來自電力部門的非常規威脅最為常見，這種情況一旦發生，將導致幾種類型的電力波動：

1、電壓的瞬時增長

2、浪涌（較長時間的電壓增高） 瞬時低電壓或電壓下降

3、更長時間的電壓下降

4、供電的短暫完全消失（供電故障） 更長時間的斷電（供電中斷）

自然力。自然威脅（如不可抗力災難）或自然災害能造成難以想像的威脅，因為它們發生時幾乎沒有任何預兆，包括火災、洪水、地震、雷擊以及火山爆發和昆蟲群害。

硬件技術故障或錯誤。這種威脅是由于制造商生產的設備有已知或未知的缺陷，使系統操作時出現預期外的參數，并最終造成服務不可靠或缺乏有效性。

軟件技術故障或錯誤。這類威脅來源于已知或未知的軟件故障，包括各類代碼缺陷以及未經充分測試的輸入條件。

技術陳舊。如果基礎設備陳舊，它將導致系統既不可靠也不可信任，如果沒有大量的投入，系統將很難維護。

　　以上列表中的威脅可能會表現為針對一個機構信息系統及其信息資產的攻擊。攻擊是一種利用弱點來獲利的行為或事件，它由一個威脅代理( threat agency)來完成。該威脅代理破壞或竊取機構的信息或資產。漏洞利用是一種用來威肋一個系統的技術或機制。而漏洞( vulnerabihty)指的是一個系統中業已發現的設計缺陷。在有缺陷的系統中，對該系統的控制不再存在或不再有效。技術攻擊可能包括利用漏洞來達到危害一個系統的目的；反之，非技術攻擊可能包括自發事件或不那么復雜的方法。下面的列表簡要說明了技術攻擊的一些類型：

惡意代碼( malicious code)：病毒、蠕蟲、特洛伊木馬的破壞以及企圖破壞或竊取信息的活動網頁腳本。

惡作劇( hoaxes)：一種對時間和資源的浪費，或是掩蓋在看似合法信息面具下的攻擊。

后門( back doors)：由系統設計者留下，或由惡意代碼安裝。

口令破解( password crack)：試圖反向計算或猜測口令。口令攻擊包括詞典攻擊、暴力破解以及中間人攻擊（見下方）。

暴力破解( brute force)：運用各種計算能力及網絡資源，通過嘗試每一種可能的字符組合來破解口令。

詞典攻擊( dictionary)：以特定賬號為目標，使用一系列其常用的密碼（詞典） 來猜測麗不是隨機組合，這樣就縮小了可能的密碼值的范圍。

拒絕服務( DoS，denial-of-service)和分布式拒絕服務(DDoS，distribur.ed denial- of-service)：發送大量連接或信息請求給目標，以堵塞其他合法通路。當多個系統被同步調動起來進行攻擊時，就稱為分布式拒絕服務。

欺騙（spoofing）：一種在未經授權的情況下訪問計算機的技術。入侵者使用一 臺受到信任的主機的IP地址向目標發送網絡消息。

中間人( Man-in-the-miclclle)：又被稱為TCP劫持攻擊。攻擊者強行占用一個網絡連接對話，然后可以讀取甚至可能修改該網絡對話傳送的數據。

垃圾郵件( spam)：未經請求的廣告郵件，等同于電子垃圾郵件。 郵件炸彈( mail bombing)：向目標發送大量電子郵件。

嗅探器( sniffer)：一種可以監視網絡上數據傳輸的程序或設備。

社會工程（social engineering）：利用社交技能來說服人們，使之泄漏訪問證件或其他有價值的信息。

緩沖區溢出（buffer overfloW）：一種應用程序錯誤，在送人到緩沖區的數據超出其處理能力時就會發生緩沖區溢出。

時間( timing)：使攻擊者能通過觀察系統對不同請求的響應時間，來獲取安全系統中保存的秘密。

了解對手的最后一個步驟是要找到一些方法來區分每一類威脅帶來的風險及其相關攻擊方法的優先次序。這可以通過從現有威脅研究中采用威脅級別來實現，也可以通過對自己周圍環境的情況分析來創建威脅分類。

為了對風險進行管理，必須鑒定和評估擁有的信息資產的價值，這個重要的過程必須包括對該機構系統中所有組成部分的分類( classification)和歸類( categorization)：人員、過程、數據、信息、軟件、硬件以及其他網絡元素。當把一個機構的每一個資產劃分到某一類別時，就能提出一些特定的問題來幫助制定一個衡量標準，該標準能對信息資產及其影響做出一個評估。

什么信息資產對一個機構的成功來說是最關鍵的？
    什么信息資產創造出最多的稅收？

什么信息資產有最高的收益？

什么信息資產的替換是最昂貴的？

什么信息資產的保護是最昂貴的？

如果發生泄密事件，什么信息資產造成的損失是最令人尷尬的或是最大的？

這個列表應包括足夠多的分類，涵蓋了各種優先級，這一點很重要，因為下一步就是根據這種分類標準來劃分組件等級。還有一點也很重要，分類必須全面（也就是所有信息資產都能找到適合自己的位置）而且唯一（也就是每種資產只能被歸到一個類別中）。例如，如果一個機構擁有公眾密碼基礎設施認證服務（一個應用軟件，提供密鑰管理服務），那么它可以被歸類于軟件，應用程序或者軟件，安全這個使用純技術標準的資產列表中。根據上面介紹的分類思想，它應該被歸類于軟件，安全這個列表中，因為這種軟件屬于安全基礎設施的一部分，必須受到小心的保護。最后，擁有一個全面的分類集合比擁有一個互不重疊的分類集合更加重要，因為在分類時要完全避免重復可能是非常困難的。

分析階段的另一個挑戰就是再次檢查每種信息資產面對的威脅并創建一個漏洞列表。正如已提到的，漏洞是威脅代理能夠加以利用的一些特殊途徑。它們代表信息資產盔甲上的裂縫，用來破壞一個機構對信息系統的控制能力。

隨著分析階段的繼續，下一個任務就是通過一個叫做風險評估或者風險分析的過程來評估每個信息資產的相對風險。在進行風險評估時，對每種信息資產賦予一個風險率或分數。雖然單獨來看，這些數字沒有任何意義，但是在測量由每種易受攻擊的信息資產帶來的相對風險時，它們是很有用的。而且在稍后的風險控制過程中，我們可以用這些數字來做一個相對的評估，第7章將詳細討論風險評估。

風險管理是分析階段的一部分，在分析階段中，要找出一個機構信息系統的弱點，采取謹慎的步驟來確保該機構信息系統中所有組成部分的機密性、完整性和可用性，第8章將詳細介紹風險管理。