威脅建模相關(guān)術(shù)語(yǔ)

資產(chǎn)

資產(chǎn)是具有價(jià)值的資源，它的視角不一樣。對(duì)于業(yè)務(wù)，資產(chǎn)可能是信息或信息本身的可用性，例如客戶數(shù)據(jù)。它也可能是無形的，如公司的聲譽(yù)。對(duì)于攻擊者來說，資產(chǎn)可能會(huì)通過濫用應(yīng)用程序以實(shí)現(xiàn)未經(jīng)授權(quán)訪問數(shù)據(jù)或特權(quán)操作。

◇威脅

威脅是一種不必要的事件或潛在的事件，通常被描述為可能損害資產(chǎn)或目標(biāo)的效果，它本質(zhì)上可能是惡意的也可能是非惡意的。

◇漏洞

漏洞是使信息系統(tǒng)、信息技術(shù)或信息產(chǎn)品存在的一些弱點(diǎn)，這些弱點(diǎn)可被攻擊者利用成功實(shí)施攻擊。漏洞可能存在于網(wǎng)絡(luò)、主機(jī)或應(yīng)用程序級(jí)別，并包括操作實(shí)踐。

◇攻擊（或利用）

攻擊是使用一個(gè)或多個(gè)漏洞來實(shí)現(xiàn)威脅的一個(gè)行為或動(dòng)作。這跟威脅或利用漏洞的人相關(guān)。

◇對(duì)策

對(duì)策解決漏洞，以減少攻擊的可能性或威脅的影響。對(duì)策并不直接涉及到威脅。相反， 它解決了威脅的因素。對(duì)策的措施包括改進(jìn)應(yīng)用設(shè)計(jì)或改進(jìn)代碼，改進(jìn)操作實(shí)踐等。