Updated 'src/d41/concepts.md'.

Author: gnu4cn

src/SUMMARY.md

@@ -324,6 +324,7 @@
 # 基础设施安全
 
 + [安全计划要素](d41-security_program_elements.md)
+    - [风险相关概念](d41/concepts.md)
 
 
 

src/d41-security_program_elements.md

@@ -8,3 +8,15 @@
 - 参加 [Free CCNA Training Bonus – Cisco CCNA in 60 Days v4](https://www.in60days.com/free/ccnain60days/) 处今天的考试
 - 在 subnetting.org 上花 15 分钟
 
+在这一章中，我们将探讨有关合规性与运营安全方面的一些最佳业务实践。这个话题将包括诸如误报与风险计算等的一些风险相关概念、风险缓解策略及事件响应流程等的讨论。这一章还会介绍诸如个人身份信息（PII）辨识、数据处理、威胁意识，及社交网络与点对点网络的正确使用等的安全相关意识与培训概念。其还将介绍业务连续性实践、环境控制、灾难恢复及一些 CIA（机密性、完整性、可用性）概念。
+
+今天，咱们将学习以下内容：
+
+- 一些风险相关的概念
+- 恰当的风险缓解策略
+- 恰当的事件响应流程
+- 安全相关意识与培训的重要性
+- 业务连续性的各个方面
+- 环境控制的影响与正确使用
+- 灾难恢复计划与流程
+- 保密性、完整性与可用性（CIA）概念

src/d41/concepts.md

@@ -0,0 +1,19 @@
+# 风险相关概念
+
+技术系统的风险，会以许多形态及规模出现。针对这些系统的管理员，掌握风险类型非常重要；他们自己要配备一些评估不同风险程度的工具；同时要准备好实施一些消除这些风险的策略、流程及技术解决方案。这一小节将介绍以下主题：
+
+- 控制类型
+- 误报
+- 政策在降低风险中的重要性
+- 风险的计算
+- 定量与定性分析
+- 风险的规避、转移、接受、缓解及威慑
+- 与云计算及虚拟化相关的风险
+
+
+## 控制类型
+
+对技术系统使用的控制，并不限于技术手段。这些系统的使用，可通过技术手段、通过落实的有关正确使用的管理政策，或通过诸如物理保护重要设备等的一些非技术手段而加以控制。以下是个控制类型列表：
+
+**技术控制** —— 这些控制手段包括使用诸如认证、授权与计费（AAA）模型等的内置控制，控制对资源使用的访问权限。例如，技术控制的一个示例，便是拒绝所有其他用户访问某名用户的邮箱。
+