风险,用ISO/IEC TR 13335-1:1996中的定义可以解释为: 特定威胁利用某个(些)资产的弱点,造成资产损失或破坏的潜在可能性。
实例1>
我口袋里有100块钱,因为打瞌睡,被小偷偷走了,搞得晚上没饭吃。
用风险评估的观点来描述这个案例,我们可以对这些概念作如下理解:
风险 = 钱被偷走的可能性
资产 = 100块钱
影响 = 晚上没饭吃
威胁 = 小偷
弱点 = 打瞌睡
实例2>
某证券公司的数据库服务器因为存在RPC DCOM的漏洞,遭到入侵者攻击,被迫中断3天。
风险 服务器遭到入侵的可能性
资产 数据库服务器
影响 中断三天
威胁 入侵者
弱点 RPC DCOM漏洞
阅读(1572) | 评论(0) | 转发(0) |