1、风险评估原则_脆弱性参考列表商密密级:内部公开VP01 IT 管理机制不够完善VP02 缺乏总体 IT 规划VP03 缺乏安全方针VP04 缺乏组织范围内统一的安全策略VP05 缺乏可执行性的安全程序VP06 安全技术与管理措施不能有效结合VP07 资产缺乏所有者VP08 没有跨部门的协调组织VP09 没有负责安全管理部门VP10 没有建立完善的沟通交流机制VP11 组织的重要记录没有得到保护组织VP12 业务流程存在缺陷引发风险VH01 人员知识水平缺乏VH02 人员技能缺乏VH03 人员安全意识缺乏VH04 人员敬业精神不够VH05 不能遵守操作规程VH06 道德风险VH07 人员流动频繁
2、VH08 没有签订协议VH09 没有背景调查VH10 岗位职责中没有安全要求VH11 安全无法与员工绩效挂钩VH12 人员缺乏职责分离VH13 没有人员备份机制管理类人员VH14 缺乏对员工行为的审计VE01 电力单路VE02 线路暴露VE03 场所很容易进入VE04 场所受温湿影响大VE05 场所易受雷击VE06 场所易进水VE07 场所易燃烧VE08 场所不抗震VE09 电力容量不够场所VE10 场地不够VM01 设备易受电力变化影响VM02 设备、介质易损坏VM03 电源开关没有限制未经授权的使用VM04 存储空间不够技术类硬件VM05 运算能力不够VM06 信号辐射VM07 设备性能差
3、VM08 存在单点故障VM09 口令更改周期较长VM10 线路辐射VM11 协议开放VM12 明文传输VM13 随意接入VM14 口令简单VM15 协议漏洞VM16 带宽不够VM17 很容易进入VM18 可用性差VM19 SNMP 的 Community 值为缺省VM20 无网络流量监控管理措施VM21 缺少处置、报废规定VS01 系统没有及时更新补丁VS02 系统开放默认服务和端口VS03 系统存在可疑服务和端口VS04 系统管理员和用户弱口令或空口令VS05 系统存在可疑用户VS06 系统没有开放审计日志功能VS07 系统没有启用安全选项VS08 系统没有启用帐户密码安全策略VS09 系统
4、使用默认共享VS10 系统无权限控制措施VS11 特权账户没有控制VS12 版本较低VS13 存在弱密码或空密码VS14 系统漏洞VS15 配置漏洞VS16 存在后门VS17 没有数据加密功能VS18 软件架构缺陷软件VS19 很容易变更VR01 缺乏服务水平协议VR02 服务不符合业务需求VR03 服务响应不及时VR04 服务易中断VR05 没有按照规范执行服务VR06 服务成本太高VL01 没有识别相应的法律、法规法规法规VL02 不符合法律法规要求其他信息类 VI01 信息缺乏准确性VI02 信息缺乏及时性VI03 信息容易传播VI04 信息容易毁损VI05 信息容易丢失VT01 恢复困难无形资产类VT02 容易受到损害
