论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 43 篇帖子 ]  前往页数 1, 2, 3  下一页
作者 内容
 文章标题 : 对威胁、脆点和风险这几个概念突然感到一些迷茫,请大家进来帮帮
帖子发表于 : 2005-12-28 00:20 
离线
中级用户

注册: 2005-09-27 00:41
最近: 2008-02-09 00:26
拥有: 663.10 安全币

奖励: 0 安全币
在线: 1845 点
帖子: 97
今天重读all in one
突然对威胁、弱点和风险产生了一点小小的迷惑
书上说威胁利用弱点产生了风险
那么它的意思是
强调任何威胁都是要利用弱点的?
还是在有威胁存在的情况下,只有系统中存在弱点才能导致风险的出现?


还有已知对安全管理、风险管理、风险分析、风险评估之间的从属和包含关系搞不清楚,请大家解惑!
谢谢大家了!


--------本帖迄今已累计获得1安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 对威胁、脆点和风险这几个概念突然感到一些迷茫,请大家进来
帖子发表于 : 2005-12-28 08:44 
离线
超级用户

注册: 2005-10-21 17:12
最近: 2015-04-17 13:07
拥有: 1,593.10 安全币

奖励: 5348 安全币
在线: 5105 点
帖子: 322
地址: beijing
oppenheimar 写道:
今天重读all in one
突然对威胁、弱点和风险产生了一点小小的迷惑
书上说威胁利用弱点产生了风险
那么它的意思是
强调任何威胁都是要利用弱点的?
还是在有威胁存在的情况下,只有系统中存在弱点才能导致风险的出现?
还有已知对安全管理、风险管理、风险分析、风险评估之间的从属和包含关系搞不清楚,请大家解惑!
谢谢大家了!


还有一个威胁方(威胁源)呢,是一个威胁方利用一个弱点产生威胁,威胁对资产就产生了风险。

一些标准,参考资料里没有刻意的提威胁方,所以对威胁这个就产生了两个含义。


--------本帖迄今已累计获得21安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2005-12-28 09:02 
离线
中级用户

注册: 2005-04-05 14:49
最近: 2012-01-12 11:10
拥有: 484.00 安全币

奖励: 0 安全币
在线: 1555 点
帖子: 65
地址: 上海
我说一下自己的看法,不一定正确,权当抛砖引玉了。

系统有弱点,就会产生威胁,因为威胁是利用弱点的。系统中存在威胁,就导致了风险。风险是财产受到损失的可能性。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2005-12-28 09:47 
离线
顶级用户

注册: 2004-01-18 22:51
最近: 2018-03-04 21:46
拥有: 15,706.50 安全币

奖励: 21073 安全币
在线: 15470 点
帖子: 1956
xx的漏洞、xx系统没有加固、xx系统在某个情况下溢出 ,都是他们的弱点;
一旦被发现或公布于众,或者被不怀好意的人知道了,例如竞争对手、职业黑客、script kid,那么这些弱点就变成了该系统乃至整个企业的威胁,看严重性不同而分

一旦这些弱点被不怀好意的人开发出worm或者木马,并且采取了散播或者专门发送给某个企业的内部网络,即使没有产生效果,也变成了该企业的风险,因为他有在企业内爆发或产生的可能了,自从这些弱点产生并且企业没有采取措施防范,那么这个风险将一直存在,直到企业采取有效的措施,那么这个风险就避免了,注意是有效的措施,如果措施不是有效的,那么该风险依然存在。


弱点、威胁、风险是相互依存的,如果弱点存在,而没有威胁去利用它,不会造成风险,那么这个也就不成为弱点了,有辩证关系在里面

安全管理、风险管理、风险分析、风险评估

安全管理包含所有其他的,风险管理是安全管理的一部分,风险评估是风险管理的一部分,风险分析是风险评估的一种方法。

我的理解,威胁源就是指弱点,威胁方是指黑客、不怀好意的人,被威胁方就是指系统或者企业


--------本帖迄今已累计获得32安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2005-12-28 10:12 
离线
高级用户

注册: 2003-12-17 10:56
最近: 2013-10-09 17:11
拥有: 28.00 安全币

奖励: 0 安全币
在线: 3287 点
帖子: 147
地址: 北京
我个人理解,威胁发生的可能性只有利用脆弱点才可以产生风险是对的。威胁和脆弱点应该说都是固有存在的,只是大小高低程度不同罢了。风险本身就是一种可能性,它的发生受到众多因素的影响。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2005-12-28 10:25 
离线
超级用户

注册: 2005-10-21 17:12
最近: 2015-04-17 13:07
拥有: 1,593.10 安全币

奖励: 5348 安全币
在线: 5105 点
帖子: 322
地址: beijing
linkenpark 写道:
我的理解,威胁源就是指弱点,威胁方是指黑客、不怀好意的人,被威胁方就是指系统或者企业


威胁源就是指弱点??


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2005-12-28 10:52 
离线
超级用户

注册: 2005-10-21 17:12
最近: 2015-04-17 13:07
拥有: 1,593.10 安全币

奖励: 5348 安全币
在线: 5105 点
帖子: 322
地址: beijing
eyas 写道:
linkenpark 写道:
我的理解,威胁源就是指弱点,威胁方是指黑客、不怀好意的人,被威胁方就是指系统或者企业


威胁源就是指弱点??


威胁方 – 威胁的发起者,其属性包括技能、可利用资源和动机。
弱点 – 资产具有的缺陷,被利用后会导致对资产的风险。
威胁 – 利用资产的弱点形成对资产的可能风险。
资产 – 具有业务价值,损失后会影响业务。
风险 – 由威胁造成资产损失(业务损失)可能性的估算。

威胁方程度=Min(能力,资源,动机)
威胁=f(威胁方, 弱点)
风险 = f (威胁,影响)

威胁 风险的计算距阵比较难画就不画了。。

威胁方(也称威胁源)包括黑客,外部恶意人员,内部恶意、无意人员,自然灾害等。


--------本帖迄今已累计获得25安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2005-12-28 11:16 
离线
顶级用户

注册: 2004-01-18 22:51
最近: 2018-03-04 21:46
拥有: 15,706.50 安全币

奖励: 21073 安全币
在线: 15470 点
帖子: 1956
嘿嘿,威胁源这个概念我错了,威胁方还是解释对了么,哈哈


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2005-12-28 12:38 
离线
中级用户

注册: 2005-09-27 00:41
最近: 2008-02-09 00:26
拥有: 663.10 安全币

奖励: 0 安全币
在线: 1845 点
帖子: 97
linkenpark 写道:
一旦这些弱点被不怀好意的人开发出worm或者木马,并且采取了散播或者专门发送给某个企业的内部网络,即使没有产生效果,也变成了该企业的风险,因为他有在企业内爆发或产生的可能了,自从这些弱点产生并且企业没有采取措施防范,那么这个风险将一直存在,直到企业采取有效的措施,那么这个风险就避免了,注意是有效的措施,如果措施不是有效的,那么该风险依然存在。

你的意思是不是:如果一个弱点存在,利用该弱点的威胁也存在,那么就有导致损失的可能,而不管是不是真的发生了。
还有我想问一下:
EF,ARO
分别是对什么作出衡量的?


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2005-12-28 12:56 
离线
中级用户

注册: 2005-09-27 00:41
最近: 2008-02-09 00:26
拥有: 663.10 安全币

奖励: 0 安全币
在线: 1845 点
帖子: 97
linkenpark 写道:
xx的漏洞、xx系统没有加固、xx系统在某个情况下溢出 ,都是他们的弱点;
一旦被发现或公布于众,或者被不怀好意的人知道了,例如竞争对手、职业黑客、script kid,那么这些弱点就变成了该系统乃至整个企业的威胁,看严重性不同而分

一旦这些弱点被不怀好意的人开发出worm或者木马,并且采取了散播或者专门发送给某个企业的内部网络,即使没有产生效果,也变成了该企业的风险,因为他有在企业内爆发或产生的可能了,自从这些弱点产生并且企业没有采取措施防范,那么这个风险将一直存在,直到企业采取有效的措施,那么这个风险就避免了,注意是有效的措施,如果措施不是有效的,那么该风险依然存在。


弱点、威胁、风险是相互依存的,如果弱点存在,而没有威胁去利用它,不会造成风险,那么这个也就不成为弱点了,有辩证关系在里面

安全管理、风险管理、风险分析、风险评估

安全管理包含所有其他的,风险管理是安全管理的一部分,风险评估是风险管理的一部分,风险分析是风险评估的一种方法。

我的理解,威胁源就是指弱点,威胁方是指黑客、不怀好意的人,被威胁方就是指系统或者企业

是不是也可以这样说
如果存在一个威胁
但是我的系统中并不存在可以被此威胁利用的弱点
那么这个威胁就不能称之为“威胁”了


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2005-12-28 13:27 
离线
新手

注册: 2005-12-28 11:19
最近: 2013-05-29 09:19
拥有: 11.30 安全币

奖励: 0 安全币
在线: 1172 点
帖子: 19
[quote="oppenheimar]是不是也可以这样说
如果存在一个威胁
但是我的系统中并不存在可以被此威胁利用的弱点
那么这个威胁就不能称之为“威胁”了[/quote]
既然威胁存在,那么就会有相应的弱点存在。所以并不能说你的系统存在威胁,但是不存在弱点。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2005-12-28 15:01 
离线
中级用户

注册: 2005-12-01 20:29
最近: 2011-09-21 14:09
拥有: 46.60 安全币

奖励: 173 安全币
在线: 1187 点
帖子: 62
eyas 写道:

威胁方 – 威胁的发起者,其属性包括技能、可利用资源和动机。
弱点 – 资产具有的缺陷,被利用后会导致对资产的风险。
威胁 – 利用资产的弱点形成对资产的可能风险。
资产 – 具有业务价值,损失后会影响业务。
风险 – 由威胁造成资产损失(业务损失)可能性的估算。

威胁方程度=Min(能力,资源,动机)
威胁=f(威胁方, 弱点)
风险 = f (威胁,影响)

威胁 风险的计算距阵比较难画就不画了。。

威胁方(也称威胁源)包括黑客,外部恶意人员,内部恶意、无意人员,自然灾害等。


eyas讲概念讲得很清楚了,我来以一个生活中的例子做一下说明,希望大家拍砖。

威胁方 – 想偷东西的小偷
弱点 – 你宿舍的门锁坏了
威胁 – 小偷利用你门锁坏了的弱点进行偷窃的行为或事件
资产 – 你的宿舍里可能被偷的电脑、衣服、还有RMB(中国人总是喜欢存放一些现金的)
风险 – 你在考虑是否修锁的时候,估算如果小偷进来会拿走你多少东西,价值多少RMB。


--------本帖迄今已累计获得37安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2005-12-28 19:28 
离线
版主

注册: 2004-10-20 16:25
最近: 2012-11-06 09:34
拥有: 902.10 安全币

奖励: 0 安全币
在线: 3862 点
帖子: 251
地址: 北京
eyas讲的比较清楚了。他这里的威胁方在all in one第二版的翻译中叫做威胁因子。oppenheimar的举例完全正确,呵呵


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2005-12-28 20:21 
离线
中级用户

注册: 2005-09-27 00:41
最近: 2008-02-09 00:26
拥有: 663.10 安全币

奖励: 0 安全币
在线: 1845 点
帖子: 97
那么在风险分析的时候,是先找出系统的弱点,之后找出系统的威胁,还是先识别威胁,再看那些系统受到影响。
我看了all in one的风险分析步骤:
识别资产并赋予其价值;
评估每种风险的潜在损失;
识别威胁,并作威胁分析;
对没项威胁作出损失的评估;
指定具有商业性质的安全保护对策;
版主能不能按照上面的步骤为我举一个简单的例子那!
多谢了!
给您鞠躬了 :lol:


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : 本网站好象有这样的例子呀
帖子发表于 : 2005-12-28 21:10 
离线
版主

注册: 2005-05-07 16:00
最近: 2014-04-13 21:00
拥有: 6,533.10 安全币

奖励: 12680 安全币
在线: 17958 点
帖子: 1850
地址: 广州
oppenheimar 写道:
那么在风险分析的时候,是先找出系统的弱点,之后找出系统的威胁,还是先识别威胁,再看那些系统受到影响。
我看了all in one的风险分析步骤:
识别资产并赋予其价值;
评估每种风险的潜在损失;
识别威胁,并作威胁分析;
对没项威胁作出损失的评估;
指定具有商业性质的安全保护对策;
版主能不能按照上面的步骤为我举一个简单的例子那!
多谢了!
给您鞠躬了 :lol:


本网站好象有这样的例子呀


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 43 篇帖子 ]  前往页数 1, 2, 3  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 2 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012