【正文】 15分鐘2小時(shí)4小時(shí) 安全事件的定義安全事件是指計(jì)算機(jī)或網(wǎng)絡(luò)設(shè)備系統(tǒng)的硬件、軟件、數(shù)據(jù)因非法攻擊或病毒入侵等安全原因而遭到破壞、更改、泄漏造成系統(tǒng)不能連續(xù)正常運(yùn)行，或已經(jīng)發(fā)現(xiàn)的有可能造成上述現(xiàn)象的安全隱患。15分鐘30分鐘1小時(shí)嚴(yán)重某個(gè)業(yè)務(wù)部分不可用，某個(gè)區(qū)域出現(xiàn)流量嚴(yán)重異常或癱瘓，網(wǎng)站訪問速度嚴(yán)重變慢等。滲透測(cè)試提供滲透測(cè)試報(bào)告。216。 《XX系統(tǒng)網(wǎng)絡(luò)設(shè)備安全配置檢查報(bào)告》根據(jù)集團(tuán)公司設(shè)備安全配置規(guī)范，對(duì)專業(yè)網(wǎng)絡(luò)的設(shè)備進(jìn)行安全配置檢查，提供設(shè)備配置符合程度和分析報(bào)告。 《XX系統(tǒng)網(wǎng)絡(luò)安全漏洞掃描報(bào)告》采用認(rèn)可的安全漏洞掃描設(shè)備對(duì)專業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)進(jìn)行脆弱性安全檢查和分析，提供原始掃描報(bào)告以及漏洞對(duì)應(yīng)表。報(bào)告應(yīng)采用數(shù)字和圖表的方式向系統(tǒng)管理人員和系統(tǒng)維護(hù)人員提供了宏觀的風(fēng)險(xiǎn)分布狀況。216。 安全風(fēng)險(xiǎn)評(píng)估報(bào)告在完成安全風(fēng)險(xiǎn)評(píng)估后，我方將提供相關(guān)資料和過程文檔：216。 其它人工評(píng)估只對(duì)被評(píng)估對(duì)象進(jìn)行運(yùn)行狀態(tài)和配置檢查，因此不會(huì)對(duì)現(xiàn)有信息系統(tǒng)上的其他設(shè)備和資源帶來任何影響，而對(duì)被評(píng)估對(duì)象的資源占用也小于工具評(píng)估。 系統(tǒng)備份及恢復(fù)216。 系統(tǒng)配置文件216。 文件系統(tǒng)216。 系統(tǒng)補(bǔ)丁216。人工評(píng)估主要是依靠具有豐富經(jīng)驗(yàn)的安全專家來進(jìn)行的。 人工評(píng)估工具掃描因?yàn)槠涔潭ǖ哪０?，適用的范圍，特定的運(yùn)行環(huán)境，以及它的缺乏智能性等諸多因素，因而有著很大的局限性；而人工評(píng)估與工具掃描相結(jié)合，可以完成許多工具所無法完成的事情，從而得出全面的、客觀的評(píng)估結(jié)果。 風(fēng)險(xiǎn)與應(yīng)對(duì)措施在掃描過程中盡量避免使用含有拒絕服務(wù)類型的掃描方式，而主要采用人工檢查的方法來發(fā)現(xiàn)系統(tǒng)可能存在的拒絕服務(wù)漏洞。 對(duì)現(xiàn)有信息系統(tǒng)資源的影響網(wǎng)絡(luò)掃描評(píng)估以網(wǎng)絡(luò)為基礎(chǔ)進(jìn)行，掃描控制臺(tái)通過網(wǎng)絡(luò)對(duì)被評(píng)估對(duì)象進(jìn)行安全評(píng)估，因此這種掃描方式主要消耗一定的網(wǎng)絡(luò)帶寬資源，并對(duì)被評(píng)估的對(duì)象消耗很小一部分的網(wǎng)絡(luò)連接的資源，對(duì)于其他的資源沒有特殊的。 掃描評(píng)估方案的制定為將掃描評(píng)估對(duì)信息系統(tǒng)的影響減低到最小，并取得較好的掃描評(píng)估效果，在掃描之前制定符合實(shí)際要的掃描評(píng)估方案顯得十分重要，方案將從工具選擇、評(píng)估對(duì)象選擇、評(píng)估時(shí)間、評(píng)估人員、報(bào)告數(shù)據(jù)形式、系統(tǒng)備份和風(fēng)險(xiǎn)規(guī)避和應(yīng)對(duì)等方面來保證掃描評(píng)估的可靠運(yùn)行。 工具評(píng)估的原理掃描評(píng)估主要是根據(jù)已有的安全漏洞知識(shí)庫，模擬黑客的攻擊方法，檢測(cè)網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等各種信息資產(chǎn)所存在的安全隱患和漏洞。 工具評(píng)估工具評(píng)估最突出的優(yōu)點(diǎn)是評(píng)估工作可由軟件來自動(dòng)進(jìn)行，速度快，效率高。決策者可以在繼續(xù)處置要的成本和風(fēng)險(xiǎn)之間進(jìn)行抉擇。手段包括合同、保險(xiǎn)安排、合伙、資產(chǎn)轉(zhuǎn)移等。這和“降低風(fēng)險(xiǎn)可能性”一起，可以達(dá)到減小風(fēng)險(xiǎn)的目的，也成為“風(fēng)險(xiǎn)控制”。：在某些情況下，可以決定通過合同、規(guī)范、法律、監(jiān)察、管理、測(cè)試、技術(shù)開發(fā)、技術(shù)控制等措施來減小風(fēng)險(xiǎn)的可能性，來達(dá)到減小風(fēng)險(xiǎn)的目的。建議的風(fēng)險(xiǎn)處置措施一般如下所示：：在某些情況下，可以決定不繼續(xù)進(jìn)行可能產(chǎn)生風(fēng)險(xiǎn)的活動(dòng)來回避風(fēng)險(xiǎn)。尊照的處置原則見下表：數(shù)值符號(hào)含義建議處置方法備注65125H高風(fēng)險(xiǎn)要高級(jí)管理部門的注意：避免？轉(zhuǎn)移？減??？要具體資產(chǎn)信息3565M中等風(fēng)險(xiǎn)規(guī)定管理責(zé)任：避免？接受？轉(zhuǎn)移？減??？要具體資產(chǎn)信息135L低風(fēng)險(xiǎn)用日常程序處理：避免？接受？轉(zhuǎn)移？減??？要具體資產(chǎn)信息選擇處置措施的原則是權(quán)衡利弊：權(quán)衡每種選擇的成本與其得到的利益。我們采用下面的算式來得到資產(chǎn)的風(fēng)險(xiǎn)值：風(fēng)險(xiǎn)值=資產(chǎn)價(jià)值威脅可能性弱點(diǎn)嚴(yán)重性根據(jù)計(jì)算出的風(fēng)險(xiǎn)值，對(duì)風(fēng)險(xiǎn)進(jìn)行排序，并與客戶公共選擇風(fēng)險(xiǎn)的處置方式和風(fēng)險(xiǎn)的安全對(duì)策。從上述的定義可以看出，風(fēng)險(xiǎn)評(píng)估的策略是首先選定某項(xiàng)資產(chǎn)、評(píng)估資產(chǎn)價(jià)值、挖掘并評(píng)估資產(chǎn)面臨的威脅、挖掘并評(píng)估資產(chǎn)存在的弱點(diǎn)、評(píng)估該資產(chǎn)的風(fēng)險(xiǎn)、進(jìn)而得出整個(gè)評(píng)估目標(biāo)的風(fēng)險(xiǎn)。安全風(fēng)險(xiǎn)評(píng)估流程見下圖： 安全風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)是一種潛在可能性，是指某個(gè)威脅利用弱點(diǎn)引起某項(xiàng)資產(chǎn)或一組資產(chǎn)的損害，從而直接地或間接地引起企業(yè)或機(jī)構(gòu)的損害。 安全風(fēng)險(xiǎn)評(píng)估技術(shù)根據(jù)實(shí)踐經(jīng)驗(yàn)，要結(jié)合多種安全評(píng)估方法才能盡可能深入的了解評(píng)估對(duì)象的安全現(xiàn)狀。賦值標(biāo)準(zhǔn)參照下表。這些弱點(diǎn)即使被威脅利用也不會(huì)引起嚴(yán)重影響。一般為不能直接利用產(chǎn)生超級(jí)用戶權(quán)限獲取，機(jī)密系統(tǒng)文件讀寫，系統(tǒng)崩潰等影響的216。216。在CVE和業(yè)界大多數(shù)的掃描器中關(guān)于技術(shù)性弱點(diǎn)的嚴(yán)重性定義中，都是指可能引發(fā)的影響的嚴(yán)重性，它們一般分為高、中、低三個(gè)等級(jí)，其簡(jiǎn)單定義如下：216。 符合性安全標(biāo)準(zhǔn)：不違反法律以及任何安全，對(duì)信息系統(tǒng)是否符合安全策略進(jìn)行檢查和技術(shù)評(píng)審。 業(yè)務(wù)連續(xù)性安全標(biāo)準(zhǔn)：防止業(yè)務(wù)活動(dòng)中斷，保證重要業(yè)務(wù)流程不受重大故障和災(zāi)難的影響；應(yīng)該實(shí)施業(yè)務(wù)連續(xù)性管理程序，預(yù)防和恢復(fù)控制相結(jié)合，將災(zāi)難和安全故障造成的影響降低到可以接受的水平；應(yīng)該制定和實(shí)施應(yīng)急計(jì)劃，確保能夠在的時(shí)間內(nèi)恢復(fù)業(yè)務(wù)流程。 系統(tǒng)開發(fā)維護(hù)安全標(biāo)準(zhǔn)：保證在開發(fā)和維護(hù)網(wǎng)絡(luò)應(yīng)用系統(tǒng)過程的安全。 訪問控制安全標(biāo)準(zhǔn)：加強(qiáng)用戶訪問管理和用戶責(zé)任，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)、操作系統(tǒng)、應(yīng)用程序、監(jiān)控系統(tǒng)和遠(yuǎn)程工作的訪問控制和權(quán)限管理，防止信息資產(chǎn)的非法訪問。 日常運(yùn)行管理安全標(biāo)準(zhǔn)：制定網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)的操作程序和維護(hù)責(zé)任，制定系統(tǒng)規(guī)劃與驗(yàn)收、防止惡意軟件、內(nèi)部處理、網(wǎng)絡(luò)管理、介質(zhì)處理與安全和信息交換等安全操作規(guī)程，并依據(jù)這些規(guī)程進(jìn)行日常運(yùn)行維護(hù)，確保信息系統(tǒng)正常提供服務(wù)。 物理環(huán)境安全標(biāo)準(zhǔn)：防止對(duì)機(jī)房和辦公場(chǎng)所以及信息資產(chǎn)的非法訪問和破壞，防止資產(chǎn)流失、受損或毀壞以及業(yè)務(wù)中斷，防止信息或信息處理設(shè)施受損或被盜，提供設(shè)備正常運(yùn)行所必的電源、溫度、濕度、防水、防塵等運(yùn)行環(huán)境。 人員安全標(biāo)準(zhǔn)：降低設(shè)施誤操作、偷竊或?yàn)E用等方面的人為風(fēng)險(xiǎn)，切實(shí)遵守安全策略，最大限度降低由于事故和故障而遭受的損失，對(duì)此類事故進(jìn)行監(jiān)控并吸取教訓(xùn)。 資產(chǎn)管理標(biāo)準(zhǔn)：對(duì)信息資產(chǎn)進(jìn)行識(shí)別和分類，根據(jù)資產(chǎn)的機(jī)密性、完整性和可用性進(jìn)行賦值，對(duì)信息資產(chǎn)貼標(biāo)簽，維護(hù)最新的信息資產(chǎn)清單，使重要的信息資產(chǎn)得到適當(dāng)?shù)谋Ｗo(hù)。 組織安全標(biāo)準(zhǔn)：建立健全的安全組織，維護(hù)第三方訪問的安全和外包服務(wù)的安全，為信息系統(tǒng)安全提供基本保證。 安全策略標(biāo)準(zhǔn)：制定和推行信息安全策略，提供管理指導(dǎo)，保證信息安全；管理層應(yīng)制定一個(gè)明確的安全策略方向，并通過在整個(gè)組織中發(fā)布和維護(hù)信息安全策略，表明自己對(duì)信息安全的支持和保護(hù)責(zé)任。 安全管理脆弱性評(píng)估安全管理的目標(biāo)是確保建立了完備的、標(biāo)準(zhǔn)化的管理程序并遵照安全管理程序進(jìn)行安全運(yùn)作。 數(shù)據(jù)可用性：數(shù)據(jù)要良好存儲(chǔ)、備份。 數(shù)據(jù)完整性：數(shù)據(jù)有完整性校驗(yàn)機(jī)制，避免數(shù)據(jù)被竄改。 數(shù)據(jù)機(jī)密性：數(shù)據(jù)要分級(jí)保護(hù)，重要的數(shù)據(jù)要采用加密措施、嚴(yán)格進(jìn)行訪問控制、安全審計(jì)，有良好的授權(quán)體系。 數(shù)據(jù)安全脆弱性評(píng)估數(shù)據(jù)安全目標(biāo)是：保證數(shù)據(jù)的機(jī)密性、完整性和可用性，避免數(shù)據(jù)的泄密、破壞、竄改、丟失。216。216。 文檔的收集和審閱：評(píng)估者通過審閱收集的被評(píng)估應(yīng)用軟件的文檔，掌握該評(píng)估應(yīng)用軟件的基本情況，然后確定評(píng)估范圍和并在檢查表中初步選擇和回答適用問題。這些問題大致包括以下內(nèi)容：網(wǎng)絡(luò)架構(gòu)、主機(jī)平臺(tái)、專用模塊、應(yīng)用軟件、安全功能、安全保證。通過審閱文檔和與開發(fā)者進(jìn)行面對(duì)面的訪談，核對(duì)檢查表中的每一個(gè)問題。應(yīng)用軟件評(píng)估是指通過對(duì)應(yīng)用系統(tǒng)的網(wǎng)絡(luò)運(yùn)行環(huán)境、主機(jī)平臺(tái)支撐環(huán)境、應(yīng)用軟件安全功能和應(yīng)用軟件生命周期中的安全保證進(jìn)行調(diào)研，從而了解應(yīng)用系統(tǒng)的安全弱點(diǎn)。216。216。216。216。應(yīng)用軟件評(píng)估的標(biāo)準(zhǔn)主要包括：216。例如日志被毀壞篡改或刪除，計(jì)費(fèi)數(shù)據(jù)被刪除，遭受DOS攻擊，系統(tǒng)被監(jiān)聽，控制或安裝后門等。例如日志及審計(jì)、備份與恢復(fù)，簽名與校驗(yàn)，加密與通信，特殊授權(quán)及訪問控制等。例如系統(tǒng)目錄權(quán)限，帳號(hào)管理策略，文件系統(tǒng)配置，進(jìn)程通信管理等。專家評(píng)估是根據(jù)最新的安全檢查核對(duì)表內(nèi)容，逐項(xiàng)檢查系統(tǒng)的各項(xiàng)配置和運(yùn)行狀態(tài)。 專家評(píng)估（安全基線分析）：依據(jù)對(duì)主機(jī)平臺(tái)的標(biāo)準(zhǔn)化的安全審計(jì)列表（安全基線），檢查和分析主機(jī)系統(tǒng)平臺(tái)存在的安全問題。 漏洞掃描主要依靠帶有安全漏洞知識(shí)庫的網(wǎng)絡(luò)安全掃描工具對(duì)信息資產(chǎn)進(jìn)行基于網(wǎng)絡(luò)層面安全掃描，其特點(diǎn)是能對(duì)被評(píng)估目標(biāo)進(jìn)行覆蓋面廣泛的安全漏洞查找，并且評(píng)估環(huán)境與被評(píng)估對(duì)象在線運(yùn)行的環(huán)境完全一致，能較真實(shí)地反映主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)所存在的網(wǎng)絡(luò)安全問題。掃描評(píng)估主要是根據(jù)已有的安全漏洞知識(shí)庫，檢測(cè)網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等各主機(jī)設(shè)備所存在的安全隱患和漏洞。 工具掃描：通過評(píng)估工具對(duì)主機(jī)、應(yīng)用程序和數(shù)據(jù)庫進(jìn)行掃描。 系統(tǒng)訪問控制和審計(jì)：對(duì)系統(tǒng)進(jìn)行有效訪問控制和日志審計(jì)。 系統(tǒng)冗余：根據(jù)業(yè)務(wù)要對(duì)系統(tǒng)進(jìn)行冗余設(shè)計(jì)。 系統(tǒng)安全管理：嚴(yán)格管理系統(tǒng)帳戶、有效控制系統(tǒng)服務(wù)，優(yōu)化系統(tǒng)的安全配置，啟用系統(tǒng)必要的安全控制措施,避免系統(tǒng)發(fā)生故障或遭受攻擊。 主機(jī)系統(tǒng)安全脆弱性評(píng)估主機(jī)系統(tǒng)的安全目標(biāo)是保障主機(jī)平臺(tái)系統(tǒng)高效、優(yōu)質(zhì)運(yùn)行，滿足業(yè)務(wù)系統(tǒng)的求，防止主機(jī)和系統(tǒng)遭受外部和內(nèi)部的破壞和濫用，避免和降低由于主機(jī)和系統(tǒng)的問題對(duì)業(yè)務(wù)系統(tǒng)的損害；協(xié)助應(yīng)用進(jìn)行訪問控制和安全審計(jì)。216。 專家分析：專家經(jīng)驗(yàn)在安全顧問咨詢服務(wù)中處于不可替代的關(guān)鍵地位，目前尚沒有成型的工具、模型、算法等可以將專家的經(jīng)驗(yàn)完全體現(xiàn)。 文檔信息挖掘：顧問通過對(duì)信息系統(tǒng)的網(wǎng)絡(luò)拓?fù)鋱D、安全運(yùn)作記錄、相關(guān)的管理制度、規(guī)范、技術(shù)文檔、歷史事件、日志等的研究和剖析，從更高的層次上發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中存在的安全脆弱性。 客戶訪談：通過客戶訪談，顧問可以從技術(shù)、管理、策略等角度更深層次地了解網(wǎng)絡(luò)系統(tǒng)相關(guān)的安全要素，挖掘出信息系統(tǒng)背后存在的風(fēng)險(xiǎn)。 網(wǎng)絡(luò)設(shè)備的安全配置：設(shè)備沒有已知的漏洞，設(shè)備正確安全配置。 網(wǎng)絡(luò)安全管理：采用安全的網(wǎng)絡(luò)管理協(xié)議；建立網(wǎng)絡(luò)安全事件響應(yīng)體系；對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全管理。 訪問控制和網(wǎng)絡(luò)審計(jì)：對(duì)網(wǎng)絡(luò)的內(nèi)部及外部邊界進(jìn)行有效訪問控制；對(duì)網(wǎng)絡(luò)實(shí)施入侵檢測(cè)和漏洞評(píng)估；進(jìn)行網(wǎng)絡(luò)日志審計(jì)并統(tǒng)一日志時(shí)間基準(zhǔn)線。 網(wǎng)絡(luò)傳輸加密：根據(jù)業(yè)務(wù)系統(tǒng)的特點(diǎn)選擇對(duì)業(yè)務(wù)數(shù)據(jù)是否進(jìn)行傳輸加密；對(duì)于網(wǎng)絡(luò)設(shè)備認(rèn)證過程中敏感的信息進(jìn)行加密。 基礎(chǔ)網(wǎng)絡(luò)架構(gòu)：網(wǎng)絡(luò)整體拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)合理；安全區(qū)域劃分符合業(yè)務(wù)系統(tǒng)；選擇安全的路由方式；對(duì)周邊網(wǎng)絡(luò)接入進(jìn)行安全控制和冗余設(shè)計(jì)；對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控和管理；對(duì)網(wǎng)絡(luò)設(shè)備和鏈路進(jìn)行冗余設(shè)計(jì)。 安全管理脆弱性評(píng)估 網(wǎng)絡(luò)安全脆弱性評(píng)估網(wǎng)絡(luò)安全的目標(biāo)是保障網(wǎng)絡(luò)和通信系統(tǒng)高效、優(yōu)質(zhì)運(yùn)行，滿足業(yè)務(wù)系統(tǒng)的求；防止網(wǎng)絡(luò)和通信系統(tǒng)遭受外部和內(nèi)部的攻擊和濫用，避免和降低由于網(wǎng)絡(luò)和通信系統(tǒng)的問題對(duì)業(yè)務(wù)系統(tǒng)造成損害的風(fēng)險(xiǎn)；屏蔽系統(tǒng)和應(yīng)用的安全弱點(diǎn)；協(xié)助系統(tǒng)和應(yīng)用進(jìn)行訪問控制和安全審計(jì)。 應(yīng)用系統(tǒng)安全脆弱性評(píng)估216。 網(wǎng)絡(luò)安全脆弱性評(píng)估216。脆弱性評(píng)估主要的工作是對(duì)弱點(diǎn)進(jìn)行識(shí)別和賦值。所以，在的方法論中，我們會(huì)首先識(shí)別威脅，然后根據(jù)威脅來識(shí)別弱點(diǎn)。根據(jù)評(píng)估范圍和層次劃分，可將脆弱性評(píng)估列為以下矩陣：傳輸數(shù)據(jù)…其他網(wǎng)絡(luò)層系統(tǒng)層（主機(jī)、數(shù)據(jù)庫）應(yīng)用層管理層（策略、制度）值得注意的是，弱點(diǎn)雖然是資產(chǎn)本身固有的，但它本身不會(huì)造成損失，它只是一種條件或環(huán)境、可能導(dǎo)致被威脅利用而造成資產(chǎn)損失。弱點(diǎn)是資產(chǎn)本身存在的，它可以被威脅利用、引起資產(chǎn)或商業(yè)目標(biāo)的損害。 過去一年或兩年來國際機(jī)構(gòu)（如FBI）發(fā)布的對(duì)于整個(gè)社會(huì)或特定行業(yè)安全威脅發(fā)生頻率的統(tǒng)計(jì)數(shù)據(jù)均值。 通過過去的安全事件報(bào)告或記錄，統(tǒng)計(jì)各種發(fā)生過的威脅和其發(fā)生頻率；216。實(shí)際評(píng)估過程中，威脅的可能性賦值，除了考慮上面兩個(gè)因素，還要參考下面三方面的資料和信息來源，綜合考慮，形成在特定評(píng)估環(huán)境中各種威脅發(fā)生的可能性。 資產(chǎn)轉(zhuǎn)化成利益的容易程度，包括財(cái)務(wù)的利益，黑客獲得運(yùn)算能力很強(qiáng)和大帶寬的主機(jī)使用等利益。威脅發(fā)生的可能性受下列兩個(gè)因素的影響：216。我們用變量T來表示威脅的可能性，它可以被賦予一個(gè)數(shù)值，來表示該屬性的程度。進(jìn)一步，可能性和損失可以被賦予一個(gè)數(shù)值，來表示該屬性。其中灰色部分為可能不存在的威脅（根據(jù)實(shí)際環(huán)境而確定）。進(jìn)一步，可能性和損失可以被賦予一個(gè)數(shù)值，來表示該屬性。抵賴不承認(rèn)收到的信息和所作的操作和交易。泄密機(jī)密泄漏，機(jī)密信息泄漏給他人。黑客攻擊技術(shù)利用黑客工具和技術(shù)，例如偵察、密碼猜測(cè)攻擊、緩沖區(qū)溢出攻擊、安裝后門、嗅探、偽造和欺騙、拒絕服務(wù)攻擊等手段對(duì)信息系統(tǒng)進(jìn)行攻擊和入侵。惡意代碼和病毒具有自我復(fù)制、自我傳播能力，對(duì)信息系統(tǒng)構(gòu)成破壞的程序代碼。無作為或操作失誤由于應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作，或無意地執(zhí)行了錯(cuò)誤的操作，對(duì)系統(tǒng)造成影響。威脅種類威脅描述軟硬件故障由于設(shè)備硬件故障、通訊鏈路中斷、系統(tǒng)本身或軟件Bug導(dǎo)致對(duì)業(yè)務(wù)高效穩(wěn)定運(yùn)行的影響。外部人員攻擊外部人員利用信息系統(tǒng)的脆弱性，對(duì)網(wǎng)絡(luò)和系統(tǒng)的機(jī)密性、完整性和可用性進(jìn)行破壞，以獲取利益或炫耀能力。惡意內(nèi)部人員不滿的或有預(yù)謀的內(nèi)部人員對(duì)信息系統(tǒng)進(jìn)行惡意破壞；采用自主的或內(nèi)外勾結(jié)的方式盜竊機(jī)密信息或進(jìn)行篡改，獲取利益。 威脅來源分析信息系統(tǒng)的安全威脅來源可考慮以下方面：威脅來源威脅來源描述環(huán)境因素、意外事故或故障由于斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震等環(huán)境條件和自然災(zāi)害；意外事故或由于軟件、硬件、數(shù)據(jù)、通訊線路方面的故障。如缺少完善的機(jī)房進(jìn)入手續(xù)；管理人員技術(shù)水平較低或思想政治覺悟不高；網(wǎng)絡(luò)或安全設(shè)備的管理登錄密碼沒有按照制度進(jìn)行更換；對(duì)操作管理人員沒有定期進(jìn)行安全培訓(xùn)；安全管理體系存在問題或盲區(qū)等；此外，當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其他安全威脅（如內(nèi)部人員的違規(guī)操作等）時(shí)，無法進(jìn)行實(shí)時(shí)檢測(cè)、監(jiān)控、報(bào)告與預(yù)警；當(dāng)事故發(fā)生后，無法提供攻擊行為的追蹤線索及破案依據(jù)，缺乏對(duì)網(wǎng)絡(luò)的可控性與可審查性等，都會(huì)威脅信息系統(tǒng)的安全。數(shù)據(jù)庫的安全隱患集中表現(xiàn)在系統(tǒng)認(rèn)證口令強(qiáng)度不夠；非授權(quán)登錄攻擊；操作日志被刪除；缺少數(shù)據(jù)冗余備份；不安全的默認(rèn)配置；病毒攻擊；數(shù)據(jù)庫系統(tǒng)自身存在BUG，未及時(shí)更新補(bǔ)丁等。應(yīng)用層安全依賴于網(wǎng)絡(luò)層、操作系統(tǒng)和數(shù)據(jù)庫的安全的支持，因此，在采購商業(yè)化軟件組