2.1.4 風險

《信息安全技術 信息安全風險評估規范》（GB/T 20984—2007）將網絡安全領域的風險定義為：人為或自然的威脅利用信息系統及其管理體系中存在的脆弱性導致安全事件的發生及其對組織造成的影響。

風險分析中主要涉及資產、威脅、脆弱性三個基本要素，通俗地講就是威脅利用脆弱性破壞資產，導致風險。威脅對資產脆弱性的利用過程可以簡單地理解為網絡安全攻擊過程，常見的網絡安全攻擊如下。

1.命令注入攻擊

命令注入攻擊是利用命令注入漏洞所進行的攻擊行動。命令注入攻擊是一種針對應用系統的廣泛存在的攻擊方式，攻擊可以執行任意 Shell 命令，如任意刪除/變更文件、添加賬號、關機/重新啟動等后果。

2.SQL注入攻擊

程序中如果使用了未經校驗的外部輸入來拼接SQL語句，則攻擊者可以通過構造惡意輸入來改變原本的 SQL 邏輯或執行額外的 SQL 語句，如拖庫、獲取管理員、獲取WebShell權限等。

3.權限提升攻擊

權限提升是黑客常用的攻擊方法，攻擊可以利用無權限或低權限，通過設計、配置、編碼漏洞獲取到更高的權限。

4.暴力破解攻擊

暴力破解又稱窮舉法，是一種針對資產（信息、功能、身份）密碼/認證的破解方法。暴力破解攻擊是常見的攻擊方法，攻擊可以導致非法獲取他人認證信息（如密碼），通過密文獲取明文密碼等。

5.內容欺騙——仿冒GPS信號

硬件攻擊的目標側重于計算系統中使用的物理硬件的芯片、電路板、設備端口或包括計算機系統及嵌入式系統在內的其他組件的破壞、替換、修改和利用。仿冒GPS信號是其中的一種攻擊方法。

6.嗅探網絡流量

攻擊者監視公共網絡或內網之間的網絡流量，通過網絡嗅探流量，可能會獲取被攻擊者的機密信息，如未加密協議的認證信息。

7.中間人攻擊

中間人（Man-in-the-Middle，MITM）攻擊是一種“間接”的入侵攻擊，這種攻擊模式是通過各種技術手段將自己變為“中間人”，當兩組件通信時就可以獲取所有通信信息，這類攻擊可導致信息泄露、內容篡改、越權等安全風險。

8.植入惡意軟件

供應鏈攻擊通過操縱計算機系統硬件、軟件或服務來破壞供應鏈生命周期，以進行間諜活動、竊取關鍵數據或技術、破壞關鍵任務或基礎設施。在供應鏈中植入惡意軟件是其中的一種攻擊方法。

9.釣魚攻擊

社會工程學是黑客凱文·米特尼克悔改后在《欺騙的藝術》中所提出的，是一種利用人的薄弱點，通過欺騙手段而入侵計算機系統的一種攻擊方法。釣魚攻擊是社會工程學攻擊的一種方式。