信息安全工程原理

风险

风险

事件发生的概率与结果的结合

一个指定的威胁利用一项或多项资产的脆弱性，并由此造成损害的可能性

风险与事件的关系

威胁源利用脆弱性对资产实施威胁行为，尚未造成影响称为风险，已经造成影响称为事件

风险的特点

• 客观存在
• 强调损害的潜在可能性，而不是事实的损害
• 不能消除至尽
• 基本要素：事件的概率，产生的后果
• 导致风险的事件：威胁利用了资产的脆弱点