安安全威胁与风险存在形式 全层面 机房毁坏 战争、自然灾害、意外事故造成机房毁坏,大部分设备损坏。 因机房和线路电磁泄漏,造成系统信息泄漏。 因线路中断,造成系统不能正常工作。 因电力检修、线路或设备故障造成电力中断。 因盗窃、人为故意破坏,造成设备毁坏。 设备软、硬件故障,造成设备不能正常工作。 因温度、湿度或其它原因,各种数据存储媒体不能正常使用。 网络互联而带来的越权访问、恶意攻击、病毒入侵等安全隐患 黑客或犯罪团体通过搭线和架设协议分析设备非法窃取系统信息。 病毒在系统内感染、传播和发作。 来自互联网的黑客对企事业门户网站中各Web服务器的页面进行篡改 操作系统安全漏洞、安全设置不当、安全操作系统安全隐患 系统 安全 数据库系统安全隐患 级别低等,缺乏文件系统的保护和对操作的控制,让各种攻击有可乘之机。 不能实时监控数据库系统的运行情况,数据库数据丢失、被非法访问或窃取 应用系统存在后门、因考虑不周出现安全应用系统安全隐患 漏洞等,可能出现非法访问。 DOS/DDOS攻击、网页篡改、下载不怀好意恶意攻击和非法访问 的Java、ActiveX小程序等,对系统进行恶意攻击,或对系统进行非法访问。 应用安全 身份假冒 关键业务系统被假冒身份者闯入。 安全威胁与风险描述 电磁泄漏 线路中断 物理安全 电力中断 设备毁坏 设备损坏 媒体损坏 网络边界的安全隐患 搭线窃取的隐患 病毒侵袭的隐患 网络 与 网页篡改的隐患 安安全威胁与风险存在形式 全层面 非授权访问 数据失泄密 数据被修改 否认操作 安全管理组织不健全 关键业务系统被越权访问。 数据在处理、传输、存储过程中,被窃取或非授权访问。 安全威胁与风险描述 数据在处理、传输、存储过程中被修改和删除。 为逃避责任而否认其操作行为。 没有相应的安全管理组织,缺少安全管理人员编制,没有建立应急响应支援体系等。 不能实时监控机房工作、网络连接和系统运行状态,不能及时发现已经发生的网络安全事件,不能追踪安全事件等。 无意泄漏系统口令等系统操作信息,随意放置操作员卡,私自接入,私自拷贝缺乏安全管理手段 人员安全意识淡薄 安全管理 窃取信息,私自安装程序,不按操作规程操作和越权操作,擅离岗位,没有交接手续等均会造成安全隐患。 缺乏相应的管理制度,人员分工和职责不管理制度不完善 明,没有监督、约束和奖惩机制,存在潜在的管理风险 系统缺乏总体论证,没有或缺少相关的标缺少标准规范 准规范,各子系统各自为政,系统的互联性差,扩展性不强。 人员缺少安全培训,系统从不进行安缺乏安全服务 全评估和安全加固,系统故障不能及时恢复等。
