來(lái)自電力部門的非常規(guī)威脅最為常見(jiàn)，這種情況一旦發(fā)生，將導(dǎo)致幾種類型的電力波動(dòng)：

1、電壓的瞬時(shí)增長(zhǎng)

2、浪涌（較長(zhǎng)時(shí)間的電壓增高） 瞬時(shí)低電壓或電壓下降

3、更長(zhǎng)時(shí)間的電壓下降

4、供電的短暫完全消失（供電故障） 更長(zhǎng)時(shí)間的斷電（供電中斷）

自然力。自然威脅（如不可抗力災(zāi)難）或自然災(zāi)害能造成難以想像的威脅，因?yàn)樗鼈儼l(fā)生時(shí)幾乎沒(méi)有任何預(yù)兆，包括火災(zāi)、洪水、地震、雷擊以及火山爆發(fā)和昆蟲(chóng)群害。

硬件技術(shù)故障或錯(cuò)誤。這種威脅是由于制造商生產(chǎn)的設(shè)備有已知或未知的缺陷，使系統(tǒng)操作時(shí)出現(xiàn)預(yù)期外的參數(shù)，并最終造成服務(wù)不可靠或缺乏有效性。

軟件技術(shù)故障或錯(cuò)誤。這類威脅來(lái)源于已知或未知的軟件故障，包括各類代碼缺陷以及未經(jīng)充分測(cè)試的輸入條件。

技術(shù)陳舊。如果基礎(chǔ)設(shè)備陳舊，它將導(dǎo)致系統(tǒng)既不可靠也不可信任，如果沒(méi)有大量的投入，系統(tǒng)將很難維護(hù)。

　　以上列表中的威脅可能會(huì)表現(xiàn)為針對(duì)一個(gè)機(jī)構(gòu)信息系統(tǒng)及其信息資產(chǎn)的攻擊。攻擊是一種利用弱點(diǎn)來(lái)獲利的行為或事件，它由一個(gè)威脅代理( threat agency)來(lái)完成。該威脅代理破壞或竊取機(jī)構(gòu)的信息或資產(chǎn)。漏洞利用是一種用來(lái)威肋一個(gè)系統(tǒng)的技術(shù)或機(jī)制。而漏洞( vulnerabihty)指的是一個(gè)系統(tǒng)中業(yè)已發(fā)現(xiàn)的設(shè)計(jì)缺陷。在有缺陷的系統(tǒng)中，對(duì)該系統(tǒng)的控制不再存在或不再有效。技術(shù)攻擊可能包括利用漏洞來(lái)達(dá)到危害一個(gè)系統(tǒng)的目的；反之，非技術(shù)攻擊可能包括自發(fā)事件或不那么復(fù)雜的方法。下面的列表簡(jiǎn)要說(shuō)明了技術(shù)攻擊的一些類型：

惡意代碼( malicious code)：病毒、蠕蟲(chóng)、特洛伊木馬的破壞以及企圖破壞或竊取信息的活動(dòng)網(wǎng)頁(yè)腳本。

惡作劇( hoaxes)：一種對(duì)時(shí)間和資源的浪費(fèi)，或是掩蓋在看似合法信息面具下的攻擊。

后門( back doors)：由系統(tǒng)設(shè)計(jì)者留下，或由惡意代碼安裝。

口令破解( password crack)：試圖反向計(jì)算或猜測(cè)口令。口令攻擊包括詞典攻擊、暴力破解以及中間人攻擊（見(jiàn)下方）。

暴力破解( brute force)：運(yùn)用各種計(jì)算能力及網(wǎng)絡(luò)資源，通過(guò)嘗試每一種可能的字符組合來(lái)破解口令。

詞典攻擊( dictionary)：以特定賬號(hào)為目標(biāo)，使用一系列其常用的密碼（詞典） 來(lái)猜測(cè)麗不是隨機(jī)組合，這樣就縮小了可能的密碼值的范圍。

拒絕服務(wù)( DoS，denial-of-service)和分布式拒絕服務(wù)(DDoS，distribur.ed denial- of-service)：發(fā)送大量連接或信息請(qǐng)求給目標(biāo)，以堵塞其他合法通路。當(dāng)多個(gè)系統(tǒng)被同步調(diào)動(dòng)起來(lái)進(jìn)行攻擊時(shí)，就稱為分布式拒絕服務(wù)。

欺騙（spoofing）：一種在未經(jīng)授權(quán)的情況下訪問(wèn)計(jì)算機(jī)的技術(shù)。入侵者使用一 臺(tái)受到信任的主機(jī)的IP地址向目標(biāo)發(fā)送網(wǎng)絡(luò)消息。

中間人( Man-in-the-miclclle)：又被稱為TCP劫持攻擊。攻擊者強(qiáng)行占用一個(gè)網(wǎng)絡(luò)連接對(duì)話，然后可以讀取甚至可能修改該網(wǎng)絡(luò)對(duì)話傳送的數(shù)據(jù)。

垃圾郵件( spam)：未經(jīng)請(qǐng)求的廣告郵件，等同于電子垃圾郵件。 郵件炸彈( mail bombing)：向目標(biāo)發(fā)送大量電子郵件。

嗅探器( sniffer)：一種可以監(jiān)視網(wǎng)絡(luò)上數(shù)據(jù)傳輸?shù)某绦蚧蛟O(shè)備。

社會(huì)工程（social engineering）：利用社交技能來(lái)說(shuō)服人們，使之泄漏訪問(wèn)證件或其他有價(jià)值的信息。

緩沖區(qū)溢出（buffer overfloW）：一種應(yīng)用程序錯(cuò)誤，在送人到緩沖區(qū)的數(shù)據(jù)超出其處理能力時(shí)就會(huì)發(fā)生緩沖區(qū)溢出。

時(shí)間( timing)：使攻擊者能通過(guò)觀察系統(tǒng)對(duì)不同請(qǐng)求的響應(yīng)時(shí)間，來(lái)獲取安全系統(tǒng)中保存的秘密。

了解對(duì)手的最后一個(gè)步驟是要找到一些方法來(lái)區(qū)分每一類威脅帶來(lái)的風(fēng)險(xiǎn)及其相關(guān)攻擊方法的優(yōu)先次序。這可以通過(guò)從現(xiàn)有威脅研究中采用威脅級(jí)別來(lái)實(shí)現(xiàn)，也可以通過(guò)對(duì)自己周圍環(huán)境的情況分析來(lái)創(chuàng)建威脅分類。

為了對(duì)風(fēng)險(xiǎn)進(jìn)行管理，必須鑒定和評(píng)估擁有的信息資產(chǎn)的價(jià)值，這個(gè)重要的過(guò)程必須包括對(duì)該機(jī)構(gòu)系統(tǒng)中所有組成部分的分類( classification)和歸類( categorization)：人員、過(guò)程、數(shù)據(jù)、信息、軟件、硬件以及其他網(wǎng)絡(luò)元素。當(dāng)把一個(gè)機(jī)構(gòu)的每一個(gè)資產(chǎn)劃分到某一類別時(shí)，就能提出一些特定的問(wèn)題來(lái)幫助制定一個(gè)衡量標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)能對(duì)信息資產(chǎn)及其影響做出一個(gè)評(píng)估。

什么信息資產(chǎn)對(duì)一個(gè)機(jī)構(gòu)的成功來(lái)說(shuō)是最關(guān)鍵的？
    什么信息資產(chǎn)創(chuàng)造出最多的稅收？

什么信息資產(chǎn)有最高的收益？

什么信息資產(chǎn)的替換是最昂貴的？

什么信息資產(chǎn)的保護(hù)是最昂貴的？

如果發(fā)生泄密事件，什么信息資產(chǎn)造成的損失是最令人尷尬的或是最大的？

這個(gè)列表應(yīng)包括足夠多的分類，涵蓋了各種優(yōu)先級(jí)，這一點(diǎn)很重要，因?yàn)橄乱徊骄褪歉鶕?jù)這種分類標(biāo)準(zhǔn)來(lái)劃分組件等級(jí)。還有一點(diǎn)也很重要，分類必須全面（也就是所有信息資產(chǎn)都能找到適合自己的位置）而且唯一（也就是每種資產(chǎn)只能被歸到一個(gè)類別中）。例如，如果一個(gè)機(jī)構(gòu)擁有公眾密碼基礎(chǔ)設(shè)施認(rèn)證服務(wù)（一個(gè)應(yīng)用軟件，提供密鑰管理服務(wù)），那么它可以被歸類于軟件，應(yīng)用程序或者軟件，安全這個(gè)使用純技術(shù)標(biāo)準(zhǔn)的資產(chǎn)列表中。根據(jù)上面介紹的分類思想，它應(yīng)該被歸類于軟件，安全這個(gè)列表中，因?yàn)檫@種軟件屬于安全基礎(chǔ)設(shè)施的一部分，必須受到小心的保護(hù)。最后，擁有一個(gè)全面的分類集合比擁有一個(gè)互不重疊的分類集合更加重要，因?yàn)樵诜诸悤r(shí)要完全避免重復(fù)可能是非常困難的。

分析階段的另一個(gè)挑戰(zhàn)就是再次檢查每種信息資產(chǎn)面對(duì)的威脅并創(chuàng)建一個(gè)漏洞列表。正如已提到的，漏洞是威脅代理能夠加以利用的一些特殊途徑。它們代表信息資產(chǎn)盔甲上的裂縫，用來(lái)破壞一個(gè)機(jī)構(gòu)對(duì)信息系統(tǒng)的控制能力。

隨著分析階段的繼續(xù)，下一個(gè)任務(wù)就是通過(guò)一個(gè)叫做風(fēng)險(xiǎn)評(píng)估或者風(fēng)險(xiǎn)分析的過(guò)程來(lái)評(píng)估每個(gè)信息資產(chǎn)的相對(duì)風(fēng)險(xiǎn)。在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，對(duì)每種信息資產(chǎn)賦予一個(gè)風(fēng)險(xiǎn)率或分?jǐn)?shù)。雖然單獨(dú)來(lái)看，這些數(shù)字沒(méi)有任何意義，但是在測(cè)量由每種易受攻擊的信息資產(chǎn)帶來(lái)的相對(duì)風(fēng)險(xiǎn)時(shí)，它們是很有用的。而且在稍后的風(fēng)險(xiǎn)控制過(guò)程中，我們可以用這些數(shù)字來(lái)做一個(gè)相對(duì)的評(píng)估，第7章將詳細(xì)討論風(fēng)險(xiǎn)評(píng)估。

風(fēng)險(xiǎn)管理是分析階段的一部分，在分析階段中，要找出一個(gè)機(jī)構(gòu)信息系統(tǒng)的弱點(diǎn)，采取謹(jǐn)慎的步驟來(lái)確保該機(jī)構(gòu)信息系統(tǒng)中所有組成部分的機(jī)密性、完整性和可用性，第8章將詳細(xì)介紹風(fēng)險(xiǎn)管理。