iiu第三章 安全保密风险分析3.1脆弱性分析脆弱性是指资产或资产组中能被威胁所利用的弱点,它包括物理环境、组织机构、业务流程、人员、管理、硬件、软件及通讯设施等各个方面。脆弱性是资产本身存在的,如果没有被相应的威胁利用,单纯的脆弱性本身不会对资产造成损害,而且如果系统足够强健,严重的威胁也不会导致安全事件发生,并造成损失。威胁总是要利用资产的脆弱性才可能造成危害。资产的脆弱性具有隐蔽性,有些脆弱性只有在一定条件和环境下才能显现,这是脆弱性识别中最为困难的部分。不正确的、起不到任何作用的或没有正确实施的安全措施本身就可能是一个弱点,脆弱性是风险产生的内在原因,各种安全薄弱环节、安全弱点自身并不会造成什么危害,它们只有在被各种安全威胁利用后才可能造成相应的危害。针对XXX机关涉密信息系统,我们主要从技术和管理两个方面分析其存在的安全脆弱性。3.1.1 技术脆弱性1. 物理安全脆弱性:环境安全:物理环境的安全是整个基地涉密信息系统安全得以保障的前提。如果物理安全得不到保障,那么网络设备、设施、介质和信息就容易受到自然灾害、环境事故以及人为物理操作失误或错误等
