资产风险评估表

序号类别薄弱点威胁

1.环境和基础

设施

建筑物/门以及窗户缺少物理保护例如,可能会被偷窃这一威胁所利用

l对建筑物\房间物理进入控制不充分,或松懈可能会被故意损害这一威胁所利用

l电网不稳定可能会被功率波动这一威胁所利用

l所处位置容易受到洪水袭击可能会被洪水这一威胁所利用

2.硬件缺少定期替换计划可能会被存储媒体退化这一威胁所利用

l容易受到电压不稳定的侵扰可能会被功率波动这一威胁所利用

l容易受到温度变化的侵扰可能会温度的极端变化这一威胁所利用

l容易受到湿度、灰尘和污染的侵扰可能会被灰尘这一威胁所利用

l对电磁辐射的敏感性可能会被电磁辐射这一威胁所利用

l不充分的维护/存储媒体的错误安装可能会被维护失误这一威胁所利用

l缺少有效的配置变化控制可能会被操作职员失误这一威胁所利用

3.软件开发人员的说明不清楚或不完整可能会被软件故障这一威胁所利用

l没有软件测试或软件测试不充分可能会被未经授权许可的用户使用软件这一威

胁所利用

l复杂的用户界面可能会被操作职员失误这一威胁所利用

l缺少识别和鉴定机制，如：用户鉴定可能会被冒充用户身份这一威胁所利用

l缺少审核跟踪可能会被以未经授权许可的方式使用软件这一

威胁所利用

l软件中存在众所周知的缺陷可能会被软件未经许可的用户使用软件这一威

胁所利用

l口令表没有受到保护可能会被冒充用户身份这一威胁所利用

l口令管理较差（很容易被猜测，公开地存储口

令，不经常更改）

可能会被冒充用户身份这一威胁所利用

l访问权的错误分派可能会被以未经许可的方式使用软件这一威胁

所利用

l对下载和使用软件不进行控制可能会被恶意软件这一威胁所利用

l离开工作站没有注销用户可能会被未经许可的用户使用软件这一威胁所

利用

l缺少有效的变化控制可能会被软件故障这一威胁所利用

l缺少文件编制可能会被操作职员的失误这一威胁所利用

l缺少备份可能会被恶意软件或火灾这一威胁所利用

l没有适当的擦除而对存储媒体进行处理或重新

使用可能会被未经许可的用户使用软件这一威胁所利用

4.通讯通讯线路没有保护可能会被偷听这一威胁所利用

l电缆连接差可能会被通讯渗透这一威胁所利用

l对发件人和收件人缺少识别和鉴定可能会被冒充用户身份这一威胁所利用

l公开传送口令可能会被未经许可的用户接入网络这一威胁所

利用

l收发信息缺少验证可能会被否认这一威胁所利用

l拨号线路可能会被未经许可的用户接入网络这一威胁所

利用

l对敏感性通信不进行保护可能会被偷听这一威胁所利用

l网络管理不充分（路由的弹性）可能会被通信量超载这一威胁所利用

l公共网络连接没有保护可能会被未经许可的用户使用软件这一威胁所

利用

5.文件存储没有保护可能会被偷窃这一威胁所利用

l进行处理时缺少关注可能会被偷窃这一威胁所利用

l对拷贝没有进行控制可能会被偷窃这一威胁所利用

常见脆弱性

脆弱性识别内容表