论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 43 篇帖子 ]  前往页数 上一页  1, 2, 3
作者 内容
 文章标题 :
帖子发表于 : 2006-03-01 01:55 
离线
中级用户

注册: 2005-02-17 11:43
最近: 2013-11-20 15:34
拥有: 134.60 安全币

奖励: 0 安全币
在线: 1799 点
帖子: 65
地址: 深圳
blue_cafard 写道:
iamapuma 写道:
oppenheimar 写道:
linkenpark 写道:
xx的漏洞、xx系统没有加固、xx系统在某个情况下溢出 ,都是他们的弱点;
一旦被发现或公布于众,或者被不怀好意的人知道了,例如竞争对手、职业黑客、script kid,那么这些弱点就变成了该系统乃至整个企业的威胁,看严重性不同而分

一旦这些弱点被不怀好意的人开发出worm或者木马,并且采取了散播或者专门发送给某个企业的内部网络,即使没有产生效果,也变成了该企业的风险,因为他有在企业内爆发或产生的可能了,自从这些弱点产生并且企业没有采取措施防范,那么这个风险将一直存在,直到企业采取有效的措施,那么这个风险就避免了,注意是有效的措施,如果措施不是有效的,那么该风险依然存在。


弱点、威胁、风险是相互依存的,如果弱点存在,而没有威胁去利用它,不会造成风险,那么这个也就不成为弱点了,有辩证关系在里面

安全管理、风险管理、风险分析、风险评估

安全管理包含所有其他的,风险管理是安全管理的一部分,风险评估是风险管理的一部分,风险分析是风险评估的一种方法。

我的理解,威胁源就是指弱点,威胁方是指黑客、不怀好意的人,被威胁方就是指系统或者企业

是不是也可以这样说
如果存在一个威胁
但是我的系统中并不存在可以被此威胁利用的弱点
那么这个威胁就不能称之为“威胁”了


威胁源就是指弱点,这个观点不正确!gshine的例子讲的很清楚了,不多讲了.这里澄清另外一个问题:"如果弱点存在,而没有威胁去利用它,不会造成风险,那么这个也就不成为弱点了",这句前面讲的都对,威胁和弱点两者只具有其一,那么对资产就不构成风险,这时并不等于说威胁和弱点就不存在.

另外,因为风险是指威胁利用弱点对资产带来的损失或不利影响.把gshine对风险的例子表述改一下,会更准确一些:
风险 – 小偷进来会拿走你多少东西(包括物品现金等),以及你不修锁状况继续存在,还可能产生的损失。(也就是说这项风险发生后,你的损失有多大)



gshine原例:

威胁方 – 想偷东西的小偷
弱点 – 你宿舍的门锁坏了
威胁 – 小偷利用你门锁坏了的弱点进行偷窃的行为或事件
资产 – 你的宿舍里可能被偷的电脑、衣服、还有RMB(中国人总是喜欢存放一些现金的)
风险 – 你在考虑是否修锁的时候,估算如果小偷进来会拿走你多少东西,价值多少RMB。


资产的识别和资产评估是不同的,电脑是资产,但其价值应是重建该资产的花费以及引起的其他损失的综合值(也许电脑里还有你和MM的片片,呵呵),参与风险计算的是资产的价值,包括但不仅限于其购买价格。


刚才写了好多,网断了,都没有....

谈到资产评估,主要是定量和定性两种思路,具体的方法有很多.定量的主要是成本计算法,再细分有采购成本法,重置成本法,折旧成本法等,而定性的方法是根据资产的CIA三性,对这三性根据一定的标准进行赋值,再根据一定的公式计算出资产的价值.

资产遭受信息安全事件时发生的损失是与资产的价值有联系的,损失可能是资产价值的全部,也可能是一部分,不同的威胁利用不同的弱点对资产造成的损失或影响程度是不同的.比如同对一台电脑主机,被小偷偷走了,损失是主机加上主机硬件上的资料,但如果是水浸,损失最多是硬件更换的费用(如果硬件无碍,损失只是擦试主机的人工成本) 同样对于水浸这个威胁,纸质资产的损失就大,而防水材料类资产的损失却近于无.


--------本帖迄今已累计获得17安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 大白话上了
帖子发表于 : 2006-03-06 14:00 
离线
高级用户

注册: 2004-01-09 10:06
最近: 2015-01-25 13:03
拥有: 670.80 安全币

奖励: 136 安全币
在线: 3852 点
帖子: 153
blue_cafard 写道:
世上肯定有坏人,所以对每个人来说,威胁是客观存在的;
你不是完人,所以你是有弱点的,说不定你哪天就被偷被抢;
坏人想做坏事,比如想强奸你,他有手枪,身体有强壮,又有前科(经验丰富),这个威胁就严重些。相反,情况就轻些;当然,你要是男人这个威胁可能就不存在了(坏人是变态除外,呵呵);
你胆小怕事,身体瘦弱,不敢也不能反抗,没办法,弱点太明显,等事后报警吧;
你身上带了电击器,或学过防狼术,这叫有自我保护意识,马马虎虎算个安全措施吧;
你带了电击器,但不大会用,还叫狼抢过去折磨你,这叫安全措施不当引发的新风险;
你如果是恐龙,那是物理安全做得好,但雨天也不要站大树下发呆,等着雷劈,哈!
下班了,不瞎扯了,其实还要具体环境具体分析,总的来说威胁可以多看看历史安全纪录,行业威胁报告,或者架个IDS跑几天,看看数据,当然最主要的是自身的经验了。个人觉得威胁分析这块是风险评估中的一个难点。


斑竹呢?我这么好的帖子咋没加分,呵呵。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-06-12 17:04 
离线
中级用户

注册: 2008-05-20 22:45
最近: 2012-07-17 14:48
拥有: 663.80 安全币

奖励: 120 安全币
在线: 1733 点
帖子: 127
之前一直在搞“脆弱性”和“威胁”这两个概念,现在好像明白一点了。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-06-15 13:24 
离线
高级用户

注册: 2008-05-29 23:06
最近: 2013-06-21 15:06
拥有: 185.60 安全币

奖励: 643 安全币
在线: 1866 点
帖子: 149
威胁是外在的,弱点是内在的,风险是安全事件发生的概率,是可能性
例如现实世界的盗窃事件:
威胁方:小偷
动机:想获得财产
威胁:盗窃手段,如撬门方法(与有没有可撬开的门无关)
弱点:门不足够结实
风险:盗窃事件发生的可能性
安全事件:发生盗窃事件
影响:损失财产


--------本帖迄今已累计获得19安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-07-22 14:07 
离线
高级用户

注册: 2007-05-12 20:56
最近: 2013-07-22 22:39
拥有: 1,334.30 安全币

奖励: 196 安全币
在线: 1241 点
帖子: 179
呵呵,这个问题很有意见:
我的理解:
威胁:是指来自外部环境的;
风险:是指自身存在的,是自有的。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-12-03 08:59 
离线
高级用户

注册: 2008-09-03 09:55
最近: 2012-01-31 11:52
拥有: 213.20 安全币

奖励: 329 安全币
在线: 1305 点
帖子: 154
我想问些具体的,最近在做风险分析,打分出来笔记本电脑的重要性最高(包含客户信息)。现在碰到一个问题,在分析脆弱性跟威胁的时候是否要将操作系统的脆弱性跟威胁列进去,例如中毒,系统崩溃,及由漏洞引起的数据的泄漏。(操作系统已作为资产单独列出来)还有一个问题就是在分析的时候发现会有非授权的访问这一项威胁,那他对应的脆弱性是什么?


--------本帖迄今已累计获得22安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-12-20 23:58 
离线
中级用户

注册: 2008-07-27 20:26
最近: 2009-12-24 18:24
拥有: 36.70 安全币

奖励: 135 安全币
在线: 450 点
帖子: 60
是在有威胁存在的情况下,只有系统中存在弱点才能导致风险。
简单说就是苍蝇不盯无缝的蛋。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-12-21 01:48 
离线
版主

关注按钮

注册: 2004-08-03 11:20
最近: 2018-02-22 15:26
拥有: 24,467.80 安全币

奖励: 24049 安全币
在线: 13043 点
帖子: 1844
地址: 北京
Aquarius_jie 写道:
我想问些具体的,最近在做风险分析,打分出来笔记本电脑的重要性最高(包含客户信息)。现在碰到一个问题,在分析脆弱性跟威胁的时候是否要将操作系统的脆弱性跟威胁列进去,例如中毒,系统崩溃,及由漏洞引起的数据的泄漏。(操作系统已作为资产单独列出来)还有一个问题就是在分析的时候发现会有非授权的访问这一项威胁,那他对应的脆弱性是什么?


非授权访问的威胁 会利用没有充分合理的授权管理这样的脆弱性 造成风险


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-03-20 09:28 
离线
中级用户

关注按钮

注册: 2009-03-13 09:59
最近: 2016-03-12 19:02
拥有: 229.00 安全币

奖励: 342 安全币
在线: 1681 点
帖子: 76
rogerlau 写道:
威胁是客观存在的;但是威胁只有利用了弱点才会对资产产生风险,如果没有弱点的话,那么威胁就应该无从下手了,应该就不会有风险了。事实上不可能没有弱点的,人无完人一样。不同的威胁利用不同的弱点所带来的风险是不同的,因此我们要做的就是找出关键的威胁,弱点,可能带来的风险。并且找 出合适的管理技术手段来消除或减小弱点,从而达到规避风险的目的。
而威胁事实上仍然存在,我们不可能将威胁完全消除的,最多减少转移罢了


我不认同这个观点,我认为脆弱性才是客观存在的,威胁是通过发现脆弱性;利用脆弱性才产生的风险发生的可能性。脆弱性、威胁、风险的关系是:由于脆弱性的客观存在才给了威胁的可乘之机(就像楼上说的“事实上不可能没有弱点的,人无完人一样”),假如真的没有脆弱性,哪么所有的威胁也就不存在了,也就不会发生风险!!所以说威胁是通过利用脆弱性而产生的风险!这仅仅代表我个人的观点


--------本帖迄今已累计获得23安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-03-29 10:51 
离线
新手

注册: 2009-03-29 10:45
最近: 2009-05-30 14:04
拥有: 0.00 安全币

奖励: 0 安全币
在线: 33 点
帖子: 5
哦,我对这几个的概念也有点混


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-12-22 23:25 
离线
新手

注册: 2007-08-24 11:03
最近: 2018-04-08 17:43
拥有: 232.80 安全币

奖励: 81 安全币
在线: 413 点
帖子: 16
Aquarius_jie 写道:
我想问些具体的,最近在做风险分析,打分出来笔记本电脑的重要性最高(包含客户信息)。现在碰到一个问题,在分析脆弱性跟威胁的时候是否要将操作系统的脆弱性跟威胁列进去,例如中毒,系统崩溃,及由漏洞引起的数据的泄漏。(操作系统已作为资产单独列出来)还有一个问题就是在分析的时候发现会有非授权的访问这一项威胁,那他对应的脆弱性是什么?
.
既然你提到“笔记本电脑的重要性最高(包含客户信息)。”那么我是否可以这样认为——客户信息——是你关注的一项重要资产,而它的载体——笔记本电脑同样是与之相关性很高的硬件资产(包含很重要的客户信息);如果这个载体被盗、操作系统或客户资料的文件被病毒破坏导致客户信息不可用等情况你就要伤脑筋了吧,所以我认为与核心资产(客户信息)直接相关的硬件资产(笔记本电脑)以及软件资产(操作系统)都应该对其进行资产、威胁、脆弱性识别和已有安全措施的确认,以期跟全面的评估该项资产(客户信息)所面临的风险。
大家多给意见和建议哈:)


--------本帖迄今已累计获得26安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2010-01-12 11:37 
离线
初级用户

注册: 2009-07-24 16:10
最近: 2010-02-04 11:48
拥有: 28.00 安全币

奖励: 26 安全币
在线: 90 点
帖子: 38
努力加分!!!努力下载,努力学习


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re:
帖子发表于 : 2010-05-17 16:55 
离线
新手

注册: 2010-03-31 10:05
最近: 2013-05-18 16:25
拥有: 14.00 安全币

奖励: 6 安全币
在线: 0 点
帖子: 11
oppenheimar 写道:
linkenpark 写道:
安全管理、风险管理、风险分析、风险评估

安全管理包含所有其他的,风险管理是安全管理的一部分,风险评估是风险管理的一部分,风险分析是风险评估的一种方法。

:)


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 43 篇帖子 ]  前往页数 上一页  1, 2, 3

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 2 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012