| 分类 | 示例 |
| 设备硬件 | 支撑网中的各种主机设备,网络设备 |
| 设备软件 | 设备中的软件,包括操作系统、中间件软件、数据库软件、应用软件等 |
| 重要数据 | 保存在设备上的各种重要数据,包括网元和网络配置数据、管理员操作维护记录、用户信息、计费数据和账单等 |
| 同络 | 承载支撑网的网络 |
| 服务 | 账单服务等 |
| 文档 | 纸质以及保存在电脑中的各种文件。如设计文档、技术要求、管理规定(机构设置、管理制度、人员管理办法)、工作计划、技术或财务报告、用户手册等 |
| 人员 | 管理人员,掌握重要技术的人员,如网络维护人员、设备维护人员、研发人员锋 |
| 类型 | 对象 | 存在的脆弱性 |
| 技术脆弱性 | 服务,应用 | 由于网络和设备的处理或备份能力不够而导致服务提供不连续 |
| 网络 | 网络拓扑设计不合理,无冗余链路,单点故障隐患,与互联网连接造成的访问控制漏洞 | |
| 设备(软件、硬 件和数据) | 设备老化、系统设计缺陷、无数据备份、无过载保护、无防病毒黑客攻击的手段等系统存在可技外界利用的漏洞 | |
| 物理环境 | 机房场地选择不合理,防火、供配电、防静电、接地与防霄、电磁防护、温湿度控制不符合规范I通信线路、机房设备的保护不符合规范 | |
| 管理脆弱性 | (1)安全管理机构方面:岗位设置不合理(如人员配置过少、职责不清)、授权和审批程序简化、沟通和合作未执行、审核和检查未执行等: (2)安全管理制度方面:管理审|度不完善、制度评审和修订不及时等; (3)人员安全管理方面;人员录用不符合程序、人员离岗未办理安全手续、人员束进行安全培训、对于外部人员未进行限制访问等; (4)建设管理方面:安全方案不完善、软件开发不符合程序、工程实施未进行安全验收或验收不严格等; (5)运维管理方面:物理环境管理措施简单、存储介质使用不受限、设备没有定期维护、厂家支持力度不够、关键性能指标没有定期监控、无恶意代码防范措施、无数据备份和恢复策略、访问控制不严格、操作管理不规范等,应急保障措施不到位等 | |
| 来源 | 威胁描述 | |
| 设备威胁 | 各类设备本身的软硬件故障,设备和介质老化造成的数据丢失,系统宕机 | |
| 环境成胁 | 物理环境 | 断电、静电、灰尘、潮湿、温度、电磁干扰等I意外事故或通信线路方面的故障 |
| 自然灾害 | 鼠蚊虫害、洪灾、火灾、泥石流、山体滑坡、地震、台风、雷电 | |
| 人为威胁 | 恶意人员 | 不满的或有预谋的内部人员滥用权限进行恶意破坏;采用自主或内外勾结的方式盗窃或篡改机密信息;外部人员利用恶意代码和病毒对网络或系统进行攻击;外部人员进行物理破坏、盗窃等 |
| 非恶意人员 | 内部人员由于缺乏责任心或者无作为而没有执行应当执行的操作,或无意地执行了错误的操作导致安全事件;内部人员没有遵循规章制度和操作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致故障或攻击;安全管理制度不完善、落实不到位造成安全管理不规范或者管理混乱导致安全事件 | |
| 上一页1 2下一页 |