今天重读all in one
突然对威胁、弱点和风险产生了一点小小的迷惑
书上说威胁利用弱点产生了风险
那么它的意思是
强调任何威胁都是要利用弱点的？
还是在有威胁存在的情况下，只有系统中存在弱点才能导致风险的出现？


还有已知对安全管理、风险管理、风险分析、风险评估之间的从属和包含关系搞不清楚，请大家解惑！
谢谢大家了！

还有一个威胁方（威胁源）呢，是一个威胁方利用一个弱点产生威胁，威胁对资产就产生了风险。

一些标准，参考资料里没有刻意的提威胁方，所以对威胁这个就产生了两个含义。

我说一下自己的看法，不一定正确，权当抛砖引玉了。

系统有弱点，就会产生威胁，因为威胁是利用弱点的。系统中存在威胁，就导致了风险。风险是财产受到损失的可能性。

xx的漏洞、xx系统没有加固、xx系统在某个情况下溢出 ，都是他们的弱点；
一旦被发现或公布于众，或者被不怀好意的人知道了，例如竞争对手、职业黑客、script kid，那么这些弱点就变成了该系统乃至整个企业的威胁，看严重性不同而分

一旦这些弱点被不怀好意的人开发出worm或者木马，并且采取了散播或者专门发送给某个企业的内部网络，即使没有产生效果，也变成了该企业的风险，因为他有在企业内爆发或产生的可能了，自从这些弱点产生并且企业没有采取措施防范，那么这个风险将一直存在，直到企业采取有效的措施，那么这个风险就避免了，注意是有效的措施，如果措施不是有效的，那么该风险依然存在。


弱点、威胁、风险是相互依存的,如果弱点存在，而没有威胁去利用它，不会造成风险，那么这个也就不成为弱点了，有辩证关系在里面

安全管理、风险管理、风险分析、风险评估

安全管理包含所有其他的，风险管理是安全管理的一部分，风险评估是风险管理的一部分，风险分析是风险评估的一种方法。

我的理解，威胁源就是指弱点，威胁方是指黑客、不怀好意的人，被威胁方就是指系统或者企业

我个人理解，威胁发生的可能性只有利用脆弱点才可以产生风险是对的。威胁和脆弱点应该说都是固有存在的，只是大小高低程度不同罢了。风险本身就是一种可能性，它的发生受到众多因素的影响。

威胁源就是指弱点??

威胁方 – 威胁的发起者，其属性包括技能、可利用资源和动机。
弱点 – 资产具有的缺陷，被利用后会导致对资产的风险。
威胁 – 利用资产的弱点形成对资产的可能风险。
资产 – 具有业务价值，损失后会影响业务。
风险 – 由威胁造成资产损失（业务损失）可能性的估算。

威胁方程度=Min（能力，资源，动机）
威胁=f(威胁方, 弱点)
风险 = f (威胁，影响)

威胁 风险的计算距阵比较难画就不画了。。

威胁方（也称威胁源）包括黑客，外部恶意人员，内部恶意、无意人员，自然灾害等。

嘿嘿，威胁源这个概念我错了，威胁方还是解释对了么，哈哈

你的意思是不是：如果一个弱点存在，利用该弱点的威胁也存在，那么就有导致损失的可能，而不管是不是真的发生了。
还有我想问一下：
EF，ARO
分别是对什么作出衡量的？

是不是也可以这样说
如果存在一个威胁
但是我的系统中并不存在可以被此威胁利用的弱点
那么这个威胁就不能称之为“威胁”了

[quote="oppenheimar]是不是也可以这样说
如果存在一个威胁
但是我的系统中并不存在可以被此威胁利用的弱点
那么这个威胁就不能称之为“威胁”了[/quote]
既然威胁存在，那么就会有相应的弱点存在。所以并不能说你的系统存在威胁，但是不存在弱点。

eyas讲概念讲得很清楚了，我来以一个生活中的例子做一下说明，希望大家拍砖。

威胁方 – 想偷东西的小偷
弱点 – 你宿舍的门锁坏了
威胁 – 小偷利用你门锁坏了的弱点进行偷窃的行为或事件
资产 – 你的宿舍里可能被偷的电脑、衣服、还有RMB（中国人总是喜欢存放一些现金的）
风险 – 你在考虑是否修锁的时候，估算如果小偷进来会拿走你多少东西，价值多少RMB。

eyas讲的比较清楚了。他这里的威胁方在all in one第二版的翻译中叫做威胁因子。oppenheimar的举例完全正确，呵呵

那么在风险分析的时候，是先找出系统的弱点，之后找出系统的威胁，还是先识别威胁，再看那些系统受到影响。
我看了all in one的风险分析步骤：
识别资产并赋予其价值；
评估每种风险的潜在损失；
识别威胁，并作威胁分析；
对没项威胁作出损失的评估；
指定具有商业性质的安全保护对策；
版主能不能按照上面的步骤为我举一个简单的例子那！
多谢了！
给您鞠躬了

本网站好象有这样的例子呀