论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 43 篇帖子 ]  前往页数 上一页  1, 2, 3  下一页
作者 内容
 文章标题 :
帖子发表于 : 2005-12-30 15:22 
离线
高级用户

注册: 2004-08-07 11:53
最近: 2014-09-26 10:19
拥有: 1,662.60 安全币

奖励: 7 安全币
在线: 4869 点
帖子: 203
威胁是客观存在的;但是威胁只有利用了弱点才会对资产产生风险,如果没有弱点的话,那么威胁就应该无从下手了,应该就不会有风险了。事实上不可能没有弱点的,人无完人一样。不同的威胁利用不同的弱点所带来的风险是不同的,因此我们要做的就是找出关键的威胁,弱点,可能带来的风险。并且找 出合适的管理技术手段来消除或减小弱点,从而达到规避风险的目的。
而威胁事实上仍然存在,我们不可能将威胁完全消除的,最多减少转移罢了


--------本帖迄今已累计获得39安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2006-01-03 12:53 
离线
初级用户

注册: 2005-11-21 15:52
最近: 2016-06-28 12:14
拥有: 154.80 安全币

奖励: 21 安全币
在线: 1161 点
帖子: 40
赞同大家对威胁源弱点及风险的讨论,但觉得威胁不一定就是威胁方利用弱点才引起的。假如黑客利用系统漏洞入侵,那这属于弱点利用;但如果是由于不可抗拒因素比如天灾人害,这能说是是利用弱点吗?

Bussibess recovery after disaster plan不仅针对第一种人为的入侵破坏,更是针对第二种可能的灾害。

欢迎大家讨论


--------本帖迄今已累计获得2安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2006-01-04 09:10 
离线
超级用户

注册: 2005-10-21 17:12
最近: 2015-04-17 13:07
拥有: 1,593.10 安全币

奖励: 5348 安全币
在线: 5105 点
帖子: 322
地址: beijing
kathys 写道:
赞同大家对威胁源弱点及风险的讨论,但觉得威胁不一定就是威胁方利用弱点才引起的。假如黑客利用系统漏洞入侵,那这属于弱点利用;但如果是由于不可抗拒因素比如天灾人害,这能说是是利用弱点吗?


对于威胁方是自然界(台风,太阳黑子等)的情况,弱点为缺乏业务连续性管理过程,影响分析,缺少业务连续性计划,连续性框架,缺乏业务连续性测试,维护,定期更新等。


--------本帖迄今已累计获得6安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 对威胁、脆点和风险这几个概念突然感到一些迷茫,请大家进来
帖子发表于 : 2006-02-23 05:00 
离线
新手

注册: 2006-02-19 12:22
最近: 2006-03-07 04:05
拥有: 93.00 安全币

奖励: 0 安全币
在线: 126 点
帖子: 11
正好在读all in one, 刚看到这一段,我觉得很帮助理解,就贴这里吧。我不敢乱翻译,因为不知道这些术语对应的中文是什么, 怕犯错。、

Order of Concepts
The proper order in which to evaluate these concepts as they apply to your own network is threat, exposure, vulnerability, countermeasures, and finally risk. This is because there can be a threat (new SQL attack) but unless your company has the
corresponding vulnerability (SQL server with the necessary configuration), then the company is not exposed and it is not a vulnerability. If the vulnerability does reside in the environment, then a countermeasure is applied to reduce the risk.

oppenheimar 写道:
今天重读all in one
突然对威胁、弱点和风险产生了一点小小的迷惑
书上说威胁利用弱点产生了风险
那么它的意思是
强调任何威胁都是要利用弱点的?
还是在有威胁存在的情况下,只有系统中存在弱点才能导致风险的出现?


还有已知对安全管理、风险管理、风险分析、风险评估之间的从属和包含关系搞不清楚,请大家解惑!
谢谢大家了!


--------本帖迄今已累计获得3安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : 给出一些规范化定义,帮助你了解这些概念
帖子发表于 : 2006-02-23 12:04 
离线
新手

注册: 2005-11-30 11:25
最近: 2017-08-29 12:32
拥有: 16.30 安全币

奖励: 0 安全币
在线: 718 点
帖子: 19
定义5:威胁 - Threat
可能对组织或组织的资产造成损害的潜在原因。或者,威胁源利用某个特定漏洞而对资产造成损害的可能。威胁包含多个属性,其中包括:威胁的主体、能力、资源、动机、途径、可能性和后果。
定义6:威胁源 - Threat-source
可能对资产或组织造成损害的事件的发起对象。或者,(1)故意攻击资产弱点的对象;或(2)可以偶然触发一个资产弱点的对象。威胁源按照其性质一般可分为3种,分别是:自然威胁、人为威胁和环境威胁。
定义7:漏洞 - Vulnerability
资产中可能被一个或多个威胁利用而产生一定后果的薄弱环节(弱点或缺陷)。漏洞一般可分为2个部分:组织漏洞和技术漏洞。
定义8:风险 - Risk
遭受损失的可能性或不确定性。或者,威胁(源)利用资产的漏洞导致组织遭受不利影响的可能性。可以由威胁发生的可能性及其造成的影响这两种指标来衡量。
定义9:风险事件 - Risk Incident
不属于标准运作的一部分并且导致或可能导致组织遭受不利影响的任何事件。
定义10:影响 - Impact
风险事件所产生的后果。或者威胁造成的结果。
定义11:防护措施 - Safeguard
减少漏洞的方法、行为、流程和机制的统称。防护措施可以基本分为4类:预防、威慑、矫正、检测。


--------本帖迄今已累计获得11安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2006-02-23 15:01 
离线
新手

注册: 2006-02-15 15:21
最近: 2007-11-15 15:28
拥有: 18.10 安全币

奖励: 0 安全币
在线: 479 点
帖子: 5
地址: 上海
风险是由于威胁利用脆弱点产生的.无论是天灾人祸的自然威胁还是黑客入侵的人为威胁,产生的风险都是利用了系统的脆弱点.只是利用了不同的脆弱点而已.
威胁是客观的,风险是主观的.一个攻不可破的系统和不堪一击的系统面临的威胁是同样的,但产生的风险却截然不同.
我们考虑的不是如何降低威胁的大小,而是如何从环境设施,技术措施,管理措施等方面着手,降低或减小系统/机器本身的脆弱性.


--------本帖迄今已累计获得17安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 给出一些规范化定义,帮助你了解这些概念
帖子发表于 : 2006-02-24 10:39 
离线
新手

注册: 2005-11-30 11:25
最近: 2017-08-29 12:32
拥有: 16.30 安全币

奖励: 0 安全币
在线: 718 点
帖子: 19
版主对这段文字看来没有认真对待,这段文字不是抄袭的内容,是我风险分析方法论中的精化部分。

楼上的这位兄弟的观点和我完全一致,即,我们帮助客户的主要目的是让组织防范自身的漏洞,因此,我在“防护措施 - Safeguard”的定义中采用的是“减少漏洞的方法、行为、流程和机制的统称。”,而很多标准中改定义为减少风险的什么什么!

所以,理解和实施风险分析的关键就是对这些概念的正确理解!这些概念的提出中,包含很多影响日后风险分析的潜在因素。

可惜不能贴图,否则,将我的风险分析模型贴上来帮助大家理解这些概念!

wjjgll 写道:
定义5:威胁 - Threat
可能对组织或组织的资产造成损害的潜在原因。或者,威胁源利用某个特定漏洞而对资产造成损害的可能。威胁包含多个属性,其中包括:威胁的主体、能力、资源、动机、途径、可能性和后果。
定义6:威胁源 - Threat-source
可能对资产或组织造成损害的事件的发起对象。或者,(1)故意攻击资产弱点的对象;或(2)可以偶然触发一个资产弱点的对象。威胁源按照其性质一般可分为3种,分别是:自然威胁、人为威胁和环境威胁。
定义7:漏洞 - Vulnerability
资产中可能被一个或多个威胁利用而产生一定后果的薄弱环节(弱点或缺陷)。漏洞一般可分为2个部分:组织漏洞和技术漏洞。
定义8:风险 - Risk
遭受损失的可能性或不确定性。或者,威胁(源)利用资产的漏洞导致组织遭受不利影响的可能性。可以由威胁发生的可能性及其造成的影响这两种指标来衡量。
定义9:风险事件 - Risk Incident
不属于标准运作的一部分并且导致或可能导致组织遭受不利影响的任何事件。
定义10:影响 - Impact
风险事件所产生的后果。或者威胁造成的结果。
定义11:防护措施 - Safeguard
减少漏洞的方法、行为、流程和机制的统称。防护措施可以基本分为4类:预防、威慑、矫正、检测。


--------本帖迄今已累计获得12安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : 关于工作和学习方法的问题
帖子发表于 : 2006-02-24 11:04 
离线
新手

注册: 2005-11-30 11:25
最近: 2017-08-29 12:32
拥有: 16.30 安全币

奖励: 0 安全币
在线: 718 点
帖子: 19
刚才看到我的贴子没有得到安全币的奖励,很是有一些失落,并不是小气,希望得到什么东西,而是失落在没有“知音”,微斯人,谁与吾归!

我们常见的工作方法很少有人采用formal的方式的,看看和想想,为什么国外有很多“标准”,因为他们采用的是formal的工作方式,在做一件事情前,对范围内的几乎所有context和common language、method、model等都做了精确的定义,这些花费了大量的精力和时间,但是,为以后的具体工作省下了更多的时间和精力。大家都工作在同一个“环境”和“文化”中。

但是看看我们周边呢?大概当年的梁启超1922年在科学年会上的讲演可以解释,大多数都是可意会不可言传,于是需要不断的向自己、同事、客户不断解释一些最基本的概念、方法、模型等等,但是在这种不断的解释过程中,内容和精确程度大多每次都不一样,于是最后的结果是迷惑和困惑,这正是我们这个专题讨论了2个页面的原因。

因此,不需要要解释什么,我们需要正确的方法,工作和学习的方法。


--------本帖迄今已累计获得22安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2006-02-24 16:55 
离线
超级用户

注册: 2005-10-21 17:12
最近: 2015-04-17 13:07
拥有: 1,593.10 安全币

奖励: 5348 安全币
在线: 5105 点
帖子: 322
地址: beijing
一直讲概念没什么大的意义,应该多讨论一下实际的项目经验。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : 大白话上了
帖子发表于 : 2006-02-27 18:00 
离线
高级用户

注册: 2004-01-09 10:06
最近: 2015-01-25 13:03
拥有: 670.80 安全币

奖励: 136 安全币
在线: 3852 点
帖子: 153
世上肯定有坏人,所以对每个人来说,威胁是客观存在的;
你不是完人,所以你是有弱点的,说不定你哪天就被偷被抢;
坏人想做坏事,比如想强奸你,他有手枪,身体有强壮,又有前科(经验丰富),这个威胁就严重些。相反,情况就轻些;当然,你要是男人这个威胁可能就不存在了(坏人是变态除外,呵呵);
你胆小怕事,身体瘦弱,不敢也不能反抗,没办法,弱点太明显,等事后报警吧;
你身上带了电击器,或学过防狼术,这叫有自我保护意识,马马虎虎算个安全措施吧;
你带了电击器,但不大会用,还叫狼抢过去折磨你,这叫安全措施不当引发的新风险;
你如果是恐龙,那是物理安全做得好,但雨天也不要站大树下发呆,等着雷劈,哈!
下班了,不瞎扯了,其实还要具体环境具体分析,总的来说威胁可以多看看历史安全纪录,行业威胁报告,或者架个IDS跑几天,看看数据,当然最主要的是自身的经验了。个人觉得威胁分析这块是风险评估中的一个难点。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2006-02-28 01:01 
离线
中级用户

注册: 2005-02-17 11:43
最近: 2013-11-20 15:34
拥有: 134.60 安全币

奖励: 0 安全币
在线: 1799 点
帖子: 65
地址: 深圳
oppenheimar 写道:
linkenpark 写道:
xx的漏洞、xx系统没有加固、xx系统在某个情况下溢出 ,都是他们的弱点;
一旦被发现或公布于众,或者被不怀好意的人知道了,例如竞争对手、职业黑客、script kid,那么这些弱点就变成了该系统乃至整个企业的威胁,看严重性不同而分

一旦这些弱点被不怀好意的人开发出worm或者木马,并且采取了散播或者专门发送给某个企业的内部网络,即使没有产生效果,也变成了该企业的风险,因为他有在企业内爆发或产生的可能了,自从这些弱点产生并且企业没有采取措施防范,那么这个风险将一直存在,直到企业采取有效的措施,那么这个风险就避免了,注意是有效的措施,如果措施不是有效的,那么该风险依然存在。


弱点、威胁、风险是相互依存的,如果弱点存在,而没有威胁去利用它,不会造成风险,那么这个也就不成为弱点了,有辩证关系在里面

安全管理、风险管理、风险分析、风险评估

安全管理包含所有其他的,风险管理是安全管理的一部分,风险评估是风险管理的一部分,风险分析是风险评估的一种方法。

我的理解,威胁源就是指弱点,威胁方是指黑客、不怀好意的人,被威胁方就是指系统或者企业

是不是也可以这样说
如果存在一个威胁
但是我的系统中并不存在可以被此威胁利用的弱点
那么这个威胁就不能称之为“威胁”了


威胁源就是指弱点,这个观点不正确!gshine的例子讲的很清楚了,不多讲了.这里澄清另外一个问题:"如果弱点存在,而没有威胁去利用它,不会造成风险,那么这个也就不成为弱点了",这句前面讲的都对,威胁和弱点两者只具有其一,那么对资产就不构成风险,这时并不等于说威胁和弱点就不存在.

另外,因为风险是指威胁利用弱点对资产带来的损失或不利影响.把gshine对风险的例子表述改一下,会更准确一些:
风险 – 小偷进来会拿走你多少东西(包括物品现金等),以及你不修锁状况继续存在,还可能产生的损失。(也就是说这项风险发生后,你的损失有多大)



gshine原例:

威胁方 – 想偷东西的小偷
弱点 – 你宿舍的门锁坏了
威胁 – 小偷利用你门锁坏了的弱点进行偷窃的行为或事件
资产 – 你的宿舍里可能被偷的电脑、衣服、还有RMB(中国人总是喜欢存放一些现金的)
风险 – 你在考虑是否修锁的时候,估算如果小偷进来会拿走你多少东西,价值多少RMB。


--------本帖迄今已累计获得4安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 大白话上了
帖子发表于 : 2006-02-28 09:43 
离线
超级用户

注册: 2005-10-21 17:12
最近: 2015-04-17 13:07
拥有: 1,593.10 安全币

奖励: 5348 安全币
在线: 5105 点
帖子: 322
地址: beijing
blue_cafard 写道:
世上肯定有坏人,所以对每个人来说,威胁是客观存在的;
你不是完人,所以你是有弱点的,说不定你哪天就被偷被抢;
坏人想做坏事,比如想强奸你,他有手枪,身体有强壮,又有前科(经验丰富),这个威胁就严重些。相反,情况就轻些;当然,你要是男人这个威胁可能就不存在了(坏人是变态除外,呵呵);
你胆小怕事,身体瘦弱,不敢也不能反抗,没办法,弱点太明显,等事后报警吧;
你身上带了电击器,或学过防狼术,这叫有自我保护意识,马马虎虎算个安全措施吧;
你带了电击器,但不大会用,还叫狼抢过去折磨你,这叫安全措施不当引发的新风险;
你如果是恐龙,那是物理安全做得好,但雨天也不要站大树下发呆,等着雷劈,哈!
下班了,不瞎扯了,其实还要具体环境具体分析,总的来说威胁可以多看看历史安全纪录,行业威胁报告,或者架个IDS跑几天,看看数据,当然最主要的是自身的经验了。个人觉得威胁分析这块是风险评估中的一个难点。



这个例子也太........


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2006-02-28 09:48 
离线
超级用户

注册: 2005-10-21 17:12
最近: 2015-04-17 13:07
拥有: 1,593.10 安全币

奖励: 5348 安全币
在线: 5105 点
帖子: 322
地址: beijing
iamapuma 写道:
威胁 – 小偷利用你门锁坏了的弱点进行偷窃的行为或事件



威胁是潜在的,行为和事件已经发生了,是威胁事件.


最后由 eyas 编辑于 2006-03-09 09:14,总共编辑了 3 次

回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2006-02-28 10:31 
离线
高级用户

注册: 2004-01-09 10:06
最近: 2015-01-25 13:03
拥有: 670.80 安全币

奖励: 136 安全币
在线: 3852 点
帖子: 153
iamapuma 写道:
oppenheimar 写道:
linkenpark 写道:
xx的漏洞、xx系统没有加固、xx系统在某个情况下溢出 ,都是他们的弱点;
一旦被发现或公布于众,或者被不怀好意的人知道了,例如竞争对手、职业黑客、script kid,那么这些弱点就变成了该系统乃至整个企业的威胁,看严重性不同而分

一旦这些弱点被不怀好意的人开发出worm或者木马,并且采取了散播或者专门发送给某个企业的内部网络,即使没有产生效果,也变成了该企业的风险,因为他有在企业内爆发或产生的可能了,自从这些弱点产生并且企业没有采取措施防范,那么这个风险将一直存在,直到企业采取有效的措施,那么这个风险就避免了,注意是有效的措施,如果措施不是有效的,那么该风险依然存在。


弱点、威胁、风险是相互依存的,如果弱点存在,而没有威胁去利用它,不会造成风险,那么这个也就不成为弱点了,有辩证关系在里面

安全管理、风险管理、风险分析、风险评估

安全管理包含所有其他的,风险管理是安全管理的一部分,风险评估是风险管理的一部分,风险分析是风险评估的一种方法。

我的理解,威胁源就是指弱点,威胁方是指黑客、不怀好意的人,被威胁方就是指系统或者企业

是不是也可以这样说
如果存在一个威胁
但是我的系统中并不存在可以被此威胁利用的弱点
那么这个威胁就不能称之为“威胁”了


威胁源就是指弱点,这个观点不正确!gshine的例子讲的很清楚了,不多讲了.这里澄清另外一个问题:"如果弱点存在,而没有威胁去利用它,不会造成风险,那么这个也就不成为弱点了",这句前面讲的都对,威胁和弱点两者只具有其一,那么对资产就不构成风险,这时并不等于说威胁和弱点就不存在.

另外,因为风险是指威胁利用弱点对资产带来的损失或不利影响.把gshine对风险的例子表述改一下,会更准确一些:
风险 – 小偷进来会拿走你多少东西(包括物品现金等),以及你不修锁状况继续存在,还可能产生的损失。(也就是说这项风险发生后,你的损失有多大)



gshine原例:

威胁方 – 想偷东西的小偷
弱点 – 你宿舍的门锁坏了
威胁 – 小偷利用你门锁坏了的弱点进行偷窃的行为或事件
资产 – 你的宿舍里可能被偷的电脑、衣服、还有RMB(中国人总是喜欢存放一些现金的)
风险 – 你在考虑是否修锁的时候,估算如果小偷进来会拿走你多少东西,价值多少RMB。


资产的识别和资产评估是不同的,电脑是资产,但其价值应是重建该资产的花费以及引起的其他损失的综合值(也许电脑里还有你和MM的片片,呵呵),参与风险计算的是资产的价值,包括但不仅限于其购买价格。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2006-02-28 10:53 
离线
高级用户

注册: 2004-01-09 10:06
最近: 2015-01-25 13:03
拥有: 670.80 安全币

奖励: 136 安全币
在线: 3852 点
帖子: 153
eyas 写道:
iamapuma 写道:
威胁 – 小偷利用你门锁坏了的弱点进行偷窃的行为或事件
quote]


威胁是潜在的,行为和事件已经发生了,是威胁事件.


同意!event或incident是已发生了的,威胁是造成event或incident发生的潜在原因。威胁不象脆弱性或资产,在管理和分析上有一定的难度,这也是为什么绝大多数的soc都是是基于安全事件、而不是基于威胁的重要原因。


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 43 篇帖子 ]  前往页数 上一页  1, 2, 3  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012