论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 12 篇帖子 ] 
作者 内容
 文章标题 : 关于威胁 脆弱性对的问题,非常困惑,想不明白
帖子发表于 : 2011-04-20 09:33 
离线
新手

注册: 2011-01-28 09:34
最近: 2012-11-03 15:15
拥有: 57.00 安全币

奖励: 0 安全币
在线: 343 点
帖子: 18
在做IT系统风险评估时遇到了问题,就是威胁和脆弱性的对应关系,是一对一、一对多还是怎样的呢?
想不通。系统有漏洞,则必定会出现威胁,但面临的威胁,应该不一定是系统漏洞引发的。那么威胁和脆弱性的关系到底是怎样的呢?
请教高手来指点一下啊。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于威胁 脆弱性对的问题,非常困惑,想不明白
帖子发表于 : 2011-04-20 09:39 
离线
高级用户

注册: 2009-11-14 19:59
最近: 2016-03-21 10:10
拥有: 1,291.00 安全币

奖励: 629 安全币
在线: 6065 点
帖子: 285
看到过有人这么说(引自未知人士):
武林中人
威胁:是不是都想杀这个人(被杀的动机,树敌是否很多);
脆弱性:身体的强壮度,武功水平的高低。(被击败的短处,如铁布衫的。。就是脆弱点:>)
风险:这个人死掉(或被杀)的可能性。
如果像西毒欧阳锋一样虽然想杀他人很多(威胁高),但由于其武功高(脆弱性低),因此被杀死的可能性也较小。(风险低)
如果作恶多端(威胁高),武功差,显然被杀概率高。
一个好好人(威胁低),就算不会武功(身体条件一般,脆弱性高),被杀可能性也不高;
然而如果身体条件很差,说不定自己摔一跤也会死。(就好比系统软硬件故障一样)


--------本帖迄今已累计获得35安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于威胁 脆弱性对的问题,非常困惑,想不明白
帖子发表于 : 2011-04-20 11:18 
离线
中级用户

注册: 2009-11-11 17:02
最近: 2017-08-24 11:08
拥有: 5,391.00 安全币

奖励: 3682 安全币
在线: 1692 点
帖子: 110
aimier579 写道:
在做IT系统风险评估时遇到了问题,就是威胁和脆弱性的对应关系,是一对一、一对多还是怎样的呢?
想不通。系统有漏洞,则必定会出现威胁,但面临的威胁,应该不一定是系统漏洞引发的。那么威胁和脆弱性的关系到底是怎样的呢?
请教高手来指点一下啊。



以下是本人的观点:有错的话请大家指正。
风险评做里威胁与脆弱性的概念性的定义,在本子块里非常多。你多观看以前的贴子。
系统有漏洞,则必定会出现威胁,这句话,
应该是系统有漏洞,则必然存在脆弱性,即使不存在脆弱性,但威胁仍然是客观存在的。

你说的”威胁和脆弱性的对应关系,是一对一、一对多还是怎样的呢?“
本人认为“威胁和脆弱性本质上是不存在绝对的一对一,一对多的关系,只不是两者是互相关联的

脆弱性:比如门不上锁,系统无Patch,机房无备用电源或UPS 这些都是脆弱性。
威胁: 范围较大,泛指一些可利用脆弱性造成一定损伤的都可算作威胁,如自然灾难,人为。设施设备的自然老化等。

有脆弱性,不一定会造成损坏,关键要看这个脆弱点是不是被利用了。利用了并造成了后果。
一个脆弱性可对应多个威胁,如门不上锁,易被盗。还有可能遭地震.


--------本帖迄今已累计获得29安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于威胁 脆弱性对的问题,非常困惑,想不明白
帖子发表于 : 2011-04-20 13:36 
离线
中级用户

注册: 2007-07-27 16:37
最近: 2013-10-14 16:47
拥有: 343.30 安全币

奖励: 761 安全币
在线: 1479 点
帖子: 77
这是风险评估里的一个难题,先说结论:我认为威胁、弱点是多对多的。

有几点要说明:
1. 威胁具体是哪些?
在我看来,威胁有一个固定的目录,我手头资料显示威胁为44个,如果有不同的分法,一般也多不了太多。
2. 威胁和弱点的关系
威胁并不是因弱点存在而存在的,弱点的存在提高了威胁的发生概率。
威胁的评估可以分三个阶段,第一个阶段不考虑弱点,只考虑信息系统中的价值、网络连接、人员、物理情况。
第二个阶段从防护措施入手,先从一阶段威胁得出防护需求,再分析缺失的防护,调整威胁可能性和严重性。
第三个阶段从弱点入手,这其实是在验证防护措施的有效性。

看起来威胁分析很麻烦,实际上这就是风险评估的主体,威胁的情况和赋值分析清楚了,结合到资产,风险也就计算出来了。

很多国际上、国内、企业的风险评估规范都有威胁、弱点的要素,楼主可以参考下文:
https://www.xfocus.net/bbs/index.php?ac ... ntry238693


--------本帖迄今已累计获得29安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于威胁 脆弱性对的问题,非常困惑,想不明白
帖子发表于 : 2011-04-20 16:03 
离线
顶级用户

注册: 2010-07-02 16:46
最近: 2014-09-17 22:21
拥有: 7,798.00 安全币

奖励: 131 安全币
在线: 12631 点
帖子: 1386
just_cpp 写道:
看到过有人这么说(引自未知人士):
武林中人
威胁:是不是都想杀这个人(被杀的动机,树敌是否很多);
脆弱性:身体的强壮度,武功水平的高低。(被击败的短处,如铁布衫的。。就是脆弱点:>)
风险:这个人死掉(或被杀)的可能性。
如果像西毒欧阳锋一样虽然想杀他人很多(威胁高),但由于其武功高(脆弱性低),因此被杀死的可能性也较小。(风险低)
如果作恶多端(威胁高),武功差,显然被杀概率高。
一个好好人(威胁低),就算不会武功(身体条件一般,脆弱性高),被杀可能性也不高;
然而如果身体条件很差,说不定自己摔一跤也会死。(就好比系统软硬件故障一样)


明白了,您这水平不去做讲师和顾问,真的屈才啊,这3者的关系我想了这么久,看到您的比喻才明白了。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于威胁 脆弱性对的问题,非常困惑,想不明白
帖子发表于 : 2011-04-20 16:32 
离线
高级用户

注册: 2009-11-14 19:59
最近: 2016-03-21 10:10
拥有: 1,291.00 安全币

奖励: 629 安全币
在线: 6065 点
帖子: 285
staryang01 写道:
just_cpp 写道:
看到过有人这么说(引自未知人士):
武林中人
威胁:是不是都想杀这个人(被杀的动机,树敌是否很多);
脆弱性:身体的强壮度,武功水平的高低。(被击败的短处,如铁布衫的。。就是脆弱点:>)
风险:这个人死掉(或被杀)的可能性。
如果像西毒欧阳锋一样虽然想杀他人很多(威胁高),但由于其武功高(脆弱性低),因此被杀死的可能性也较小。(风险低)
如果作恶多端(威胁高),武功差,显然被杀概率高。
一个好好人(威胁低),就算不会武功(身体条件一般,脆弱性高),被杀可能性也不高;
然而如果身体条件很差,说不定自己摔一跤也会死。(就好比系统软硬件故障一样)


明白了,您这水平不去做讲师和顾问,真的屈才啊,这3者的关系我想了这么久,看到您的比喻才明白了。



一定要说明。。。是出自他人。。。确实比喻的很形象。。呵呵


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于威胁 脆弱性对的问题,非常困惑,想不明白
帖子发表于 : 2011-04-27 20:18 
离线
中级用户

注册: 2010-06-24 21:00
最近: 2012-11-06 10:36
拥有: 1,259.00 安全币

奖励: 0 安全币
在线: 526 点
帖子: 86
地址: ttonyyao@yahoo.com
脆弱性:比如门不上锁,系统无Patch,机房无备用电源或UPS 这些都是脆弱性。
威胁: 范围较大,泛指一些可利用脆弱性造成一定损伤的都可算作威胁,如自然灾难,人为。设施设备的自然老化等。

有脆弱性,不一定会造成损坏,关键要看这个脆弱点是不是被利用了。利用了并造成了后果。
一个脆弱性可对应多个威胁,如门不上锁,易被盗。还有可能遭地震.


--------本帖迄今已累计获得26安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于威胁 脆弱性对的问题,非常困惑,想不明白
帖子发表于 : 2011-04-28 00:45 
离线
高级用户

注册: 2010-03-07 02:43
最近: 2018-01-05 15:24
拥有: 3,363.00 安全币

奖励: 222 安全币
在线: 1791 点
帖子: 237
just_cpp 写道:
看到过有人这么说(引自未知人士):
武林中人
威胁:是不是都想杀这个人(被杀的动机,树敌是否很多);
脆弱性:身体的强壮度,武功水平的高低。(被击败的短处,如铁布衫的。。就是脆弱点:>)
风险:这个人死掉(或被杀)的可能性。
如果像西毒欧阳锋一样虽然想杀他人很多(威胁高),但由于其武功高(脆弱性低),因此被杀死的可能性也较小。(风险低)
如果作恶多端(威胁高),武功差,显然被杀概率高。
一个好好人(威胁低),就算不会武功(身体条件一般,脆弱性高),被杀可能性也不高;
然而如果身体条件很差,说不定自己摔一跤也会死。(就好比系统软硬件故障一样)



哈哈哈~~~我快被笑死了!哈哈哈~~~这哥们回答实在很幽默


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于威胁 脆弱性对的问题,非常困惑,想不明白
帖子发表于 : 2011-04-28 09:34 
离线
版主

关注按钮

注册: 2004-08-03 11:20
最近: 2018-02-22 15:26
拥有: 24,467.80 安全币

奖励: 24049 安全币
在线: 13043 点
帖子: 1844
地址: 北京
打个比方 苍蝇不叮没缝的鸡蛋

苍蝇是威胁 鸡蛋是资产 缝儿是脆弱性 被叮臭了是风险 真被叮了是事件 变臭了是影响 用纱网盖着是预防性措施 被叮了臭之前吃了是补救性措施

没人规定鸡蛋有几个 也没人规定苍蝇有几个 所以我也认同是多对多的关系 但是具体到特定的风险 应该是特定威胁和特定脆弱性的一对对应关系

例如 内部人员和外部人员是两个不同的威胁源,如果网络访问控制存在脆弱性控制不严的话 这俩苍蝇都会惦记着 而且这俩苍蝇估计还会惦记着其它的缝儿


--------本帖迄今已累计获得11安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于威胁 脆弱性对的问题,非常困惑,想不明白
帖子发表于 : 2011-04-28 10:06 
离线
中级用户

注册: 2009-11-11 17:02
最近: 2017-08-24 11:08
拥有: 5,391.00 安全币

奖励: 3682 安全币
在线: 1692 点
帖子: 110
onlyzzcc 写道:
脆弱性:比如门不上锁,系统无Patch,机房无备用电源或UPS 这些都是脆弱性。
威胁: 范围较大,泛指一些可利用脆弱性造成一定损伤的都可算作威胁,如自然灾难,人为。设施设备的自然老化等。

有脆弱性,不一定会造成损坏,关键要看这个脆弱点是不是被利用了。利用了并造成了后果。
一个脆弱性可对应多个威胁,如门不上锁,易被盗。还有可能遭地震.



这兄弟太懒了吧。直接COPY我的话。呵呵。
强烈建议不要copy别人的原话。多发表下自已的观点。
大家互相促进。 :lol:


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于威胁 脆弱性对的问题,非常困惑,想不明白
帖子发表于 : 2011-10-28 09:19 
离线
中级用户

关注按钮

注册: 2010-11-08 11:23
最近: 2018-03-16 17:17
拥有: 4,105.00 安全币

奖励: 0 安全币
在线: 1620 点
帖子: 87
看高手解答


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于威胁 脆弱性对的问题,非常困惑,想不明白
帖子发表于 : 2013-11-28 12:03 
离线
新手

注册: 2013-05-29 15:17
最近: 2014-11-14 21:58
拥有: 144.00 安全币

奖励: 0 安全币
在线: 263 点
帖子: 14
其实,实际运用中,如果吃的不透,还是会经常高不清楚。
尤其是你在无穷的列举威胁的时候,很容易混
just_cpp 写道:
看到过有人这么说(引自未知人士):
武林中人
威胁:是不是都想杀这个人(被杀的动机,树敌是否很多);
脆弱性:身体的强壮度,武功水平的高低。(被击败的短处,如铁布衫的。。就是脆弱点:>)
风险:这个人死掉(或被杀)的可能性。
如果像西毒欧阳锋一样虽然想杀他人很多(威胁高),但由于其武功高(脆弱性低),因此被杀死的可能性也较小。(风险低)
如果作恶多端(威胁高),武功差,显然被杀概率高。
一个好好人(威胁低),就算不会武功(身体条件一般,脆弱性高),被杀可能性也不高;
然而如果身体条件很差,说不定自己摔一跤也会死。(就好比系统软硬件故障一样)


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 12 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012