估，如果成功的话，也要考虑攻击的正面或反面影响。风险可由概念性的关系来表示： 
    风险=[威胁*脆弱性/受保护的对抗措施]*影响 
    这个原始公式形成了量化真实系统风险值的基础，其中自变量和相关的比例因子可以用来提供各种风险参数，以便控制或管理一个具体系统的风险。信息访问的收益和实施威胁攻击的后果之间要进行平衡，这就要求对施加给系统的风险等级进行管理。 
    ④风险管理 
    风险管理（相对风险规避）认为成功的攻击总会发生（访问、穿透、信息或服务受损、甚至破坏），但是发生的可能性和影响程度将是有限的并应控制到一个小的统计量化值。风险避免和风险管理的差别在表2-12中总结出来，该表说明了风险要求是如何被分层和量化的。 
    表2-12  风险管理允许但控制着渗透 以便获得信息访问的益处

(责任编辑：adminadmin2008)