网络信息安全管理的脆弱性是哪些因素导致的?
脆弱性:脆弱性也可称为弱点或漏洞,是资产或资产组中可能受到威胁和破坏的薄弱环节。一旦漏洞受到威胁并被成功利用,就会对资产造成损害。漏洞包括物理环境、组织、流程、人员、管理、配置、硬件可能发生在软件和信息等各个方面。
脆弱性是与资产密切相关的内在属性,其客观存在是绝对的。然而,漏洞的存在并不一定会导致绝对的安全事件。如果它们没有被相应的威胁利用,那么纯粹的漏洞本身就不会对资产造成损害。
1、物理环境
机房位置、消防、配电和供电、防静电、接地和防雷、电磁保护、通信线路保护、机房保护、机房设备管理等。
2、网络结构
网络结构设计、网络传输加密、网络设备安全漏洞、边界保护、外部访问控制策略、内部访问控制策略和网络设备安全配置。
3、服务器/系统软件
补丁安装、物理保护、用户帐户、密码策略、资源共享、事件审计、访问控制、新系统配置(初始化)、注册表增强、网络安全、系统软件漏洞、软件安全功能管理等。
4、数据库
补丁安装、身份验证机制、密码机制、访问控制、网络和服务设置、备份和恢复机制、审计机制等。
5、应用系统
审计机制、审计存储、访问控制策略、数据完整性、通信、身份验证机制、密码保护等。
6、应用中间件
协议安全性、事务完整性、数据完整性等。
7、技术管理
物理和环境安全、通信和运营管理、访问控制、系统开发和维护、业务连续性等。
8、组织管理
安全策略、组织安全、信息资产分类和控制、人员安全、法规遵从性等。