信息安全脆弱性梳理

admin

139110
文章

114
评论

2024年11月20日13:35:10评论39 views字数 1864阅读6分12秒阅读模式

安小圈

第549期

信息安全

信息安全脆弱性梳理

多种安全领域的脆弱性示例，包括可以利用这些脆弱性的威胁示例。该表能在威胁和脆弱性评估中提供帮助，来确定相关的风险场景。在某些场合，其他威胁同样可能利用这些脆弱性。

类别	编号	脆弱性示例
硬件	VH01	存储介质的维护不足/错误安装
	VH02	定期更换计划的缺乏
	VH03	对潮湿、灰尘、污染的敏感性
	VH04	对电磁辐射的敏感性
	VH05	有效配置变更控制的缺乏
	VH06	对电压变化的敏感性
	VH07	对温度变化的敏感性
	VH08	未保护的存储器
	VH09	废物谨慎处置的缺乏
	VH10	未控制的复制
软件	VS01	软件测试的缺失或不足
	VS02	软件中众所周知的缺陷
	VS03	离开工作站时未"退出"
	VS04	未适当擦除的存储介质的废弃或再使用
	VS05	审计跟踪的缺乏
	VS06	访问权限的错误分配
	VS07	广泛分布的软件
	VS08	应用程序使用了错误的时钟数据
	VS09	复杂的用户界面
	VS10	文件化不充分或缺失
	VS11	不正确的参数设置
	VS12	不正确的日期
	VS13	标识与鉴别机制（如用户鉴别）不充分
	VS14	未保护的口令表
	VS15	糟糕的口令管理
	VS16	不必要的服务开启
	VS17	不成熟或新的软件
	VS18	不清晰或不完整的开发者规范
	VS19	有效变更控制的缺乏
	VS20	软件未受控的下载和使用
	VS21	备份的缺乏或不完整
	VS22	未能生成管理报告
网络	VN01	发送或接收消息的证据机制不完整
	VN02	未保护的通信线路
	VN03	未保护的敏感通信
	VN04	糟糕的综合布线
	VN05	单点故障
	VN06	发送者和接收者的标识与鉴别机制不充分或缺失
	VN07	不安全的网络架构
	VN08	口令明文传输
	VN09	网络管理不足（路由弹性）
	VN10	未保护的公共网络连接
人员	VP01	人员脱岗
	VP02	招聘规程不足
	VP03	安全培训不充分
	VP04	软件和硬件的不正确使用
	VP05	安全意识缺乏
	VP06	监视机制缺乏
	VP07	对外部人员或清洁人员的工作无监督
	VP08	无效或不正确使用电信介质和通讯策略
场所	VS01	建筑物和房间物理访问控制使用不当或疏忽
	VS02	位于洪水多发地区
	VS03	不稳定的电网
	VS04	建筑物和门窗物理保护的不充分
组织	VO01	未制定用户注册和注销的正式规程，或实施无效
	VO02	未制定访问权限审查（监督）的正式过程，或实施无效
	VO03	与客户和（或）第三方合同中的规定（关于安全）缺乏或不足
	VO04	未制定信息处理设施的监视规程，或实施无效
	VO05	未定期审计（监督）
	VO06	未制定风险识别和评估规程，或实施无效
	VO07	管理员和操作员日志中记录的故障报告缺乏或不充分
	VO08	设备维护响应不足
	VO09	服务级别协议缺乏或不充分
	VO10	未制定变更控制规程，或实施无效
	VO11	未制定ISMS文件化控制的正式规程，或实施无效
	VO12	未制定ISMS记录监督的正式规程，或实施无效
	VO13	未制定公开可用信息授权的正式过程，或实施无效
	VO14	信息安全责任分配不当
	VO15	连续性计划不存在、不完整或过时
	VO16	未制定电子邮件使用策略，或实施无效
	VO17	未制定在运行系统中引入软件的规程，或实施无效
	VO18	未制定保密信息处理的规程，或实施无效
	VO19	职位描述中缺乏信息安全责任
	VO20	员工合同中的规定（关于信息安全）缺乏或不充分
	VO21	未制定信息安全事件违规处理过程，或不能正确运行
	VO22	未制定移动计算机使用的正式策略，或实施无效
	VO23	外部资产控制不充分
	VO24	“清理桌面和屏幕"策略缺乏或不充分
	VO25	信息处理设施授权未实施，或不能正确运行
	VO26	安全违规的监视机制未正确实施
	VO27	未制定报告安全弱点的规程，或实施无效
	VO28	未制定符合知识产权规定的规程，或实施无效