15、风险分析与管理全解析

风险分析与管理全解析

1. 资产漏洞识别

在进行风险分析时，首先要确定可能改变资产状态的漏洞。我们按资产类别来列出这些漏洞，并且暂不明确指出可能利用这些漏洞的威胁主体，但会针对每个漏洞提及已实施或计划实施的对策。

1.1 物理资产的漏洞

• 电子设备对环境因素敏感，如热、水、污染、物理冲击和磁辐射等。其正常运行依赖电力供应，像硬盘等设备可能损坏，导致数据丢失。网络电缆可能被意外或故意切断、拔下。
• 举例来说，若机房温度过高，可能影响服务器的正常运行；清洁人员不小心将水洒在电脑上，也会造成设备损坏。

漏洞表现	可能后果
电子设备受环境因素影响	设备损坏、数据丢失
网络电缆被切断或拔下	网络连接中断

1.2 逻辑资产的漏洞

• 软件可能存在编程错误，导致系统出现意外状态。可分为已公布和未公布的安全漏洞，已公布的通常有安全更新，未公布的则需要攻击者具备专业知识。
• 系统或应用软件的配置错误也是漏洞来源，如防火墙配置不当、访问控制策略实施不佳。用户也可能引入漏洞，如选择弱密码、忽视系统安全策略。
• 此外，物理访问系统往往能让攻击者绕过软件安全措施，例如通过恢复和还原功能获取系统的