威胁弱点参考清单
类别 | 威 胁 | 弱 点 |
服务 | 在未经授权的方式下使用网络的设备 | 不正确的使用软件和硬件 |
外部人员或清洁人员缺乏人员陪同作业 | ||
访问权限授与不当 | ||
建筑物、房间的物质进出控制的不足或不小心使用 | ||
缺少口令管理 | ||
缺乏安全警觉 | ||
缺乏监督机制 | ||
口令表未适当保护 | ||
缺乏审核轨迹 | ||
拨接线路未适当控管 | ||
离开工作站时没有”注销” | ||
识别与验证机制的不足 | ||
未经授权使用者的网络访问 | 不正确的使用软件和硬件 | |
访问权限授与不当 | ||
缺乏安全警觉 | ||
缺乏监督机制 | ||
拨接线路未适当控管 | ||
识别与验证机制的不足 | ||
讯息的错误路径 | 缺乏正确使用通讯设备与讯息控管的策略 | |
网络管理不足 | ||
讯息被绕道 | 缺乏正确使用通讯设备与讯息控管的策略 | |
网络管理不足 | ||
通讯服务的失效(例如:网络服务) | 没有做好维护的工作 | |
缺乏有效变更控制 | ||
缺乏监督机制 | ||
联机线缆失效 | ||
缺乏审核轨迹 | ||
维护服务响应时间过长 | ||
通讯渗透 | 未保护敏感性数据的传输 | |
未保护通讯线路 | ||
缺乏正确使用通讯设备与讯息控管的策略 | ||
缺乏安全警觉 | ||
损害到线路 | 联机线缆失效 | |
网络组件的失效 | 不正确使用软件及硬件 | |
没有作好维护的工作 | ||
缺乏有效变更控制 | ||
缺乏监督机制 | ||
维护服务响应时间过长 | ||
网络效能低落 | 缺乏正确使用通讯设备与讯息控管的策略 | |
缺乏监督机制 | ||
窃听 | 未保护敏感性数据的传输 | |
未保护通讯线路 | ||
缺乏正确使用通讯设备与讯息控管的政策 | ||
缺乏安全警觉 | ||
口令传输未加密保护 | ||
火灾 | 人员安全训练不足 | |
缺乏建筑物、门、窗等物质的保护 | ||
存储易燃物 | ||
失窃 | 建筑物、房间的物质进出控制的不足或不小心使用 | |
缺乏安全警觉 | ||
缺乏建筑物、门、窗等物质的保护 | ||
识别与验证机制的不足 | ||
地震 | 缺乏建筑物、门、窗等物质的保护 | |
灰尘 | 容易潮湿、有灰尘、秽物 | |
空调失效 | 没有作好维护的工作 | |
维护服务响应时间过长 | ||
炸弹攻击 | 缺乏建筑物、门、窗等物质的保护 | |
闪电 | 缺乏建筑物、门、窗等物质的保护 | |
停电 | 不稳定的供电 | |
淹水 | 位于容易淹水的区域 | |
容易潮湿、有灰尘、秽物 | ||
群众运动(例如:罢工) | 缺乏建筑物、门、窗等物质的保护 | |
电源不稳定 | 不稳定的电压 | |
电磁辐射 | 易受电磁辐射影响 | |
台风 | 缺乏建筑物、门、窗等物质的保护 | |
静电的累积 | 易受电磁辐射影响 | |
信息 | 未适当控管储存介质的访问 | 人员安全训练不足 |
人员评选程序不够严谨 | ||
未保护存储文件 | ||
访问权限授与不当 | ||
缺乏安全警觉 | ||
储存介质内的数据没有适当删除就丢弃或重复使用 | ||
识别与验证机制的不足 | ||
硬件 | 不当维护 | 不正确的使用软件和硬件 |
文件化管理的缺乏或不足 | ||
缺乏有效的变更控制 | ||
缺乏监督机制 | ||
专业训练不足 | ||
复杂的使用者接口 | ||
硬件失效 | 不正确的使用软件和硬件 | |
没有作好维护的工作 | ||
缺乏有效变更控制 | ||
缺乏硬件耗损控管 | ||
专业训练不足 | ||
维护服务响应时间过长 | ||
存储介质的劣化 | 缺乏数据(数据,程序与文件)备份 | |
存储介质维护不足/安装瑕疵 | ||
人员 | 人员不足 | 人员的权责分工不当(人力不足) |
不当之人员异动(离职或故意挖角) | 工作负荷过重 | |
公司前景未明(公司、产业) | ||
福利制度不佳(薪资过低)、奖惩考核制度不当 | ||
失窃 | 人员安全训练不足 | |
人员评选程序不严谨 | ||
外部人员或清洁人员缺乏人员陪同作业 | ||
未保护储存文件 | ||
未经控管之数据复制 | ||
缺乏安全警觉 | ||
资料销毁时的不注意 | ||
机密数据的外泄 ( E-mail or 存储介质) | ||
存储介质内的数据没有适当删除就丢弃或重复使用 | ||
使用者错误 | 文件化管理之缺乏或不足 | |
访问权限授与不当 | ||
缺少口令管理 | ||
缺乏安全警觉 | ||
复杂的使用者接口 | ||
机密数据的外泄 ( E-mail or 存储介质) | ||
缺乏审核轨迹 | ||
故意的破坏 | 人员安全训练不足 | |
建筑物、房间的物质进出控制的不足或不小心使用 | ||
缺乏安全警觉 | ||
识别与认证机制的不足(非驻点人员不适用) | ||
能力不足 | 人员评选程序不够严谨 | |
专业训练不足 | ||
伪装成使用者身份 | 人员安全训练不足 | |
外部人员或清洁人员缺乏人员陪同作业(内部人员不适用) | ||
缺乏安全警觉 | ||
离开工作站时没有”注销” | ||
软件非法的输入/输出 | 人员安全训练不足 | |
未控管的软件使用和下载 | ||
缺乏安全警觉 | ||
资源的错误使用 | 人员安全训练不足 | |
访问权限授与不当 | ||
建筑物、房间的物质进出控制的不足或不小心使用 | ||
缺乏安全警觉 | ||
缺乏严谨的数据处理程序 | ||
随意的复印 | ||
操作人员的错误 | 不正确的使用软件和硬件 | |
文件化管理之缺乏或不足 | ||
缺乏安全警觉 | ||
缺乏数据(数据,程序与文件)备份 | ||
缺乏监督机制 | ||
专业训练不足 | ||
机密数据的外泄 ( E-mail or 储存媒体) | ||
软件 | 未经授权的使用者使用软件 | 不当使用拨接连线功能 |
未保护公共网络的连接 | ||
访问权限授与不当 | ||
缺少口令管理 | ||
缺乏监督机制 | ||
缺乏审核轨迹 | ||
离开工作站时没有”注销” | ||
识别与验证机制的不足 | ||
在未经授权的方式下使用软件 | 已知的软件瑕疵 | |
访问权限授与不当 | ||
缺乏安全警觉 | ||
缺乏监督机制 | ||
缺乏审核轨迹 | ||
否认性 | 缺乏正确使用通讯设备与讯息控管的政策 | |
缺乏传送或接收讯息的证据 | ||
缺乏传送者与接收者的识别与认证 | ||
非法使用软件 | 未控管的软件使用和下载 | |
访问权限授与不当 | ||
缺乏安全警觉 | ||
软件失效 | 已知的软件瑕疵 | |
不正确的使用软件和硬件 | ||
文件化管理的缺乏或不足 | ||
没有软件测试或软件测试不够 | ||
缺乏有效变更控制 | ||
缺乏数据(数据,程序与文件)备份 | ||
专业训练不足 | ||
开发者的规范不清楚或不完整 | ||
复杂的使用者界面 | ||
恶意的软件 | 人员安全训练不足 | |
已知的软件瑕疵 | ||
未控管的软件使用和下载 | ||
没有软件测试或软件测试不够 | ||
缺乏安全警觉 | ||
缺乏有效软件变更控制 | ||
机密数据的外泄 ( E-mail or 存储介质) |
沪公网安备 31010502000282号