威脅是客觀有的，對組織及資產的可能性因素實施隱身攻擊。可能性因素來自多個方面,有不可抗的自然因素,有人為的偶然因素,更存在經濟或其他利益驅動的必然性因素。由威脅的來源和強度,把信息安全的威脅分為以下4種。

1.自然威脅

自然威脅的因素分為自然界中不能抗拒的因素的和其他的物理因素2種。自然威脅有地震、火災、電磁干擾;各種故障,如硬件設備故障或缺陷、軟件故障或缺陷、操作人員的誤操作;元器件受使用壽命約束而自然產生的功能喪失等。

2.系統漏洞

系統漏洞是在軟硬件、協議的實現或系統安全策略的問題,從而能讓攻擊者在沒有授權時訪問或破壞系統。系統漏洞包含網絡設備漏洞、操作系統漏洞、代碼漏洞等。

3.人為因素威脅

人為因素威脅可分為如下兩類：

(1)人為無意失誤

操作員安全配置不恰當導致的漏洞,用戶的安全防範不高,用戶的口令選取不小心,用戶把自己的賬號轉借他人或與人共享等均會威脅信息安全。信息安全管理工作有用戶意識不高,對信息安全重視不足的主要問題,安全措施不執行,造成安全事件的發生。多項數據表明,“未修補軟件安全漏洞”和“登錄密碼簡單或沒有修改”是普遍的安全事件,這都表現出了用戶缺少有關的防範意識與基礎的防範常識。約束個人使用網絡信息的權限,防止濫用權力,採取合適的監督舉措有利於部分解決人為的無意失誤。

(2)人為攻擊

對信息的人為攻擊方式通常均是找尋系統的不足,導致經濟和政治上無法估計的損失。

4.敵對的威脅

敵對的威脅即國家間的電子信息對抗或者“信息戰”。當國家間的利益衝突不能調和時就會發生戰爭,作為高技術代表的信息技術一定會在戰場上出現。