信息安全安全的信息資產(chǎn)、威脅與脆弱性分類

1、PAGE3信息安全的信息資產(chǎn)、威脅與脆弱性分類信息資產(chǎn)的分類信息資產(chǎn)分類見表。信息資產(chǎn)分類分類示例數(shù)據(jù)保存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、運行管理規(guī)程、計劃報告、用戶手冊、各類紙質(zhì)的文檔等軟件系統(tǒng)軟件：操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、語句包、開發(fā)系統(tǒng)等應(yīng)用軟件：辦公軟件、數(shù)據(jù)庫軟件、各類工具軟件等源程序：各種共享源代碼、自行或合作開發(fā)的各種代碼等硬件網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機等計算機設(shè)備：大型機、小型機、服務(wù)器、工作站、臺式計算機、便攜計算機等存儲設(shè)備：磁帶機、磁盤陣列、磁帶、光盤、軟盤、移動硬盤等傳輸線路：光纖、雙絞線等保障設(shè)備：UPS、變電設(shè)備、空調(diào)、保險柜、文

2、件柜、門禁、消防設(shè)施等安全設(shè)備：防火墻、入侵檢測系統(tǒng)、身份鑒別等其他：打印機、復(fù)印機、掃描儀、傳真機等服務(wù)信息服務(wù)：對外依賴該系統(tǒng)開展的各類服務(wù)網(wǎng)絡(luò)服務(wù)：各種網(wǎng)絡(luò)設(shè)備、設(shè)施提供的網(wǎng)絡(luò)連接服務(wù)辦公服務(wù)：為提高效率而開發(fā)的管理信息系統(tǒng)，包括各種內(nèi)部配置管理、文件流轉(zhuǎn)管理等服務(wù)人員掌握重要信息和核心業(yè)務(wù)的人員，如主機維護(hù)主管、網(wǎng)絡(luò)維護(hù)主管及應(yīng)用項目經(jīng)理等其他企業(yè)形象、客戶關(guān)系等威脅的分類威脅分類見表。威脅分類種類描述威脅子類軟硬件故障對業(yè)務(wù)實施或系統(tǒng)運行產(chǎn)生影響的設(shè)備硬件故障、通訊鏈路中斷、系統(tǒng)本身或軟件缺陷等問題設(shè)備硬件故障、傳輸設(shè)備故障、存儲媒體故障、 系統(tǒng)軟件故障、應(yīng)用軟件故障、數(shù)據(jù)庫軟件故障

3、、開發(fā)環(huán)境故障等物理環(huán)境影響對信息系統(tǒng)正常運行造成影響的物理環(huán)境問題和自然災(zāi)害斷電、靜電、灰塵、潮濕、溫度、洪災(zāi)、火災(zāi)、地震、暴風(fēng)雨、潮汐、污染、空調(diào)設(shè)備故障、鼠蟻蟲害、電磁干擾等 操作失誤應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作，或無意執(zhí)行了錯誤的操作維護(hù)錯誤、操作失誤、提供錯誤的指南或操作信息等管理不到位安全管理無法落實或不到位，從而破壞信息系統(tǒng)正常有序運行管理制度和策略不完善、管理規(guī)程缺失、職責(zé)不明確、監(jiān)督控管機制不健全等惡意代碼故意在計算機系統(tǒng)上執(zhí)行惡意任務(wù)的程序代碼病毒、特洛伊木馬、蠕蟲、陷門、間諜軟件、竊聽軟件、攜帶惡意軟件的垃圾郵件、流氓安全軟件、即時消息垃圾郵件等越權(quán)或濫用通過采用一些措施

4、，超越自己的權(quán)限訪問了本來無權(quán)訪問的資源，或者濫用自己的權(quán)限，做出破壞信息系統(tǒng)的行為非授權(quán)訪問網(wǎng)絡(luò)資源、非授權(quán)訪問系統(tǒng)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)、濫用權(quán)限泄露秘密信息、非授權(quán)使用存儲介質(zhì)等網(wǎng)絡(luò)攻擊利用工具和技術(shù)通過網(wǎng)絡(luò)對信息系統(tǒng)進(jìn)行攻擊和入侵網(wǎng)絡(luò)探測和信息采集、漏洞探測、嗅探（賬號、口令、權(quán)限等）、用戶身份偽造和欺騙、用戶或業(yè)務(wù)數(shù)據(jù)的竊取和破壞、系統(tǒng)運行的控制和破壞、拒絕服務(wù)攻擊、僵尸網(wǎng)絡(luò)、隱蔽式下載、名譽劫持、網(wǎng)絡(luò)黑客的入侵等物理攻擊通過物理的接觸造成對軟件、硬件、數(shù)據(jù)的破壞物理接觸、物理破壞、盜竊、勒索、罷工、內(nèi)部員工蓄意破壞等泄密信息泄露給不應(yīng)了解的他人內(nèi)部信息泄露、外部信息

5、泄露等篡改非法修改信息，破壞信息的完整性使系統(tǒng)的安全性降低或信息不可用篡改網(wǎng)絡(luò)配置信息、篡改系統(tǒng)配置信息、篡改安全配置信息、篡改用戶身份信息或業(yè)務(wù)數(shù)據(jù)信息等抵賴不承認(rèn)收到的信息和所作的操作和交易原發(fā)抵賴、接受抵賴、第三方抵賴等脆弱性的分類脆弱性分類見表。脆弱性分類類型識別對象脆弱性子類技術(shù)脆弱性物理環(huán)境機房場地、機房防火、機房供配電、機房防靜電、機房接地與防雷、電磁防護(hù)、通訊線路的保護(hù)、機房區(qū)域防護(hù)、機房設(shè)備管理等網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計、網(wǎng)絡(luò)傳輸加密、網(wǎng)絡(luò)設(shè)備安全漏洞、邊界保護(hù)、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備安全配置等服務(wù)器/系統(tǒng)軟件補丁安裝、物理保護(hù)、用戶帳號、口令策略、資源共享、事件審計、訪問控制、新系統(tǒng)配置（初始化）、注冊表加固、網(wǎng)絡(luò)安全、系統(tǒng)軟件安全漏洞、軟件安全功能管理等數(shù)據(jù)庫補丁安裝、鑒別機制、口令機制、訪問控制、網(wǎng)絡(luò)和服務(wù)設(shè)置、備份恢復(fù)機制、審計機制等應(yīng)用系統(tǒng)審計機制、審計存儲、訪問控制策略、數(shù)據(jù)完整性、通訊、鑒別機制、密碼保護(hù)等應(yīng)用中間件協(xié)議安全、交易完