威脅建模相關術語

資產(chǎn)

資產(chǎn)是具有價值的資源，它的視角不一樣。對于業(yè)務，資產(chǎn)可能是信息或信息本身的可用性，例如客戶數(shù)據(jù)。它也可能是無形的，如公司的聲譽。對于攻擊者來說，資產(chǎn)可能會通過濫用應用程序以實現(xiàn)未經(jīng)授權訪問數(shù)據(jù)或特權操作。

◇威脅

威脅是一種不必要的事件或潛在的事件，通常被描述為可能損害資產(chǎn)或目標的效果，它本質上可能是惡意的也可能是非惡意的。

◇漏洞

漏洞是使信息系統(tǒng)、信息技術或信息產(chǎn)品存在的一些弱點，這些弱點可被攻擊者利用成功實施攻擊。漏洞可能存在于網(wǎng)絡、主機或應用程序級別，并包括操作實踐。

◇攻擊（或利用）

攻擊是使用一個或多個漏洞來實現(xiàn)威脅的一個行為或動作。這跟威脅或利用漏洞的人相關。

◇對策

對策解決漏洞，以減少攻擊的可能性或威脅的影響。對策并不直接涉及到威脅。相反， 它解決了威脅的因素。對策的措施包括改進應用設計或改進代碼，改進操作實踐等。