信息安全的風險主要有以下幾個方面:

1.物理因素

計算機自身與外部設備甚至網絡與通信線路存在各方面的風險,如各種自然災害、人為破壞、失誤、設備故障、電磁干擾、被盜等。

2.系統因素

1)硬件組件

信息系統硬件組件的安全問題很多都是來自於設計。此問題是固有的,除在管理上強化彌補手段外,用軟件方法效果不大。因此,在自製或選購硬件時應該盡最大能力迴避或消除此類安全隱患。

2)軟件組件

軟件的“後門”是程序設計人員為方便在開發時預先設置的,它一方面方便了軟件調試在此基礎上開發或遠程維護,但另一方面也為非法入侵给予了通道。這些“後門”往往不被外人知道,但一旦打開,後果無法想像。

此外,軟件組件的安全隱患來自於設計與軟件工程中的問題。軟件設計中的疏漏可能留下安全漏洞;軟件設計中的沒有必要的功能及軟件過長、過大,無法避免地會有安全脆弱性;軟件設計不根據信息系統安全等級要求實施模塊化設計,會造成軟件的安全等級無法達到聲稱的安全級別;軟件工程實現中引起的系統內部邏輯雜亂,會造成垃圾軟件的產生,此種軟件從安全角度是肯定不可用的。

3.網絡因素

在當今的網絡通信協議中,安全問題最多的是基於TCP/IP協議族的互聯網及其通信協議。TCP/IP協議族原來只考慮互通互聯與資源共享的問題,並沒有考慮也不能兼容處理來自網絡中與網際間的許多安全問題,TCP/IP最開始設計的應用環境是互相信任的,在其推廣到全社會後,安全問題便發生了。

4.應用因素

主要是指使用者的習慣及方法不對。據統計,10種最危險的網絡行為為:看不明來源的郵件附件;安裝沒有授權的應用;關了或者不用安全工具;看不明網頁或文本;看賭博、色情或某些非法站點;公開自己的密碼、令牌或智能卡信息;重要的文檔未加密;任意訪問不清楚、不可信的站點;填Web腳本、表格或註冊網頁較任性;多次訪問聊天室或社交站點。

5.管理因素

單純靠安全設備是不能滿足要求的,它是匯集了硬、軟件、網絡、人及他們相互關係與接口的系統。

人是網絡與信息系統的操作主體,安全設備與策略最終要靠人才可應用、貫徹。許多單位有安全設備設置不合適、使用管理不當、無專屬的信息安全人員、系統密碼管理亂等情況,這時,防火牆、人侵檢測、VPN等設備就無法發揮應有的作用。因此,有人把信息安全策略叫做“七分管理、三分技術”。