本附录列出了可能影响许多组织的漏洞。 此列表并不全面,而且因为它是静态的,所以并不是最新的。 因此,在项目的评估风险阶段需要删除与您的组织不相关的漏洞并添加新确定的漏洞,这一点很重要。 它作为参考列表和起点,帮助您的组织起步。 表 D.1:漏洞 高级漏洞分类 | 漏洞简短说明 | 具体示例(如果适用) | 物理 | 未上锁的门 | | 物理 | 未受保护的计算机应用设施访问权限 | | 物理 | 不充分的消防系统 | | 物理 | 设计低劣的建筑 | | 物理 | 施工低劣的建筑 | | 物理 | 施工中使用的易燃材料 | | 物理 | 装修中使用的易燃材料 | | 物理 | 未上锁的窗 | | 物理 | 易受物理袭击的墙 | | 物理 | 内墙未能在天花板和地板处完全密封房间 | | 自然 | 设备位于故障线路上 | | 自然 | 设备位于水灾区域 | | 自然 | 设备位于雪崩区域 | | 硬件 | 缺少修补程序 | | 硬件 | 过期的固件 | | 硬件 | 配置错误的系统 | | 硬件 | 未受物理保护的系统 | | 硬件 | 在公共接口上允许的管理协议 | | 软件 | 过期的防病毒软件 | | 软件 | 缺少修补程序 | | 软件 | 编写低劣的应用程序 | 跨站点脚本 | 软件 | 编写低劣的应用程序 | SQL 注入 | 软件 | 编写低劣的应用程序 | 代码弱点,如缓冲区溢出 | 软件 | 故意设置的弱点 | 用于管理或系统恢复的供应商后门 | 软件 | 故意设置的弱点 | Spyware,如 keyloggers | 软件 | 故意设置的弱点 | 特洛伊木马 | 软件 | 故意设置的弱点 | | 软件 | 配置错误 | 导致配置不一致的手工供应 | 软件 | 配置错误 | 未强化系统 | 软件 | 配置错误 | 未审核系统 | 软件 | 配置错误 | 未监视系统 | 媒体 | 电子干扰 | | 通信 | 未加密的网络协议 | | 通信 | 到多个网络的连接 | | 通信 | 允许不必要的协议 | | 通信 | 在网络分段之间无过滤 | | 人为 | 定义低劣的程序 | 不充分的意外响应准备 | 人为 | 定义低劣的程序 | 手工供应 | 人为 | 定义低劣的程序 | 不充分的灾难恢复规划 | 人为 | 定义低劣的程序 | 在生产系统上测试 | 人为 | 定义低劣的程序 | 未报告的违规 | 人为 | 定义低劣的程序 | 低劣的更改控制 | 人为 | 被盗凭据 | |
| |
