來自電力部門的非常規(guī)威脅最為常見，這種情況一旦發(fā)生，將導(dǎo)致幾種類型的電力波動：

1、電壓的瞬時增長

2、浪涌（較長時間的電壓增高） 瞬時低電壓或電壓下降

3、更長時間的電壓下降

4、供電的短暫完全消失（供電故障） 更長時間的斷電（供電中斷）

自然力。自然威脅（如不可抗力災(zāi)難）或自然災(zāi)害能造成難以想像的威脅，因為它們發(fā)生時幾乎沒有任何預(yù)兆，包括火災(zāi)、洪水、地震、雷擊以及火山爆發(fā)和昆蟲群害。

硬件技術(shù)故障或錯誤。這種威脅是由于制造商生產(chǎn)的設(shè)備有已知或未知的缺陷，使系統(tǒng)操作時出現(xiàn)預(yù)期外的參數(shù)，并最終造成服務(wù)不可靠或缺乏有效性。

軟件技術(shù)故障或錯誤。這類威脅來源于已知或未知的軟件故障，包括各類代碼缺陷以及未經(jīng)充分測試的輸入條件。

技術(shù)陳舊。如果基礎(chǔ)設(shè)備陳舊，它將導(dǎo)致系統(tǒng)既不可靠也不可信任，如果沒有大量的投入，系統(tǒng)將很難維護。

　　以上列表中的威脅可能會表現(xiàn)為針對一個機構(gòu)信息系統(tǒng)及其信息資產(chǎn)的攻擊。攻擊是一種利用弱點來獲利的行為或事件，它由一個威脅代理( threat agency)來完成。該威脅代理破壞或竊取機構(gòu)的信息或資產(chǎn)。漏洞利用是一種用來威肋一個系統(tǒng)的技術(shù)或機制。而漏洞( vulnerabihty)指的是一個系統(tǒng)中業(yè)已發(fā)現(xiàn)的設(shè)計缺陷。在有缺陷的系統(tǒng)中，對該系統(tǒng)的控制不再存在或不再有效。技術(shù)攻擊可能包括利用漏洞來達到危害一個系統(tǒng)的目的；反之，非技術(shù)攻擊可能包括自發(fā)事件或不那么復(fù)雜的方法。下面的列表簡要說明了技術(shù)攻擊的一些類型：

惡意代碼( malicious code)：病毒、蠕蟲、特洛伊木馬的破壞以及企圖破壞或竊取信息的活動網(wǎng)頁腳本。

惡作劇( hoaxes)：一種對時間和資源的浪費，或是掩蓋在看似合法信息面具下的攻擊。

后門( back doors)：由系統(tǒng)設(shè)計者留下，或由惡意代碼安裝。

口令破解( password crack)：試圖反向計算或猜測口令。口令攻擊包括詞典攻擊、暴力破解以及中間人攻擊（見下方）。

暴力破解( brute force)：運用各種計算能力及網(wǎng)絡(luò)資源，通過嘗試每一種可能的字符組合來破解口令。

詞典攻擊( dictionary)：以特定賬號為目標，使用一系列其常用的密碼（詞典） 來猜測麗不是隨機組合，這樣就縮小了可能的密碼值的范圍。

拒絕服務(wù)( DoS，denial-of-service)和分布式拒絕服務(wù)(DDoS，distribur.ed denial- of-service)：發(fā)送大量連接或信息請求給目標，以堵塞其他合法通路。當多個系統(tǒng)被同步調(diào)動起來進行攻擊時，就稱為分布式拒絕服務(wù)。

欺騙（spoofing）：一種在未經(jīng)授權(quán)的情況下訪問計算機的技術(shù)。入侵者使用一 臺受到信任的主機的IP地址向目標發(fā)送網(wǎng)絡(luò)消息。

中間人( Man-in-the-miclclle)：又被稱為TCP劫持攻擊。攻擊者強行占用一個網(wǎng)絡(luò)連接對話，然后可以讀取甚至可能修改該網(wǎng)絡(luò)對話傳送的數(shù)據(jù)。

垃圾郵件( spam)：未經(jīng)請求的廣告郵件，等同于電子垃圾郵件。 郵件炸彈( mail bombing)：向目標發(fā)送大量電子郵件。

嗅探器( sniffer)：一種可以監(jiān)視網(wǎng)絡(luò)上數(shù)據(jù)傳輸?shù)某绦蚧蛟O(shè)備。

社會工程（social engineering）：利用社交技能來說服人們，使之泄漏訪問證件或其他有價值的信息。

緩沖區(qū)溢出（buffer overfloW）：一種應(yīng)用程序錯誤，在送人到緩沖區(qū)的數(shù)據(jù)超出其處理能力時就會發(fā)生緩沖區(qū)溢出。

時間( timing)：使攻擊者能通過觀察系統(tǒng)對不同請求的響應(yīng)時間，來獲取安全系統(tǒng)中保存的秘密。

了解對手的最后一個步驟是要找到一些方法來區(qū)分每一類威脅帶來的風(fēng)險及其相關(guān)攻擊方法的優(yōu)先次序。這可以通過從現(xiàn)有威脅研究中采用威脅級別來實現(xiàn)，也可以通過對自己周圍環(huán)境的情況分析來創(chuàng)建威脅分類。

為了對風(fēng)險進行管理，必須鑒定和評估擁有的信息資產(chǎn)的價值，這個重要的過程必須包括對該機構(gòu)系統(tǒng)中所有組成部分的分類( classification)和歸類( categorization)：人員、過程、數(shù)據(jù)、信息、軟件、硬件以及其他網(wǎng)絡(luò)元素。當把一個機構(gòu)的每一個資產(chǎn)劃分到某一類別時，就能提出一些特定的問題來幫助制定一個衡量標準，該標準能對信息資產(chǎn)及其影響做出一個評估。

什么信息資產(chǎn)對一個機構(gòu)的成功來說是最關(guān)鍵的？
    什么信息資產(chǎn)創(chuàng)造出最多的稅收？

什么信息資產(chǎn)有最高的收益？

什么信息資產(chǎn)的替換是最昂貴的？

什么信息資產(chǎn)的保護是最昂貴的？

如果發(fā)生泄密事件，什么信息資產(chǎn)造成的損失是最令人尷尬的或是最大的？

這個列表應(yīng)包括足夠多的分類，涵蓋了各種優(yōu)先級，這一點很重要，因為下一步就是根據(jù)這種分類標準來劃分組件等級。還有一點也很重要，分類必須全面（也就是所有信息資產(chǎn)都能找到適合自己的位置）而且唯一（也就是每種資產(chǎn)只能被歸到一個類別中）。例如，如果一個機構(gòu)擁有公眾密碼基礎(chǔ)設(shè)施認證服務(wù)（一個應(yīng)用軟件，提供密鑰管理服務(wù)），那么它可以被歸類于軟件，應(yīng)用程序或者軟件，安全這個使用純技術(shù)標準的資產(chǎn)列表中。根據(jù)上面介紹的分類思想，它應(yīng)該被歸類于軟件，安全這個列表中，因為這種軟件屬于安全基礎(chǔ)設(shè)施的一部分，必須受到小心的保護。最后，擁有一個全面的分類集合比擁有一個互不重疊的分類集合更加重要，因為在分類時要完全避免重復(fù)可能是非常困難的。

分析階段的另一個挑戰(zhàn)就是再次檢查每種信息資產(chǎn)面對的威脅并創(chuàng)建一個漏洞列表。正如已提到的，漏洞是威脅代理能夠加以利用的一些特殊途徑。它們代表信息資產(chǎn)盔甲上的裂縫，用來破壞一個機構(gòu)對信息系統(tǒng)的控制能力。

隨著分析階段的繼續(xù)，下一個任務(wù)就是通過一個叫做風(fēng)險評估或者風(fēng)險分析的過程來評估每個信息資產(chǎn)的相對風(fēng)險。在進行風(fēng)險評估時，對每種信息資產(chǎn)賦予一個風(fēng)險率或分數(shù)。雖然單獨來看，這些數(shù)字沒有任何意義，但是在測量由每種易受攻擊的信息資產(chǎn)帶來的相對風(fēng)險時，它們是很有用的。而且在稍后的風(fēng)險控制過程中，我們可以用這些數(shù)字來做一個相對的評估，第7章將詳細討論風(fēng)險評估。

風(fēng)險管理是分析階段的一部分，在分析階段中，要找出一個機構(gòu)信息系統(tǒng)的弱點，采取謹慎的步驟來確保該機構(gòu)信息系統(tǒng)中所有組成部分的機密性、完整性和可用性，第8章將詳細介紹風(fēng)險管理。