威胁建模相关术语

威胁建模相关术语

资产

资产是具有价值的资源，它的视角不一样。对于业务，资产可能是信息或信息本身的可用性，例如客户数据。它也可能是无形的，如公司的声誉。对于攻击者来说，资产可能会通过滥用应用程序以实现未经授权访问数据或特权操作。

◇威胁

威胁是一种不必要的事件或潜在的事件，通常被描述为可能损害资产或目标的效果，它本质上可能是恶意的也可能是非恶意的。

◇漏洞

漏洞是使信息系统、信息技术或信息产品存在的一些弱点，这些弱点可被攻击者利用成功实施攻击。漏洞可能存在于网络、主机或应用程序级别，并包括操作实践。

◇攻击（或利用）

攻击是使用一个或多个漏洞来实现威胁的一个行为或动作。这跟威胁或利用漏洞的人相关。

◇对策

对策解决漏洞，以减少攻击的可能性或威胁的影响。对策并不直接涉及到威胁。相反， 它解决了威胁的因素。对策的措施包括改进应用设计或改进代码，改进操作实践等。