(完整word版)信息资产威胁和脆弱性对应表
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
易受电压波动影响,已造成严重损失
轻微受电压波动影响,易造成严重损失
易受电压波动影响,不易造成严重损失
14
静电
位于易产生静电环境,资产易受静电破坏
位于易产生静电环境,资产不易受静电破坏
位于不易产生静电环境,资产易受静电破坏
工作人员无资产维护意识,没有维护常识
工作人员有资产维护意识,没有维护常识
工作人员无资产维护意识,有维护常识
软件无合法数据验证机制
48
提供给操作人员错误的指南信息
文件匮乏
文档管理混乱
49
软件维护失误
工作人员无资产维护意识,没有维护常识
工作人员有资产维护意识,没有维护常识
工作人员无资产维护意识,有维护常识
无软件更新控制
50
硬件的操作失误
工作人员操作不熟练
设备易损坏
无硬件访问控制
缺乏物理安全措施
51
存储介质的故障
工作人员注重个人利益
工作人员无法律ቤተ መጻሕፍቲ ባይዱ识
工作人员法律意识弱
无数据访问控制
无硬件访问控制
40
内部人员身份假冒
工作人员无法律意识
工作人员弱法律意识
弱密码管理
不易辨认身份的真伪
41
内部人员出卖个人信息
工作人员注重个人利益
工作人员无法律意识
工作人员法律意识弱
数据中心无物理安全措施
数据中心弱物理安全措施
无劳工协议,竞业禁止等保密要求
不易辨认身份的真伪
信息不易辨认真伪
无逻辑访问控制
30
系统篡改
弱密码管理
软件无身份验证机制
软件采用弱身份验证机制
操作系统存在漏洞
应用软件存在漏洞
无备份系统设置信息
缺乏物理安全措施
31
资源滥用
数据未加密
软件无复制限制
软件无安装次数限制
无软件使用控制
无数据访问控制
32
对软件的非法更改
无劳工协议
无软件更新控制
位于水灾不易发地区,资产易受潮
无备份文件和系统
4
暴风雨
位于暴风雨易发地区,资产易受水害
位于暴风雨易发地区,资产不易受潮
位于暴风雨不易发地区,资产易受潮
无备份文件和系统
5
潮汐
位于潮汐易发地区,资产易遭水害
位于潮汐易发地区,资产不易遭水害
位于潮汐不易发地区,资产易遭水害
无备份文件和系统
6
污染
位于污染严重地区,设备易受污染
建筑或房屋无访问控制
建筑或房屋弱访问控制
设备易损坏
缺乏物理安全措施
52
网络部件的技术故障
工作人员无资产维护意识,没有维护常识
工作人员有资产维护意识,没有维护常识
工作人员无资产维护意识,有维护常识
缺乏物理安全措施
53
通讯服务故障
无备份设施和流程
不恰当的网络管理
不恰当的事件处理
54
流量过载
无备份设施和流程
环境监控不当
11
电力供应故障
环境易断电,断电后造成轻微损失
环境易断电,断电后造成严重损失
环境不易断电,断电后造成轻微损失
环境不易断电,断电后造成严重损失
12
空调设备故障
位于温度易于过度的区域,资产易受温度影响
位于温度易于过度的区域,资产不易受温度影响
位于温度不易过度的区域,资产易受温度影响
13
电力波动
42
外包操作失败
无业务一致性计划和流程
无文件和系统备份
外包协议中责任不清
43
关键人员缺席
无候选关键人
44
软件运行错误
工作人员操作不熟练
操作系统存在漏洞
应用软件存在漏洞
45
软件的操作失误
工作人员操作不熟练
无软件使用控制
46
软件设计错误
软件开发标准不当
没有良好的员工沟通
47
错误信息输入
工作人员操作不熟练
不恰当的网络管理
不恰当的事件处理
55
硬件维护失误
工作人员无资产维护意识,没有维护常识
工作人员有资产维护意识,没有维护常识
工作人员无资产维护意识,有维护常识
缺乏物理安全措施
51
内部人员信息丢失
工作人员无信息保护意识
人事管理制度、保密协议不完善
52
管理运营职工失误
企业无安全问题解决能力
企业安全问题解决能力弱
37
web站点入侵
操作系统存在漏洞
应用软件存在漏洞
未使用防火墙
防火墙策略不当
缺乏入侵检测软件
38
内部员工蓄意破坏
资产易遭破坏
建筑或房屋无访问控制
建筑或房屋弱访问控制
工作人员注重个人利益
工作人员无法律意识
工作人员法律意识弱
缺乏物理安全措施
39
未授权人员引用或带出数据
建筑或房屋无访问控制
建筑或房屋弱访问控制
信息资产威胁和脆弱性对应表
编号
威胁
脆弱性
1
地震
位于地震带,建筑物抗震结构差
位于地震带,建筑物抗震结构一般
无备份文件和系统
2
火灾
位于活在易发地区,资产易燃
位于活在易发地区,资产不易燃
位于火灾不易发生地区,资产易燃
无备份文件和系统
位于林区时周围无隔离带
3
水灾
位于水灾易发地区,资产易受潮
位于水灾易发地区,资产不易受潮
未使用防火墙
防火墙策略不当
不恰当的网络管理
24
拒绝服务攻击
操作系统存在漏洞
应用软件存在漏洞
未使用防火墙
防火墙策略不当
不恰当的网络管理
25
恶意代码
系统易受病毒感染
系统不易受病毒感染
未使用杀毒软件
未及时更新病毒防杀软件
缺乏入侵检测软件
对从Internet上下载和安装软件控制不当
缺乏打开邮件的附件的策略
缺乏对不扫描病毒使用软盘行为的控制策略
无消息发送和接受证据
20
罢工
无业务连续性规划和流程
无劳工协议
21
窃听
设备本身缺乏信息保护功能
采用共享式以太技术导致信息在本地广播
通讯未加密
22
窃取信息
工作人员无信息保护意识
工作人员注重个人利益
工作人员无法律意识
工作人员法律意识弱
工作人员无防病毒意识
工作人员防病毒意识弱
23
破坏性攻击
操作系统存在漏洞
应用软件存在漏洞
位于电子辐射的环境,设备易受电子辐射的影响
9
温度过度
位于温度易于过度的区域,资产易受温度影响
位于温度易于过度的区域,资产不易受温度影响
位于温度不易过度的区域,资产易受温度影响
环境监控不当
10
湿度过度
位于湿度易于过度的区域,资产易受潮
位于湿度易于过度的区域,资产不易受潮
位于湿度不易过度的区域,资产易受潮
无软件使用控制
33
软件的非法输入输出
工作人员操作不熟练
软件无合法数据验证机制
无软件使用控制
34
未授权的数据访问
采用共享式以太技术导致信息在本地广播
缺乏物理安全措施
通讯未加密
35
未授权的拨号访问
拨号进入网络不受限
拨号进入网络弱管理
缺乏物理安全措施
36
未授权使用存储介质
无数据访问控制
无硬件访问控制
缺乏物理安全措施
位于污染严重地区,设备不易受污染
位于污染不严重地区,设备易受污染
位于污染不严重地区,设备不易受污染
7
电子干扰
位于强电子干扰地区,设备易受电子干扰
位于强电子干扰地区,设备不易受电子干扰
位于若电子干扰地区,设备易受电子干扰
8
电磁辐射
位于电子辐射严重的环境,设备易受电子辐射影响
位于电子辐射严重的环境,设备不易受电子辐射影响
26
通讯渗透
设备本身缺乏信息保护功能
不易辨认身份的真伪
采用共享式以太技术导致信息在本地广播
缺乏物理安全措施
未标识发送者和接收者
无消息发送和接受证据
缺乏入侵检测软件
27
流量分析
设备本身缺乏信息保护功能
不易辨认身份的真伪
采用共享式以太技术导致信息在本地广播
缺乏物理安全措施
未标识发送者和接收者
无消息发送和接受证据
53
人员匮乏
人力资源部门和信息技术部门间缺乏沟通
54
用户失误
用户操作不熟练
55
供应故障
操作系统存在漏洞
应用软件存在漏洞
56
保养不当
工作人员无资产维护意识,没有维护常识
工作人员有资产维护意识,没有维护常识
工作人员无资产维护意识,有维护常识
缺乏入侵检测软件
28
系统入侵
工作人员无信息保护意识
弱密码管理
软件无身份验证机制
软件采用弱身份验证机制
系统易受病毒感染
系统不易受病毒感染
不易辨认身份的真伪
信息不易辨认真伪
无逻辑访问控制
29
系统渗透
工作人员无信息保护意识
弱密码管理
软件无身份验证机制
软件采用弱身份验证机制
系统易受病毒感染
系统不易受病毒感染
无防静电设备
环境监控不当
15
偷盗
建筑或房屋无访问控制
建筑或房屋弱访问控制
缺乏物理安全措施
16
诈骗
工作人员无信息保护意识
工作人员无法律意识
工作人员法律意识弱
不易辨认身份的真伪
信息不易辨认真伪
17
勒索
工作人员注重个人利益
18
恐怖分子袭击
缺乏物理安全措施
19
抵赖
不易辨认身份的真伪
信息不易辨认真伪
未标识发送者和接收者
轻微受电压波动影响,易造成严重损失
易受电压波动影响,不易造成严重损失
14
静电
位于易产生静电环境,资产易受静电破坏
位于易产生静电环境,资产不易受静电破坏
位于不易产生静电环境,资产易受静电破坏
工作人员无资产维护意识,没有维护常识
工作人员有资产维护意识,没有维护常识
工作人员无资产维护意识,有维护常识
软件无合法数据验证机制
48
提供给操作人员错误的指南信息
文件匮乏
文档管理混乱
49
软件维护失误
工作人员无资产维护意识,没有维护常识
工作人员有资产维护意识,没有维护常识
工作人员无资产维护意识,有维护常识
无软件更新控制
50
硬件的操作失误
工作人员操作不熟练
设备易损坏
无硬件访问控制
缺乏物理安全措施
51
存储介质的故障
工作人员注重个人利益
工作人员无法律ቤተ መጻሕፍቲ ባይዱ识
工作人员法律意识弱
无数据访问控制
无硬件访问控制
40
内部人员身份假冒
工作人员无法律意识
工作人员弱法律意识
弱密码管理
不易辨认身份的真伪
41
内部人员出卖个人信息
工作人员注重个人利益
工作人员无法律意识
工作人员法律意识弱
数据中心无物理安全措施
数据中心弱物理安全措施
无劳工协议,竞业禁止等保密要求
不易辨认身份的真伪
信息不易辨认真伪
无逻辑访问控制
30
系统篡改
弱密码管理
软件无身份验证机制
软件采用弱身份验证机制
操作系统存在漏洞
应用软件存在漏洞
无备份系统设置信息
缺乏物理安全措施
31
资源滥用
数据未加密
软件无复制限制
软件无安装次数限制
无软件使用控制
无数据访问控制
32
对软件的非法更改
无劳工协议
无软件更新控制
位于水灾不易发地区,资产易受潮
无备份文件和系统
4
暴风雨
位于暴风雨易发地区,资产易受水害
位于暴风雨易发地区,资产不易受潮
位于暴风雨不易发地区,资产易受潮
无备份文件和系统
5
潮汐
位于潮汐易发地区,资产易遭水害
位于潮汐易发地区,资产不易遭水害
位于潮汐不易发地区,资产易遭水害
无备份文件和系统
6
污染
位于污染严重地区,设备易受污染
建筑或房屋无访问控制
建筑或房屋弱访问控制
设备易损坏
缺乏物理安全措施
52
网络部件的技术故障
工作人员无资产维护意识,没有维护常识
工作人员有资产维护意识,没有维护常识
工作人员无资产维护意识,有维护常识
缺乏物理安全措施
53
通讯服务故障
无备份设施和流程
不恰当的网络管理
不恰当的事件处理
54
流量过载
无备份设施和流程
环境监控不当
11
电力供应故障
环境易断电,断电后造成轻微损失
环境易断电,断电后造成严重损失
环境不易断电,断电后造成轻微损失
环境不易断电,断电后造成严重损失
12
空调设备故障
位于温度易于过度的区域,资产易受温度影响
位于温度易于过度的区域,资产不易受温度影响
位于温度不易过度的区域,资产易受温度影响
13
电力波动
42
外包操作失败
无业务一致性计划和流程
无文件和系统备份
外包协议中责任不清
43
关键人员缺席
无候选关键人
44
软件运行错误
工作人员操作不熟练
操作系统存在漏洞
应用软件存在漏洞
45
软件的操作失误
工作人员操作不熟练
无软件使用控制
46
软件设计错误
软件开发标准不当
没有良好的员工沟通
47
错误信息输入
工作人员操作不熟练
不恰当的网络管理
不恰当的事件处理
55
硬件维护失误
工作人员无资产维护意识,没有维护常识
工作人员有资产维护意识,没有维护常识
工作人员无资产维护意识,有维护常识
缺乏物理安全措施
51
内部人员信息丢失
工作人员无信息保护意识
人事管理制度、保密协议不完善
52
管理运营职工失误
企业无安全问题解决能力
企业安全问题解决能力弱
37
web站点入侵
操作系统存在漏洞
应用软件存在漏洞
未使用防火墙
防火墙策略不当
缺乏入侵检测软件
38
内部员工蓄意破坏
资产易遭破坏
建筑或房屋无访问控制
建筑或房屋弱访问控制
工作人员注重个人利益
工作人员无法律意识
工作人员法律意识弱
缺乏物理安全措施
39
未授权人员引用或带出数据
建筑或房屋无访问控制
建筑或房屋弱访问控制
信息资产威胁和脆弱性对应表
编号
威胁
脆弱性
1
地震
位于地震带,建筑物抗震结构差
位于地震带,建筑物抗震结构一般
无备份文件和系统
2
火灾
位于活在易发地区,资产易燃
位于活在易发地区,资产不易燃
位于火灾不易发生地区,资产易燃
无备份文件和系统
位于林区时周围无隔离带
3
水灾
位于水灾易发地区,资产易受潮
位于水灾易发地区,资产不易受潮
未使用防火墙
防火墙策略不当
不恰当的网络管理
24
拒绝服务攻击
操作系统存在漏洞
应用软件存在漏洞
未使用防火墙
防火墙策略不当
不恰当的网络管理
25
恶意代码
系统易受病毒感染
系统不易受病毒感染
未使用杀毒软件
未及时更新病毒防杀软件
缺乏入侵检测软件
对从Internet上下载和安装软件控制不当
缺乏打开邮件的附件的策略
缺乏对不扫描病毒使用软盘行为的控制策略
无消息发送和接受证据
20
罢工
无业务连续性规划和流程
无劳工协议
21
窃听
设备本身缺乏信息保护功能
采用共享式以太技术导致信息在本地广播
通讯未加密
22
窃取信息
工作人员无信息保护意识
工作人员注重个人利益
工作人员无法律意识
工作人员法律意识弱
工作人员无防病毒意识
工作人员防病毒意识弱
23
破坏性攻击
操作系统存在漏洞
应用软件存在漏洞
位于电子辐射的环境,设备易受电子辐射的影响
9
温度过度
位于温度易于过度的区域,资产易受温度影响
位于温度易于过度的区域,资产不易受温度影响
位于温度不易过度的区域,资产易受温度影响
环境监控不当
10
湿度过度
位于湿度易于过度的区域,资产易受潮
位于湿度易于过度的区域,资产不易受潮
位于湿度不易过度的区域,资产易受潮
无软件使用控制
33
软件的非法输入输出
工作人员操作不熟练
软件无合法数据验证机制
无软件使用控制
34
未授权的数据访问
采用共享式以太技术导致信息在本地广播
缺乏物理安全措施
通讯未加密
35
未授权的拨号访问
拨号进入网络不受限
拨号进入网络弱管理
缺乏物理安全措施
36
未授权使用存储介质
无数据访问控制
无硬件访问控制
缺乏物理安全措施
位于污染严重地区,设备不易受污染
位于污染不严重地区,设备易受污染
位于污染不严重地区,设备不易受污染
7
电子干扰
位于强电子干扰地区,设备易受电子干扰
位于强电子干扰地区,设备不易受电子干扰
位于若电子干扰地区,设备易受电子干扰
8
电磁辐射
位于电子辐射严重的环境,设备易受电子辐射影响
位于电子辐射严重的环境,设备不易受电子辐射影响
26
通讯渗透
设备本身缺乏信息保护功能
不易辨认身份的真伪
采用共享式以太技术导致信息在本地广播
缺乏物理安全措施
未标识发送者和接收者
无消息发送和接受证据
缺乏入侵检测软件
27
流量分析
设备本身缺乏信息保护功能
不易辨认身份的真伪
采用共享式以太技术导致信息在本地广播
缺乏物理安全措施
未标识发送者和接收者
无消息发送和接受证据
53
人员匮乏
人力资源部门和信息技术部门间缺乏沟通
54
用户失误
用户操作不熟练
55
供应故障
操作系统存在漏洞
应用软件存在漏洞
56
保养不当
工作人员无资产维护意识,没有维护常识
工作人员有资产维护意识,没有维护常识
工作人员无资产维护意识,有维护常识
缺乏入侵检测软件
28
系统入侵
工作人员无信息保护意识
弱密码管理
软件无身份验证机制
软件采用弱身份验证机制
系统易受病毒感染
系统不易受病毒感染
不易辨认身份的真伪
信息不易辨认真伪
无逻辑访问控制
29
系统渗透
工作人员无信息保护意识
弱密码管理
软件无身份验证机制
软件采用弱身份验证机制
系统易受病毒感染
系统不易受病毒感染
无防静电设备
环境监控不当
15
偷盗
建筑或房屋无访问控制
建筑或房屋弱访问控制
缺乏物理安全措施
16
诈骗
工作人员无信息保护意识
工作人员无法律意识
工作人员法律意识弱
不易辨认身份的真伪
信息不易辨认真伪
17
勒索
工作人员注重个人利益
18
恐怖分子袭击
缺乏物理安全措施
19
抵赖
不易辨认身份的真伪
信息不易辨认真伪
未标识发送者和接收者