信息技术中国体育彩票开奖和漏洞受众：要求，进行或参与IT风险评估的任何人。

介绍

中国体育彩票开奖和漏洞不是一回事。中国体育彩票开奖是指可能以负面方式影响宝贵资源的人或事件。漏洞是指资源或其环境的质量，可以实现中国体育彩票开奖。武装银行劫匪就是中国体育彩票开奖的一个例子。银行出纳员就是有价值的资源的一个示例，该资源在银行抢劫期间可能会受到攻击。强盗和柜员之间的防弹玻璃否认强盗射杀柜员的机会。该中国体育彩票开奖仍然存在，但是其保护机制（玻璃杯）减轻了其有害影响之一（开枪）。

在系统和网络安全中，中国体育彩票开奖仍然存在，但可以通过正确使用安全功能和步骤来缓解。缓解是指为防止中国体育彩票开奖产生负面影响而采取的任何措施，或者是在无法采取全面预防措施的情况下限制损害的任何措施，或者是提高恢复工作的速度或有效性的措施。

硬件和软件系统及其处理的数据可能容易受到各种中国体育彩票开奖的攻击。安全功能和过程的选择不仅必须基于一般的安全目标，而且还必须根据系统所面临的中国体育彩票开奖来考虑所讨论系统的特定漏洞。过度保护是可能的，这只会浪费资源并给用户带来不便。

如您所见，中国体育彩票开奖与漏洞之间存在联系。有时，检查每种潜在中国体育彩票开奖并确定您的脆弱程度（例如火灾，洪水，地震）较为容易。在其他情况下，无需特别考虑中国体育彩票开奖即可查找潜在漏洞（例如，设备安装不当，介质故障，数据输入错误）。为了进行完整的风险评估，必须同时考虑这两种观点。中国体育彩票开奖和漏洞在下面的列表中混合在一起，可以统称为潜在的“安全问题”。

为了便于讨论和使用，关注点可以分为四类。 环境因素 问题包括不希望出现的特定地点的偶然事件，例如闪电，灰尘和喷头的启动。 物理 关注的问题包括针对特定站点的不良人员行为，无论是有意还是无意的行为，例如盗窃，故意破坏和绊倒危险。 网站支持 关注的方面包括基础站点方面，例如电力，电话服务和气候控制。作为系统设计和管理的一部分，这三类问题通常无法解决-作为设施设计和维护的一部分，可以更适当地解决它们，从而涵盖存在的所有系统。

最后一个类别 技术 问题包括隐患的系统特定情况，例如系统操作不当，恶意软件和线路窃听。实际的中国体育彩票开奖很少：未经训练的恶意用户和系统灾难。探索向这些用户和事件开放的许多途径（漏洞），并考虑防止这些事件和/或提供快速恢复的方法，这将更加有用。

以下列表旨在用作任何IT风险评估的起点。必须针对特定站点或系统评估每个潜在问题，以确定其适用范围。事件发生的可能性，再加上事件的预期影响以及适当缓解措施的成本，将产生应解决的安全问题的优先列表。

环境因素 （不希望出现的特定地点的偶然事件）

• 火
• 洪水
• 海啸
• 地震
• 火山喷发
• 闪电
• 恶劣天气
• 抽烟
• 灰尘
• 昆虫
• 鼠类
• 化学烟雾
• 喷淋头激活
• 漏水-管道破裂，屋顶孔洞，冷凝水
• 爆炸-附近的煤气管线，化工厂，油库，弹药库
• 振动-附近的铁轨，飞机交通，建筑工地
• 电磁干扰-无线电接收不良或工作站显示抖动提示
• 静电放电-通过“火花”接地物体建议

物理 （针对特定地点的不当人员操作）

• 未经授权的设施访问
• 盗窃
• 故意破坏
• 破坏
• 勒索
• 恐怖主义/炸弹中国体育彩票开奖
• 劳工动乱-员工和支持承包商
• 战争/内乱
• 运输不当-设备掉落，淹没，暴露在天气中或在运输过程中受到X射线照射
• 不正确的安装/存放-暴露于颠簸，撞击或天气的设备
• 溢出/滴落-设备附近允许的有害物质（例如食物，液体）
• 磁铁/磁性工具-可以擦除数据或损坏敏感设备
• 碰撞-叉车，汽车，飞机，轮椅
• 绊倒危险/跌倒-设备构成人员危险
• 火灾隐患-易燃材料存放在附近

网站支持 （基础站点方面）

• 停电
• 极端/不稳定的温度
• 极端/不稳定的湿度
• 不安全的环境-不适合人类职业
• 设备不可访问性-阻止进入
• 无法断电-在火灾，洪水等情况下
• 电气噪声/接地不良-闪烁的灯光或工作站显示抖动提示
• 维护不当-落后于计划的无力支持或预防性维护
• 人员不可用-无法联系操作或支持人员
• 电话故障-无法从外部联系站点，无法拨打电话，完全无法使用服务
• 灭火不当-水，泡沫，PKP，哈龙
• 垃圾处理不当-以未经授权的方式释放敏感数据

技术 （特定于系统的阴险情况）

• 程序不正确/不充分-可预见的事件不受完整，准确的文档和培训的支持
• 操作不当-操作设备超出容量或超出制造商的限制
• 硬件配置不正确-在安装过程中以指定方式以外的其他方式配置了指定的硬件
• 软件配置不正确-在安装过程中以指定方式以外的其他方式配置了指定软件
• 未经授权的硬件/修改-添加非指定的硬件或进行未经授权的硬件修改
• 未经授权的软件/修改-添加非规定的软件或进行未经授权的软件修改
• 未经授权的软件复制-创建有效许可证未涵盖的许可软件副本
• 未经授权的逻辑访问-获得未获得访问授权的系统的使用（而不是获得对硬件的物理访问）
• 渎职行为（超出授权范围）-获得超出授权范围的系统使用权
• 未经批准的使用/超额许可-将未经许可的系统资源用于未经许可的目的（简历，教堂公告，与工作无关的电子邮件或Internet浏览）或超出用户许可协议
• 过度分类或分类不足-以高于或低于适当水平的敏感度标记资源
• 恶意软件-旨在以任何方式降低系统性能，修改或破坏数据，窃取资源或破坏安全性的软件
• 硬件错误/故障[功能]-停止提供所需用户服务/资源的硬件
• 硬件错误/故障[安全性]-停止提供所需安全性服务/资源的硬件
• 软件错误/故障[功能]-停止提供所需用户服务/资源的软件
• 软件错误/失败[安全性]-停止提供所需安全服务/资源的软件
• 介质故障-停止以可检索/完整的方式保留已存储信息的存储介质
• 数据保留-以可检索/完整的方式保留存储的信息的时间长于所需的存储介质（无法完全擦除）
• 对象重用-为用户提供存储对象（例如内存或磁盘空间）的系统，其中包含属于另一个用户的有用信息
• 通信失败/过载-停止提供服务或无法以请求的容量提供服务的通信设施
• 通讯错误-提供不准确服务的通讯设施
• 数据输入错误-接受错误数据为合法的系统
• 意外的软件修改/删除-删除或以其他方式使必要的软件不可用
• 意外数据修改/删除-删除或以其他方式使所需数据不可用
• 意外数据泄露-疏忽向未经授权的用户泄露敏感数据
• 抵赖-参与流程或交易，但拒绝这样做
• 伪装-参与流程或交易，但冒充其他用户
• 消息播放-记录合法的传输以便以后重发，以尝试获得未经授权的特权
• 邮件泛洪-生成大量传输，以尝试使系统或服务由于过载而无法使用
• 线路窃听-以未经授权的方式连接到通信设施，以尝试收集有用的信息
• 电子散发-与所有电子设备相关的带有信息的杂散发射（由TEMPEST设备或屏蔽层阻止）
• 地理位置-一种无意中泄露用户当前物理位置的系统

  注意：上面的技术关注列表在某种程度上是通用的，但是在系统设计期间很有用，并且在系统审核期间仍然可以使用。特定于系统的漏洞的详细列表将是如此冗长且动态，以至于无法管理-应使用自动化工具来识别特定于操作系统，应用程序和中间件的漏洞。

 

信息安全 漏洞 是使组织面临风险的弱点。了解您的漏洞是管理风险的第一步。

雇员

1.社交互动
2.客户互动
3.讨论公共场所的工作
4.将数据带出办公室（纸，手机，笔记本电脑）
5.通过电子邮件发送文件和数据
6.邮寄和传真文件
7.安装未经授权的软件和应用
8.删除或禁用安全工具
9.允许未经授权的人员进入办公室（尾随）
10.打开垃圾邮件
11.将个人设备连接到公司网络
12.记下密码和敏感数据
13.丢失安全设备，例如身份证
14.缺乏信息安全意识
15.键控数据

前员工

1.为竞争对手工作的前雇员
2.前雇员保留公司数据
3.前雇员讨论公司事务

技术

1.社交网络
2.文件共享
3.快速的技术变革
4.旧版系统
5.在手机等移动设备上存储数据
6.互联网浏览器

硬件

1.对灰尘，热和湿气的敏感性
2.硬件设计缺陷
3.过时的硬件
4.硬件配置错误

软件

1.测试不足
2.缺乏 审计追踪
3.软件错误和设计错误
4.未经检查的用户输入
5.不能考虑人为因素的软件
6.软件复杂性（软件）
7.软件即服务（放弃对数据的控制）
8.停业或更改所有权的软件供应商

网络

1.未受保护的网络通信
2.打开物理连接，IP和端口
3.不安全的网络架构
4.未使用的用户ID
5.过多的特权
6.不必要的作业和脚本执行
7. Wifi网络

IT管​​理

1. IT能力不足
2.缺少的安全补丁
3.事件和问题管理不足
4.配置错误和错过的安全通知
5.系统操作错误
6.缺乏定期审核
7.废物处置不当
8.变更管理不足
9.业务流程缺陷
10.商业规则不足
11.商业控制不足
12.无法考虑人为因素的过程
13.对安全审计过度自信
14.缺乏风险分析
15.快速的业务变化
16.连续性计划不足
17.宽松的招聘流程

合作伙伴和供应商

1.电信服务中断
2.中断电力，天然气，水等公用事业服务
3.硬件故障
4.软件故障
5.丢失的邮件和快递包裹
6.供应中断
7.与合作伙伴和供应商共享机密数据

顾客

1.客户进入安全区域
2.客户对数据的访问（即客户门户）

办公室和数据中心

1.容易发生自然灾害（例如地震）的地点
2.政治上不稳定的地方
3.受政府间谍监视的地点
4.电源不可靠
5.高犯罪率地区
6.同一地理位置的多个站点