论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 43 篇帖子 ]  前往页数 上一页  1, 2, 3
作者 内容
 文章标题 :
帖子发表于 : 2009-06-05 09:19 
离线
顶级用户

注册: 2009-05-17 11:00
最近: 2013-10-09 09:35
拥有: 9,107.00 安全币

奖励: 11523 安全币
在线: 1721 点
帖子: 684
地址: 苏州
??????......


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-06-09 13:07 
离线
顶级用户

注册: 2009-05-17 11:00
最近: 2013-10-09 09:35
拥有: 9,107.00 安全币

奖励: 11523 安全币
在线: 1721 点
帖子: 684
地址: 苏州
学习


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-09-07 10:54 
离线
新手

注册: 2009-08-21 14:30
最近: 2009-09-07 11:28
拥有: 10.00 安全币

奖励: 10 安全币
在线: 91 点
帖子: 13
讲得不错,学习。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2010-01-12 11:40 
离线
初级用户

注册: 2009-07-24 16:10
最近: 2010-02-04 11:48
拥有: 28.00 安全币

奖励: 26 安全币
在线: 90 点
帖子: 38
学习了。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 威胁和脆弱性的区别
帖子发表于 : 2010-04-19 13:53 
离线
中级用户

注册: 2007-12-06 09:50
最近: 2010-06-13 10:07
拥有: 98.90 安全币

奖励: 0 安全币
在线: 234 点
帖子: 83
威胁 就是可能发生的概率 脆弱性就是本身的缺陷、漏洞等


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re:
帖子发表于 : 2010-05-19 21:09 
离线
中级用户

注册: 2009-02-19 11:59
最近: 2012-06-13 11:22
拥有: 1,066.80 安全币

奖励: 0 安全币
在线: 801 点
帖子: 128
chentomato 写道:
前一段在网上看一到一个例子来描述威胁和脆弱性的区别,感觉挺形象,大致如下:我口袋里有100块钱,因为打瞌睡,被小偷偷走了,搞得晚上没饭吃。

  用风险评估的观点来描述这个案例,我们可以对这些概念作如下理解:

  风险 = 钱被偷走
  资产 = 100块钱
  影响 = 晚上没饭吃
  威胁 = 小偷
  脆弱性= 打瞌睡
从这个例子我们可以看出脆弱性来源与被评估的主体,威胁则来源于客体。



例子很有意思阿


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 威胁和脆弱性的区别
帖子发表于 : 2010-05-28 17:30 
离线
初级用户

注册: 2010-05-26 15:45
最近: 2012-07-13 15:45
拥有: 182.00 安全币

奖励: 213 安全币
在线: 161 点
帖子: 51
而且也很形象,哈哈


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 威胁和脆弱性的区别
帖子发表于 : 2011-01-07 15:21 
离线
初级用户

注册: 2006-07-05 14:26
最近: 2014-09-26 23:20
拥有: 1,408.60 安全币

奖励: 341 安全币
在线: 682 点
帖子: 54
感谢LZ提出了这一问题,自己最近也恰好做过一项目,涉及脆弱性及威胁之类的事宜,对此有些感触。
脆弱性是资产内部具有的弱点或者缺陷,其会被威胁利用,从而产生风险,可以讲是内因。如果没有弱点,应该就没有相应的风险。如苍蝇不叮无缝的蛋中,如果蛋没有缝,就不会存在被苍蝇叮坏鸡蛋的风险,即这类风险发生的可能性几乎没有。
而威胁则是导致对系统或组织危害的不希望事件发生的潜在起因,做威胁分析时常分析威胁源、途径、能力等,威胁对于资产来讲,其是外部因素,虽然其是外因,但确是风险发生的起因。在BG/T 32984中,将威胁来源分为自然因素与人为因素两大类。又基于表现形式分为11大类,若干小类。在等级保护中,将威胁源分为自然(如自然灾害)环境(如电力故障)IT系统(如系统故障)和人员(如心怀不满的员工)四类。
实际上信息安全风险评估中的威胁与脆弱性跟SWOT分析中的W与T很类似。在做SWOT分析中,优势、弱点都是内部的,而机会与威胁则是外部的,在做信息安全风险评估时,更多的是考虑弱点与威胁。
另外,威胁与脆弱性关联性也比较强,在某些情况下,威胁会带来脆弱性。如:如果没有对USB口进行安全防护,就会存在通过USB口泄密的风险,这一脆弱性可以讲是由于信息泄密这一威胁带来的。
ISO13335六要素模型(LZ对此应该非常熟悉,因为读过您翻译的版本)描述了风险的各要素的关系,其中安全措施抵御了威胁,降低了风险。另外自己认为:安全措施的另外一个作用是弥补了脆弱性,降低了风险。我们每次风险评估之后的整改建议都是从两个方面入手:一是进行安全加固,减少其弱点,降低风险,二是通过部署安全防护措施,抵御威胁,降低风险。


--------本帖迄今已累计获得30安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 威胁和脆弱性的区别
帖子发表于 : 2011-01-07 18:06 
离线
高级用户

注册: 2006-12-06 00:24
最近: 2014-03-23 22:50
拥有: 654.00 安全币

奖励: 334 安全币
在线: 966 点
帖子: 155
外因和内因的关系!


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 威胁和脆弱性的区别
帖子发表于 : 2011-01-07 21:16 
离线
超级用户

注册: 2007-07-18 13:51
最近: 2014-10-22 09:27
拥有: 2,658.40 安全币

奖励: 413 安全币
在线: 1950 点
帖子: 335
地址: BeiJing
我想楼主的意思是怎样把所有的威胁找出来吧,有实行的可能吗?


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 威胁和脆弱性的区别
帖子发表于 : 2011-03-30 16:26 
离线
中级用户

注册: 2010-07-12 18:05
最近: 2014-09-16 16:01
拥有: 399.00 安全币

奖励: 2 安全币
在线: 490 点
帖子: 106
colababy :
这里,应该谨记80:20原则。无论威胁还是脆弱性,都无法保证一次性全部识别,安全本身就是动态变化的,风险因素也是如此。所以说,对风险评估者来说,从业务出发是关键,只有了解受评估者的业务,知道80%的业务影响,是由于20%的风险因素造成的,我们评估的重点就会突出,也不至于陷入无穷尽地追寻非关键因素的陷阱当中。


colababy 兄说得很对,,现在做风险评估项目,,很容易纠结到 80%的无用功去。。。。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 威胁和脆弱性的区别
帖子发表于 : 2011-03-30 16:40 
离线
顶级用户

注册: 2010-02-26 10:11
最近: 2017-08-17 14:51
拥有: 3,982.00 安全币

奖励: 0 安全币
在线: 1811 点
帖子: 1159
说的直白一点就是威胁是外来的,脆弱性是设备本身的,比如主机系统,没打补丁就是脆弱性,停电就是威胁,威胁是客观存在的,不能消除的,只能降低,脆弱性是由于管理或者其它的什么原因导致的,脆弱性性可以解决、消除,甚至杜绝,但威胁永远不能解除。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 威胁和脆弱性的区别
帖子发表于 : 2011-03-30 17:57 
离线
高级用户

注册: 2009-11-14 19:59
最近: 2016-03-21 10:10
拥有: 1,291.00 安全币

奖励: 629 安全币
在线: 6065 点
帖子: 285
学习


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 43 篇帖子 ]  前往页数 上一页  1, 2, 3

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012