《信息资产威胁和脆弱性对应表》由会员分享,可在线阅读,更多相关《信息资产威胁和脆弱性对应表(7页珍藏版)》请在金锄头文库上搜索。
1、信息资产威胁和脆弱性对应表编号威胁脆弱性1地震位于地震带,建筑物抗震结构差位于地震带,建筑物抗震结构一般无备份文件和系统2火灾位于活在易发地区,资产易燃位于活在易发地区,资产不易燃位于火灾不易发生地区,资产易燃无备份文件和系统位于林区时周围无隔离带3水灾位于水灾易发地区,资产易受潮位于水灾易发地区,资产不易受潮位于水灾不易发地区,资产易受潮无备份文件和系统4暴风雨位于暴风雨易发地区,资产易受水害位于暴风雨易发地区,资产不易受潮位于暴风雨不易发地区,资产易受潮无备份文件和系统5潮汐位于潮汐易发地区,资产易遭水害位于潮汐易发地区,资产不易遭水害位于潮汐不易发地区,资产易遭水害无备份文件和系统6污染
2、位于污染严重地区,设备易受污染位于污染严重地区,设备不易受污染位于污染不严重地区,设备易受污染位于污染不严重地区,设备不易受污染7电子干扰位于强电子干扰地区,设备易受电子干扰位于强电子干扰地区,设备不易受电子干扰位于若电子干扰地区,设备易受电子干扰8电磁辐射位于电子辐射严重的环境,设备易受电子辐射影响位于电子辐射严重的环境,设备不易受电子辐射影响位于电子辐射的环境,设备易受电子辐射的影响9温度过度位于温度易于过度的区域,资产易受温度影响位于温度易于过度的区域,资产不易受温度影响位于温度不易过度的区域,资产易受温度影响环境监控不当10湿度过度位于湿度易于过度的区域,资产易受潮位于湿度易于过度的区
3、域,资产不易受潮位于湿度不易过度的区域,资产易受潮环境监控不当11电力供应故障环境易断电,断电后造成轻微损失环境易断电,断电后造成严重损失环境不易断电,断电后造成轻微损失环境不易断电,断电后造成严重损失12空调设备故障位于温度易于过度的区域,资产易受温度影响位于温度易于过度的区域,资产不易受温度影响位于温度不易过度的区域,资产易受温度影响13电力波动易受电压波动影响,已造成严重损失轻微受电压波动影响,易造成严重损失易受电压波动影响,不易造成严重损失14静电位于易产生静电环境,资产易受静电破坏位于易产生静电环境,资产不易受静电破坏位于不易产生静电环境,资产易受静电破坏工作人员无资产维护意识,没有
4、维护常识工作人员有资产维护意识,没有维护常识工作人员无资产维护意识,有维护常识无防静电设备环境监控不当15偷盗建筑或房屋无访问控制建筑或房屋弱访问控制缺乏物理安全措施16诈骗工作人员无信息保护意识工作人员无法律意识工作人员法律意识弱不易辨认身份的真伪信息不易辨认真伪17勒索工作人员注重个人利益18恐怖分子袭击缺乏物理安全措施19抵赖不易辨认身份的真伪信息不易辨认真伪未标识发送者和接收者无消息发送和接受证据20罢工无业务连续性规划和流程无劳工协议21窃听设备本身缺乏信息保护功能采用共享式以太技术导致信息在本地广播通讯未加密22窃取信息工作人员无信息保护意识工作人员注重个人利益工作人员无法律意识工
5、作人员法律意识弱工作人员无防病毒意识工作人员防病毒意识弱23破坏性攻击操作系统存在漏洞应用软件存在漏洞未使用防火墙防火墙策略不当不恰当的网络管理24拒绝服务攻击操作系统存在漏洞应用软件存在漏洞未使用防火墙防火墙策略不当不恰当的网络管理25恶意代码系统易受病毒感染系统不易受病毒感染未使用杀毒软件未及时更新病毒防杀软件缺乏入侵检测软件对从Internet上下载和安装软件控制不当缺乏打开邮件的附件的策略缺乏对不扫描病毒使用软盘行为的控制策略26通讯渗透设备本身缺乏信息保护功能不易辨认身份的真伪采用共享式以太技术导致信息在本地广播缺乏物理安全措施未标识发送者和接收者无消息发送和接受证据缺乏入侵检测软件
6、27流量分析设备本身缺乏信息保护功能不易辨认身份的真伪采用共享式以太技术导致信息在本地广播缺乏物理安全措施未标识发送者和接收者无消息发送和接受证据缺乏入侵检测软件28系统入侵工作人员无信息保护意识弱密码管理软件无身份验证机制软件采用弱身份验证机制系统易受病毒感染系统不易受病毒感染不易辨认身份的真伪信息不易辨认真伪无逻辑访问控制29系统渗透工作人员无信息保护意识弱密码管理软件无身份验证机制软件采用弱身份验证机制系统易受病毒感染系统不易受病毒感染不易辨认身份的真伪信息不易辨认真伪无逻辑访问控制30系统篡改弱密码管理软件无身份验证机制软件采用弱身份验证机制操作系统存在漏洞应用软件存在漏洞无备份系统设
7、置信息缺乏物理安全措施31资源滥用数据未加密软件无复制限制软件无安装次数限制无软件使用控制无数据访问控制32对软件的非法更改无劳工协议无软件更新控制无软件使用控制33软件的非法输入输出工作人员操作不熟练软件无合法数据验证机制无软件使用控制34未授权的数据访问采用共享式以太技术导致信息在本地广播缺乏物理安全措施通讯未加密35未授权的拨号访问拨号进入网络不受限拨号进入网络弱管理缺乏物理安全措施36未授权使用存储介质无数据访问控制无硬件访问控制缺乏物理安全措施37web站点入侵操作系统存在漏洞应用软件存在漏洞未使用防火墙防火墙策略不当缺乏入侵检测软件38内部员工蓄意破坏资产易遭破坏建筑或房屋无访问控
8、制建筑或房屋弱访问控制工作人员注重个人利益工作人员无法律意识工作人员法律意识弱缺乏物理安全措施39未授权人员引用或带出数据建筑或房屋无访问控制建筑或房屋弱访问控制工作人员注重个人利益工作人员无法律意识工作人员法律意识弱无数据访问控制无硬件访问控制40内部人员身份假冒工作人员无法律意识工作人员弱法律意识弱密码管理不易辨认身份的真伪41内部人员出卖个人信息工作人员注重个人利益工作人员无法律意识工作人员法律意识弱数据中心无物理安全措施数据中心弱物理安全措施无劳工协议,竞业禁止等保密要求42外包操作失败无业务一致性计划和流程无文件和系统备份外包协议中责任不清43关键人员缺席无候选关键人44软件运行错误
9、工作人员操作不熟练操作系统存在漏洞应用软件存在漏洞45软件的操作失误工作人员操作不熟练无软件使用控制46软件设计错误软件开发标准不当没有良好的员工沟通47错误信息输入工作人员操作不熟练软件无合法数据验证机制48提供给操作人员错误的指南信息文件匮乏文档管理混乱49软件维护失误工作人员无资产维护意识,没有维护常识工作人员有资产维护意识,没有维护常识工作人员无资产维护意识,有维护常识无软件更新控制50硬件的操作失误工作人员操作不熟练设备易损坏无硬件访问控制缺乏物理安全措施51存储介质的故障建筑或房屋无访问控制建筑或房屋弱访问控制设备易损坏缺乏物理安全措施52网络部件的技术故障工作人员无资产维护意识,
10、没有维护常识工作人员有资产维护意识,没有维护常识工作人员无资产维护意识,有维护常识缺乏物理安全措施53通讯服务故障无备份设施和流程不恰当的网络管理不恰当的事件处理54流量过载无备份设施和流程不恰当的网络管理不恰当的事件处理55硬件维护失误工作人员无资产维护意识,没有维护常识工作人员有资产维护意识,没有维护常识工作人员无资产维护意识,有维护常识缺乏物理安全措施51内部人员信息丢失工作人员无信息保护意识人事管理制度、保密协议不完善52管理运营职工失误企业无安全问题解决能力企业安全问题解决能力弱53人员匮乏人力资源部门和信息技术部门间缺乏沟通54用户失误用户操作不熟练55供应故障操作系统存在漏洞应用软件存在漏洞56保养不当工作人员无资产维护意识,没有维护常识工作人员有资产维护意识,没有维护常识工作人员无资产维护意识,有维护常识-7-
