论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 43 篇帖子 ]  前往页数 1, 2, 3  下一页
作者 内容
 文章标题 : 威胁和脆弱性的区别
帖子发表于 : 2004-04-29 14:01 
离线
版主

注册: 2004-04-27 09:21
最近: 2013-08-23 12:15
拥有: 17,089.10 安全币

奖励: 73503 安全币
在线: 23375 点
帖子: 2280
地址: 北京
请教各位大虾,威胁和脆弱性的区别主要有那些方面。
其次,想请教一下,威胁和脆弱性的来源主要有那些?


--------本帖迄今已累计获得3安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2004-04-29 15:39 
离线
中级用户

注册: 2003-11-17 08:30
最近: 2016-02-24 08:30
拥有: 289.40 安全币

奖励: 0 安全币
在线: 2860 点
帖子: 60
地址: 广州
一个例子,假设某unix的mail服务存在缓冲区漏洞,容易受到DOS攻击。
这里,该系统存在缓冲区漏洞就是一种“vulnerability",DOS攻击应是"threat",如果系统不存在这种”vulnerability",那么就不会有DOS攻击的威胁。


--------本帖迄今已累计获得10安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : 嗯,确实是如此
帖子发表于 : 2004-04-29 16:04 
离线
版主

注册: 2004-04-27 09:21
最近: 2013-08-23 12:15
拥有: 17,089.10 安全币

奖励: 73503 安全币
在线: 23375 点
帖子: 2280
地址: 北京
不过我想问的是,威胁的来源主要有那些呢?也就是说我们在进行威胁识别时,都从那些方面来考虑,脆弱性也是如此的,希望您能给予解答。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : 举例来说
帖子发表于 : 2004-04-29 16:17 
离线
版主

注册: 2004-04-27 09:21
最近: 2013-08-23 12:15
拥有: 17,089.10 安全币

奖励: 73503 安全币
在线: 23375 点
帖子: 2280
地址: 北京
譬如说,因为机械故障导致产品受损,那么在这里,威胁是什么?脆弱性又是什么呢?


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2004-04-29 16:31 
离线
中级用户

注册: 2003-11-17 08:30
最近: 2016-02-24 08:30
拥有: 289.40 安全币

奖励: 0 安全币
在线: 2860 点
帖子: 60
地址: 广州
威胁来源可以是非授权访问、监听、恶意攻击、DOS、物理破坏等,有些资产管理软件会对资产的威胁进行分类,但不同系统侧重点不同。
分析你所说的例子,脆弱性可以是产品零件耐用性不好,比如设备长时间运行就可能会导致产品受损,那么这里:“疲劳”运行就是一个威胁了。当然具体是怎么样,要看是什么样的故障了。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : 嗯,您说的没错,
帖子发表于 : 2004-04-29 16:50 
离线
版主

注册: 2004-04-27 09:21
最近: 2013-08-23 12:15
拥有: 17,089.10 安全币

奖励: 73503 安全币
在线: 23375 点
帖子: 2280
地址: 北京
csstudy 写道:
威胁来源可以是非授权访问、监听、恶意攻击、DOS、物理破坏等,有些资产管理软件会对资产的威胁进行分类,但不同系统侧重点不同。
分析你所说的例子,脆弱性可以是产品零件耐用性不好,比如设备长时间运行就可能会导致产品受损,那么这里:“疲劳”运行就是一个威胁了。当然具体是怎么样,要看是什么样的故障了。

只是您所说的威胁来源主要是针对信息系统而言,而我是要针对整个公司的所有资产进行风险评估的,所以您说的这几个方面还是有一定的局限性的。您说呢?


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : 再论
帖子发表于 : 2004-04-29 16:52 
离线
初级用户

注册: 2004-03-12 11:50
最近: 2008-01-09 14:20
拥有: 42.00 安全币

奖励: 0 安全币
在线: 1958 点
帖子: 56
关于什么是威胁,我认为威胁的含义可以很广,就像楼上的兄台所说。
一个攻击的发生时威胁和脆弱性共同作用的结果,其中V是内因,是主要
原因,T是外因,它是由V决定的,如果一个系统没有V,那么所有的T在他
眼里也就不称之为T了。

所以V是我们观察的出发点,V可以是某主体(硬件或软件等)中可以避免
而又没有避免的一些漏洞,bug等等。V也可以是某主体本身无法避免的一些自身缺陷,可以叫weakness, 比如机器使用久了就必然会由磨损,这是
无法避免的,除非你不使。V可以从产品的技术角度来,也可以从管理过程中来,17799不就是针对很多管理V来的吗。

威胁随着V就可以找到了。一些愚见

可参考一下: 13335 和 German Information protection baseline manual


--------本帖迄今已累计获得3安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 再论
帖子发表于 : 2004-04-29 17:02 
离线
版主

注册: 2004-04-27 09:21
最近: 2013-08-23 12:15
拥有: 17,089.10 安全币

奖励: 73503 安全币
在线: 23375 点
帖子: 2280
地址: 北京
kekezhao 写道:
关于什么是威胁,我认为威胁的含义可以很广,就像楼上的兄台所说。
一个攻击的发生时威胁和脆弱性共同作用的结果,其中V是内因,是主要
原因,T是外因,它是由V决定的,如果一个系统没有V,那么所有的T在他
眼里也就不称之为T了。

所以V是我们观察的出发点,V可以是某主体(硬件或软件等)中可以避免
而又没有避免的一些漏洞,bug等等。V也可以是某主体本身无法避免的一些自身缺陷,可以叫weakness, 比如机器使用久了就必然会由磨损,这是
无法避免的,除非你不使。V可以从产品的技术角度来,也可以从管理过程中来,17799不就是针对很多管理V来的吗。

威胁随着V就可以找到了。一些愚见

可参考一下: 13335 和 German Information protection baseline manual

话是不错,当然了我们其实最主要关注的就是V了,其实组织采取各种safeguards其主要目的在于减少或降低V,V的来源有很多譬如:a)物理布局;组织; 程序; 人员; 管理; 硬件;软件或信息等,(这是13335中的解释)。可风险评估一般是先识别威胁,然后才识别威胁利用的V的啊,其实无论是T还是V,其实能够真正的一点不遗漏的识别出来是一件非常困难的事情,不仅要求风险评估人员具有丰富的经验和足够的知识,还需要相关部门的密切配合,总之比较困难的。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2004-04-29 20:00 
离线
中级用户

注册: 2003-11-17 08:30
最近: 2016-02-24 08:30
拥有: 289.40 安全币

奖励: 0 安全币
在线: 2860 点
帖子: 60
地址: 广州
其实我们在实际操作中,并不用列出所有的威胁,只需列出主要的威胁,比如以银行系统来说,会列出危害数据、运行(银行对这个看得很重)、系统(主要是通过漏洞扫描)、管理、人员、物理环境等等方面的威胁,如果象标准那样列出很多威胁,并进行定量和定性分析,会很麻烦。
事实上除了技术上的威胁,管理上、人员上、应用上的威胁企业内部的人员了解得更清楚。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : 识别威胁
帖子发表于 : 2004-04-29 20:35 
离线
初级用户

注册: 2004-03-12 11:50
最近: 2008-01-09 14:20
拥有: 42.00 安全币

奖励: 0 安全币
在线: 1958 点
帖子: 56
其实根本没有方法证明你识别和考虑了所有的威胁,
我们只能是穷举,穷举,再穷举!
达到一种度量平衡。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : 是啊,从理论上说不可能列举初所有的威胁和V的,只能是比较接近
帖子发表于 : 2004-04-30 09:53 
离线
版主

注册: 2004-04-27 09:21
最近: 2013-08-23 12:15
拥有: 17,089.10 安全币

奖励: 73503 安全币
在线: 23375 点
帖子: 2280
地址: 北京
kekezhao 写道:
其实根本没有方法证明你识别和考虑了所有的威胁,
我们只能是穷举,穷举,再穷举!
达到一种度量平衡。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : 所以
帖子发表于 : 2004-04-30 10:02 
离线
初级用户

注册: 2004-03-12 11:50
最近: 2008-01-09 14:20
拥有: 42.00 安全币

奖励: 0 安全币
在线: 1958 点
帖子: 56
老兄,尽力而为了! support !


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: ^_^谢谢,对了,帮我看看业务连续性计划的问题啊,
帖子发表于 : 2004-04-30 10:04 
离线
版主

注册: 2004-04-27 09:21
最近: 2013-08-23 12:15
拥有: 17,089.10 安全币

奖励: 73503 安全币
在线: 23375 点
帖子: 2280
地址: 北京
kekezhao 写道:
老兄,尽力而为了! support !


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2004-05-08 06:40 
离线
新手

注册: 2004-05-07 10:24
最近: 2004-07-22 17:19
拥有: 232.00 安全币

奖励: 0 安全币
在线: 156 点
帖子: 8
引用:
其实根本没有方法证明你识别和考虑了所有的威胁,
我们只能是穷举,穷举,再穷举!
达到一种度量平衡

同意, 所以TRA 是有lifecycle的


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2004-05-08 09:41 
离线
超级用户

注册: 2003-11-13 14:03
最近: 2014-04-09 15:53
拥有: 5,289.50 安全币

奖励: 160 安全币
在线: 6372 点
帖子: 397
地址: Shanghai
这里,应该谨记80:20原则。无论威胁还是脆弱性,都无法保证一次性全部识别,安全本身就是动态变化的,风险因素也是如此。所以说,对风险评估者来说,从业务出发是关键,只有了解受评估者的业务,知道80%的业务影响,是由于20%的风险因素造成的,我们评估的重点就会突出,也不至于陷入无穷尽地追寻非关键因素的陷阱当中。


--------本帖迄今已累计获得7安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 43 篇帖子 ]  前往页数 1, 2, 3  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012