当前位置:文档之家 › 信息安全的信息资产、威胁与脆弱性分类

信息安全的信息资产、威胁与脆弱性分类

  • 格式:pdf
  • 大小:124.32 KB
  • 文档页数:3

下载文档原格式

  / 3

合集下载

(完整word版)信息资产威胁和脆弱性对应表

(完整word版)信息资产威胁和脆弱性对应表
易受电压波动影响,已造成严重损失
轻微受电压波动影响,易造成严重损失
易受电压波动影响,不易造成严重损失
14
静电
位于易产生静电环境,资产易受静电破坏
位于易产生静电环境,资产不易受静电破坏
位于不易产生静电环境,资产易受静电破坏
工作人员无资产维护意识,没有维护常识
工作人员有资产维护意识,没有维护常识
工作人员无资产维护意识,有维护常识
软件无合法数据验证机制
48
提供给操作人员错误的指南信息
文件匮乏
文档管理混乱
49
软件维护失误
工作人员无资产维护意识,没有维护常识
工作人员有资产维护意识,没有维护常识
工作人员无资产维护意识,有维护常识
无软件更新控制
50
硬件的操作失误
工作人员操作不熟练
设备易损坏
无硬件访问控制
缺乏物理安全措施
51
存储介质的故障
工作人员注重个人利益
工作人员无法律ቤተ መጻሕፍቲ ባይዱ识
工作人员法律意识弱
无数据访问控制
无硬件访问控制
40
内部人员身份假冒
工作人员无法律意识
工作人员弱法律意识
弱密码管理
不易辨认身份的真伪
41
内部人员出卖个人信息
工作人员注重个人利益
工作人员无法律意识
工作人员法律意识弱
数据中心无物理安全措施
数据中心弱物理安全措施
无劳工协议,竞业禁止等保密要求
不易辨认身份的真伪
信息不易辨认真伪
无逻辑访问控制
30
系统篡改
弱密码管理
软件无身份验证机制
软件采用弱身份验证机制
操作系统存在漏洞
应用软件存在漏洞

信息系统安全风险的概念模型和评估模型

信息系统安全风险的概念模型和评估模型

信息系统安全风险的概念模型和评估模型叶志勇摘要:本文阐述了信息系统安全风险的概念模型和评估模型,旨在为风险评估工作提供理论指导,使风险评估的过程和结果具有逻辑性和系统性,从而提高风险评估的质量和效果。

风险的概念模型指出,风险由起源、方式、途径、受体和后果五个方面构成,分别是威胁源、威胁行为、脆弱性、资产和影响。

风险的评估模型要求,首先评估构成风险的五个方面,即威胁源的动机、威胁行为的能力、脆弱性的被利用性、资产的价值和影响的程度,然后综合这五方面的评估结果,最后得出风险的级别。

关键词:安全风险、安全事件、风险评估、威胁、脆弱性、资产、信息、信息系统。

一个机构要利用其拥有的资产来完成其使命。

因此,资产的安全是关系到该机构能否完成其使命的大事。

在信息时代,信息成为第一战略资源,更是起着至关重要的作用。

信息资产包括信息自身和信息系统。

本文提到的资产可以泛指各种形态的资产,但主要针对信息资产及其相关资产。

资产与风险是天生的一对矛盾,资产价值越高,面临的风险就越大。

风险管理就是要缓解这一对矛盾,将风险降低的可接受的程度,达到保护资产的目的,最终保障机构能够顺利完成其使命。

风险管理包括三个过程:风险评估、风险减缓和评价与评估。

风险评估是风险管理的第一步。

本文对风险的概念模型和评估模型进行了研究,旨在为风险评估工作提供理论指导,使风险评估的过程和结果具有逻辑性和系统性,从而提高风险评估的质量和效果。

一、风险的概念模型安全风险(以下简称风险)是一种潜在的、负面的东西,处于未发生的状态。

与之相对应,安全事件(以下简称事件)是一种显在的、负面的东西,处于已发生的状态。

风险是事件产生的前提,事件是在一定条件下由风险演变而来的。

图1给出了风险与事件之间的关系。

图1 风险与事件之间的关系风险的构成包括五个方面:起源、方式、途径、受体和后果。

它们的相互关系可表述为:风险的一个或多个起源,采用一种或多种方式,通过一种或多种途径,侵害一个或多个受体,造成不良后果。

信息安全 信息资产评估 分类

信息安全 信息资产评估 分类

信息安全信息资产评估分类信息安全是指在计算机网络及信息系统中,保护信息免受未授权访问、使用、披露、破坏、修改或泄漏的一系列措施和方法。

而信息资产评估则是对组织的信息资产进行全面的评估和分析,以确定其价值、风险和安全需求。

本文将对信息安全和信息资产评估进行分类讨论。

一、信息安全:1.定义:信息安全是指保护信息的机密性、完整性和可用性,以防止未经授权的访问、使用、披露、破坏、修改或泄漏。

2.目标:确保信息的保密性,即只有授权人员可以访问敏感信息;确保信息的完整性,防止信息被篡改或损坏;确保信息的可用性,保证信息及相关系统的正常运行。

3.措施:采取技术和管理手段进行信息安全保护,包括身份认证、访问控制、加密、防火墙、入侵检测系统等。

二、信息资产评估:1.定义:信息资产评估是对组织的信息资产进行全面的评估和分析,以确定其价值、风险和安全需求。

2.目的:了解组织的信息资产,包括数据、系统、网络、设备等的价值和风险,为制定有效的信息安全策略和措施提供依据。

3.流程:包括确定评估范围、收集信息资产、评估信息资产价值、评估信息资产风险、制定改进措施等步骤。

4.价值评估:评估信息资产的价值,包括数据的重要性、系统的关键性、网络的可靠性等,以确定其保护的优先级。

5.风险评估:评估信息资产的风险,包括潜在的威胁、漏洞和脆弱性,以确定需要采取的安全措施。

6.改进措施:根据评估结果,制定相应的信息安全策略和措施,包括制定访问控制策略、加强网络安全、加密敏感数据等。

三、信息安全和信息资产评估的关系:1.信息安全和信息资产评估是相互关联的,信息安全是保护信息资产的目标,而信息资产评估是评估信息资产的价值和风险,为制定信息安全策略和措施提供依据。

2.信息资产评估是信息安全的前提和基础,只有了解信息资产的价值和风险,才能有针对性地制定信息安全策略和措施。

3.信息资产评估是信息安全管理的重要环节,通过评估信息资产的价值和风险,可以合理分配安全资源,提高信息安全管理的效果和效率。

信息安全风险综合评价——LEC法打分法则

信息安全风险综合评价——LEC法打分法则

A.1 信息安全风险综合评价(LEC法)
是综合考虑信息安全的信息资产、威胁与脆弱性三个因素的各项影响包括经济影响进行的综合评价办法。

注意此方法适用于信息安全风险评价,不适用于其他的评价。

见公式(8)
D=L×E×C (1)
式中:
D:综合评价结果,
L:威胁出现的频率因子,
E:脆弱性严重程度因子,
C:信息资产重要性因子(C=c1+c2+c3)。

A.2 威胁出现的频率因子(L),见表F.1
表F.1 威胁出现的频率因子(L)
A.3 脆弱性严重程度因子(E),见表F.2
表F.2 脆弱性严重程度因子(E)
A.4 信息资产重要性因子(C),见公式(9)
C=c1 + c2 +c3 (2)
式中:
C::信息资产重要性因子
c1::信息资产保密性因子
c2::信息资产完整性因子
c3::信息资产可用性因子。

A.4.1 信息资产保密性因子c1,见表F.3
表F.3 信息资产保密性因子c1
A.4.2 信息资产完整性因子 c2,见表F.4
表F.4 信息资产完整性因子 c2
A.4.3 信息资产可用性赋值 c3,见表F.5
表F.5 信息资产可用性赋值 c3
_________________________________。

信息安全风险评估包括哪些

信息安全风险评估包括哪些

信息安全风险评估包括哪些信息安全风险评估是指对信息系统中的潜在威胁进行客观和系统化的识别、分析和评价的过程。

通过对信息系统的风险进行评估和分析,能够帮助组织了解自身的安全现状,制定相应的安全措施和策略,以保证组织的信息安全。

信息安全风险评估包括以下几个方面:1. 资产评估:评估信息系统中的各类资产,包括硬件设备、软件应用、数据、网络设备等。

通过对这些资产的评估,确定哪些资产对组织的业务运作具有重要性,需要特别保护和重点关注。

2. 威胁评估:评估信息系统面临的潜在威胁和攻击方式。

通过分析各种威胁的来源、特征、攻击手段和影响,识别哪些威胁可能对信息系统的安全造成威胁,并评估其对组织业务的潜在损害。

3. 脆弱性评估:评估信息系统中的存在的脆弱性和漏洞。

通过分析系统的配置、补丁管理、口令管理等方面,发现可能被攻击者利用的漏洞和脆弱点,识别系统中潜在的风险。

4. 风险评估:通过对资产、威胁和脆弱性的评估,综合分析和量化风险的可能性和影响。

通过风险评估,识别和排序系统中的潜在风险,确定哪些风险具有较高的优先级,需要优先采取措施加以防范。

5. 对策评估:评估组织已有的安全控制措施和防御机制,分析其对系统当前面临的风险的有效性和适用性。

通过对策评估,发现安全控制措施的不足之处,并对其进行改进,提高组织的信息安全防护能力。

6. 风险管理计划:根据风险评估结果,制定信息安全风险管理计划,确定相应的风险管理策略和措施,明确各项安全控制的实施责任和时间表,以确保组织的信息系统安全管理工作的持续有效进行。

综上所述,信息安全风险评估是一个综合性的过程,通过对资产、威胁、脆弱性和对策的评估,识别和分析信息系统面临的风险,并制定相应的风险管理计划,以帮助组织建立起有效的信息安全管理体系,保护组织的信息系统和数据的安全。

信息安全的风险评估

信息安全的风险评估

信息安全的风险评估
信息安全的风险评估是指对信息系统或网络环境中的风险进行系统化的评估与分析,以确定对信息安全造成威胁的因素、可能遭受到的攻击类型以及可能导致的损失,为制定有效的安全措施和决策提供依据。

信息安全的风险评估可以按照以下步骤进行:
1. 资产识别和分类:识别和分类重要的信息资产,例如数据、系统、网络、设备等。

2. 威胁辨识:分析与确认可能的威胁来源和攻击方法,例如网络攻击、恶意软件、社会工程等。

3. 脆弱性评估:评估系统和网络存在的漏洞和弱点,即脆弱性,例如安全配置问题、未修补的漏洞等。

4. 风险分析:结合资产识别、威胁辨识和脆弱性评估的结果,评估潜在威胁和漏洞对信息安全造成的风险程度。

5. 风险评估:根据风险分析的结果,对风险进行量化评估或定性评估,确定风险的等级和优先级。

6. 风险管理:根据风险评估的结果,制定针对性的安全措施和策略,包括风险的接受、缓解、转移或避免。

7. 监测与更新:持续监测信息安全状况,及时更新风险评估和
管理策略,以适应不断变化的威胁环境。

通过信息安全的风险评估,组织能够识别和评估潜在的风险,制定相应的风险管理措施,提升信息系统和网络的安全性,保护重要的信息资产免受攻击和损失。

信息安全风险管理知识点标注版

9
可能性
❖ 某件事发生的机会 ❖ 威胁源利用脆弱性造成不良后果的机会 ❖ 举例
▪ 脆弱性只有国家级测试人员采用专业工具才能利用 ,发生不良后果的机会很小
▪ 系统存在漏洞,但只在与互联网物理隔离的局域网 运行,发生不良后果的机会较小
▪ 互联网公开漏洞且有相应的测试工具,发生不良后 果的机会很大
10
对风险概念的理解
8
脆弱性
❖ 可能被威胁所利用的资产或若干资产的薄弱环节 ❖ 造成风险的内因 ❖ 脆弱性本身并不对资产构成危害,但是在一定条
件得到满足时,脆弱性会被威胁源利用恰当的威 胁方式对信息资产造成危害 ❖ 脆弱性举例
▪ 系统程序代码缺陷 ▪ 系统设备安全配置错误 ▪ 系统操作流程有缺陷 ▪ 维护人员安全意识不足
2255
信息安全风险管理相关的国内外标准
❖ GB/T 20984-2007《信息安全风险评估规范》 ❖ GB/Z 24364-2009《信息安全风险管理指南》 ❖ ISO/IEC 27005:2011《信息安全风险管理》 ❖ ISO GUIDE 73:2009《风险管理-术语》 ❖ ISO 31000:2009《风险管理-主要原则和指南》 ❖ IEC/ISO 31010:2009《风险管理-风险评估技术》 ❖ NIST SP800-30 (2012)《实施风险评估指南》 ❖ NIST SP800-39 (2011) 《管理信息安全风险:组织、使命和信息系统梗概》 ❖ NIST SP800-37 (2010) 《联邦信息系统应用风险管理框架指南:安全生命周期方法》 ❖ NIST SP800-53 (2010) 《为联邦信息系统和组织推荐的安全控制措施》 ❖ NIST SP800-53A (2010) 《联邦信息系统和组织安全控制措施评估指南:建立有效的

信息安全风险规定(3篇)

第1篇第一章总则第一条为加强信息安全风险管理,保障信息安全,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等相关法律法规,结合我国信息安全工作实际,制定本规定。

第二条本规定适用于中华人民共和国境内所有组织和个人,包括但不限于企业、事业单位、社会团体、个体工商户等。

第三条信息安全风险管理应遵循以下原则:(一)依法依规:严格遵守国家法律法规和标准规范,确保信息安全风险管理合法、合规。

(二)预防为主:坚持预防为主、防治结合的方针,强化安全意识,加强安全防护,降低信息安全风险。

(三)全面覆盖:全面覆盖信息安全风险管理的各个环节,确保信息安全风险得到有效控制。

(四)持续改进:建立健全信息安全风险管理体系,持续改进,提高信息安全风险防范能力。

第四条组织和个人应加强信息安全风险管理,建立健全信息安全风险管理制度,明确责任,落实措施,确保信息安全。

第二章信息安全风险评估第五条组织和个人应定期开展信息安全风险评估,评估内容包括但不限于:(一)信息资产识别:识别组织和个人所拥有的信息资产,包括但不限于数据、系统、网络、设备等。

(二)威胁识别:识别可能对信息资产造成威胁的因素,包括但不限于网络攻击、恶意软件、人为错误等。

(三)脆弱性识别:识别信息资产可能存在的安全漏洞和缺陷。

(四)影响评估:评估信息安全事件可能对组织和个人造成的影响,包括但不限于经济损失、声誉损失、业务中断等。

第六条信息安全风险评估应遵循以下步骤:(一)制定评估计划:明确评估目的、范围、方法、时间安排等。

(二)信息收集:收集与信息安全风险评估相关的资料,包括信息资产、威胁、脆弱性、影响等。

(三)分析评估:对收集到的信息进行分析,评估信息安全风险等级。

(四)报告编制:编制信息安全风险评估报告,包括评估结果、风险等级、建议措施等。

第七条信息安全风险评估报告应包括以下内容:(一)评估背景:说明评估目的、范围、方法等。

(二)评估结果:列出信息安全风险等级、风险点、可能造成的影响等。

信息资产分级管理

新疆汇和银行信息资产分级管理1.信息资产分类鉴别•为达到及维护组织资产的保护, 应明确识别所有资产, 并制作与维持所有重要资产的清单, 与信息处理设施相关的所有信息及资产由信息科技管理小组指定管理者。

与信息处理设施相关的信息与资产。

计算机管理中心和会计核心算中心具体负责做好信息资产定期更新与维护信息资产清单, 由信息科技管理小组统一控管, 确保信息资产列表完整性。

信息资产依其性质不同, 分为5类:人员、硬件、软件、电子数据、书面文件依序如下:•人员: 系指业务主管、承办人员、委外厂商、契约人员等。

•硬件: 系指网络设备、主机设备、通讯设备、环境设备等相关硬件设施。

例如: 服务器主机、个人计算机、不断电设备等。

•软件: 系指自行开发或委外开发之应用系统程序、外购之软件包等。

例如: 应用系统、操作系统、软件包、工具程序等。

电子数据: 系指以电子形式存在之信息数据。

例如: 网络设定数据、备份文件等。

书面文件: 系指以纸本形式存在之文书数据、报表等相关信息。

例如: 合同、规范、系统文件、用户手册、训练教材等。

所有资产经由资产分类, 制成「信息资产列表」。

2.信息资产价值鉴别为信息依其对组织的价值、法律要求、敏感性及重要性加以分类, 价值鉴别准则依信息资产分类分别针对机密性、可用性、完整性, 其评估标准如下:各资产价值为资产之机密性、完整性及可用性评估值取最大值;如以下式子: 资产价值 = 机密性评估值 + 完整性评估值 + 可用性评估值。

各资产依资产价值数值分级;详如资产价值等级表3.信息资产标示与处理依照组织所采用的分类法, 发展与实作一套适当的信息标示与处置程序。

资产标示必须明确。

资产标示含资产风险等级并以颜色卷标区分。

硬件类资产标示依其价值等级并以颜色卷标区分。

高资产价值: 指该资产价值最高, 贴红色卷标。

中资产价值: 指该资产价值中等, 贴黄色标签。

低资产价值:指该资产价值最低, 不贴卷标。

资产在保存过程中, 应依适当程序作妥善保存。

脆弱性-威胁对应表


未受控 资产管理不当(遗漏设备清点、管理不 水灾、火灾、闪电、电磁辐射乏对外部环境的防护 缺
软件资产
生产系统、系统软件、应用软件
丢失、被盗 损坏 恶意攻击 非授权访问 运行故障、意外错误 未受控 身份假冒 操作失误 保护和管理措施不当 正版软件(实体)的不小心丢失、被盗等。
使用时间过长,软件管理不当,缺乏备份 如软件(实体)无法正确安装。 措施 设计缺陷,缺少安全防护措施 黑客/恶意软件攻击(可以安装防毒软件、软件防 火墙等进行防护)。 设计不当、保护措施不当 没有权限的情况下,访问、使用软件(IE架构,缺 少访问控制设备的保护,口令:配置不当,安全意 设计缺陷,使用、保护措施不当 资产管理不当 口令设置脆弱、用户帐号缺乏有效管理 缺乏软件管理机制 加强软件资产(实体)的管理。 制定口令和权限管理规范,并监督执行。的各种数据资料
非授权访问(可能造成失 随意处置数据所在介质、存放不当、数据 无权访问:管理不当,导致信息失密(如文件存放 密) 的访问控制措施不严格、标识不当 在不正确的目录导致信息失密。 泄密(C:4,5进行评估) 安全意识薄弱,使用不当,防护措施不足 有权访问:使用不当导致信息泄密息;禁止带离公 导致信息泄密 司,提高安全意识。 滥用、误操作(修改) 保护措施不当,监控不足,缺少安全防护 有权限使用的情况下规范操作规程;误操作前,应 和告警提示 提示操作者。 丢失(可用性:3,4,5进行 随意处置数据所在介质,误删除 保存电子文档介质的丢失、误删除。 评估) (删除、丢失,但未失 损坏(文档无法打开) 信息保存过程中、介质问题。 对电子文档进行备份。 未受控 恶意攻击 盗窃 窃听 资产管理不当 缺乏恶意代码和病毒的防范机制 重要信息缺乏有效的备份 缺乏对数据交换(传输)的安全管理 加强电子文档的管理。 黑客/恶意软件攻击(可以安装防毒软件、软件防 火墙等进行防护)。 按照重要信息的备份流程进行定期备份。 加强对数据在传输过程中的安全。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

权限等)、用户身份伪造和欺骗、用户或业务数据的 窃取和破坏、系统运行的控制和破坏、拒绝服务攻击、 僵尸网络、隐蔽式下载、名誉劫持、网络黑客的入侵

通过物理的接触造成对软件、硬 物理接触、物理破坏、盗窃、勒索、罢工、内部员工
件、数据的破坏
蓄意破坏等
信息泄露给不应了解的他人
内部信息泄露、外部信息泄露等
非法修改信息,破坏信息的完整 性使系统的安全性降低或信息 不可用
脆弱性子类 机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通 讯线路的保护、机房区域防护、机房设备管理等 网络结构设计、网络传输加密、网络设备安全漏洞、边界保护、外部访问控制策略、 内部访问控制策略、网络设备安全配置等 补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新 系统配置(初始化)、注册表加固、网络安全、系统软件安全漏洞、软件安全功能 管理等 补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、备份恢复机制、审 计机制等 审计机制、审计存储、访问控制策略、数据完整性、通讯、鉴别机制、密码保护等
应用中间件 协议安全、交易完整性、数据完整性等
技术管理
物理和环境安全、通讯和操作管理、访问控制、系统开发与维护、业务连续性等
组织管理
安全策略、组织安全、信息资产分类与控制、人员安全、符合性等
信息安全的信息资产、威胁与脆弱性分类
A.1 信息资产的分类
信息资产分类见表E.1。
表 E.1 信息资产分类
分类 数据 软件
硬件
服务 人员 其他
示例 保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、 计划报告、用户手册、各类纸质的文档等 系统软件:操作系统、数据库管理系统、语句包、开发系统等 应用软件:办公软件、数据库软件、各类工具软件等 源程序:各种共享源代码、自行或合作开发的各种代码等 网络设备:路由器、网关、交换机等 计算机设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等 存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等 传输线路:光纤、双绞线等 保障设备:UPS、变电设备、空调、保险柜、文件柜、门禁、消防设施等 安全设备:防火墙、入侵检测系统、身份鉴别等 其他:打印机、复印机务:各种网络设备、设施提供的网络连接服务 办公服务:为提高效率而开发的管理信息系统,包括各种内部配置管理、文件流转管理等 服务 掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目经理等
物理攻击 泄密 篡改 抵赖
描述
威胁子类
安全管理无法落实或不到位,从 管理制度和策略不完善、管理规程缺失、职责不明确、
而破坏信息系统正常有序运行 监督控管机制不健全等
故意在计算机系统上执行恶意 任务的程序代码
病毒、特洛伊木马、蠕虫、陷门、间谍软件、窃听软 件、携带恶意软件的垃圾邮件、流氓安全软件、即时 消息垃圾邮件等
企业形象、客户关系等
A.2 威胁的分类
威胁分类见表E.2。
表 E.2 威胁分类
种类 软硬件故障 物理环境影响 操作失误
描述
威胁子类
对业务实施或系统运行产生影 设备硬件故障、传输设备故障、存储媒体故障、
响的设备硬件故障、通讯链路中 系统软件故障、应用软件故障、数据库软件故障、开
断、系统本身或软件缺陷等问题 发环境故障等
通过采用一些措施,超越自己的 权限访问了本来无权访问的资 源,或者滥用自己的权限,做出 破坏信息系统的行为
非授权访问网络资源、非授权访问系统资源、滥用权 限非正常修改系统配置或数据、滥用权限泄露秘密信 息、非授权使用存储介质等
网络探测和信息采集、漏洞探测、嗅探(账号、口令、
利用工具和技术通过网络对信 息系统进行攻击和入侵
对信息系统正常运行造成影响 的物理环境问题和自然灾害
断电、静电、灰尘、潮湿、温度、洪灾、火灾、地震、 暴风雨、潮汐、污染、空调设备故障、鼠蚁虫害、电 磁干扰等
应该执行而没有执行相应的操 维护错误、操作失误、提供错误的指南或操作信息等
作,或无意执行了错误的操作
种类 管理不到位 恶意代码
越权或滥用
网络攻击
篡改网络配置信息、篡改系统配置信息、篡改安全配 置信息、篡改用户身份信息或业务数据信息等
不承认收到的信息和所作的操 原发抵赖、接受抵赖、第三方抵赖等
作和交易
A.3 脆弱性的分类
脆弱性分类见表E.3。
表 E.3 脆弱性分类
类型 技术脆弱性 管理脆弱性
识别对象 物理环境 网络结构 服务器/系统软
件 数据库 应用系统