术语解析
风险

　　所谓“风险”是指一个成功的特定攻击中被列为攻击目标，并且通常在特定威胁中暴露的可能性，风险评估是为了确定并尽快解决最重要的潜在的安全漏洞。其中列举了最关键和最有可能的危险，并评估漏洞在费用和可能性相互作用函数中的风险相互关联的程度。

　　分析风险有助于确定一个在时间和金钱上适当的安全预算，并确定实行安全政策的优先顺序，这样才能最迅速地解决最直接的挑战。

威胁

　　所谓“威胁”是指特定类型攻击的来源和手段。

　　威胁评估是为了确定最佳的办法，确保系统对某一特定威胁，或各类威胁的安全。渗透测试演习基本上是侧重于评估威胁概要，以帮助制定有效的对策来对付特定威胁所代表的各类攻击。如果风险评估更注重分析的潜力和趋势，一个人的资源，以牺牲品各种攻击，威胁评估，更多地侧重于分析攻击者的资源。

　　分析威胁有助于制定具体的安全策略，以利用策略优先权实施在线安全策略，并了解要确保安全的资源的具体执行需求。

漏洞利用

　　所谓“漏洞利用”是指的是可以攻击成功的系统安全缺陷。漏洞测试，应在现有基础上由各方负责解决这种漏洞，并有助于向需要加以解决的安全提供用于识别意外危险的数据。这种漏洞不是特别的技术-它们也可以适用于社会因素，如个人身份验证和授权的政策。

　　漏洞测试有助于保持持续的安全，允许资源的安全负责人在新的危险产生时作出有效响应。这在政策和技术开发上也是宝贵的，并作为技术选择过程的一个组成部分；提早选择合适的技术可以确保节省大量时间、金钱，进一步降低其他经营成本。

　　理解这些术语的正确用法是重要的，不仅是听起来像你知道你在说些什么，甚至也不只是为了方便交流。此外，它还有助于开发和利用良好的策略。技术行话的特殊性反映了专家们确定专业领域区分的方式，并且甚至能帮助自己澄清应如何应对这些产生的挑战。

英文出处：http://blogs.techrepublic.com.com/security/?p=1897&tag=nl.e101
中文出处：http://blog.csdn.net/purpleendurer/article/details/4368069