28.威胁识别、分类与赋值.pdf

威胁识别、分类与赋值 1. 威胁性识别 威胁是指可能对资产或组织造成损害事故的外部原因。作为风险评估的重 要因素 ，威胁是客观存在的 ，不会因为安全保障体系的建立而消亡。威胁利用资 产本身的脆弱性 ，采用一定的途径和方式 ，对资产造成损害或损失 ，从而形成风 险。 1.1. 威胁识别 按照资产为中心的评估原则，威胁的识别将按照资产逐一展开，而安全风 险评估的核心资产是信息资产，所以在识别时 ，主要以信息资产为中心 ，展开对 威胁的发现、识别和判定，根据信息安全特点，识别的主要威胁源如下表所示： 威胁源 威胁动机及造成后果描述 断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪水、火灾、 环境因素 地震、意外事故等环境危害或自然灾害。 内部人员威胁包括组织内部人员、外聘运维人员、外购产品的供应商。 缺乏责任心、不关心或者不关注、没有遵循规章制度和操作流程、缺 乏培训、专业技能不足、不具备岗位技能要求而导致系统故障或被攻 内部人员 击。 心存不满的内部员工是内部威胁的重要来源。内部攻击者了解系统， 并具有一定的权限，往往被允许不受限制的访问系统，而且比外部的 攻击者有更多的攻击机会，因此不需要掌握太多关于计算机入侵的知 威胁源 威胁动机及造成后果描述 识，就可以破坏系统或窃取系统数据，攻击的成功率高。 黑客入侵网络是为了获得挑战的刺激或者在黑客世界里炫耀自己的能 力。这类攻击者大多数不具备专业技术能力，却可以从互联网上下载 黑客 易于使用且破坏力强的攻击脚本和工具，向目标发起攻击。并且他们 的数量庞大，分布在全球，即使是独立或短暂的攻击破坏，也会导致 严重的后果。 居心不良的个人或组织通过制造并传播恶意软件对系统实施攻击。一 恶意软件的作者 些破坏性的恶意软件会损害系统文件或硬件驱动器、控制关键过程、 开启执行程序以及控制系统所控制的设备等。 恐怖分子试图破坏、致瘫或利用关键基础设施来威胁国家安全，引起 大规模人员伤亡，削弱国家经济，破坏民众的士气与信心。恐怖分子 恐怖分子 可能利用钓鱼网站和恶意软件来获取资金或搜集敏感信息，也可能会 佯攻一个目标以转移对其他目标的关注程度和保护力度。 间谍 间谍通过暗中活动的方式企图获取有情报价值的资产和技术秘密。 组织严密，具有充足资金、人力和技术资源，而且可能在必要时实施 境外国家力量 高隐蔽性和高破坏性的分发攻击，窃取组织核心机密或使系统全面瘫 痪。 表：主要威胁源列表 针对上述威胁来源，分析可能存在的威胁的表现形式，提供了一种基于表 现形式的威胁分类方法，如下表所示： 威胁名称 描述 非法信息披露 无权限者进行攻击（嗅探，社会活动），以获得储存在系统组件中的 敏感信息。 非法分析 无权限者进行攻击 （嗅探，社会活动），用于分析受保护的敏感信息。 非法修改 无权限者进行攻击（修改，旁路，嗅探），以修改存储于系统组件中 的敏感信息。 非法破坏 无权限者进行攻击（破坏，旁路），以破坏存储于系统组件中的敏感 信息。 篡改控制组