企业新闻

威胁建模相关术语

2018-04-08 17:26:45 | 来源:中培企业IT培训网

威胁建模相关术语

资产

资产是具有价值的资源,它的视角不一样。对于业务,资产可能是信息或信息本身的可用性,例如客户数据。它也可能是无形的,如公司的声誉。对于攻击者来说,资产可能会通过滥用应用程序以实现未经授权访问数据或特权操作。

◇威胁

威胁是一种不必要的事件或潜在的事件,通常被描述为可能损害资产或目标的效果,它本质上可能是恶意的也可能是非恶意的。

◇漏洞

漏洞是使信息系统、信息技术或信息产品存在的一些弱点,这些弱点可被攻击者利用成功实施攻击。漏洞可能存在于网络、主机或应用程序级别,并包括操作实践。

◇攻击(或利用)

攻击是使用一个或多个漏洞来实现威胁的一个行为或动作。这跟威胁或利用漏洞的人相关。

◇对策

对策解决漏洞,以减少攻击的可能性或威胁的影响。对策并不直接涉及到威胁。相反, 它解决了威胁的因素。对策的措施包括改进应用设计或改进代码,改进操作实践等。

标签: 威胁建模