信息安全的信息资产、威胁与脆弱性

信息安全的信息资产、威胁与脆弱性 信息安全的信息资产、威胁与脆弱性分类 A.1信息资产的分类 信息资产分类见表E.1。 表E.1 分类 数据信息资产分类示例保存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、 报告、用户手册、各类纸质的文档等 系统软件：操作系统、数据库管理系统、语句包、开发系统等 软件应用软件：办公软件、数据库软件、各类工具软件等 源程序：各种共享源代码、自行或合作开发的各种代码等 网络设备：路由器、网关、交换机等 计算机设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机等 存储设备：磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等 硬件传输线路：光纤、双绞线等 保障设备：UPS、变电设备、空调、保险柜、文件柜、门禁、消防设施等 安全设备：防火墙、入侵检测系统、身份鉴别等 其他：打印机、复印机、扫描仪、传真机等 信息服务：对外依赖该系统开展的各类服务 服务网络服务：各种网络设备、设施提供的网络连接服务 办公服务：为提高效率而开发的管理信息系统，包括各种内部配置管理、文件流转管理等服务 人员 其他掌握重要信息和核心业务的人员，如主机维护主管、网络维护主管及应用项目经理等企业形象、客户关系等 A.2威胁的分类 威胁分类见表E.2。 表E.2 种类描述 对业务实施或系统运行产生影威胁分类威胁子类设备硬件故障、传输设备故障、存储媒体故障、 系统软件故障、应用软件故障、数据库软件故障、开 发环境故障等 断电、静电、灰尘、潮湿、温度、洪灾、火灾、地震、 暴风雨、潮汐、污染、空调设备故障、鼠蚁虫害、电 磁干扰等 维护错误、操作失误、提供错误的指南或操作信息等软硬件故障响的设备硬件故障、通讯链路中断、系统本身或软件缺陷等问题对信息系统正常运行造成影响的物理环境问题和自然灾害应该执行而没有执行相应的操 作，或无意执行了错误的操作物理环境影响操作失误 种类 管理不到位描述无法落实或不到位，从 而破坏信息系统正常有序运行 故意在计算机系统上执行恶意 任务的程序代码 通过采用一些措施，超越自己的威胁子类和策略不完善、管理规程缺失、职责不明确、监督控管机制不健全等病毒、特洛伊木马、蠕虫、陷门、间谍软件、窃听软件、携带恶意软件的垃圾邮件、流氓安全软件、即时消息垃圾邮件等非授权访问网络资源、非授权访问系统资源、滥用权 限非正常修改系统配置或数据、滥用权限泄露秘密信 息、非授权使用存储介质等 网络探测和信息采集、漏洞探测、嗅探（账号、口令、恶意代码越权或滥用权限访问了本来无权访问的资源，或者滥用自己的权限，做出破坏信息系统的行为 网络攻击利用工具和技术通过网络对信 息系统进行攻击和入侵权限等）、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏、拒绝服务攻击、 僵尸网络、隐蔽式下载、名誉劫持、网络黑客的入侵 等 物理攻击 泄密通过物理的接触造成对软件、硬件、数据的破坏信息泄露给不应了解的他人 非法修改信息，破坏信息的完整物理接触、物理破坏、盗窃、勒索、罢工、内部员工蓄意破坏等内部信息泄露、外部信息泄露等篡改网络配置信息、篡改系统配置信息、篡改安全配 置信息、篡改用户身份信息或业务数据信息等篡改性使系统的安全性降低或信息 不可用 抵赖不承认收到的信息和所作的操 作和交易原发抵赖、接受抵赖、第三方抵赖等 A.3脆弱性的分类 脆弱性分类见表E.3。 表E.3脆弱性分类 类型识别对象 物理环境脆弱性子类机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通 讯线路的保护、机房区域防护、机房设备管理等 网络结构设计、网络传输加密、网络设备安全漏洞、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等 补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置（初始化）、注册表加固、网络安全、系统软件安全漏洞、软件安全功能管理等 补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、备份恢复机制、审计机制等 审计机制、审计存储、访问控制策略、数据完整性、通讯、鉴别机制、密码保护等安全、交易完整性、数据完整性等 物理和环境安全、通讯和操作管理、访问控制、系统开发与维护、业务连续性等网络结构服务器/系统软技术脆弱性件数据库应用系统应用中间件管理脆弱性技术管理 组织管理安全策略、组织安全、信息资产分类与控制、人员安全、符合性等