任何風(fēng)險(xiǎn)都具有自然屬性和社會(huì)屬性，ISO27000信息安全風(fēng)險(xiǎn)也不例外。由于信息系統(tǒng)本身就是一個(gè)人機(jī)系統(tǒng)，在系統(tǒng)生命周期的每一個(gè)過(guò)程都離不開(kāi)人的參與，而由于人的技術(shù)和管理能力的有限性，自然環(huán)境的不可控性，使信息系統(tǒng)不可避免在技術(shù)、管理和環(huán)境三方面存在一定的脆弱性，它是信息安全風(fēng)險(xiǎn)生成的內(nèi)在原因。

從 系統(tǒng)論的觀點(diǎn)來(lái)看，信息系統(tǒng)是由相互作用、相互依賴(lài)的若干部分組合而成，各部分承受風(fēng)險(xiǎn)的能力與每部分的安全狀況以及它們之間的相互聯(lián)系方式密切相關(guān)。各 個(gè)組成部分抵御外界威脅的抵抗力、自適應(yīng)力和恢復(fù)力各不相同，它們之間的聯(lián)系方式也各不相同。這樣自身抵抗威脅的能力以及自適應(yīng)力差的部分風(fēng)險(xiǎn)比較大。另 外，信息系統(tǒng)的各組成部分相互依存，實(shí)現(xiàn)自身在信息系統(tǒng)中的功能，因此它們之間的結(jié)合點(diǎn)往往是薄弱環(huán)節(jié)，也是信息系統(tǒng)可能發(fā)生風(fēng)險(xiǎn)事件的脆弱點(diǎn)。信息系統(tǒng) 各個(gè)組成部分的安全狀況是隨著外界因素的變化而處于發(fā)展和變化中，它的脆弱性也是動(dòng)態(tài)變化的，因此要用動(dòng)態(tài)的觀點(diǎn)來(lái)看待信息系統(tǒng)的脆弱性。

從信息系統(tǒng)的安全角度，信息系統(tǒng)脆弱性主要是來(lái)自技術(shù)、管理和物理自然環(huán)境的脆弱性。

（1）技術(shù)脆弱性

眾所周知，很多組織使用的網(wǎng)絡(luò)操作系統(tǒng)和業(yè)務(wù)應(yīng)用系統(tǒng)都存在令人擔(dān)憂的安全漏洞。

WINDOWS 計(jì)算機(jī)產(chǎn)品在世界市場(chǎng)上占據(jù)絕對(duì)的地位，是大多數(shù)用戶使用的系統(tǒng)，然而卻有著“最不安全操作系統(tǒng)”的名聲。從 DOS, WINDOWS9X, WINDOWS 2000, WINDOWS NT,WINDOWS XP 操作系統(tǒng)，不斷發(fā)布的安全補(bǔ)丁仍然不能保證安全的操作環(huán)境。WINDOWS 提供的通過(guò) TELNET遠(yuǎn)程進(jìn)行系統(tǒng)用戶登錄的方式，創(chuàng)建了在身份認(rèn)證方面的主要安全弱點(diǎn)，攻擊者可以通過(guò) TELNET 對(duì)系統(tǒng)帳戶進(jìn)行口令猜測(cè)；允許遠(yuǎn)程主機(jī)匿名登錄 FTP服務(wù)器，使 FTP 服務(wù)器在訪問(wèn)控制方面存在匿名可寫(xiě)的目錄；WINDOWS的遠(yuǎn)程緩沖區(qū)溢出成為拒絕服務(wù)攻擊的系統(tǒng)漏洞；還有 WINDOWS 的默認(rèn)共享配置、弱口令問(wèn)題；WEB服務(wù) IIS5.0 printer ISAPI遠(yuǎn)程緩沖區(qū)溢出；WINDOWS 2000 電子郵件系統(tǒng)的 SENDMAIL 頭處理溢出漏洞，SMTP 服務(wù)認(rèn)證錯(cuò)誤漏洞，很容易使傳輸郵件被修改，引發(fā)郵件欺詐問(wèn)題等等。

數(shù)據(jù)庫(kù)軟件 Oracle Tnslsnr 口令設(shè)置缺失，Microsoft SQL Server 2000 多個(gè)服務(wù)安全漏洞，2003年病毒利用 SQL Server 2000的漏洞的流行傳播導(dǎo)致因特網(wǎng)幾乎癱瘓。

一些安全產(chǎn)品，諸如網(wǎng)管、防火墻等也存在安全弱點(diǎn)，如防火墻拒絕服務(wù)。

另 外，INTERNET 網(wǎng)絡(luò)數(shù)據(jù)的傳輸是沒(méi)有加密控制的，無(wú)法保證信息的機(jī)密性和完整性安全目標(biāo)，影響了認(rèn)證和不可否認(rèn)的功能實(shí)現(xiàn)?？焖僭鲩L(zhǎng)的網(wǎng)絡(luò)促進(jìn)了復(fù)雜應(yīng)用服務(wù)的發(fā)展，這 些新產(chǎn)品尤其是現(xiàn)貸供應(yīng)(Off-the-shelf)的應(yīng)用系統(tǒng)雖然解決了一定的安全需求，但由于缺乏合理的安全設(shè)計(jì)和配置，常常引入新的漏洞。

（2）管理問(wèn)題

由于網(wǎng)絡(luò)和信息系統(tǒng)的復(fù)雜性，需要經(jīng)過(guò)良好培訓(xùn)或有經(jīng)驗(yàn)的員工來(lái)保證信息系統(tǒng)的安全工程實(shí)施和管理，另外依據(jù)ISO27000標(biāo)準(zhǔn)，建立信息安全管理體系也是非常重要的，但 現(xiàn)有的安全人才一般都集中分布在安全產(chǎn)品公司、學(xué)校和研究機(jī)構(gòu)，遠(yuǎn)遠(yuǎn)不能滿足組織的安全人才需求。缺乏經(jīng)驗(yàn)的專(zhuān)業(yè)人員經(jīng)常由于錯(cuò)誤的安全配置、軟硬件的錯(cuò) 誤使用，使系統(tǒng)處于不安全狀態(tài)，容易受到內(nèi)外部的攻擊；或者未經(jīng)過(guò)安全教育培訓(xùn)的員工由于缺乏安全意識(shí)，經(jīng)常不遵守安全制度和違背安全策略，極易引發(fā)安全 事件。

另外，由于缺乏組織決策層領(lǐng)導(dǎo)的支持或是沒(méi)有意識(shí)到安全問(wèn)題的重要性， 很少為信息安全分配足夠的資源，比如建立相應(yīng)的組織機(jī)構(gòu)“信息安全部”或“安全官”，而把信息安全責(zé)任看作是信息技術(shù)部門(mén)以及技術(shù)人員的職責(zé)；有的組織缺 乏有效的信息安全計(jì)劃以及安全機(jī)制，有的甚至根本沒(méi)有安全策略和計(jì)劃，或者是即使有，也是束之高閣，因?yàn)闆](méi)有相應(yīng)的監(jiān)管機(jī)制，或者是人員無(wú)安全意識(shí)，導(dǎo)致 安全策略不能有效的實(shí)施和遵守，一旦發(fā)生安全事件不知道應(yīng)該在什么時(shí)間、向誰(shuí)匯報(bào)違規(guī)和事故，管理者也就不清楚發(fā)生了什么，也就不能及時(shí)、合理地處理安全 問(wèn)題，使安全損失擴(kuò)大，有時(shí)甚至是災(zāi)難性的。

（3）物理自然環(huán)境

缺乏對(duì)建筑物、門(mén)、窗等支撐設(shè)施的物理保護(hù)和物理訪問(wèn)控制的監(jiān)管，導(dǎo)致盜竊、故意破壞設(shè)施發(fā)生的可能性；不穩(wěn)定的電力供應(yīng)如電涌和電壓波動(dòng)容易引起存儲(chǔ)介質(zhì)失效或硬件故障；防水、防火、防雷等防范措施的不充分，可能在災(zāi)難發(fā)生時(shí)，造成嚴(yán)重?fù)p失。

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問(wèn)題就給大家解答到這里了，如還需要了解更多專(zhuān)業(yè)性問(wèn)題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專(zhuān)利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專(zhuān)利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專(zhuān)利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專(zhuān)利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來(lái)源： http://www.1cjaei.cn/zs/202008/ccaa_5503.html