任何風(fēng)險都具有自然屬性和社會屬性，ISO27000信息安全風(fēng)險也不例外。由于信息系統(tǒng)本身就是一個人機(jī)系統(tǒng)，在系統(tǒng)生命周期的每一個過程都離不開人的參與，而由于人的技術(shù)和管理能力的有限性，自然環(huán)境的不可控性，使信息系統(tǒng)不可避免在技術(shù)、管理和環(huán)境三方面存在一定的脆弱性，它是信息安全風(fēng)險生成的內(nèi)在原因。

從 系統(tǒng)論的觀點(diǎn)來看，信息系統(tǒng)是由相互作用、相互依賴的若干部分組合而成，各部分承受風(fēng)險的能力與每部分的安全狀況以及它們之間的相互聯(lián)系方式密切相關(guān)。各 個組成部分抵御外界威脅的抵抗力、自適應(yīng)力和恢復(fù)力各不相同，它們之間的聯(lián)系方式也各不相同。這樣自身抵抗威脅的能力以及自適應(yīng)力差的部分風(fēng)險比較大。另 外，信息系統(tǒng)的各組成部分相互依存，實(shí)現(xiàn)自身在信息系統(tǒng)中的功能，因此它們之間的結(jié)合點(diǎn)往往是薄弱環(huán)節(jié)，也是信息系統(tǒng)可能發(fā)生風(fēng)險事件的脆弱點(diǎn)。信息系統(tǒng) 各個組成部分的安全狀況是隨著外界因素的變化而處于發(fā)展和變化中，它的脆弱性也是動態(tài)變化的，因此要用動態(tài)的觀點(diǎn)來看待信息系統(tǒng)的脆弱性。

從信息系統(tǒng)的安全角度，信息系統(tǒng)脆弱性主要是來自技術(shù)、管理和物理自然環(huán)境的脆弱性。

（1）技術(shù)脆弱性

眾所周知，很多組織使用的網(wǎng)絡(luò)操作系統(tǒng)和業(yè)務(wù)應(yīng)用系統(tǒng)都存在令人擔(dān)憂的安全漏洞。

WINDOWS 計算機(jī)產(chǎn)品在世界市場上占據(jù)絕對的地位，是大多數(shù)用戶使用的系統(tǒng)，然而卻有著“最不安全操作系統(tǒng)”的名聲。從 DOS, WINDOWS9X, WINDOWS 2000, WINDOWS NT,WINDOWS XP 操作系統(tǒng)，不斷發(fā)布的安全補(bǔ)丁仍然不能保證安全的操作環(huán)境。WINDOWS 提供的通過 TELNET遠(yuǎn)程進(jìn)行系統(tǒng)用戶登錄的方式，創(chuàng)建了在身份認(rèn)證方面的主要安全弱點(diǎn)，攻擊者可以通過 TELNET 對系統(tǒng)帳戶進(jìn)行口令猜測；允許遠(yuǎn)程主機(jī)匿名登錄 FTP服務(wù)器，使 FTP 服務(wù)器在訪問控制方面存在匿名可寫的目錄；WINDOWS的遠(yuǎn)程緩沖區(qū)溢出成為拒絕服務(wù)攻擊的系統(tǒng)漏洞；還有 WINDOWS 的默認(rèn)共享配置、弱口令問題；WEB服務(wù) IIS5.0 printer ISAPI遠(yuǎn)程緩沖區(qū)溢出；WINDOWS 2000 電子郵件系統(tǒng)的 SENDMAIL 頭處理溢出漏洞，SMTP 服務(wù)認(rèn)證錯誤漏洞，很容易使傳輸郵件被修改，引發(fā)郵件欺詐問題等等。

數(shù)據(jù)庫軟件 Oracle Tnslsnr 口令設(shè)置缺失，Microsoft SQL Server 2000 多個服務(wù)安全漏洞，2003年病毒利用 SQL Server 2000的漏洞的流行傳播導(dǎo)致因特網(wǎng)幾乎癱瘓。

一些安全產(chǎn)品，諸如網(wǎng)管、防火墻等也存在安全弱點(diǎn)，如防火墻拒絕服務(wù)。

另 外，INTERNET 網(wǎng)絡(luò)數(shù)據(jù)的傳輸是沒有加密控制的，無法保證信息的機(jī)密性和完整性安全目標(biāo)，影響了認(rèn)證和不可否認(rèn)的功能實(shí)現(xiàn)?？焖僭鲩L的網(wǎng)絡(luò)促進(jìn)了復(fù)雜應(yīng)用服務(wù)的發(fā)展，這 些新產(chǎn)品尤其是現(xiàn)貸供應(yīng)(Off-the-shelf)的應(yīng)用系統(tǒng)雖然解決了一定的安全需求，但由于缺乏合理的安全設(shè)計和配置，常常引入新的漏洞。

（2）管理問題

由于網(wǎng)絡(luò)和信息系統(tǒng)的復(fù)雜性，需要經(jīng)過良好培訓(xùn)或有經(jīng)驗(yàn)的員工來保證信息系統(tǒng)的安全工程實(shí)施和管理，另外依據(jù)ISO27000標(biāo)準(zhǔn)，建立信息安全管理體系也是非常重要的，但 現(xiàn)有的安全人才一般都集中分布在安全產(chǎn)品公司、學(xué)校和研究機(jī)構(gòu)，遠(yuǎn)遠(yuǎn)不能滿足組織的安全人才需求。缺乏經(jīng)驗(yàn)的專業(yè)人員經(jīng)常由于錯誤的安全配置、軟硬件的錯 誤使用，使系統(tǒng)處于不安全狀態(tài)，容易受到內(nèi)外部的攻擊；或者未經(jīng)過安全教育培訓(xùn)的員工由于缺乏安全意識，經(jīng)常不遵守安全制度和違背安全策略，極易引發(fā)安全 事件。

另外，由于缺乏組織決策層領(lǐng)導(dǎo)的支持或是沒有意識到安全問題的重要性， 很少為信息安全分配足夠的資源，比如建立相應(yīng)的組織機(jī)構(gòu)“信息安全部”或“安全官”，而把信息安全責(zé)任看作是信息技術(shù)部門以及技術(shù)人員的職責(zé)；有的組織缺 乏有效的信息安全計劃以及安全機(jī)制，有的甚至根本沒有安全策略和計劃，或者是即使有，也是束之高閣，因?yàn)闆]有相應(yīng)的監(jiān)管機(jī)制，或者是人員無安全意識，導(dǎo)致 安全策略不能有效的實(shí)施和遵守，一旦發(fā)生安全事件不知道應(yīng)該在什么時間、向誰匯報違規(guī)和事故，管理者也就不清楚發(fā)生了什么，也就不能及時、合理地處理安全 問題，使安全損失擴(kuò)大，有時甚至是災(zāi)難性的。

（3）物理自然環(huán)境

缺乏對建筑物、門、窗等支撐設(shè)施的物理保護(hù)和物理訪問控制的監(jiān)管，導(dǎo)致盜竊、故意破壞設(shè)施發(fā)生的可能性；不穩(wěn)定的電力供應(yīng)如電涌和電壓波動容易引起存儲介質(zhì)失效或硬件故障；防水、防火、防雷等防范措施的不充分，可能在災(zāi)難發(fā)生時，造成嚴(yán)重?fù)p失。

中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗(yàn)、檢測、認(rèn)證、計量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標(biāo)注冊、食品檢測、第三方檢測機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://m.rumin8raps.com/zs/202008/ccaa_5503.html