论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 19 篇帖子 ]  前往页数 1, 2  下一页
作者 内容
 文章标题 : 风险和安全事件有什么区别
帖子发表于 : 2005-01-13 16:59 
离线
新手

注册: 2004-06-15 15:54
最近: 2005-03-16 20:17
拥有: 361.00 安全币

奖励: 0 安全币
在线: 394 点
帖子: 12
风险和安全事件有什么区别呢?一直对它的理解感觉很模糊,但是不是很清楚,请大虾说一下,并给一个相应的例子说一下,谢谢。如上面大虾给我说的,你睡觉时,钱可能被小偷偷走,这属于一个风险,如果被偷走了就成为一个安全事件,那它们之间在我们分析信息系统的风险时是怎么严格区别的呢?理解有点模糊。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2005-01-18 13:30 
离线
初级用户

注册: 2005-01-18 11:17
最近: 2012-12-10 15:56
拥有: 1,219.80 安全币

奖励: 155 安全币
在线: 1763 点
帖子: 38
风险是安全事件发生的可能性。
安全事件是威胁利用弱点对资产造成的危害。


--------本帖迄今已累计获得2安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2005-01-18 15:31 
离线
新手

注册: 2004-11-19 12:10
最近: 2006-03-31 08:53
拥有: 1.00 安全币

奖励: 132 安全币
在线: 617 点
帖子: 12
竹子 写道:
风险是安全事件发生的可能性。
安全事件是威胁利用弱点对资产造成的危害。


言之有理,风险是可能性,安全事件时具体的事件,两者怎么能分不清呢。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2005-01-19 09:48 
离线
初级用户

注册: 2004-12-23 09:55
最近: 2007-07-04 21:30
拥有: 818.00 安全币

奖励: 0 安全币
在线: 1413 点
帖子: 49
地址: 浙江
对,应该不难理解:安全事件就是风险的结果,是可能性事件走向了必然的质变。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2005-01-19 17:59 
离线
新手

注册: 2004-06-15 15:54
最近: 2005-03-16 20:17
拥有: 361.00 安全币

奖励: 0 安全币
在线: 394 点
帖子: 12
johneylee 写道:
竹子 写道:
风险是安全事件发生的可能性。
安全事件是威胁利用弱点对资产造成的危害。


言之有理,风险是可能性,安全事件时具体的事件,两者怎么能分不清呢。

但是,我们经常看到对风险的描述是这样,一是风险发生的可能性,二是风险发生后的后果。不应该说风险只是可能性吧。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2005-01-19 18:49 
离线
新手

注册: 2004-09-21 12:07
最近: 2014-01-19 11:41
拥有: 93.00 安全币

奖励: 0 安全币
在线: 1151 点
帖子: 11
风险是威胁发生的可能性与后果的结合——威胁利用脆弱点,导致资产丢失或损害的潜在可能性及后果严重性;
不发生的话,是不能算作安全事件的,事件是既定的历史事实。


--------本帖迄今已累计获得10安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2005-01-20 10:16 
离线
初级用户

注册: 2005-01-18 11:17
最近: 2012-12-10 15:56
拥有: 1,219.80 安全币

奖励: 155 安全币
在线: 1763 点
帖子: 38
上面的贴子说得很对啊!
我理解描述风险有两个因素:安全事件危害(后果)和安全事件发生的可能性。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2005-01-20 14:38 
离线
新手

注册: 2004-06-15 15:54
最近: 2005-03-16 20:17
拥有: 361.00 安全币

奖励: 0 安全币
在线: 394 点
帖子: 12
竹子 写道:
上面的贴子说得很对啊!
我理解描述风险有两个因素:安全事件危害(后果)和安全事件发生的可能性。


既然都是安全事件了,就是发生了啊,可能性就是100%了。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2005-01-20 14:42 
离线
新手

注册: 2004-06-15 15:54
最近: 2005-03-16 20:17
拥有: 361.00 安全币

奖励: 0 安全币
在线: 394 点
帖子: 12
matrix 写道:
风险是威胁发生的可能性与后果的结合——威胁利用脆弱点,导致资产丢失或损害的潜在可能性及后果严重性;
不发生的话,是不能算作安全事件的,事件是既定的历史事实。


这个定义我晓得是这样,就象我开始说的小偷事件一样。是不是我们在衡量风险的后果的时候,是采用安全事件的后果来衡量的呢?


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2005-01-20 23:06 
离线
新手

注册: 2004-09-21 12:07
最近: 2014-01-19 11:41
拥有: 93.00 安全币

奖励: 0 安全币
在线: 1151 点
帖子: 11
shiyh98 写道:
matrix 写道:
风险是威胁发生的可能性与后果的结合——威胁利用脆弱点,导致资产丢失或损害的潜在可能性及后果严重性;
不发生的话,是不能算作安全事件的,事件是既定的历史事实。


这个定义我晓得是这样,就象我开始说的小偷事件一样。是不是我们在衡量风险的后果的时候,是采用安全事件的后果来衡量的呢?


你的概念还是不太清楚,衡量“风险的后果”?你说的应该是评估风险,按照现在绝大多数人的做法,就涉及到资产、威胁、脆弱点和已有的安全控制,当然,它们分别也包含若干个需要考虑的方面。这些因素的综合分析,就是风险。如果说后果的话,可以说是威胁带来的,而不是风险的“后果”,因为风险是威胁可能性与后果的综合。说风险的“后果”则有些不妥。

当然,这些是根据目前通行的方法来说的,如果觉得不好,也可以设计自己的风险评估方法,但是最好术语概念上不要与广泛使用的术语相冲突,否则会给客户带来很多困惑。

接下来说说安全事件,如果在风险评估时考虑安全事件的话,可以考虑把安全事件作为历史数据整理,作为定量或定性的参考和部分的依据。这是属于评估手段的范畴了,可以考察其安全事件,也可以不考察,毕竟这是一个相对主观的过程。其实,安全事件更多地在安全管理体系建设和我们审核的时候提到:例如安全体系建设中要包含安全事件汇报、响应和处理机制;审核员应该查看被审核方是否有安全事件的记录、汇报流程、处理流程等等,作为评判其安全管理体系建设水平的一项依据。

随便说说,请大家指正。


--------本帖迄今已累计获得12安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2005-09-02 11:23 
离线
新手

注册: 2005-05-03 18:03
最近: 2006-08-13 15:22
拥有: 293.00 安全币

奖励: 0 安全币
在线: 507 点
帖子: 4
對所謂的threat v.s. vulnerability區分的很仔細啊


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2005-10-13 22:50 
离线
初级用户

注册: 2005-03-16 10:03
最近: 2013-11-29 10:35
拥有: 50.50 安全币

奖励: 0 安全币
在线: 1963 点
帖子: 33
威胁+弱点=安全事件
安全事件发生的几率取决于安全风险的大小!


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-11-12 12:52 
离线
初级用户

注册: 2008-11-04 08:42
最近: 2016-06-14 17:42
拥有: 16.20 安全币

奖励: 56 安全币
在线: 317 点
帖子: 21
matrix分析的很对,顶一下。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-11-12 14:57 
离线
超级用户

注册: 2008-09-25 15:54
最近: 2013-10-18 10:30
拥有: 1,920.60 安全币

奖励: 1734 安全币
在线: 1226 点
帖子: 429
地址: shanghai
从英语来说,风险 risk , 安全事件 exposure,你琢磨一下这两个词的英文含义也许会有更深的理解。


--------本帖迄今已累计获得22安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-11-12 15:15 
离线
超级用户

注册: 2007-09-27 08:31
最近: 2013-02-27 10:18
拥有: 3,358.00 安全币

奖励: 950 安全币
在线: 2760 点
帖子: 342
matrix 写道:
风险是威胁发生的可能性与后果的结合——威胁利用脆弱点,导致资产丢失或损害的潜在可能性及后果严重性;
不发生的话,是不能算作安全事件的,事件是既定的历史事实。


正解!


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 19 篇帖子 ]  前往页数 1, 2  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012