來自電力部門的非常規(guī)威脅最為常見，這種情況一旦發(fā)生，將導(dǎo)致幾種類型的電力波動(dòng)：

1、電壓的瞬時(shí)增長

2、浪涌（較長時(shí)間的電壓增高） 瞬時(shí)低電壓或電壓下降

3、更長時(shí)間的電壓下降

4、供電的短暫完全消失（供電故障） 更長時(shí)間的斷電（供電中斷）

自然力。自然威脅（如不可抗力災(zāi)難）或自然災(zāi)害能造成難以想像的威脅，因?yàn)樗鼈儼l(fā)生時(shí)幾乎沒有任何預(yù)兆，包括火災(zāi)、洪水、地震、雷擊以及火山爆發(fā)和昆蟲群害。

硬件技術(shù)故障或錯(cuò)誤。這種威脅是由于制造商生產(chǎn)的設(shè)備有已知或未知的缺陷，使系統(tǒng)操作時(shí)出現(xiàn)預(yù)期外的參數(shù)，并最終造成服務(wù)不可靠或缺乏有效性。

軟件技術(shù)故障或錯(cuò)誤。這類威脅來源于已知或未知的軟件故障，包括各類代碼缺陷以及未經(jīng)充分測試的輸入條件。

技術(shù)陳舊。如果基礎(chǔ)設(shè)備陳舊，它將導(dǎo)致系統(tǒng)既不可靠也不可信任，如果沒有大量的投入，系統(tǒng)將很難維護(hù)。

　　以上列表中的威脅可能會(huì)表現(xiàn)為針對一個(gè)機(jī)構(gòu)信息系統(tǒng)及其信息資產(chǎn)的攻擊。攻擊是一種利用弱點(diǎn)來獲利的行為或事件，它由一個(gè)威脅代理( threat agency)來完成。該威脅代理破壞或竊取機(jī)構(gòu)的信息或資產(chǎn)。漏洞利用是一種用來威肋一個(gè)系統(tǒng)的技術(shù)或機(jī)制。而漏洞( vulnerabihty)指的是一個(gè)系統(tǒng)中業(yè)已發(fā)現(xiàn)的設(shè)計(jì)缺陷。在有缺陷的系統(tǒng)中，對該系統(tǒng)的控制不再存在或不再有效。技術(shù)攻擊可能包括利用漏洞來達(dá)到危害一個(gè)系統(tǒng)的目的；反之，非技術(shù)攻擊可能包括自發(fā)事件或不那么復(fù)雜的方法。下面的列表簡要說明了技術(shù)攻擊的一些類型：

惡意代碼( malicious code)：病毒、蠕蟲、特洛伊木馬的破壞以及企圖破壞或竊取信息的活動(dòng)網(wǎng)頁腳本。

惡作劇( hoaxes)：一種對時(shí)間和資源的浪費(fèi)，或是掩蓋在看似合法信息面具下的攻擊。

后門( back doors)：由系統(tǒng)設(shè)計(jì)者留下，或由惡意代碼安裝。

口令破解( password crack)：試圖反向計(jì)算或猜測口令。口令攻擊包括詞典攻擊、暴力破解以及中間人攻擊（見下方）。

暴力破解( brute force)：運(yùn)用各種計(jì)算能力及網(wǎng)絡(luò)資源，通過嘗試每一種可能的字符組合來破解口令。

詞典攻擊( dictionary)：以特定賬號為目標(biāo)，使用一系列其常用的密碼（詞典） 來猜測麗不是隨機(jī)組合，這樣就縮小了可能的密碼值的范圍。

拒絕服務(wù)( DoS，denial-of-service)和分布式拒絕服務(wù)(DDoS，distribur.ed denial- of-service)：發(fā)送大量連接或信息請求給目標(biāo)，以堵塞其他合法通路。當(dāng)多個(gè)系統(tǒng)被同步調(diào)動(dòng)起來進(jìn)行攻擊時(shí)，就稱為分布式拒絕服務(wù)。

欺騙（spoofing）：一種在未經(jīng)授權(quán)的情況下訪問計(jì)算機(jī)的技術(shù)。入侵者使用一 臺受到信任的主機(jī)的IP地址向目標(biāo)發(fā)送網(wǎng)絡(luò)消息。

中間人( Man-in-the-miclclle)：又被稱為TCP劫持攻擊。攻擊者強(qiáng)行占用一個(gè)網(wǎng)絡(luò)連接對話，然后可以讀取甚至可能修改該網(wǎng)絡(luò)對話傳送的數(shù)據(jù)。

垃圾郵件( spam)：未經(jīng)請求的廣告郵件，等同于電子垃圾郵件。 郵件炸彈( mail bombing)：向目標(biāo)發(fā)送大量電子郵件。

嗅探器( sniffer)：一種可以監(jiān)視網(wǎng)絡(luò)上數(shù)據(jù)傳輸?shù)某绦蚧蛟O(shè)備。

社會(huì)工程（social engineering）：利用社交技能來說服人們，使之泄漏訪問證件或其他有價(jià)值的信息。

緩沖區(qū)溢出（buffer overfloW）：一種應(yīng)用程序錯(cuò)誤，在送人到緩沖區(qū)的數(shù)據(jù)超出其處理能力時(shí)就會(huì)發(fā)生緩沖區(qū)溢出。

時(shí)間( timing)：使攻擊者能通過觀察系統(tǒng)對不同請求的響應(yīng)時(shí)間，來獲取安全系統(tǒng)中保存的秘密。

了解對手的最后一個(gè)步驟是要找到一些方法來區(qū)分每一類威脅帶來的風(fēng)險(xiǎn)及其相關(guān)攻擊方法的優(yōu)先次序。這可以通過從現(xiàn)有威脅研究中采用威脅級別來實(shí)現(xiàn)，也可以通過對自己周圍環(huán)境的情況分析來創(chuàng)建威脅分類。

為了對風(fēng)險(xiǎn)進(jìn)行管理，必須鑒定和評估擁有的信息資產(chǎn)的價(jià)值，這個(gè)重要的過程必須包括對該機(jī)構(gòu)系統(tǒng)中所有組成部分的分類( classification)和歸類( categorization)：人員、過程、數(shù)據(jù)、信息、軟件、硬件以及其他網(wǎng)絡(luò)元素。當(dāng)把一個(gè)機(jī)構(gòu)的每一個(gè)資產(chǎn)劃分到某一類別時(shí)，就能提出一些特定的問題來幫助制定一個(gè)衡量標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)能對信息資產(chǎn)及其影響做出一個(gè)評估。

什么信息資產(chǎn)對一個(gè)機(jī)構(gòu)的成功來說是最關(guān)鍵的？
    什么信息資產(chǎn)創(chuàng)造出最多的稅收？

什么信息資產(chǎn)有最高的收益？

什么信息資產(chǎn)的替換是最昂貴的？

什么信息資產(chǎn)的保護(hù)是最昂貴的？

如果發(fā)生泄密事件，什么信息資產(chǎn)造成的損失是最令人尷尬的或是最大的？

這個(gè)列表應(yīng)包括足夠多的分類，涵蓋了各種優(yōu)先級，這一點(diǎn)很重要，因?yàn)橄乱徊骄褪歉鶕?jù)這種分類標(biāo)準(zhǔn)來劃分組件等級。還有一點(diǎn)也很重要，分類必須全面（也就是所有信息資產(chǎn)都能找到適合自己的位置）而且唯一（也就是每種資產(chǎn)只能被歸到一個(gè)類別中）。例如，如果一個(gè)機(jī)構(gòu)擁有公眾密碼基礎(chǔ)設(shè)施認(rèn)證服務(wù)（一個(gè)應(yīng)用軟件，提供密鑰管理服務(wù)），那么它可以被歸類于軟件，應(yīng)用程序或者軟件，安全這個(gè)使用純技術(shù)標(biāo)準(zhǔn)的資產(chǎn)列表中。根據(jù)上面介紹的分類思想，它應(yīng)該被歸類于軟件，安全這個(gè)列表中，因?yàn)檫@種軟件屬于安全基礎(chǔ)設(shè)施的一部分，必須受到小心的保護(hù)。最后，擁有一個(gè)全面的分類集合比擁有一個(gè)互不重疊的分類集合更加重要，因?yàn)樵诜诸悤r(shí)要完全避免重復(fù)可能是非常困難的。

分析階段的另一個(gè)挑戰(zhàn)就是再次檢查每種信息資產(chǎn)面對的威脅并創(chuàng)建一個(gè)漏洞列表。正如已提到的，漏洞是威脅代理能夠加以利用的一些特殊途徑。它們代表信息資產(chǎn)盔甲上的裂縫，用來破壞一個(gè)機(jī)構(gòu)對信息系統(tǒng)的控制能力。

隨著分析階段的繼續(xù)，下一個(gè)任務(wù)就是通過一個(gè)叫做風(fēng)險(xiǎn)評估或者風(fēng)險(xiǎn)分析的過程來評估每個(gè)信息資產(chǎn)的相對風(fēng)險(xiǎn)。在進(jìn)行風(fēng)險(xiǎn)評估時(shí)，對每種信息資產(chǎn)賦予一個(gè)風(fēng)險(xiǎn)率或分?jǐn)?shù)。雖然單獨(dú)來看，這些數(shù)字沒有任何意義，但是在測量由每種易受攻擊的信息資產(chǎn)帶來的相對風(fēng)險(xiǎn)時(shí)，它們是很有用的。而且在稍后的風(fēng)險(xiǎn)控制過程中，我們可以用這些數(shù)字來做一個(gè)相對的評估，第7章將詳細(xì)討論風(fēng)險(xiǎn)評估。

風(fēng)險(xiǎn)管理是分析階段的一部分，在分析階段中，要找出一個(gè)機(jī)構(gòu)信息系統(tǒng)的弱點(diǎn)，采取謹(jǐn)慎的步驟來確保該機(jī)構(gòu)信息系統(tǒng)中所有組成部分的機(jī)密性、完整性和可用性，第8章將詳細(xì)介紹風(fēng)險(xiǎn)管理。