脆弱性-威胁对应表.xls
- 文档编号:14664218
- 上传时间:2023-06-25
- 格式:XLS
- 页数:3
- 大小:32.50KB
脆弱性-威胁对应表.xls
《脆弱性-威胁对应表.xls》由会员分享,可在线阅读,更多相关《脆弱性-威胁对应表.xls(3页珍藏版)》请在冰点文库上搜索。
脆脆弱弱性性威威胁胁对对应应表表资资产产类类别别威威胁胁威威胁胁利利用用的的漏漏洞洞备备注注(说说明明、措措施施等等)硬硬件件资资产产台式机、笔记本、服务器、存储设备、网络设备、安全设备、办公设备、保障设备盗窃设备物理保护措施不当,购买价格较高物理破坏保护意识不足;缺少必要的安全保护措施;设备本身抗破坏能力较差。
故障或老化管理不当、设备维护不当、使用时间过长。
定期对设备进行维护;重要设备提供UPS电源保护。
非授权使用设备物理保护措施不当,责任不明确,缺少相应的授权使用规范。
没有权限的情况下,访问、使用了设备。
滥用、误操作操作规程不清晰有权限的情况下,访问、使用不当(如带电操作、操作不符合规程)。
未受控资产管理不当(遗漏设备清点、管理不当)加强设备的管理。
水灾、火灾、闪电、电磁辐射/干扰等缺乏对外部环境的防护软软件件资资产产生产系统、系统软件、应用软件丢失、被盗保护和管理措施不当正版软件(实体)的不小心丢失、被盗等。
损坏使用时间过长,软件管理不当,缺乏备份措施如软件(实体)无法正确安装。
恶意攻击设计缺陷,缺少安全防护措施黑客/恶意软件攻击(可以安装防毒软件、软件防火墙等进行防护)。
非授权访问设计不当、保护措施不当没有权限的情况下,访问、使用软件(IE架构,缺少访问控制设备的保护,口令:
配置不当,安全意识。
)运行故障、意外错误设计缺陷,使用、保护措施不当未受控资产管理不当加强软件资产(实体)的管理。
身份假冒口令设置脆弱、用户帐号缺乏有效管理制定口令和权限管理规范,并监督执行。
操作失误缺乏软件管理机制制定合适的软件操作指南和规定。
电电子子数数据据存在电子媒介的各种数据资料非授权访问(可能造成失密)随意处置数据所在介质、存放不当、数据的访问控制措施不严格、标识不当无权访问:
管理不当,导致信息失密(如文件存放在不正确的目录导致信息失密。
泄密(C:
4,5进行评估)安全意识薄弱,使用不当,防护措施不足导致信息泄密有权访问:
使用不当导致信息泄密息;禁止带离公司,提高安全意识。
滥用、误操作(修改)保护措施不当,监控不足,缺少安全防护和告警提示有权限使用的情况下规范操作规程;误操作前,应提示操作者。
丢失(可用性:
3,4,5进行评估)(删除、丢失,但未失密)随意处置数据所在介质,误删除保存电子文档介质的丢失、误删除。
损坏(文档无法打开)信息保存过程中、介质问题。
对电子文档进行备份。
未受控资产管理不当加强电子文档的管理。
恶意攻击缺乏恶意代码和病毒的防范机制黑客/恶意软件攻击(可以安装防毒软件、软件防火墙等进行防护)。
盗窃重要信息缺乏有效的备份按照重要信息的备份流程进行定期备份。
窃听缺乏对数据交换(传输)的安全管理加强对数据在传输过程中的安全。
纸纸质质数数据据纸质的各种文件非授权访问,泄密缺乏对纸质文件的有效管控纸质文件被放置在桌面或者会议室等开放办公环境里,会被人无意或有意获取该信息,从而导致该信息被泄漏。
盗窃、丢失纸质文件管理不当纸质文件被放置在桌面或会议室等开放办公环境里,会被人蓄意窃取文件从而导致该信息被泄漏,且文件不可用。
意外损害缺乏对文件的保护由于资产管理不当,导致放置的文件胡乱堆积,在以后的使用过程中无意识的将有用的文件损害。
水患缺乏对文件的防水保护如果没有合适的防止被水淹渍的措施,可能会导致文件不能使用。
火灾缺乏对文件的防火保护如果没有合适的防火措施,可能会导致文件被烧毁不能使用。
人人员员资资产产处室经理、关键岗位人员、一般岗位人员中断人员冗余不足,缺少AB角色互备一些特殊岗位没有其他人员可替代。
中断人员安全职责不清中断人员业务水平不足业务中断。
重大经济损失人员业务水平不足由于对业务不精通,可能使合同出现问题,导致重大的经济损失。
泄密人员业务水平不足虽然有较强的安全意识,当由于自身技术不足等原因导致信息泄密。
泄密人员安全意识不足由于安全意识不足,可能导致信息的泄密(口令、帐号、客户信息、工资信息、产品信息)。
泄密合同保护条款不足如没有签署保密协议,可能导致信息的泄密。
诈骗、法律纠纷人员审查措施不足操作失误缺乏信息安全方针,人员操作无法可依,导致不能合格履行职责制定信息安全方针,对员工的行为进行整体的指导。
身份假冒缺乏有效地转岗和离职控制因内部调动和离职缺乏缺乏控制,导致权限变更和撤销滞后,易造成账号误用或被冒用,使重要信息泄密。
服服务务资资产产包含第三方服务和人员非授权访问安全区设置不恰当物理安全:
财务等部门位置设置不恰当,应有相对独立的区域。
非授权访问安全区保障措施不足安全区域标识不清楚、非请勿入(财务、仓库)。
非授权访问安全区出入控制措施不足如保安、门禁、外来人员等。
非授权访问第三方访问控制措施不足第三方人员利用社交工程进行身份假冒,访问敏感信息。
物理破坏(主要是指管道线路)安全区保障措施不足电源线、网线、水管、电话线。
盗窃安全区设置不恰当盗窃安全区保障措施不足无监控措施或监控措施无效。
盗窃安全区出入控制措施不足盗窃管理措施不到位货品入库清点、出库清点、报废数目不准。
电磁干扰和泄密安全区保障措施不足未达到特别环境要求静电、温度、湿度、灰尘、辐射若暂时没有特别环境要求,可不考虑。
重大灾害业务连续性管理不完善地震、火灾、洪水、疾病等。
第三方服务中断业务连续性管理不完善虽然有连续性管理规定,但一旦第三方服务中断将会对公司业务造成严重影响。
电源故障电源保障设计不够电力供应不足、电路老化、变压设备故障、电器设备的使用不当。
法律纠纷合同保护条款不足法律纠纷法律和法规鉴别不完全收集信息安全相关法律法规不完全。
泄密合同保护条款不足合同中没有涉及保密内容。
蓄意破坏对第三方服务缺乏评审监督和检查蓄意以各种方式破坏信息资产,可能导致资产不可用。
操作失误对第三方服务缺乏评审监督和检查在正常工作或使用过程中,由于操作不当而无意中造成对资产的侵害。
无无形形资资产产企业文化、公司形象、客户关系等
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 脆弱 威胁 对应