Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1198804
  • 博文数量: 272
  • 博客积分: 3899
  • 博客等级: 中校
  • 技术积分: 4734
  • 用 户 组: 普通用户
  • 注册时间: 2012-06-15 14:53
文章分类

全部博文(272)

文章存档

2012年(272)

分类: 网络与安全

2012-06-25 13:29:55

安全里面有一堆名词,在忽悠别人的时候不要把这些含义搞混了。

辨析如下:

漏洞Vulnerability):软件系统中可以被利用的缺陷。如果不能利用则只是一个bug
风险Risk:系统被攻击会造成的损失。
威胁Threat):系统中漏洞可能会被某人发现。
暴露Exposure):漏洞有多久没修补。

那么简单举例

案例1
鸦片战争的时候,列强进犯天朝。

列强就是威胁,他们时刻可能从海上攻入。

如果被攻入后,会割地赔款,这个就是风险。对清王朝来说,如果天津塘沽被攻击,则直接威胁紫禁城,这就是高风险。相反如果是南边的香港、澳门被攻击,威胁不到京城,就是低风险

如果某个港口没造炮台,那这个港口就是漏洞

如果该港口很久都没造炮台,比如一年,那么这一年就是暴露时间。



案例2
你在家里睡觉,小偷要进来偷东西。

小偷就是威胁,他可能破门而入。

如果小偷进来,偷走了电脑、存折、盗版碟,这就是风险。电脑被偷走了,是高风险,盗版碟被偷走了,是低风险

如果你家里的门只有插栓,这就是漏洞,如果第二天你换了个防盗门,就是修补了这个漏洞

如果你一直用插栓用了一年,那这一年就是漏洞暴露时间。



在具体衡量的时候,可能会有很多算法和公式、矩阵。我见过的几乎每家安全公司或厂商都有自己的一套算法。实际上,这些算法最终也只能定性的来表示结果。

明晰这几个名词之后,对概念可能会更明确,思路更清晰,忽悠人的时候,也会更有针对性和更有水准

阅读(978) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~