信息安全安全的信息資產(chǎn)、威脅與脆弱性分類

1、PAGE3信息安全的信息資產(chǎn)、威脅與脆弱性分類信息資產(chǎn)的分類信息資產(chǎn)分類見(jiàn)表。信息資產(chǎn)分類分類示例數(shù)據(jù)保存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫(kù)數(shù)據(jù)、系統(tǒng)文檔、運(yùn)行管理規(guī)程、計(jì)劃報(bào)告、用戶手冊(cè)、各類紙質(zhì)的文檔等軟件系統(tǒng)軟件：操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、語(yǔ)句包、開(kāi)發(fā)系統(tǒng)等應(yīng)用軟件：辦公軟件、數(shù)據(jù)庫(kù)軟件、各類工具軟件等源程序：各種共享源代碼、自行或合作開(kāi)發(fā)的各種代碼等硬件網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機(jī)等計(jì)算機(jī)設(shè)備：大型機(jī)、小型機(jī)、服務(wù)器、工作站、臺(tái)式計(jì)算機(jī)、便攜計(jì)算機(jī)等存儲(chǔ)設(shè)備：磁帶機(jī)、磁盤(pán)陣列、磁帶、光盤(pán)、軟盤(pán)、移動(dòng)硬盤(pán)等傳輸線路：光纖、雙絞線等保障設(shè)備：UPS、變電設(shè)備、空調(diào)、保險(xiǎn)柜、文

2、件柜、門(mén)禁、消防設(shè)施等安全設(shè)備：防火墻、入侵檢測(cè)系統(tǒng)、身份鑒別等其他：打印機(jī)、復(fù)印機(jī)、掃描儀、傳真機(jī)等服務(wù)信息服務(wù)：對(duì)外依賴該系統(tǒng)開(kāi)展的各類服務(wù)網(wǎng)絡(luò)服務(wù)：各種網(wǎng)絡(luò)設(shè)備、設(shè)施提供的網(wǎng)絡(luò)連接服務(wù)辦公服務(wù)：為提高效率而開(kāi)發(fā)的管理信息系統(tǒng)，包括各種內(nèi)部配置管理、文件流轉(zhuǎn)管理等服務(wù)人員掌握重要信息和核心業(yè)務(wù)的人員，如主機(jī)維護(hù)主管、網(wǎng)絡(luò)維護(hù)主管及應(yīng)用項(xiàng)目經(jīng)理等其他企業(yè)形象、客戶關(guān)系等威脅的分類威脅分類見(jiàn)表。威脅分類種類描述威脅子類軟硬件故障對(duì)業(yè)務(wù)實(shí)施或系統(tǒng)運(yùn)行產(chǎn)生影響的設(shè)備硬件故障、通訊鏈路中斷、系統(tǒng)本身或軟件缺陷等問(wèn)題設(shè)備硬件故障、傳輸設(shè)備故障、存儲(chǔ)媒體故障、 系統(tǒng)軟件故障、應(yīng)用軟件故障、數(shù)據(jù)庫(kù)軟件故障

3、、開(kāi)發(fā)環(huán)境故障等物理環(huán)境影響對(duì)信息系統(tǒng)正常運(yùn)行造成影響的物理環(huán)境問(wèn)題和自然災(zāi)害斷電、靜電、灰塵、潮濕、溫度、洪災(zāi)、火災(zāi)、地震、暴風(fēng)雨、潮汐、污染、空調(diào)設(shè)備故障、鼠蟻蟲(chóng)害、電磁干擾等 操作失誤應(yīng)該執(zhí)行而沒(méi)有執(zhí)行相應(yīng)的操作，或無(wú)意執(zhí)行了錯(cuò)誤的操作維護(hù)錯(cuò)誤、操作失誤、提供錯(cuò)誤的指南或操作信息等管理不到位安全管理無(wú)法落實(shí)或不到位，從而破壞信息系統(tǒng)正常有序運(yùn)行管理制度和策略不完善、管理規(guī)程缺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全等惡意代碼故意在計(jì)算機(jī)系統(tǒng)上執(zhí)行惡意任務(wù)的程序代碼病毒、特洛伊木馬、蠕蟲(chóng)、陷門(mén)、間諜軟件、竊聽(tīng)軟件、攜帶惡意軟件的垃圾郵件、流氓安全軟件、即時(shí)消息垃圾郵件等越權(quán)或?yàn)E用通過(guò)采用一些措施

4、，超越自己的權(quán)限訪問(wèn)了本來(lái)無(wú)權(quán)訪問(wèn)的資源，或者濫用自己的權(quán)限，做出破壞信息系統(tǒng)的行為非授權(quán)訪問(wèn)網(wǎng)絡(luò)資源、非授權(quán)訪問(wèn)系統(tǒng)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)、濫用權(quán)限泄露秘密信息、非授權(quán)使用存儲(chǔ)介質(zhì)等網(wǎng)絡(luò)攻擊利用工具和技術(shù)通過(guò)網(wǎng)絡(luò)對(duì)信息系統(tǒng)進(jìn)行攻擊和入侵網(wǎng)絡(luò)探測(cè)和信息采集、漏洞探測(cè)、嗅探（賬號(hào)、口令、權(quán)限等）、用戶身份偽造和欺騙、用戶或業(yè)務(wù)數(shù)據(jù)的竊取和破壞、系統(tǒng)運(yùn)行的控制和破壞、拒絕服務(wù)攻擊、僵尸網(wǎng)絡(luò)、隱蔽式下載、名譽(yù)劫持、網(wǎng)絡(luò)黑客的入侵等物理攻擊通過(guò)物理的接觸造成對(duì)軟件、硬件、數(shù)據(jù)的破壞物理接觸、物理破壞、盜竊、勒索、罷工、內(nèi)部員工蓄意破壞等泄密信息泄露給不應(yīng)了解的他人內(nèi)部信息泄露、外部信息

5、泄露等篡改非法修改信息，破壞信息的完整性使系統(tǒng)的安全性降低或信息不可用篡改網(wǎng)絡(luò)配置信息、篡改系統(tǒng)配置信息、篡改安全配置信息、篡改用戶身份信息或業(yè)務(wù)數(shù)據(jù)信息等抵賴不承認(rèn)收到的信息和所作的操作和交易原發(fā)抵賴、接受抵賴、第三方抵賴等脆弱性的分類脆弱性分類見(jiàn)表。脆弱性分類類型識(shí)別對(duì)象脆弱性子類技術(shù)脆弱性物理環(huán)境機(jī)房場(chǎng)地、機(jī)房防火、機(jī)房供配電、機(jī)房防靜電、機(jī)房接地與防雷、電磁防護(hù)、通訊線路的保護(hù)、機(jī)房區(qū)域防護(hù)、機(jī)房設(shè)備管理等網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、網(wǎng)絡(luò)傳輸加密、網(wǎng)絡(luò)設(shè)備安全漏洞、邊界保護(hù)、外部訪問(wèn)控制策略、內(nèi)部訪問(wèn)控制策略、網(wǎng)絡(luò)設(shè)備安全配置等服務(wù)器/系統(tǒng)軟件補(bǔ)丁安裝、物理保護(hù)、用戶帳號(hào)、口令策略、資源共享、事件審計(jì)、訪問(wèn)控制、新系統(tǒng)配置（初始化）、注冊(cè)表加固、網(wǎng)絡(luò)安全、系統(tǒng)軟件安全漏洞、軟件安全功能管理等數(shù)據(jù)庫(kù)補(bǔ)丁安裝、鑒別機(jī)制、口令機(jī)制、訪問(wèn)控制、網(wǎng)絡(luò)和服務(wù)設(shè)置、備份恢復(fù)機(jī)制、審計(jì)機(jī)制等應(yīng)用系統(tǒng)審計(jì)機(jī)制、審計(jì)存儲(chǔ)、訪問(wèn)控制策略、數(shù)據(jù)完整性、通訊、鑒別機(jī)制、密碼保護(hù)等應(yīng)用中間件協(xié)議安全、交易完