2.1.4 风险

《信息安全技术 信息安全风险评估规范》（GB/T 20984—2007）将网络安全领域的风险定义为：人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。

风险分析中主要涉及资产、威胁、脆弱性三个基本要素，通俗地讲就是威胁利用脆弱性破坏资产，导致风险。威胁对资产脆弱性的利用过程可以简单地理解为网络安全攻击过程，常见的网络安全攻击如下。

1.命令注入攻击

命令注入攻击是利用命令注入漏洞所进行的攻击行动。命令注入攻击是一种针对应用系统的广泛存在的攻击方式，攻击可以执行任意 Shell 命令，如任意删除/变更文件、添加账号、关机/重新启动等后果。

2.SQL注入攻击

程序中如果使用了未经校验的外部输入来拼接SQL语句，则攻击者可以通过构造恶意输入来改变原本的 SQL 逻辑或执行额外的 SQL 语句，如拖库、获取管理员、获取WebShell权限等。

3.权限提升攻击

权限提升是黑客常用的攻击方法，攻击可以利用无权限或低权限，通过设计、配置、编码漏洞获取到更高的权限。

4.暴力破解攻击

暴力破解又称穷举法，是一种针对资产（信息、功能、身份）密码/认证的破解方法。暴力破解攻击是常见的攻击方法，攻击可以导致非法获取他人认证信息（如密码），通过密文获取明文密码等。

5.内容欺骗——仿冒GPS信号

硬件攻击的目标侧重于计算系统中使用的物理硬件的芯片、电路板、设备端口或包括计算机系统及嵌入式系统在内的其他组件的破坏、替换、修改和利用。仿冒GPS信号是其中的一种攻击方法。

6.嗅探网络流量

攻击者监视公共网络或内网之间的网络流量，通过网络嗅探流量，可能会获取被攻击者的机密信息，如未加密协议的认证信息。

7.中间人攻击

中间人（Man-in-the-Middle，MITM）攻击是一种“间接”的入侵攻击，这种攻击模式是通过各种技术手段将自己变为“中间人”，当两组件通信时就可以获取所有通信信息，这类攻击可导致信息泄露、内容篡改、越权等安全风险。

8.植入恶意软件

供应链攻击通过操纵计算机系统硬件、软件或服务来破坏供应链生命周期，以进行间谍活动、窃取关键数据或技术、破坏关键任务或基础设施。在供应链中植入恶意软件是其中的一种攻击方法。

9.钓鱼攻击

社会工程学是黑客凯文·米特尼克悔改后在《欺骗的艺术》中所提出的，是一种利用人的薄弱点，通过欺骗手段而入侵计算机系统的一种攻击方法。钓鱼攻击是社会工程学攻击的一种方式。