По непосредственному объекту атаки:
нападения на политику безопасности и процесс административного управления
атаки на постоянные компоненты системы защиты
атаки на атаки на сменные компоненты системы безопасности
атаки на протоколы взаимодействия
нападения на функциональные элементы компьютерной системы
Незаконное использование привилегий.
Задействуются средства, используемые в чрезвычайных ситуациях, при сбоях оборудования или средства, которые способны функционировать с нарушением существующей политики безопасности (администраторы, операторы, системные программисты и другие пользователи, выполняющими специальные функции).
Для того, чтобы уменьшить риск от применения таких средств большинство систем защиты реализует такие функции с помощью набора привилегий - для выполнения определенной функции требуется определенная привилегия.
В этом случае каждый пользователь получает свой набор привилегий, обычные пользователи - минимальный, администраторы - максимальный (в соответствии с принципом минимума привилегий).
Наборы привилегий каждого пользователя являются его атрибутами и охраняются системой защиты. Несанкционированный захват привилегий приведет, таким образом, к возможности несанкционированного выполнения определенной функции.
Атаки “салями”.
Принцип атак “салями” построен на том факте, что при обработке счетов используются целые единицы (центы, рубли, копейки), а при исчислении процентов нередко получаются дробные суммы.
Причинами атак “салями” являются:
погрешности вычислений, позволяющие трактовать правила округления в ту или иную сторону, огромные объемы вычислений, необходимые для обработки счетов.
Успех таких атак зависит не столько от величины обрабатываемых сумм, сколько от количества счетов (для любого счета погрешность обработки одинакова).
Предотвратить такие атаки можно только обеспечением целостности и корректности прикладных программ, обрабатывающих счета, разграничением доступа пользователей АС к счетам, а также постоянным контролем счетов на предмет утечки сумм.
Типовая схема подготовки и реализации атак 
Этапы построения системы защиты 
информации, недостатки которой могут
использоваться для разработки атак
1. Анализ физической и логической архитектуры компьютерной системы, а также используемых схем автоматизированной обработки информации.
2. Выявление уязвимых элементов, через которые возможна реализация угроз информации.
3. Оценка текущего состояния защиты информации и определение риска.
4. Разработка политики безопасности как совокупности концептуальных решений, направленных на эффективную защиту информации и ассоциированных с ней ресурсов.
5. Формирование полного перечня детальных требований к системе защиты информации в соответствии с необходимыми классами защищенности.
6. Непосредственная разработка системы защиты информации с учетом всех предъявленных требований и влияющих на
защиту факторов
1.Анализ физической и логической архитектуры компьютерной системы, а также используемых схем автоматизированной обработки информации:
анализ аппаратных средств и их конфигурации;
анализ программного обеспечения и схемы распределения его компонентов между узлами сети;
анализ протоколов взаимодействия (стеков протоколов);
анализ сетевого трафика на различных уровнях сетевой модели взаимодействия;
анализ технологии использования мобильных программ (JAVA, ActiveX, JavaScript, VBScript);
анализ согласованности программной и аппаратной конфигурации узлов сети;
анализ подсистемы зашиты информации на различных уровнях программно-аппаратных средств
2.Выявление уязвимых элементов, через которые возможна реализация угроз информации:
уязвимых элементов аппаратных средств и каналов связи (локальных сетей, сетевых устройств концентрации и маршрутизации каналов межсетевого взаимодействия, а также каналов взаимодействия с Internet);
уязвимых элементов операционных систем;
уязвимых элементов используемых систем управления базами данных;
уязвимых элементов прикладного программного обеспечения (электронного документооборота, справочных систем, электронной бухгалтерии и т.п.);
уязвимых элементов сетевых программных средств (групповой работы, утилит администрирования, мобильных программ);
уязвимых элементов подсистем защиты информации
3. Оценка текущего состояния защиты информации и определение риска:
оценка ценностей (всех объектов и субъектов, которым может быть нанесен ущерб);
прогнозирование частоты и вероятности проявления угроз на основе накопленной статистики и условий эксплуатации компьютерных сетей;
непосредственное вычисление риска, зависящего от полученных выше параметров;
выработка рекомендаций по снижению риска до приемлемого уровня.
4. Разработка политики безопасности как совокупности концептуальных решений, направленных на эффективную защиту информации и ассоциированных с ней ресурсов:
формирование стратегических (наиболее общих, долгосрочных) целей защиты информации и определение требований к защищаемой информации;
разработка концепции защиты от преднамеренных угроз;
разработка концепции защиты от случайных угроз;
составление общего плана восстановления на случай воздействия на компьютерные ресурсы;
разработка организационных мероприятий по созданию условий безопасной обработки информации;
5.Формирование полного перечня детальных требований к системе защиты информации в соответствии с необходимыми классами защищенности:
требований к подсистемам аутентификации и разграничения доступа;
требований к подсистеме защиты от вирусов;
требований к подсистеме криптографической защиты;
требований к подсистеме контроля эталонного состояния информации и рабочей среды;
требований к подсистемам резервирования информации и восстановления работоспособности систем и средств;
требований к подсистемам обнаружения, регистрации и сигнализации;
требований к подсистеме обеспечения безопасности сетевого и межсетевого взаимодействий.