论坛

通知事项
全部清除

威胁目录  


太极
帖子:83
主持人
(@太极)
会员
已加入:8个月前

1. OSA- 威胁编录器概述

http://www.opensecurityarchitecture.org/cms/library/threat_catalogue

2. ENISA-欧盟网络安全局-威胁分类法

//www.enisa.europa.eu/topics/threat-risk-management/threats-and-trends/enisa-threat-landscape/threat-taxonomy/view

 

威胁数 高级别威胁 威胁 威胁详情
1 物理攻击(故意/故意)    
2   舞弊  
3   员工欺诈
4 破坏  
5 故意破坏  
6 盗窃(设备,存储介质和文件)  
7   盗窃移动设备(智能手机/平板电脑)
8 固定硬件盗窃 
9 盗窃文件
10 备份失窃
11 信息泄漏/共享  
12 未经授权的物理访问/未经授权进入房屋  
13 胁迫,勒索或腐败  
14 战争造成的伤害  
15 恐怖袭击  
16 意外损坏/信息或IT资产丢失    
17   人为错误导致信息泄漏/共享  
 
18
19   员工意外泄漏/共享数据
  通过移动应用程序泄漏数据
20
21 通过Web应用程序泄漏数据
22 网络传输的信息泄漏
23 错误使用或管理设备和系统  
24   信息丢失是由于 维护错误/操作员错误
25 信息丢失是由于 配置/安装错误
26 恢复时间增加
27   信息丢失是由于  user errors
28 使用来自不可靠来源的信息  
29 信息系统中数据的意外更改  
30 设计和规划不足或适应不当  
31 第三方造成的损害   
32   第三方安全失败
33 渗透测试造成的损坏  
34 云中的信息丢失  
35 丢失(完整性)敏感信息  
36   证书完整性丢失
37 设备,存储介质和文件丢失  
38   设备/移动设备丢失
39 存储介质丢失 
40 IT基础架构文档丢失
41 销毁记录  
42   感染可移动媒体
43 滥用储存 
44 灾难(自然,环境)    
45   灾难(自然地震,洪水,山体滑坡,海啸,大雨,大雪,大风)  
46  
47 污染,灰尘,腐蚀  
48 雷击  
49  
50 爆炸  
51 危险的辐射泄漏  
52 气候条件不利  
53   湿度过大导致数据丢失或IT基础架构的可访问性
54 温度过高导致数据丢失或IT基础架构的可访问性
55 环境中的重大事件  
56 来自太空的威胁/电磁风暴  
57 野生动物  
58 故障/故障    
59   设备或系统故障  
60   有缺陷的数据介质故障
61 硬件故障
62 应用程序和服务失败
63 设备部件故障(连接器,插入式)
64 通信链路(通信网络)故障或中断  
65   电缆网络故障
66 无线网络故障
67 移动网络故障
68  
69 主电源故障或中断  
70   电源故障或中断
71 冷却基础设施故障
72 服务提供商的失败或中断(供应链)  
73 设备(设备或系统)故障  
74 断电    
75   资源损失  
76   断电
77 冷却中断
78 缺少人员  
79 罢工  
80 失去支持服务  
81 网路中断  
82 网络中断  
83   有线网络中断
84 无线网络中断
85 移动网络中断
86 窃听/拦截/劫持    
87   战争驾驶  
88 拦截有害排放  
89 截取信息  
90   企业间谍
91 民族间谍
92 由于不安全的Wi-Fi,恶意访问点而导致的信息泄漏
93 干扰辐射  
94 重播信息  
95 网络侦察,网络流量操纵和信息收集  
96 中间人/会话劫持   
97 邪恶活动/虐待    
98   身份盗用(身份欺诈/帐户)   
99   凭证窃取木马
100 收到不请自来的电子邮件   
101   垃圾邮件
102 不请自来的受感染电子邮件
103 拒绝服务  
104   分布式拒绝服务(DDoS)(网络层攻击,即协议利用/格式错误的数据包/泛洪/欺骗)
105 分布式拒绝应用程序服务(DDoS)(应用程序层攻击,即Ping of Death / XDoS / WinNuke / HTTP 洪水s)
106 分布式DoS(DDoS)到网络和应用程序服务(放大/反射方法,即NTP / DNS /…/ BitTorrent)
107 恶意代码/软件/活动  
    滥用资源
108 搜索引擎中毒
109 利用社交媒体的虚假信任
110 蠕虫/木马
111 根套件
112 移动恶意软件
 
113
114
115 受感染的受信任的移动应用
116 特权提升
117 Web应用程序攻击/注入攻击(代码注入:SQL,XSS)
118 间谍软件或欺骗性广告软件
119 病毒
120 流氓安全软件/ 流氓软件/ Scareware
121  
 
 
 
 
122   漏洞利用/漏洞利用工具包
 
 
 
 
123 社会工程学  
124   网络钓鱼攻击
125 鱼叉式网络钓鱼攻击
126 滥用信息泄漏  
127   泄漏影响移动隐私和移动应用程序
128 泄漏影响Web隐私和Web应用程序
129 泄漏影响网络流量
130 泄漏影响云计算
131 流氓证书的生成和使用  
132   丢失(完整性)敏感信息
133 中间人/会话劫持 
134 社会工程/已签名的恶意软件(例如,安装伪造的信任操作系统更新–已签名的恶意软件)
135 伪造SSL凭证
136 操纵硬件和软件  
137   匿名代理
138 滥用云计算能力发起攻击(网络犯罪即服务)
  滥用漏洞,0天漏洞
 
139
140 通过HTTP代理链(混淆)访问网站
141 访问设备软件
142 替代软件
143 流氓硬件
144 信息处理  
145   拒绝行为
146 地址空间劫持(IP前缀)
路由表操作
147 DNS中毒/ DNS欺骗/ DNS操作 
148 伪造记录
149 AS劫持
150 AS操纵
151 伪造配置
152 滥用审计工具  
153 滥用信息/信息系统(包括移动应用)  
154 未经授权的活动  
155   未经授权使用或管理设备和系统
156   未经授权使用软件
157   未经授权访问信息系统/网络(IMPI协议/ DNS寄存器劫持)
158   网络入侵
159   未经授权更改记录
160 未经授权安装软件  
161   基于Web的攻击(偷渡式下载/恶意URL /基于浏览器的攻击)
162 泄露机密信息(数据泄露)  
163 恶作剧  
164   虚假谣言和/或虚假警告
165 远程活动(执行)  
166   远程命令执行
167 远程访问工具(RAT)
168 僵尸网络/远程活动 
169 定向攻击(APT等)  
170   移动恶意软件
171 鱼叉式网络钓鱼攻击
172 安装复杂的针对性恶意软件
173 水坑袭击
174 业务流程失败  
175 蛮力  
176 滥用授权  
177 法律    
178   违反法律法规/违反法律  
179 不符合合同要求  
180   不符合第三方的合同要求
181 未经授权使用受知识产权保护的资源  
182   非法使用文件共享服务
183 滥用个人资料  
184 司法决定/法院命令  

 

 

 

 

 

 

 

 

 

 

主题标签
1 回复
太极
帖子:83
主持人
(@太极)
会员
已加入:8个月前

3. HITRUST-威胁目录下载

//hitrustalliance.net/threat-catalogue-download/

ID 类型 类别 子类别 威胁 描述
  逻辑威胁 故意的 冲突   因需求,动力,愿望,外部或内部需求不兼容或相反而产生的挣扎。
LIC1 逻辑威胁 故意的 冲突 破坏 故意行为,旨在破坏或破坏信息和/或IT资产,以谋求金钱或个人利益。 
LIC2 逻辑威胁 故意的 冲突 恐怖主义 利用暴力作为在人民中间制造恐怖的手段;或害怕达到财务,政治,宗教或意识形态目标。
LIC3 逻辑威胁 故意的 冲突 故意破坏 故意破坏或损坏信息和/或IT资产,但不是为了个人利益。
LIC4 逻辑威胁 故意的 冲突 战事 由于战争或武装冲突而损坏资产,设施和员工。
  逻辑威胁 故意的 盗用   不诚实地或不公平地自用
LIM1 逻辑威胁 故意的 盗用 挪用公款 挪用某物,例如以欺诈手段将财产欺骗性地委托给自己使用的财产。通过欺诈进行盗窃的一种形式。 
LIM2 逻辑威胁 故意的 盗用 勒索 通过胁迫从组织获取金钱,财产或服务的行为。 通过使用武力或恐吓来获得合规性的盗窃形式。 
LIM3 逻辑威胁 故意的 盗用 舞弊 故意欺骗,以确保获得不公平或非法收益,或剥夺受害者合法权利。
LIM4 逻辑威胁 故意的 盗用 盗窃 从逻辑上窃取和/或删除财产的行为,目的是剥夺合法所有者的财产。
  逻辑威胁 故意的 邪恶   公然违反历史悠久的法律和行为传统。
LIN1 逻辑威胁 故意的 邪恶 滥用授权 使用授权的访问权限执行非法操作。
LIN2 逻辑威胁 故意的 邪恶 地址空间劫持 IP地址组的非法接管。
LIN3 逻辑威胁 故意的 邪恶 更改软件 未经授权对代码或配置数据进行修改,从而破坏其完整性。
LIN4 逻辑威胁 故意的 邪恶 匿名代理 通过HTTP代理链(混淆)访问网站,绕过了安全机制。 
LIN5 逻辑威胁 故意的 邪恶 自治系统劫持 尽管进行了来源验证,但攻击者仍超越了整个自治系统的所有权及其前缀
LIN6 逻辑威胁 故意的 邪恶 蛮力 通过系统地检查所有可能的键或密码,直到找到正确的键或密码,才能进行未经授权的访问。
LIN7 逻辑威胁 故意的 邪恶 代码注入 利用操作系统或软件应用程序中的错误,设计缺陷或配置监督来获得对资源的更高访问权限。
LIN8 逻辑威胁 故意的 邪恶 命令注入 通过易受攻击的应用程序在主机操作系统上执行任意命令。此攻击与代码注入不同,代码注入使攻击者可以添加自己的代码,然后由应用程序执行。在“命令注入”中,攻击者扩展了应用程序的默认功能,该功能执行系统命令,而无需注入代码。也称为“远程命令执行”
LIN9 逻辑威胁 故意的 邪恶 凭证受损 帐户/标识/用户名已通过非授权方式使用或访问
LIN10 逻辑威胁 故意的 邪恶 拒绝服务 由于单点大量请求服务,导致服务不可用。
LIN11 逻辑威胁 故意的 邪恶 分布式拒绝服务 由于来自多个恶意客户端的大量访问网络服务的请求,导致服务不可用。
LIN12 逻辑威胁 故意的 邪恶 DNS欺骗 域名服务器缓存蓄势或欺骗,以将流量转移到恶意服务器。
LIN13 逻辑威胁 故意的 邪恶 通过下载驱动 受感染的网站,其用户无意中下载了恶意软件。
LIN14 逻辑威胁 故意的 邪恶 高特权 具有比正常访问级别更多的角色或权限,如果该角色或权限受到威胁,则可能会允许一个人利用该系统来谋取个人利益或非法目的。
LIN15 逻辑威胁 故意的 邪恶 排放攻击 通过捕获操作设备的辐射来监视信息。
LIN16 逻辑威胁 故意的 邪恶 HTML脚本注入 一种注入类型,其中恶意脚本被注入到其他良性且可信任的网站中
LIN17 逻辑威胁 故意的 邪恶 信息共享 与未经授权的实体故意共享信息;例如通过电子邮件发送敏感信息或文件传输。
LIN18 逻辑威胁 故意的 邪恶 IP欺骗 IP欺骗是一种攻击方法,使用错误的IP地址将攻击者的身份伪装成被攻击的系统。
LIN19 逻辑威胁 故意的 邪恶 LDAP注入 利用基于Web的应用程序根据用户输入构造LDAP语句。
LIN20 逻辑威胁 故意的 邪恶 MAC欺骗 攻击者可以更改其设备的媒体访问控制(MAC)地址,并在网段中发送具有不同ID的以太网帧,这可能导致绕过仅基于MAC地址使用的安全机制。 
LIN21 逻辑威胁 故意的 邪恶 恶意代码执行 注入恶意代码以扩展应用程序或信息系统的功能,而无需执行命令。
LIN22 逻辑威胁 故意的 邪恶 中间人 当恶意行为者将自己作为中继/代理插入人与系统之间的通信会话时,会发生一种窃听攻击。
LIN23 逻辑威胁 故意的 邪恶 加密模块的操作 修改加密模块以读取秘密密钥,更改密钥或更改安全性参数。 
LIN24 逻辑威胁 故意的 邪恶 数据处理  旨在导致完整性损失的数据修改。
LIN25 逻辑威胁 故意的 邪恶 假面舞会/假装 撒谎或假装自己不是一个人。 
LIN26 逻辑威胁 故意的 邪恶 讯息重播 恶意或欺诈地重复或延迟有效数据传输的威胁。
LIN27 逻辑威胁 故意的 邪恶 滥用审计工具 恶意使用网络扫描工具来发现开放的和可能未使用的端口,协议,服务以及漏洞。
LIN28 逻辑威胁 故意的 邪恶 网络入侵 未经授权访问网络。
LIN29 逻辑威胁 故意的 邪恶 网络嗅探 识别有关网络的信息以发现安全漏洞。
LIN30 逻辑威胁 故意的 邪恶 网络钓鱼 一种电子邮件欺诈方法,其中,犯罪者发送看上去合法的电子邮件,试图从收件人那里收集个人和财务信息。通常,这些消息似乎来自知名且值得信赖的网站。 
LIN31 逻辑威胁 故意的 邪恶 Quid Pro Quo  攻击者承诺会在返回重要访问权限或详细信息时提供好处或服务。
LIN32 逻辑威胁 故意的 邪恶 勒索软件 恶意软件感染了计算机系统或设备,从而限制了对系统和信息的访问,同时要求用户支付赎金以消除限制。
LIN33 逻辑威胁 故意的 邪恶 远程访问木马(RAT) 远程管理功能使攻击者可以控制受害者的计算机。
LIN34 逻辑威胁 故意的 邪恶 拒绝行为 故意进行数据操作以拒绝行为。
LIN35 逻辑威胁 故意的 邪恶 逆向工程(RE) 解构人造对象以揭示其设计,体系结构或从对象中提取知识的过程。
LIN36 逻辑威胁 故意的 邪恶 恶意访问点 通过非托管访问点对组织托管网络的未经授权访问。
LIN37 逻辑威胁 故意的 邪恶 流氓证书 合法证书颁发机构使用不合法的流氓证书,这些证书是有效证书。
LIN38 逻辑威胁 故意的 邪恶 流氓安全软件 恶意软件误导用户有关其计算机安全的信息,以便对其进行操作。
LIN39 逻辑威胁 故意的 邪恶 根套件 一组软件工具,可使未经授权的用户获得对计算机系统的控制而不会被检测到。
LIN40 逻辑威胁 故意的 邪恶 路由表操作 通过未经授权的路由表操作将网络数据包路由到发件人不希望的IP地址。
LIN41 逻辑威胁 故意的 邪恶 搜索引擎中毒 故意操纵搜索引擎索引,以将用户定向到伪造站点上的恶意内容。 
LIN42 逻辑威胁 故意的 邪恶 服务器端包含(SSI)注入 通过在HTML页面中注入脚本或远程执行任意代码,可以利用Web应用程序。
LIN43 逻辑威胁 故意的 邪恶 垃圾邮件 接收未经请求的,不希望的或非法的电子邮件。
LIN44 逻辑威胁 故意的 邪恶 鱼叉式网络钓鱼 在针对特定受众量身定制电子邮件时进行网络钓鱼。
LIN45 逻辑威胁 故意的 邪恶 间谍软件 旨在在不知情的情况下收集有关个人或组织的信息的软件
LIN46 逻辑威胁 故意的 邪恶 SQL注入 利用SQL的语法来注入可读取或修改数据库或破坏原始查询含义的命令
LIN47 逻辑威胁 故意的 邪恶 木马 任何会误导用户其真实意图的恶意计算机程序。
LIN48 逻辑威胁 故意的 邪恶 不可接受的使用 不遵守理事或拥有实体可接受的定义的规则。  
LIN49 逻辑威胁 故意的 邪恶 越权存取 未经许可或批准即可进行逻辑访问。
LIN50 逻辑威胁 故意的 邪恶 未经授权的加密 使用未经授权的(不安全)加密模块可能会导致错误的加密保护意识。
LIN51 逻辑威胁 故意的 邪恶 未经授权的软件安装 故意安装不受管或未经授权的软件。
LIN52 逻辑威胁 故意的 邪恶 病毒 可以复制自身并感染计算机而无需用户许可或用户知识的计算机程序。病毒可能破坏或删除计算机上的数据,使用电子邮件程序将自身传播到其他计算机,甚至擦除硬盘上的所有内容。 
LIN53 逻辑威胁 故意的 邪恶 许愿 一种使用Internet语音协议的欺诈形式,其中,诱使个人泄露对敏感信息的未授权访问。
LIN54 逻辑威胁 故意的 邪恶 战争驾驶 定位并可能利用无线网络的行为;接入点映射示例
LIN55 逻辑威胁 故意的 邪恶 水坑 一群人经常使用的网站上的恶意软件。
LIN56 逻辑威胁 故意的 邪恶 网络欺骗 网络欺骗发生在攻击者伪造现有网站(即,攻击者以看起来像已知组织的网站的方式设计假网站)时,攻击者试图将用户吸引到该网站,以发起进一步的攻击。
LIN57 逻辑威胁 故意的 邪恶 捕鲸 一种针对高级管理人员,高管或杰出人士的鱼叉式网络钓鱼,以获取敏感信息。 
LIN58 逻辑威胁 故意的 邪恶 攻丝 基于Internet的通信的秘密电子监视。
LIN59 逻辑威胁 故意的 邪恶 蠕虫 自传播的独立恶意软件 
  逻辑威胁 无意的 失败   意外的系统降级或故障。
LUF1 逻辑威胁 无意的 失败 第三方服务 信息系统正常运行所需的第三方服务失败或中断。示例:资源或支持系统
LUF2 逻辑威胁 无意的 失败 数据库系统 数据库故障可能导致系统或应用程序不可用,这可能会对业务运营产生重大影响,从而导致财务损失或潜在的品牌损失。
LUF3 逻辑威胁 无意的 失败 网络带宽 当网络带宽不足时,网络中的传输速率以及最终网络中的可用性将严重受限于组织的用户,从而导致潜在的业务中断。
LUF4 逻辑威胁 无意的 失败 网络路由 为网络中或多个网络之间或之间的流量选择路径的过程。
LUF5 逻辑威胁 无意的 失败 软件\代码 计算机使用的程序和其他操作失败
LUF6 逻辑威胁 无意的 失败 存储 将可检索数据保留在计算机或其他电子系统上;记忆。
LUF7 逻辑威胁 无意的 失败 虚拟零件& Components IT硬件的虚拟零件和组件(例如主板,CPU,RAM,视频卡,硬盘驱动器,电源)的故障/故障。 虚拟IT失败。
  逻辑威胁 无意的 人的   以人为本的错误或错误。
LUH1 逻辑威胁 无意的 人的 数据共享/泄漏 一个或多个员工无意中将涵盖的信息分发给未授权实体
LUH2 逻辑威胁 无意的 人的 数据修改不当 更改设备和存储介质中存储的数据和记录(信息)。
LUH3 逻辑威胁 无意的 人的 数据分类错误 媒体标签不正确/分类不当
LUH4 逻辑威胁 无意的 人的 密码处理不当  密码的无意操作会导致涵盖信息的泄漏。
  逻辑威胁 无意的 滥用   以错误的方式使用或用于错误的目的。
LUM1 逻辑威胁 无意的 滥用 证书完整性损失 用于授权服务的证书的完整性丢失。
LUM2 逻辑威胁 无意的 滥用 凭证受损 帐户/标识/用户名已通过非授权方式使用或访问
LUM3 逻辑威胁 无意的 滥用 数据剩余 以可检索/完整方式保留所存储信息的时间长于所需的存储介质(无法完全擦除)
LUM4 逻辑威胁 无意的 滥用 数据存储媒体丢失 数据存储介质丢失。
LUM5 逻辑威胁 无意的 滥用 数据库完整性损失 数据库完整性或一致性的丢失可能会导致数据不正确或处于损坏状态,结果可能无法正确访问或处理。 
LUM6 逻辑威胁 无意的 滥用 高特权 角色或权限如果被滥用,可能会使人利用 为自己的利益或目的而建立的系统。
LUM7 逻辑威胁 无意的 滥用 信息系统设计不当 由于IT资产或业务流程设计不当造成的损失(IT产品规格不足,可用性不足,接口不安全,策略/过程流,设计错误和更改)。
LUM8 逻辑威胁 无意的 滥用 网络基础架构设计不当 根据组织定义的要求,规划不当的网络基础架构可能会影响数据的机密性和网络的完整性,这可能会导致敏感信息未经授权地泄露给未授权用户。 
LUM9 逻辑威胁 无意的 滥用 密钥管理不当/不足 密码系统中密码密钥的管理。这包括处理密钥的生成,交换,存储,使用,加密粉碎(销毁)和替换。
LUM10 逻辑威胁 无意的 滥用 释放程序不足或不足 对新系统的测试不足可能会导致硬件或软件中可能的错误,或者可能未被检测到,或者可能导致IT操作或系统的严重中断。
LUM11 逻辑威胁 无意的 滥用 缺少日志或日志不足 缺少日志或日志不足会阻止组织确定是否违反了安全规范或是否尝试了攻击。此外,组织可能无法评估记录的信息是否可用于在发生损坏时进行错误分析,确定原因或进行完整性测试的信息。
LUM12 逻辑威胁 无意的 滥用 由于未经授权的存储而造成的损失 由于不正确/未经授权使用存储设备而导致的记录丢失。
LUM13 逻辑威胁 无意的 滥用 滥用审计工具 恶意使用网络扫描工具来发现开放的和可能未使用的端口,协议,服务以及漏洞。
LUM14 逻辑威胁 无意的 滥用 移动设备应用程序数据泄漏 由于使用移动设备应用程序而导致的覆盖信息泄漏。
LUM15 逻辑威胁 无意的 滥用 系统配置错误 因滥用信息资产(缺乏对应用程序功能的了解)或错误/不正确的信息资产配置或管理而导致的信息泄漏/共享/损坏。 
LUM16 逻辑威胁 无意的 滥用 不可接受的使用 违反了高级管理层或网络,网站或服务的资产/资源所有者所应用的一组规则,这些规则限制了网络,网站或系统的使用方式,并设置了应如何使用的准则用过的。
LUM17 逻辑威胁 无意的 滥用 非托管数据  不允许处方信息保护。  
LUM18 逻辑威胁 无意的 滥用 Web应用程序数据泄漏 涵盖信息的泄漏 使用Web应用程序时。
  组织威胁 合规 合约式   实体或个人寻求金钱或其他特定表现而不是由于违反法律合同而受到刑事制裁。
OCC1 组织 合规 合约式 民用 解决两个或多个当事人(个人或企业实体)之间的法律纠纷的过程,这些当事人寻求赔偿所造成的损失或未履行的特定性能。
  组织威胁 合规 监管机构   管辖实体,个人或组织行为的法律,通常包括对违法行为的处罚。
OCR1 组织 合规 监管机构 行政的 在执行州和联邦立法机构通过的法律时,要特别处理此类行政机构的决策能力。与常规的民事和刑事法院不同,其权限仅限于做出行政决定
OCR2 组织 合规 监管机构 民用 解决两个或多个当事人(个人或企业实体)之间的法律纠纷的过程,这些当事人寻求赔偿所造成的损失或未履行的特定性能。
OCR3 组织 合规 监管机构 刑事 在刑事法院受审以在刑事案件中进行起诉或为自己辩护的行为。
  组织威胁 合规 法定的    立法制定的管理实体的法律。
OCS1 组织 合规 法定的  民用 解决两个或多个当事人(个人或企业实体)之间的法律纠纷的过程,这些当事人寻求赔偿所造成的损失或未履行的特定性能。
OCS2 组织 合规 法定的  刑事 在刑事法院受审以在刑事案件中进行起诉或为自己辩护的行为。
  身体威胁 不可抗力 气候学    由气候/温度的自然过程(例如极端温度,干旱)引起的重大不良事件由气候/温度的自然过程(例如极端温度,干旱)导致的重大不良事件
PFC1 身体威胁 不可抗力 气候学 干旱 长时间降雨异常少,缺水造成财产损失。
  身体威胁 不可抗力 环境因素   与自然世界有关的当地条件。
PFE1 身体威胁 不可抗力 环境因素 湿度 空气中的水蒸气会凝结成水,从而损坏资产。
PFE2 身体威胁 不可抗力 环境因素 污染物 可能会对资产产生不利影响的微小外来微粒的集合。
PFE3 身体威胁 不可抗力 环境因素 腐蚀 化学(即气体或液体)污染物会导致资产腐蚀。
  身体威胁 不可抗力 地质学    由地球自然过程(例如地震)引起的重大不良事件
PFG1 身体威胁 不可抗力 地质学 雪崩 大量的雪,冰和岩石迅速坠落到山腰,破坏了其路径上的建筑物或资产。
PFG2 身体威胁 不可抗力 地质学 地震 地壳块沿地质断层的突然运动以及相关的地震动可能会损坏资产。
PFG3 身体威胁 不可抗力 地质学 滑坡 一团土石从山或悬崖上滑下来,破坏了其路径上的建筑物或资产。
PFG4 身体威胁 不可抗力 地质学 污水池 当不再支撑地面时,会突然在地面上出现一个大洞,损坏该地面上的所有物体。
PFG5 身体威胁 不可抗力 地质学 火山 喷发和熔岩造成的资产损坏。 
PFG6 身体威胁 不可抗力 地质学 野火 在自然环境中未经控制或非指定地燃烧植物的燃烧,有可能造成破坏或破坏。
  身体威胁 不可抗力 水文    水的自然过程(例如洪水)造成的主要不良事件
PFH1 身体威胁 不可抗力 水文 侵蚀 水对表面的腐蚀会损坏表面上的结构和资产。
PFH2 身体威胁 不可抗力 水文 洪水 超出正常范围的大量水溢出,特别是在正常干燥的土地上,导致洪水泛滥。
PFH3 身体威胁 不可抗力 水文 海啸 水下地震,山体滑坡或其他干扰造成的长海浪损坏。 
  身体威胁 不可抗力 气象    天气的自然过程导致的主要不良事件(例如龙卷风,飓风)
PFM1 身体威胁 不可抗力 气象 暴风雪 强风和低能见度的暴风雪可能会导致损坏或可及性问题。 
PFM2 身体威胁 不可抗力 气象 气旋风暴 空气在低压中心周围快速循环,周围的天气恶劣,造成损坏和可及性问题。
PFM3 身体威胁 不可抗力 气象 冰雹 一场暴风雨,产生冰雹,该冰雹到达地面并造成损坏。
PFM4 身体威胁 不可抗力 气象 热浪 长时间的异常炎热天气会影响人和电子系统。
PFM5 身体威胁 不可抗力 气象 冰暴 一场暴雨,可能损坏资产。
PFM6 身体威胁 不可抗力 气象 闪电 雷击造成的资产损坏(电气过电压)。
  身体威胁 故意的 冲突   因需求,动力,愿望,外部或内部需求不兼容或相反而产生的挣扎。
PIC1 身体威胁 故意的 冲突 纵火 故意放火烧毁造成损坏的资产。
PIC2 身体威胁 故意的 冲突 大型活动 破坏导致不利的行动(即示威,暴动,罢工和抗议)。 
PIC3 身体威胁 故意的 冲突 破坏 故意破坏,破坏或阻碍(某物),特别是出于政治或军事利益。
PIC4 身体威胁 故意的 冲突 恐怖主义 使用蓄意滥杀滥伤作为在群众中制造恐怖的手段;或害怕通过肉体暴力达到财务,政治,宗教或思想目标
PIC5 身体威胁 故意的 冲突 故意破坏 涉及故意破坏或破坏财产的行动。
PIC6 身体威胁 故意的 冲突 战事 由于人为战争或武装冲突而对资产,设施和员工造成的损害。 (例如轰炸)
  身体威胁 故意的 盗用   不诚实地或不公平地自用
PIM1 身体威胁 故意的 盗用 挪用公款 挪用某物,例如以欺诈手段将财产欺骗性地委托给自己使用的财产。通过欺诈进行盗窃的一种形式。 
PIM2 身体威胁 故意的 盗用 勒索 通过胁迫从组织获取金钱,财产或服务的行为。 通过使用武力或恐吓来获得合规性的盗窃形式。 
PIM3 身体威胁 故意的 盗用 舞弊 故意欺骗,以确保获得不公平或非法收益,或剥夺受害者合法权利。通过欺骗进行盗窃的一种形式。
PIM4 身体威胁 故意的 盗用 盗窃 偷窃,夺取和移走财产的行为,目的是剥夺合法所有者的财产。
  身体威胁 故意的 邪恶   公然违反历史悠久的法律和行为传统。
PIN1 身体威胁 故意的 邪恶 滥用职权 员工错误地使用了自己的权限,或超出了权限范围。
PIN2 身体威胁 故意的 邪恶 垃圾箱潜水 出于个人利益和/或损害的目的而搜索废弃的资产。
PIN3 身体威胁 故意的 邪恶 信息共享 与未经授权的实体故意共享非公开信息;例如亲自提供敏感文件。  
PIN4 身体威胁 故意的 邪恶 硬件操作 未经授权擅自更改硬件设备,例如卸下内存或硬盘驱动器。 
PIN5 身体威胁 故意的 邪恶 假面舞会/假装 撒谎或假装自己不是一个人。 
PIN6 身体威胁 故意的 邪恶 Quid Pro Quo  攻击者承诺会在返回重要访问权限或详细信息时提供好处或服务。
PIN7 身体威胁 故意的 邪恶 逆向工程(RE) 解构人造对象以揭示其设计,体系结构或从对象中提取知识的过程。
PIN8 身体威胁 故意的 邪恶 流氓硬件 由于未经授权的硬件进行操作
PIN9 身体威胁 故意的 邪恶 尾板 他人进入时未经他人许可的访问方式。
PIN10 身体威胁 故意的 邪恶 不可接受的使用 不遵守理事或拥有实体可接受的定义的规则。  
PIN11 身体威胁 故意的 邪恶 越权存取 未经许可或获得许可即可获得物理访问。
  身体威胁 无意的 失败   意外的系统降级或故障。
PUF1 身体威胁 无意的 失败 第三方服务 信息系统正常运行所需的第三方服务失败或中断。示例:供应或资源
PUF2 身体威胁 无意的 失败 电缆 由于电缆网络问题导致通信链接失败。  e.g. Copper & Fiber
PUF3 身体威胁 无意的 失败 相声 由相邻线路上传输的信号的电流和电压引起的一种特殊形式的线路损伤。这可能导致泄露敏感信息。 
PUF4 身体威胁 无意的 失败 电力 电源故障可能导致资产损坏或不可用。 
PUF5 身体威胁 无意的 失败 设备火 电子设备意外燃烧。
PUF6 身体威胁 无意的 失败 暖气,通风和空调(HVAC) 无法维持资产的大气条件。
PUF7 身体威胁 无意的 失败 IT硬件 IT硬件的零件和组件(例如主板,CPU,RAM,视频卡,硬盘驱动器,电源)故障或失灵。  
PUF8 身体威胁 无意的 失败 水暖 设施管道故障,包括天然气和水系统故障。 
PUF9 身体威胁 无意的 失败 电压 电源电压的波动会导致故障并损坏IT系统。 
PUF10 身体威胁 无意的 失败 无线 由于无线网络问题导致通信链接失败。例如无线电/ RF
  身体威胁 无意的 人的   以人为本的错误或错误。
PUH1 身体威胁 无意的 人的 缺少人员 关键人员,他们的能力/技能和知识不可用。
PUH2 身体威胁 无意的 人的 意外伤害 由于意外和非故意的行为而导致的突然损坏。
PUH3 身体威胁 无意的 人的 意外起火 人无意间放火。
PUH4 身体威胁 无意的 人的 IT资产损失 意外或无意丢失任何物理IT资产
PUH5 身体威胁 无意的 人的 密码处理不当  密码的无意操作会导致涵盖信息的泄漏。
PUH6 身体威胁 无意的 人的 意外信息共享 未经授权的个人偷听意外地泄露敏感信息。
  身体威胁 无意的 滥用   以错误的方式使用或用于错误的目的。
PUM1 身体威胁 无意的 滥用 配置错误 由于安装或系统配置错误而导致的信息丢失。
PUM2 身体威胁 无意的 滥用 信息系统设计不当  由于IT资产或业务流程设计不当造成的损失(IT产品规格不足,可用性不足,接口不安全,策略/过程流,设计错误和更改)。
PUM3 身体威胁 无意的 滥用 网络基础架构设计不当 根据组织定义的要求,规划不当的网络基础架构可能会影响数据的机密性和网络的完整性,这可能会导致敏感信息未经授权地泄露给未授权用户。 
PUM4 身体威胁 无意的 滥用 硬件操作 未经授权擅自更改硬件设备,例如卸下内存或硬盘驱动器。 
PUM5 身体威胁 无意的 滥用 流氓硬件 由于未经授权的硬件进行操作
PUM6 身体威胁 无意的 滥用 尾板 出于便利或礼节,未经授权的访问。
PUM7 身体威胁 无意的 滥用 不可接受的使用 可以使用一组由高级管理人员和/或设备所有者,信息等所应用的规则,并设置有关应如何使用的准则。
回复
分享: