信息资产威胁和脆弱性对应表

编号 1 2 3 4 5 6 7 8 9 地震 火灾 水灾 暴风雨 潮汐 污染 电子干扰 电磁辐射 温度过度 威胁 脆弱性 位于地震带，建筑物抗震结构差 位于地震带，建筑物抗震结构一般 无备份文件和系统 位于活在易发地区，资产易燃 位于活在易发地区，资产不易燃 位于火灾不易发生地区，资产易燃 无备份文件和系统 位于林区时周围无隔离带 位于水灾易发地区，资产易受潮 位于水灾易发地区，资产不易受潮 位于水灾不易发地区，资产易受潮 无备份文件和系统 位于暴风雨易发地区，资产易受水害 位于暴风雨易发地区，资产不易受潮 位于暴风雨不易发地区，资产易受潮 无备份文件和系统 位于潮汐易发地区，资产易遭水害 位于潮汐易发地区，资产不易遭水害 位于潮汐不易发地区，资产易遭水害 无备份文件和系统 位于污染严重地区，设备易受污染 位于污染严重地区，设备不易受污染 位于污染不严重地区，设备易受污染 位于污染不严重地区，设备不易受污染 位于强电子干扰地区，设备易受电子干扰 位于强电子干扰地区，设备不易受电子干扰 位于若电子干扰地区，设备易受电子干扰 位于电子辐射严重的环境，设备易受电子辐射影响 位于电子辐射严重的环境，设备不易受电子辐射影响 位于电子辐射的环境，设备易受电子辐射的影响 位于温度易于过度的区域，资产易受温度影响 位于温度易于过度的区域，资产不易受温度影响 位于温度不易过度的区域，资产易受温度影响 -1-

编号 10 11 12 13 14 15 16 17 18 19 湿度过度 威胁 环境监控不当 脆弱性 位于湿度易于过度的区域，资产易受潮 位于湿度易于过度的区域，资产不易受潮 位于湿度不易过度的区域，资产易受潮 环境监控不当 环境易断电，断电后造成轻微损失 环境易断电，断电后造成严重损失 环境不易断电，断电后造成轻微损失 环境不易断电，断电后造成严重损失 位于温度易于过度的区域，资产易受温度影响 位于温度易于过度的区域，资产不易受温度影响 位于温度不易过度的区域，资产易受温度影响 易受电压波动影响，已造成严重损失 轻微受电压波动影响，易造成严重损失 易受电压波动影响，不易造成严重损失 位于易产生静电环境，资产易受静电破坏 位于易产生静电环境，资产不易受静电破坏 位于不易产生静电环境，资产易受静电破坏 工作人员无资产维护意识，没有维护常识 工作人员有资产维护意识，没有维护常识 工作人员无资产维护意识，有维护常识 无防静电设备 环境监控不当 建筑或房屋无访问控制 建筑或房屋弱访问控制 缺乏物理安全措施 工作人员无信息保护意识 工作人员无法律意识 工作人员法律意识弱 不易辨认身份的真伪 信息不易辨认真伪 工作人员注重个人利益 缺乏物理安全措施 不易辨认身份的真伪 信息不易辨认真伪 未标识发送者和接收者 无消息发送和接受证据 -2-

电力供应故障 空调设备故障 电力波动 静电 偷盗 诈骗 勒索 袭击 抵赖 编号 20 21 22 23 24 25 26 27 罢工 窃听 窃取信息 威胁 无业务连续性规划和流程 无劳工协议 设备本身缺乏信息保护功能 脆弱性 采用共享式以太技术导致信息在本地广播 通讯未加密 工作人员无信息保护意识 工作人员注重个人利益 工作人员无法律意识 工作人员法律意识弱 工作人员无防病毒意识 工作人员防病毒意识弱 操作系统存在漏洞 应用软件存在漏洞 未使用防火墙 防火墙策略不当 不恰当的网络管理 操作系统存在漏洞 应用软件存在漏洞 未使用防火墙 防火墙策略不当 不恰当的网络管理 系统易受病毒感染 系统不易受病毒感染 未使用杀毒软件 未及时更新病毒防杀软件 缺乏入侵检测软件 对从Internet上下载和安装软件控制不当 缺乏打开邮件的附件的策略 缺乏对不扫描病毒使用软盘行为的控制策略 设备本身缺乏信息保护功能 不易辨认身份的真伪 采用共享式以太技术导致信息在本地广播 缺乏物理安全措施 未标识发送者和接收者 无消息发送和接受证据 缺乏入侵检测软件 设备本身缺乏信息保护功能 -3-

破坏性攻击 拒绝服务攻击 恶意代码 通讯渗透 流量分析 编号 28 29 30 31 32 系统入侵 系统渗透 系统篡改 资源滥用 威胁 不易辨认身份的真伪 脆弱性 采用共享式以太技术导致信息在本地广播 缺乏物理安全措施 未标识发送者和接收者 无消息发送和接受证据 缺乏入侵检测软件 工作人员无信息保护意识 弱密码管理 软件无身份验证机制 软件采用弱身份验证机制 系统易受病毒感染 系统不易受病毒感染 不易辨认身份的真伪 信息不易辨认真伪 无逻辑访问控制 工作人员无信息保护意识 弱密码管理 软件无身份验证机制 软件采用弱身份验证机制 系统易受病毒感染 系统不易受病毒感染 不易辨认身份的真伪 信息不易辨认真伪 无逻辑访问控制 弱密码管理 软件无身份验证机制 软件采用弱身份验证机制 操作系统存在漏洞 应用软件存在漏洞 无备份系统设置信息 缺乏物理安全措施 数据未加密 软件无复制 软件无安装次数 无软件使用控制 无数据访问控制 无劳工协议 -4-

对软件的非法更改 编号 33 34 35 36 37 38 39 40 威胁 无软件更新控制 无软件使用控制 工作人员操作不熟练 软件无合法数据验证机制 无软件使用控制 脆弱性 软件的非法输入输出 未授权的数据访问 未授权的拨号访问 未授权使用存储介质 web站点入侵 内部员工蓄意破坏 采用共享式以太技术导致信息在本地广播 缺乏物理安全措施 通讯未加密 拨号进入网络不受限 拨号进入网络弱管理 缺乏物理安全措施 无数据访问控制 无硬件访问控制 缺乏物理安全措施 操作系统存在漏洞 应用软件存在漏洞 未使用防火墙 防火墙策略不当 缺乏入侵检测软件 资产易遭破坏 建筑或房屋无访问控制 建筑或房屋弱访问控制 工作人员注重个人利益 工作人员无法律意识 工作人员法律意识弱 缺乏物理安全措施 未授权人员引用或带出数据 建筑或房屋无访问控制 内部人员身份假冒 建筑或房屋弱访问控制 工作人员注重个人利益 工作人员无法律意识 工作人员法律意识弱 无数据访问控制 无硬件访问控制 工作人员无法律意识 工作人员弱法律意识 弱密码管理 不易辨认身份的真伪 -5-

编号 41 42 43 44 45 46 47 48 49 50 51 52 威胁 内部人员出卖个人信息 外包操作失败 关键人员缺席 软件运行错误 软件的操作失误 软件设计错误 错误信息输入 提供给操作人员错误的指南信息 软件维护失误 硬件的操作失误 存储介质的故障 网络部件的技术故障 工作人员注重个人利益 工作人员无法律意识 工作人员法律意识弱 数据中心无物理安全措施 数据中心弱物理安全措施 脆弱性 无劳工协议，竞业禁止等保密要求 无业务一致性计划和流程 无文件和系统备份 外包协议中责任不清 无候选关键人 工作人员操作不熟练 操作系统存在漏洞 应用软件存在漏洞 工作人员操作不熟练 无软件使用控制 软件开发标准不当 没有良好的员工沟通 工作人员操作不熟练 软件无合法数据验证机制 文件匮乏 文档管理混乱 工作人员无资产维护意识，没有维护常识 工作人员有资产维护意识，没有维护常识 工作人员无资产维护意识，有维护常识 无软件更新控制 工作人员操作不熟练 设备易损坏 无硬件访问控制 缺乏物理安全措施 建筑或房屋无访问控制 建筑或房屋弱访问控制 设备易损坏 缺乏物理安全措施 工作人员无资产维护意识，没有维护常识 工作人员有资产维护意识，没有维护常识 工作人员无资产维护意识，有维护常识 -6-

编号 53 54 55 51 52 53 54 55 56 威胁 缺乏物理安全措施 无备份设施和流程 不恰当的网络管理 不恰当的事件处理 无备份设施和流程 不恰当的网络管理 不恰当的事件处理 脆弱性 通讯服务故障 流量过载 硬件维护失误 内部人员信息丢失 管理运营职工失误 人员匮乏 用户失误 供应故障 保养不当 工作人员无资产维护意识，没有维护常识 工作人员有资产维护意识，没有维护常识 工作人员无资产维护意识，有维护常识 缺乏物理安全措施 工作人员无信息保护意识 人事管理制度、保密协议不完善 企业无安全问题解决能力 企业安全问题解决能力弱 人力资源部门和信息技术部门间缺乏沟通 用户操作不熟练 操作系统存在漏洞 应用软件存在漏洞 工作人员无资产维护意识，没有维护常识 工作人员有资产维护意识，没有维护常识 工作人员无资产维护意识，有维护常识

-7-