脆弱性是系统中容易遭受攻击的弱点或缺陷,本质上是组织防御中的漏洞。某些脆弱性称为漏洞敞口。例如:存在过期安全不定的网络计算机、不受可靠密码保护的网页,来自未知发件人的电子邮件附件的用户,不受技术命令保护的公司软件。
在许多情况下,非生产环境比生产环境更容易受到威胁。因此,将生产数据控制在生产环境之内至关重要。
威胁是一种可能对组织采取的潜在进攻行动。威胁包括发送到组织感染病毒的电子邮件附件,使网络服务器不堪重负以致无法执行业务的进程,以及对已知漏洞的利用等。
威胁可以是内部的,也可以是外部的。他们并不总是恶意的。威胁可能与特定的漏洞有关,因此可以优先考虑对这些漏洞进行补救,对每种威胁,都应该有一种相应的抵御能力,以防止或限制威胁可能造成的损害,存在威胁的地方也称为攻击面。
风险既指损失的可能性,也指构成潜在损失的事物或条件,对于每个可能的威胁,可以从以下几个方面计算风险:
风险分类描述了数据的敏感性以及出于恶意目的对数据访问的可能性。分类用于确定谁可以访问数据,用户权限内所有数据中的最高安全分类决定了整体的安全分类。风险分类包括如下几个方面: