威胁分析就是找危险源和算危害程度。比如说啊，先看看哪里可能有坏家伙搞事，比如电脑漏洞、员工乱搞或者黑客盯上咱们；再算算这些危险源要是出问题，会损失多少钱、丢多少重要资料、还可能让公司被罚钱或者声誉掉价。

为啥得这么分两部分呢？首先啊，危险源就像家里漏水的窗户，不修的话雨水会进来，但得先找到哪个窗户漏。根据中国互联网应急中心前年数据，企业遭受网络攻击中，内部人员操作失误占28%，外部黑客攻击占35%，设备漏洞占22%，其他原因占15%。这说明危险源找不准，可能白忙活。接着算危害程度，就像知道窗户漏了，但得算算漏进多少水，会不会泡坏家具，或者让房子塌了。IBM《前年数据泄露成本报告》说，每起数据泄露平均损失435万美元，其中声誉损失占31%，业务中断占29%，法律罚款占20%。所以危害评估不准确，可能没重视关键损失点。比如啊，有些公司只算直接损失，却忘了客户流失这种长期危害。再说了，危险源和危害程度有时候混在一起，比如勒索软件攻击既算危险源又算危害，这时候得分开算，才能针对性解决。得连起来看，比如发现内部人员泄密危险源，危害是丢，那就要加强权限管理和监控，而不是光买防火墙。