论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 43 篇帖子 ]  前往页数 上一页  1, 2, 3  下一页
作者 内容
 文章标题 : 不错,
帖子发表于 : 2004-05-08 09:48 
离线
版主

注册: 2004-04-27 09:21
最近: 2013-08-23 12:15
拥有: 17,089.10 安全币

奖励: 73503 安全币
在线: 23375 点
帖子: 2280
地址: 北京
colababy 写道:
这里,应该谨记80:20原则。无论威胁还是脆弱性,都无法保证一次性全部识别,安全本身就是动态变化的,风险因素也是如此。所以说,对风险评估者来说,从业务出发是关键,只有了解受评估者的业务,知道80%的业务影响,是由于20%的风险因素造成的,我们评估的重点就会突出,也不至于陷入无穷尽地追寻非关键因素的陷阱当中。

其实风险评估的后应对风险按照不同的标准进行一定的分类。偶是学管理的,管理学认为没有一种方法是最好的,只能从很多的限制条件中寻找满意的答案。我觉得非常适合于信息安全管理。信息安全管理其实从本质上来讲就是为企业的正常业务运作提供保障的。因此必须识别企业的关键业务过程,识别关键风险,识别可控制的关键风险,因为很多风险企业是无能为力的。
有的资料认为,除了按风险严重程度的不同可分类外,还可以按照组织是否可控、是否有预警信息等角度进行不同的细化分类,个人认为该观点较好。值得借鉴。


回到顶部
  用户资料  
 
 文章标题 : 关于RA中的T和V
帖子发表于 : 2004-05-08 11:03 
离线
超级用户

注册: 2003-12-04 10:17
最近: 2016-02-24 18:30
拥有: 3,421.50 安全币

奖励: 958 安全币
在线: 4264 点
帖子: 302
地址: Shanghai
1. RA可以采取多种方式进行,比如:从T出发、从V出发 。就象易水寒江雪兄提到的“没有一种方法是最好的”,如何选择是需要斟酌的。
2. 选择的方法,首推colababy兄的观点“应该谨记80:20原则。无论威胁还是脆弱性,都无法保证一次性全部识别,安全本身就是动态变化的,风险因素也是如此。所以说,对风险评估者来说,从业务出发是关键,只有了解受评估者的业务,知道80%的业务影响,是由于20%的风险因素造成的,我们评估的重点就会突出,也不至于陷入无穷尽地追寻非关键因素的陷阱当中”


--------本帖迄今已累计获得3安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2008-07-19 11:01 
离线
中级用户

注册: 2008-06-26 11:32
最近: 2008-07-22 20:52
拥有: 757.80 安全币

奖励: 111 安全币
在线: 457 点
帖子: 86
我也来说一句,我是这么理解的:
威胁。是普遍存在的,可以这么说,对于一个资产,可能存在这样或那样很多的威胁。这也就是为什么我


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2008-10-22 08:56 
离线
新手

注册: 2008-06-28 10:51
最近: 2008-11-15 20:15
拥有: 32.60 安全币

奖励: 0 安全币
在线: 90 点
帖子: 11
前一段在网上看一到一个例子来描述威胁和脆弱性的区别,感觉挺形象,大致如下:我口袋里有100块钱,因为打瞌睡,被小偷偷走了,搞得晚上没饭吃。

  用风险评估的观点来描述这个案例,我们可以对这些概念作如下理解:

  风险 = 钱被偷走
  资产 = 100块钱
  影响 = 晚上没饭吃
  威胁 = 小偷
  脆弱性= 打瞌睡
从这个例子我们可以看出脆弱性来源与被评估的主体,威胁则来源于客体。


--------本帖迄今已累计获得10安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2008-10-31 15:16 
离线
初级用户

注册: 2008-09-10 14:42
最近: 2014-03-27 10:19
拥有: 223.70 安全币

奖励: 6 安全币
在线: 940 点
帖子: 32
我理解,威胁是外来的,脆弱性是资产自身的。威胁是客观的,他的存在不因为资产而变化,脆弱性是只针对于资产的。

比如一个房子里有纸张和铁皮,处于一个火灾高发地,火灾这个威胁实际是客观的,对纸和铁皮都有,但是,因为纸有易燃的脆弱性,而铁皮没有,所以,在这种情况下,纸有安全事件,而铁皮几乎没有。


--------本帖迄今已累计获得22安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2008-10-31 15:20 
离线
版主

关注按钮

注册: 2004-08-03 11:20
最近: 2015-10-28 10:36
拥有: 24,445.80 安全币

奖励: 24026 安全币
在线: 12978 点
帖子: 1843
地址: 北京
资产是鸡蛋

苍蝇是威胁

缝儿是脆弱性

苍蝇不叮没缝儿的鸡蛋!


--------本帖迄今已累计获得30安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2008-10-31 15:22 
离线
版主

关注按钮

注册: 2004-08-03 11:20
最近: 2015-10-28 10:36
拥有: 24,445.80 安全币

奖励: 24026 安全币
在线: 12978 点
帖子: 1843
地址: 北京
pandayxs 写道:
我理解,威胁是外来的,脆弱性是资产自身的。威胁是客观的,他的存在不因为资产而变化,脆弱性是只针对于资产的。

比如一个房子里有纸张和铁皮,处于一个火灾高发地,火灾这个威胁实际是客观的,对纸和铁皮都有,但是,因为纸有易燃的脆弱性,而铁皮没有,所以,在这种情况下,纸有安全事件,而铁皮几乎没有。


是风险 不是安全事件 安全风险落实发生了 就是安全事件了


回到顶部
  用户资料  
 
 文章标题 : Re: 威胁和脆弱性的区别
帖子发表于 : 2009-03-18 10:18 
离线
中级用户

关注按钮

注册: 2009-03-13 09:59
最近: 2016-03-12 19:02
拥有: 229.00 安全币

奖励: 342 安全币
在线: 1681 点
帖子: 76
易水寒江雪 写道:
请教各位大虾,威胁和脆弱性的区别主要有那些方面。
其次,想请教一下,威胁和脆弱性的来源主要有那些?


其实很简单
威胁是来源于信息系统的外部(其中也包括员工恶意或非恶意的操作),例如黑客攻击、不可抗拒的物理环境等等方面。
脆弱性是信息系统本身存在的,例如系统的漏洞、后门等。。
回答的不够详细,但是比较容易理解!!
希望能帮助楼主!!


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2009-03-29 10:52 
离线
新手

注册: 2009-03-29 10:45
最近: 2009-05-30 14:04
拥有: 0.00 安全币

奖励: 0 安全币
在线: 33 点
帖子: 5
csstudy 写道:
一个例子,假设某unix的mail服务存在缓冲区漏洞,容易受到DOS攻击。
这里,该系统存在缓冲区漏洞就是一种“vulnerability",DOS攻击应是"threat",如果系统不存在这种”vulnerability",那么就不会有DOS攻击的威胁。

这样讲就比较清晰


回到顶部
  用户资料  
 
 文章标题 : 『新人』Re: 从安全事件入手,尝试从结果推导,从案例中寻找威胁
帖子发表于 : 2009-04-14 09:53 
离线
新手

注册: 2007-08-24 11:03
最近: 2016-01-11 16:43
拥有: 240.80 安全币

奖励: 79 安全币
在线: 403 点
帖子: 16
易水寒江雪 写道:
csstudy 写道:
威胁来源可以是非授权访问、监听、恶意攻击、DOS、物理破坏等,有些资产管理软件会对资产的威胁进行分类,但不同系统侧重点不同。
分析你所说的例子,脆弱性可以是产品零件耐用性不好,比如设备长时间运行就可能会导致产品受损,那么这里:“疲劳”运行就是一个威胁了。当然具体是怎么样,要看是什么样的故障了。

只是您所说的威胁来源主要是针对信息系统而言,而我是要针对整个公司的所有资产进行风险评估的,所以您说的这几个方面还是有一定的局限性的。您说呢?

刚看完多位大侠的回复,受益颇深,但从易水大哥这一楼的留言来看,是否更需要了解的是:具体针对某企业所有信息资产进行风险评估的“切入点”,或者说是如何才能很直观的从安全事件管理转换到安全风险管理上来的问题。
本人从事安全工作时间不长,完全是边学边做,实在不好意思班门弄斧,但有些想法,很想与大家分享:个人认为——威胁和脆弱性都是针对资产或安全事件而言的,识别资产威胁和脆弱性的工作可以从核心资产识别和对本企业安全事件的分析,同类企业安全案例的收集、分析入手;
核心资产的识别、分类、赋值帮助我们系统、全面、从风险管理的视角从新认识我们天天围着转的这些“资产”(除开软硬件外我将人员、权限、制度等都梳理归纳到特殊资产分类当中)对比国内外的安全管理标准,技术和管理的脆弱性较为容易浮现出来;安全事件的收集和分析丰富我们的视野,拓宽我们的思路,是五花八门,形形色色的攻击手段方式也就是威胁来源层出不穷的展现在我们眼前;此时在看核心资产评估的结果,顿时恍然大悟,威胁如何利用脆弱性,两者之间的种种联系渐渐清晰。
当然,考这两种方法只能起到抛砖引玉的作用,我前面也说了,这只是一个“切入点”,系统的、完整的风险识别、评估工作还需要大量分类、赋值,公式设计、风险计算等工作。希望这个想法能对你和其它有类似想法的同志有些帮助,初来乍到,欢迎大家多提意见和建议。


--------本帖迄今已累计获得24安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2009-04-14 10:21 
离线
高级用户

注册: 2008-08-29 15:16
最近: 2015-08-17 15:42
拥有: 1,271.70 安全币

奖励: 299 安全币
在线: 651 点
帖子: 163
地址: nan jing
资产: 人;

脆弱:人的身体孱弱;即使是在无菌病房里,也没有改变人身体孱弱的本质;

威胁:外界的细菌、病毒

人在无菌病房里,脆弱性仍然存在,但没有威胁性;人在自然界里,就会脆弱和威胁都有,就具有生病的可能性;但是否真会生病,这需取决于人的脆弱性和致病细菌、病毒的数量


--------本帖迄今已累计获得24安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2009-05-19 13:54 
离线
超级用户

注册: 2006-10-29 16:28
最近: 2014-08-12 11:01
拥有: 5,066.00 安全币

奖励: 806 安全币
在线: 2522 点
帖子: 306
地址: 北京
威胁是假想敌,而脆弱性是真实存在的。我认为在风险评估中脆弱性比威胁更重要,因为在实际制定控制措施时,主要是弥补脆弱性。脆弱性找的不全面,也就影响了控制措施的全面性。


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2009-05-21 10:52 
离线
版主

注册: 2007-08-07 15:59
最近: 2013-10-15 15:05
拥有: 10,081.60 安全币

奖励: 9458 安全币
在线: 4248 点
帖子: 553
地址: BeiJing
威胁是潜在的,但通过活动来表现!脆弱性是固有的,通过相关载体的属性来表现!


--------本帖迄今已累计获得26安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2009-05-21 11:33 
离线
高级用户

注册: 2009-04-24 22:04
最近: 2013-12-28 21:13
拥有: 3,096.00 安全币

奖励: 653 安全币
在线: 1116 点
帖子: 219
地址: 天津
segelo 写道:
威胁是潜在的,但通过活动来表现!脆弱性是固有的,通过相关载体的属性来表现!

同意上述观点。还要补充一句,即使对于同一个信息资产,其脆弱性和威胁源不会是一成不变的。随着技术的进步新的脆弱性会不断涌现。ISMS要持续改进就是要应对这一点。


--------本帖迄今已累计获得27安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2009-05-22 10:15 
离线
新手

注册: 2009-05-21 15:57
最近: 2009-06-01 08:37
拥有: 54.00 安全币

奖励: 0 安全币
在线: 62 点
帖子: 4
不管是多嚴謹的設計都會有弱點
設計越是嚴謹,雖然保證了風險發生率趨近於零
但是使用上一定大大的不方便

所以最脆弱的環節還是人,使用者~

分享一篇最近看得的報導 -- 另類第一!八成日本A片在台灣壓製
http://www.nownews.com/2009/05/11/11490-2447906.htm
文中一句『就是要將所有人都當賊來看』道出風險評估的終極作法~


回到顶部
  用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 43 篇帖子 ]  前往页数 上一页  1, 2, 3  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012