ISO27001信息安全風(fēng)險評估報告

第第頁ISO27001信息安全風(fēng)險評估報告目錄7291.威脅識別與分析 2288701.1.關(guān)鍵資產(chǎn)安全需求 269631.2.關(guān)鍵資產(chǎn)威脅概要 3327001.3.威脅描述匯總 995691.4.威脅賦值 10324172.脆弱性識別與分析 1221812.1.常規(guī)脆弱性描述 1234272.1.1.管理脆弱性 12114842.1.2.網(wǎng)絡(luò)脆弱性 12171922.1.3.系統(tǒng)脆弱性 12259332.1.4.應(yīng)用脆弱性 12179662.1.5.數(shù)據(jù)處理和存儲脆弱性 12108292.1.6.運(yùn)行維護(hù)脆弱性 1250192.1.7.災(zāi)備與應(yīng)急響應(yīng)脆弱性 12227532.1.8.物理脆弱性 12324962.2.脆弱性專項(xiàng)檢查 12324622.2.1.木馬病毒專項(xiàng)檢查 12281612.2.2.服務(wù)器漏洞掃描專項(xiàng)檢測 12177202.2.3.安全設(shè)備漏洞掃描專項(xiàng)檢測 19157602.3.脆弱性綜合列表 21218203.風(fēng)險分析 25235663.1.關(guān)鍵資產(chǎn)的風(fēng)險計算結(jié)果 25118453.2.關(guān)鍵資產(chǎn)的風(fēng)險等級 27212583.2.1.風(fēng)險等級列表 27256493.2.2.風(fēng)險等級統(tǒng)計 28320743.2.3.基于脆弱性的風(fēng)險排名 28111393.2.4.風(fēng)險結(jié)果分析 29221984.綜合分析與評價 3031224.1.綜合風(fēng)險評價 30318564.2.風(fēng)險控制角度需要解決的問題 3060985.整改意見 31SCISTEC/STCJLMB-QP19-08第3頁共85頁威脅識別與分析關(guān)鍵資產(chǎn)安全需求資產(chǎn)類別重要資產(chǎn)名稱重要性程度（重要等級）資產(chǎn)重要性說明安全需求光纖交換機(jī)Brocade300非常重要（5）保證xxxx系統(tǒng)數(shù)據(jù)正常傳輸?shù)酱疟P陣列的設(shè)備。可用性-系統(tǒng)可用性是必需的，價值非常高；保證各項(xiàng)系統(tǒng)數(shù)據(jù)正常傳輸?shù)酱疟P陣列。完整性-完整性價值非常關(guān)鍵，除管理員外其他任何用戶不能修改數(shù)據(jù)。保密性-包含組織的重要秘密，泄露將會造成嚴(yán)重?fù)p害。完整性-完整性價值非常關(guān)鍵，除管理員外其他任何用戶不能修改數(shù)據(jù)。保密性-包含組織的重要秘密，泄露將會造成嚴(yán)重?fù)p害。保密性-包含組織的重要秘密，泄露將會造成嚴(yán)重?fù)p害。保密性-包含組織的重要秘密，泄露將會造成嚴(yán)重?fù)p害。保密性-包含組織的重要秘密，泄露將會造成嚴(yán)重?fù)p害。存儲設(shè)備磁盤陣列HPEVA4400非常重要（5）xxxx系統(tǒng)數(shù)據(jù)存儲設(shè)備?？捎眯?系統(tǒng)可用性是必需的，價值非常高；保證xxxx系統(tǒng)數(shù)據(jù)存儲功能持續(xù)正常運(yùn)行。完整性-完整性價值非常關(guān)鍵，除管理員外其他任何用戶不能修改數(shù)據(jù)。保密性-包含組織的重要秘密，泄露將會造成嚴(yán)重?fù)p害。保障設(shè)備UPS電源SANTAK3C3EX30KS重要（4）機(jī)房電力保障的重要設(shè)備?？捎眯?系統(tǒng)可用性價值較高；保證xxxx系統(tǒng)供電工作正常。完整性-完整性價值較高；除授權(quán)人員外其他任何用戶不能修改數(shù)據(jù)。保密性-包含組織內(nèi)部可公開的信息，泄露將會造成輕微損害。完整性-完整性價值較高，除授權(quán)人員外其他任何用戶不能修改數(shù)據(jù)。保密性-包含組織的重要秘密，泄露將會造成嚴(yán)重?fù)p害。金農(nóng)一期業(yè)務(wù)系統(tǒng)4（高）部署在應(yīng)用服務(wù)器上。可用性-系統(tǒng)可用性價值較高；保證xxxx數(shù)據(jù)正常采集。完整性-完整性價值較高，除授權(quán)人員外其他任何用戶不能修改數(shù)據(jù)。保密性-包含組織的重要秘密，泄露將會造成嚴(yán)重?fù)p害。備份管理軟件SymantecBackup重要（4）xxxx系統(tǒng)數(shù)據(jù)備份管理軟件。可用性-系統(tǒng)可用性價值較高；保證xxxx系統(tǒng)數(shù)據(jù)備份管理功能正常運(yùn)行。完整性-完整性價值較高，除授權(quán)人員外其他任何用戶不能修改數(shù)據(jù)。保密性-包含組織的重要秘密，泄露將會造成嚴(yán)重?fù)p害。內(nèi)容管理軟件WCM-MUL-V60網(wǎng)站群版重要（4）用戶數(shù)據(jù)采編?？捎眯?系統(tǒng)可用性價值較高；保證xxxx系統(tǒng)數(shù)據(jù)的采編。完整性-完整性價值較高，除授權(quán)人員外其他任何用戶不能修改數(shù)據(jù)。保密性-包含組織的重要秘密，泄露將會造成嚴(yán)重?fù)p害。數(shù)據(jù)xxxx系統(tǒng)數(shù)據(jù)非常重要（5）xxxx系統(tǒng)的核心數(shù)據(jù)?？捎眯?系統(tǒng)可用性是必需的，價值非常高；保證xxxx系統(tǒng)的核心數(shù)據(jù)能夠正常讀取及使用。完整性-完整性價值非常關(guān)鍵，除管理員外其他任何用戶不能修改數(shù)據(jù)。保密性-包含組織的重要秘密，泄露將會造成嚴(yán)重?fù)p害。關(guān)鍵資產(chǎn)威脅概要威脅是一種客觀存在的，對組織及其資產(chǎn)構(gòu)成潛在破壞的可能性因素，通過對“xxxxxxxxxxxxxxxxxxxx信息系統(tǒng)”關(guān)鍵資產(chǎn)進(jìn)行調(diào)查，對威脅來源（內(nèi)部/外部；主觀/不可抗力等）、威脅方式、發(fā)生的可能性等進(jìn)行分析，如下表所示：關(guān)鍵資產(chǎn)名稱威脅類型關(guān)注范圍核心交換機(jī)QuidwayS3300Series操作失誤（維護(hù)錯誤、操作失誤）維護(hù)人員操作不當(dāng)，導(dǎo)致交換機(jī)服務(wù)異?；蛑袛啵瑢?dǎo)致金農(nóng)一期系統(tǒng)無法正常使用。社會工程（社會工程學(xué)破解）流行的免費(fèi)下載軟件中捆綁流氓軟件、免費(fèi)音樂中包含病毒、網(wǎng)絡(luò)釣魚、垃圾電子郵件中包括間諜軟件等，引起系統(tǒng)安全問題。物理破壞（斷電、消防、盜竊和破壞）物理斷電導(dǎo)致關(guān)鍵設(shè)備停止工作，服務(wù)中斷。火災(zāi)隱患威脅系統(tǒng)正常運(yùn)行。濫用授權(quán)（非授權(quán)訪問網(wǎng)絡(luò)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)）管理地址未與特定主機(jī)進(jìn)行綁定，可導(dǎo)致非授權(quán)人員訪問核心交換機(jī)，修改系統(tǒng)配置或數(shù)據(jù)，造成網(wǎng)絡(luò)中斷。意外故障（設(shè)備硬件故障、傳輸設(shè)備故障）硬件故障、傳輸設(shè)備故障，可能導(dǎo)致整個中心機(jī)房網(wǎng)絡(luò)中斷，造成業(yè)務(wù)應(yīng)用無法正常運(yùn)行。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無序，造成安全監(jiān)管漏洞和缺失。光纖交換機(jī)Brocade300操作失誤（維護(hù)錯誤、操作失誤）維護(hù)人員操作不當(dāng)，導(dǎo)致交換機(jī)服務(wù)異?；蛑袛?，導(dǎo)致金農(nóng)一期數(shù)據(jù)無法正常保存到磁盤陣列。物理破壞（斷電、消防、盜竊和破壞）物理斷電導(dǎo)致關(guān)鍵設(shè)備停止工作，服務(wù)中斷?；馂?zāi)隱患威脅系統(tǒng)正常運(yùn)行。濫用授權(quán)（非授權(quán)訪問網(wǎng)絡(luò)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)）管理地址未與特定主機(jī)進(jìn)行綁定，可導(dǎo)致非授權(quán)人員訪問光纖交換機(jī)，修改系統(tǒng)配置或數(shù)據(jù)，造成數(shù)據(jù)存儲任務(wù)失敗。意外故障（設(shè)備硬件故障、傳輸設(shè)備故障）硬件故障、傳輸設(shè)備故障，可能導(dǎo)致磁盤陣列無法連接到網(wǎng)絡(luò)，造成數(shù)據(jù)存儲失敗。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無序，造成安全監(jiān)管漏洞和缺失。電信接入交換機(jī)QuidwayS3300Series操作失誤（維護(hù)錯誤、操作失誤）維護(hù)人員操作不當(dāng)，導(dǎo)致交換機(jī)服務(wù)異?；蛑袛啵瑢?dǎo)致金農(nóng)一期系統(tǒng)無法通過互聯(lián)網(wǎng)訪問。物理破壞（斷電、消防、盜竊和破壞）物理斷電導(dǎo)致關(guān)鍵設(shè)備停止工作，服務(wù)中斷。火災(zāi)隱患威脅系統(tǒng)正常運(yùn)行。濫用授權(quán)（非授權(quán)訪問網(wǎng)絡(luò)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)）管理地址未與特定主機(jī)進(jìn)行綁定，可導(dǎo)致非授權(quán)人員訪問電信接入交換機(jī)，修改系統(tǒng)配置或數(shù)據(jù)，造成網(wǎng)絡(luò)中斷。意外故障（設(shè)備硬件故障、傳輸設(shè)備故障）設(shè)備硬件故障、傳輸設(shè)備故障，可能導(dǎo)致所有終端的網(wǎng)絡(luò)傳輸中斷，影響各辦公室用戶接入網(wǎng)絡(luò)。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無序，造成安全監(jiān)管漏洞和缺失。電信出口路由器操作失誤（維護(hù)錯誤、操作失誤）維護(hù)人員操作不當(dāng)，導(dǎo)致出口路由器服務(wù)異常或中斷，影響地市州訪問金農(nóng)一期系統(tǒng)。物理破壞（斷電、消防、盜竊和破壞）物理斷電導(dǎo)致關(guān)鍵設(shè)備停止工作，服務(wù)中斷?；馂?zāi)隱患威脅系統(tǒng)正常運(yùn)行。濫用授權(quán)（非授權(quán)訪問網(wǎng)絡(luò)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)）管理地址未與特定主機(jī)進(jìn)行綁定，可導(dǎo)致非授權(quán)人員訪問電信出口路由器，修改系統(tǒng)配置或數(shù)據(jù)，造成互聯(lián)網(wǎng)通信線路中斷。意外故障（設(shè)備硬件故障、傳輸設(shè)備故障）設(shè)備硬件故障、傳輸設(shè)備故障，可能導(dǎo)致所有終端的網(wǎng)絡(luò)無法接入互聯(lián)網(wǎng)。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無序，造成安全監(jiān)管漏洞和缺失。數(shù)據(jù)庫服務(wù)器漏洞利用（利用漏洞竊取信息、利用漏洞破壞信息、利用漏洞破壞系統(tǒng)）非法入侵者利用漏洞侵入系統(tǒng)篡改或破壞，可能導(dǎo)致數(shù)據(jù)不可用或完整性丟失。系統(tǒng)漏洞導(dǎo)致信息丟失、信息破壞、系統(tǒng)破壞，服務(wù)不可用。惡意代碼（病毒、木馬、間諜軟件、竊聽軟件）系統(tǒng)可能受到病毒、木馬、間諜軟件、竊聽軟件的影響。物理破壞（斷電、消防、盜竊和破壞）物理斷電導(dǎo)致關(guān)鍵設(shè)備停止工作，服務(wù)中斷?；馂?zāi)隱患威脅系統(tǒng)正常運(yùn)行。意外故障（設(shè)備硬件故障）硬件及系統(tǒng)故障導(dǎo)致系統(tǒng)不可用，服務(wù)中斷。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無序，造成安全監(jiān)管漏洞和缺失。數(shù)據(jù)庫備份服務(wù)器漏洞利用（利用漏洞竊取信息、利用漏洞破壞信息、利用漏洞破壞系統(tǒng)）非法入侵者利用漏洞侵入系統(tǒng)篡改或破壞，可能導(dǎo)致備份數(shù)據(jù)不可用或完整性丟失。惡意代碼（病毒、木馬、間諜軟件、竊聽軟件）系統(tǒng)可能受到病毒、木馬、間諜軟件、竊聽軟件的影響。物理破壞（斷電、消防、盜竊和破壞）物理斷電導(dǎo)致關(guān)鍵設(shè)備停止工作，數(shù)據(jù)備份服務(wù)中斷。火災(zāi)隱患威脅系統(tǒng)正常運(yùn)行。意外故障（設(shè)備硬件故障）服務(wù)器系統(tǒng)本身軟硬件故障導(dǎo)致數(shù)據(jù)備份不可用。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無序，造成安全監(jiān)管漏洞和缺失。業(yè)務(wù)應(yīng)用服務(wù)器漏洞利用（利用漏洞竊取信息、利用漏洞破壞信息、利用漏洞破壞系統(tǒng)）非法入侵者利用漏洞侵入系統(tǒng)篡改或破壞，可能導(dǎo)致系統(tǒng)業(yè)務(wù)中斷。入侵者利用系統(tǒng)漏洞攻擊系統(tǒng)，導(dǎo)致服務(wù)中斷。惡意代碼（病毒、木馬、間諜軟件、竊聽軟件）系統(tǒng)可能受到病毒、木馬、間諜軟件、竊聽軟件的影響。物理破壞（斷電、消防、盜竊和破壞）物理斷電導(dǎo)致關(guān)鍵設(shè)備停止工作，服務(wù)中斷?；馂?zāi)隱患威脅系統(tǒng)正常運(yùn)行。意外故障（設(shè)備硬件故障、應(yīng)用軟件故障）硬件及系統(tǒng)故障導(dǎo)致系統(tǒng)不可用，服務(wù)中斷。應(yīng)用軟件故障導(dǎo)致服務(wù)中斷。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無序，造成安全監(jiān)管漏洞和缺失。部級下發(fā)服務(wù)器漏洞利用（利用漏洞竊取信息、利用漏洞破壞信息、利用漏洞破壞系統(tǒng)）非法入侵者利用漏洞侵入系統(tǒng)篡改或破壞，可能導(dǎo)致下發(fā)數(shù)據(jù)丟失。入侵者利用系統(tǒng)漏洞攻擊系統(tǒng)，導(dǎo)致部級數(shù)據(jù)無法接收。惡意代碼（病毒、木馬、間諜軟件、竊聽軟件）系統(tǒng)可能受到病毒、木馬、間諜軟件、竊聽軟件的影響。物理破壞（斷電、消防、盜竊和破壞）物理斷電導(dǎo)致關(guān)鍵設(shè)備停止工作，部級數(shù)據(jù)無法接收?；馂?zāi)隱患威脅系統(tǒng)正常運(yùn)行。意外故障（設(shè)備硬件故障、應(yīng)用軟件故障）硬件及系統(tǒng)故障導(dǎo)致系統(tǒng)不可用，部級數(shù)據(jù)無法接收。應(yīng)用軟件故障導(dǎo)致部級數(shù)據(jù)無法接收。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無序，造成安全監(jiān)管漏洞和缺失。數(shù)據(jù)采集前置機(jī)漏洞利用（利用漏洞竊取信息、利用漏洞破壞信息、利用漏洞破壞系統(tǒng)）非法入侵者利用漏洞侵入系統(tǒng)篡改或破壞，可能導(dǎo)致數(shù)據(jù)不可用或完整性丟失。系統(tǒng)來賓帳號密碼為空，具有一定安全風(fēng)險。惡意代碼（病毒、木馬、間諜軟件、竊聽軟件）系統(tǒng)可能受到病毒、木馬、間諜軟件、竊聽軟件的影響。物理破壞（斷電、消防、盜竊和破壞）物理斷電導(dǎo)致關(guān)鍵設(shè)備停止工作，服務(wù)中斷?；馂?zāi)隱患威脅系統(tǒng)正常運(yùn)行。意外故障（設(shè)備硬件故障、應(yīng)用軟件故障）硬件及系統(tǒng)故障導(dǎo)致系統(tǒng)不可用，服務(wù)中斷。應(yīng)用軟件故障導(dǎo)致服務(wù)不可用。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無序，造成安全監(jiān)管漏洞和缺失。應(yīng)用支撐平臺服務(wù)器漏洞利用（利用漏洞竊取信息、利用漏洞破壞信息、利用漏洞破壞系統(tǒng)）非法入侵者利用漏洞侵入系統(tǒng)篡改或破壞，可能導(dǎo)致數(shù)據(jù)不可用或完整性丟失。入侵者利用系統(tǒng)漏洞攻擊系統(tǒng)，導(dǎo)致服務(wù)中斷。惡意代碼（病毒、木馬、間諜軟件、竊聽軟件）系統(tǒng)可能受到病毒、木馬、間諜軟件、竊聽軟件的影響。物理破壞（斷電、消防、盜竊和破壞）物理斷電導(dǎo)致關(guān)鍵設(shè)備停止工作，服務(wù)中斷?；馂?zāi)隱患威脅系統(tǒng)正常運(yùn)行。意外故障（設(shè)備硬件故障、應(yīng)用軟件故障）硬件及系統(tǒng)故障導(dǎo)致系統(tǒng)不可用，服務(wù)中斷。應(yīng)用軟件故障導(dǎo)致服務(wù)中斷。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無序，造成安全監(jiān)管漏洞和缺失。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無序，造成安全監(jiān)管漏洞和缺失。磁盤陣列HPEVA4400物理破壞（斷電、消防、盜竊和破壞）物理斷電導(dǎo)致關(guān)鍵設(shè)備停止工作，服務(wù)中斷?；馂?zāi)隱患威脅系統(tǒng)正常運(yùn)行。意外故障（設(shè)備硬件故障、存儲媒體故障）硬件故障，可能導(dǎo)致征金農(nóng)一期業(yè)務(wù)數(shù)據(jù)的錯誤、異常、丟失，進(jìn)而導(dǎo)致所有業(yè)務(wù)中斷。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無序，造成安全監(jiān)管漏洞和缺失。UPS電源SANTAK3C3EX30KS操作失誤（無作為）UPS若損壞，該設(shè)備功能失效。電源中斷（備用電源中斷）電源中斷導(dǎo)致UPS停止工作，無法正常儲備電源。意外故障（設(shè)備硬件故障）硬件故障，遇到機(jī)房供電問題，導(dǎo)致應(yīng)用服務(wù)中斷。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無序，造成安全監(jiān)管漏洞。UPS無專人對其定期進(jìn)行充放電操作，可導(dǎo)致UPS能效降低。千兆防火墻綠盟SG1200Series操作失誤（操作失誤）千兆防火墻配置管理由外包公司維護(hù)，當(dāng)系統(tǒng)發(fā)生故障時，系統(tǒng)恢復(fù)不可控，易引發(fā)操作失誤。社會工程（社會工程學(xué)破解）流行的免費(fèi)下載軟件中捆綁流氓軟件、免費(fèi)音樂中包含病毒、網(wǎng)絡(luò)釣魚、垃圾電子郵件中包括間諜軟件等，引起系統(tǒng)安全問題。物理破壞（斷電、消防、盜竊和破壞）物理斷電導(dǎo)致設(shè)備停止工作?；馂?zāi)隱患威脅系統(tǒng)正常運(yùn)行。濫用授權(quán)（非授權(quán)訪問網(wǎng)絡(luò)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)）管理地址未與特定主機(jī)進(jìn)行綁定，可導(dǎo)致非授權(quán)人員訪問防火墻。管理地址未與特定主機(jī)進(jìn)行綁定，可導(dǎo)致非授權(quán)人員修改系統(tǒng)配置或數(shù)據(jù)，造成網(wǎng)絡(luò)中斷。意外故障（設(shè)備硬件故障、傳輸設(shè)備故障）硬件故障、傳輸故障，可能導(dǎo)致中心機(jī)房與互聯(lián)網(wǎng)的通信中斷，或中心機(jī)房與電子政務(wù)外網(wǎng)的通信中斷，或網(wǎng)絡(luò)邊界安全防護(hù)服務(wù)功能喪失，造成中心機(jī)房各服務(wù)器和業(yè)務(wù)數(shù)據(jù)的安全威脅。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無序，造成安全監(jiān)管漏洞和缺失。IDS入侵檢測系統(tǒng)綠盟NIDS1200Series操作失誤（維護(hù)錯誤、操作失誤）設(shè)備管理由外包公司維護(hù)，當(dāng)系統(tǒng)發(fā)生故障時，系統(tǒng)恢復(fù)不可控，易引發(fā)操作失誤。物理破壞（斷電、消防、盜竊和破壞）物理斷電導(dǎo)致設(shè)備停止工作?；馂?zāi)隱患威脅系統(tǒng)正常運(yùn)行。濫用授權(quán)（非授權(quán)訪問網(wǎng)絡(luò)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)）管理地址未與特定主機(jī)進(jìn)行綁定，可導(dǎo)致非授權(quán)人員訪問IDS。管理地址未與特定主機(jī)進(jìn)行綁定，可導(dǎo)致非授權(quán)人員修改系統(tǒng)配置或數(shù)據(jù)。意外故障（設(shè)備硬件故障）硬件故障，可能導(dǎo)致IDS無法正常使用，無法監(jiān)控網(wǎng)絡(luò)中的入侵和攻擊行為。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無序，造成安全監(jiān)管漏洞和缺失。入侵防護(hù)系統(tǒng)綠盟NIPS1000Series操作失誤（操作失誤）設(shè)備管理由外包公司維護(hù)，當(dāng)系統(tǒng)發(fā)生故障時，系統(tǒng)恢復(fù)不可控，易引發(fā)操作失誤。物理破壞（斷電、消防、盜竊和破壞）物理斷電導(dǎo)致設(shè)備停止工作?；馂?zāi)隱患威脅系統(tǒng)正常運(yùn)行。濫用授權(quán)（非授權(quán)訪問網(wǎng)絡(luò)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)）管理地址未與特定主機(jī)進(jìn)行綁定，可導(dǎo)致非授權(quán)人員訪問應(yīng)用安全管理系統(tǒng)。管理地址未與特定主機(jī)進(jìn)行綁定，可導(dǎo)致非授權(quán)人員修改系統(tǒng)配置或數(shù)據(jù)。意外故障（設(shè)備硬件故障）硬件故障，可能導(dǎo)致入侵防護(hù)系統(tǒng)無法正常使用，無法防御網(wǎng)絡(luò)入侵。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無序，造成安全監(jiān)管漏洞和缺失。SQLServer2008標(biāo)準(zhǔn)版操作失誤（操作失誤）數(shù)據(jù)庫管理由外包公司維護(hù)，當(dāng)系統(tǒng)發(fā)生故障時，系統(tǒng)恢復(fù)不可控，易引發(fā)操作失誤。意外故障（數(shù)據(jù)庫軟件故障）數(shù)據(jù)庫軟件故障，可導(dǎo)致系統(tǒng)的核心數(shù)據(jù)嚴(yán)重?fù)p失。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無序，造成安全監(jiān)管漏洞和缺失。系統(tǒng)具備數(shù)據(jù)備份與恢復(fù)機(jī)制，但應(yīng)加強(qiáng)管理，以備恢復(fù)使用。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無序，造成安全監(jiān)管漏洞和缺失。金農(nóng)一期應(yīng)用系統(tǒng)操作失誤（維護(hù)錯誤、操作失誤）系統(tǒng)軟件可能在維護(hù)中出現(xiàn)錯誤。身份假冒（用戶身份偽裝和欺騙）身份被冒用，產(chǎn)生欺騙行為?？诹罟簦ㄐ崽娇诹睢⒈┝ζ平猓ヂ?lián)網(wǎng)用戶發(fā)布，可能遭到口令攻擊，如口令嗅探和暴力破解。社會工程（社會工程學(xué)破解）流行的免費(fèi)下載軟件中捆綁流氓軟件、免費(fèi)音樂中包含病毒、網(wǎng)絡(luò)釣魚、垃圾電子郵件中包括間諜軟件等，引起系統(tǒng)安全問題。意外故障（應(yīng)用軟件故障）軟件故障，可能導(dǎo)致xxxx業(yè)務(wù)無法正常使用。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無序，無相關(guān)記錄，造成安全監(jiān)管漏洞和缺失。威脅描述匯總威脅種類威脅子類存在的威脅描述影響威脅發(fā)生頻率作用對象（完整性修改、機(jī)密性暴露、可用性遺失描述）（很高5/高4/中3/低2/很低1）利用漏洞破壞信息系統(tǒng)數(shù)據(jù)易通過漏洞被破壞。數(shù)據(jù)庫遭受網(wǎng)絡(luò)攻擊，如數(shù)據(jù)完整性被修改，可能會發(fā)生安全事件。4（高）數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)庫備份服務(wù)器、業(yè)務(wù)應(yīng)用服務(wù)器、部級下發(fā)服務(wù)器、數(shù)據(jù)采集前置機(jī)、應(yīng)用支撐平臺服務(wù)器。利用漏洞破壞系統(tǒng)系統(tǒng)數(shù)據(jù)易通過漏洞被破壞。服務(wù)器遭受網(wǎng)絡(luò)攻擊，可能使內(nèi)部網(wǎng)絡(luò)、服務(wù)器設(shè)施的因攻擊而產(chǎn)生通信中斷故障或安全服務(wù)中斷，從而導(dǎo)致可用性遺失。4（高）數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)庫備份服務(wù)器、業(yè)務(wù)應(yīng)用服務(wù)器、部級下發(fā)服務(wù)器、數(shù)據(jù)采集前置機(jī)、應(yīng)用支撐平臺服務(wù)器。管理規(guī)程缺失管理規(guī)程缺失，易造成安全監(jiān)管漏洞。管理規(guī)程存在缺陷，可能導(dǎo)致針對關(guān)鍵資產(chǎn)的日常運(yùn)維管理方面出現(xiàn)漏洞。3（中）所有資產(chǎn)職責(zé)不明確職責(zé)不明確，易造成安全監(jiān)管漏洞。職責(zé)不明確，可導(dǎo)致安全監(jiān)管漏洞。3（中）所有資產(chǎn)監(jiān)督控管機(jī)制不健全監(jiān)督控管機(jī)制不健全，易造成安全監(jiān)管漏洞。監(jiān)督控管機(jī)制等方面存在缺陷，導(dǎo)致完整性或可用性的遺失。3（中）所有資產(chǎn)威脅賦值資產(chǎn)名稱威脅操作失誤濫用授權(quán)行為抵賴身份假冒口令攻擊密碼分析漏洞利用拒絕服務(wù)惡意代碼竊取數(shù)據(jù)物理破壞社會工程意外故障通信中斷數(shù)據(jù)受損電源中斷災(zāi)害管理不到位越權(quán)使用核心交換機(jī)242443光纖交換機(jī)24243電信接入交換機(jī)24243電信出口路由器24243數(shù)據(jù)庫服務(wù)器42243數(shù)據(jù)庫備份服務(wù)器42243業(yè)務(wù)應(yīng)用服務(wù)器42243部級下發(fā)服務(wù)器42243數(shù)據(jù)采集前置機(jī)42243應(yīng)用支撐平臺服務(wù)器42243磁盤陣列243UPS電源2423千兆防火墻242443IDS入侵檢測系統(tǒng)24243入侵防護(hù)系統(tǒng)24243SQLServer2008223備份管理軟件223內(nèi)容管理軟件WCM-MUL-V60網(wǎng)站群版223xxxx系統(tǒng)數(shù)據(jù)423金農(nóng)一期業(yè)務(wù)系統(tǒng)434433脆弱性識別與分析常規(guī)脆弱性描述管理脆弱性….。網(wǎng)絡(luò)脆弱性….。系統(tǒng)脆弱性….。應(yīng)用脆弱性…..數(shù)據(jù)處理和存儲脆弱性…..運(yùn)行維護(hù)脆弱性….災(zāi)備與應(yīng)急響應(yīng)脆弱性…物理脆弱性…。脆弱性專項(xiàng)檢查木馬病毒專項(xiàng)檢查信息系統(tǒng)配置異常流量監(jiān)控系統(tǒng)、入侵防護(hù)、入侵檢測、防病毒網(wǎng)關(guān)，均通過聯(lián)網(wǎng)升級；系統(tǒng)安裝瑞星殺毒軟件，程序版本號23.00.48.42，升級設(shè)置為“即時升級”，殺毒引擎級別設(shè)置為中。服務(wù)器漏洞掃描專項(xiàng)檢測主機(jī)掃描統(tǒng)計列表序號IP地址漏洞總數(shù)高危險漏洞中危險漏洞低危險漏洞服務(wù)總數(shù)用戶總數(shù)風(fēng)險分值安全狀態(tài)漏洞統(tǒng)計序號漏洞名稱危險級別漏洞類別發(fā)現(xiàn)主機(jī)遠(yuǎn)程主機(jī)正在運(yùn)行終端服務(wù)低信息收集類匿名IPC$連接檢查低NT口令類可以通過NetBios獲取操作系統(tǒng)信息低信息收集類ICMP時間戳獲取低信息收集類遠(yuǎn)程主機(jī)HTTP/WWW服務(wù)正在運(yùn)行低信息收集類WWWWeb服務(wù)器版本檢查低信息收集類SNMP使用默認(rèn)團(tuán)體名高SNMP類SNMP泄露Wins用戶名中SNMP類SNMP不能通知managementstations中SNMP類服務(wù)統(tǒng)計序號服務(wù)名稱端口協(xié)議描述發(fā)現(xiàn)主機(jī)1ms-term-services3389TCP2Microsoft-ds445TCPMicrosoft-DS3loc-srv135TCPLocationService4會話服務(wù)139TCPNETBIOS會話服務(wù)5compaq-https2381TCPCompaqHTTPS6compaqdiag2301TCPCompaqremotediagnosticmanagement7ndmp10000TCPNetworkDataManagementProtocol8超文本傳輸協(xié)議80TCPWorldWideWeb（WWW）服務(wù)器9ms-sql-s1433TCPMicrosoft-SQL-Server10未知端口8087TCP漏洞掃描詳細(xì)列表●SNMP使用默認(rèn)團(tuán)體名發(fā)現(xiàn)主機(jī)2漏洞分類SNMP類危險級別高影響平臺SNMP詳細(xì)描述Windows的SimpleNetworkManagementProtocol(SNMP)使用默認(rèn)的public團(tuán)體名。攻擊者可以利用SimpleNetworkManagementProtocol(SNMP)取得有關(guān)機(jī)器的有用信息，例如網(wǎng)絡(luò)設(shè)備的信息，有那些打開的連接等等?！馎pacheTomcatTransfer-Encoding頭處理拒絕服務(wù)和信息泄露漏洞發(fā)現(xiàn)主機(jī)1漏洞分類CGI類危險級別中影響平臺ApacheTomcat5.5.0through5.5.296.0.0through6.0.27,and7.0.0beta詳細(xì)描述ApacheTomcat是一個流行的開放源碼的JSP應(yīng)用服務(wù)器程序。ApacheTomcat服務(wù)器在處理HTTP請求中的Transfer-Encoding頭時存在多個錯誤，導(dǎo)致無法循環(huán)使用緩沖區(qū)。遠(yuǎn)程攻擊者可以利用這個漏洞導(dǎo)致之后的請求失敗，或在請求之間泄露信息?！馭NMP不能通知managementstations發(fā)現(xiàn)主機(jī)2漏洞分類SNMP類危險級別中影響平臺SNMP詳細(xì)描述很多SNMPagents可以被配置在收到認(rèn)證不合格的SNMP消息后發(fā)送SNMPtrap或通知到管理臺。如果可以寫入snmpEnableAuthenTrapsobject，這些通知便可以不發(fā)，從而阻止agent發(fā)送通知?！馭NMP泄露Wins用戶名發(fā)現(xiàn)主機(jī)2漏洞分類SNMP類危險級別中影響平臺WindowsNT、Windows2000詳細(xì)描述該漏洞表明通過SNMP可以暴露WindowsNT上的所有用戶名?！馭NMP服務(wù)正在運(yùn)行發(fā)現(xiàn)主機(jī)2漏洞分類SNMP類危險級別低影響平臺SNMP詳細(xì)描述SNMP服務(wù)被檢測到正在運(yùn)行,當(dāng)SNMP使用了默認(rèn)的團(tuán)體名public或private時,攻擊者可以利用SimpleNetworkManagementProtocol(SNMP)取得有關(guān)機(jī)器的有用信息。不設(shè)置團(tuán)體名更加危險，因?yàn)檫@意味著任意團(tuán)體名都可以訪問?！馭NMP代理泄露網(wǎng)絡(luò)接口的信息發(fā)現(xiàn)主機(jī)2漏洞分類SNMP類危險級別低影響平臺SNMP詳細(xì)描述所有SNMPagents都支持標(biāo)準(zhǔn)的MIB-IIifTable。這個表含有機(jī)器所支持的每個接口的IP地址及網(wǎng)絡(luò)掩碼。這些信息暴露了網(wǎng)絡(luò)連接和網(wǎng)絡(luò)設(shè)備的信息。●SNMP提供遠(yuǎn)程監(jiān)控信息發(fā)現(xiàn)主機(jī)2漏洞分類SNMP類危險級別低影響平臺SNMP詳細(xì)描述一個活動的RemoteMonitoring(RMON)探測可以遠(yuǎn)程監(jiān)控應(yīng)用程序、網(wǎng)絡(luò)流量及用戶?！馭NMP提供遠(yuǎn)程路由信息發(fā)現(xiàn)主機(jī)2漏洞分類SNMP類危險級別低影響平臺SNMP詳細(xì)描述很多SNMPagents都支持MIB-II標(biāo)準(zhǔn)的ipRouteTable。這個表包括了IP地址及網(wǎng)絡(luò)掩碼,協(xié)議類型（（prototype）等信息。這些信息暴露了網(wǎng)絡(luò)連接和網(wǎng)絡(luò)設(shè)備的信息?！馭SH信息獲取發(fā)現(xiàn)主機(jī)2漏洞分類信息收集類危險級別低影響平臺SSH詳細(xì)描述通過與目標(biāo)主機(jī)SSH守護(hù)進(jìn)程通訊，可獲得以下詢配置信息，包括：SSH版本、通訊公鑰、認(rèn)證方法●ICMP時間戳獲取發(fā)現(xiàn)主機(jī)2,1,7,0,0,1漏洞分類信息收集類危險級別低影響平臺所有系統(tǒng)詳細(xì)描述ICMP協(xié)議提供查詢遠(yuǎn)端目標(biāo)主機(jī)當(dāng)前系統(tǒng)時間的操作。因此攻擊者利用ICMP協(xié)議支持的功能獲得目標(biāo)主機(jī)的系統(tǒng)時間，可以用來攻擊基于時間認(rèn)證的協(xié)議。●WWWWeb服務(wù)器版本檢查發(fā)現(xiàn)主機(jī)2,1,0漏洞分類信息收集類危險級別低影響平臺所有系統(tǒng)詳細(xì)描述檢查是否目標(biāo)主機(jī)正在運(yùn)行最新的web服務(wù)器軟件。攻擊者利用web服務(wù)器的版本信息斷定系統(tǒng)有沒有已知的漏洞?！襁h(yuǎn)程主機(jī)運(yùn)行MSSQL服務(wù)發(fā)現(xiàn)主機(jī)2漏洞分類信息收集類危險級別低影響平臺MSSQL詳細(xì)描述遠(yuǎn)程主機(jī)運(yùn)行MSSQL服務(wù)●匿名IPC$連接檢查發(fā)現(xiàn)主機(jī)0,1,4,3,2,5,6,7漏洞分類NT口令類危險級別低影響平臺Windows詳細(xì)描述匿名IPC$連接是Windows系統(tǒng)的默認(rèn)設(shè)置。檢測出可以與系統(tǒng)建立匿名IPC$連接，攻擊者就可以通過匿名IPC$連接獲取很多的系統(tǒng)信息。●ApacheTomcat設(shè)計錯誤漏洞發(fā)現(xiàn)主機(jī)1漏洞分類Apache類危險級別低影響平臺ApacheTomcat7.0.0through7.0.3,6.0.xand5.5.x詳細(xì)描述ApacheTomcat是一款由ApacheFoundation維護(hù)的免費(fèi)開放源代碼的JavaServlet和JSP服務(wù)程序。當(dāng)在SecurityManager中運(yùn)行時，ApacheTomcat7.0.0至7.0.3版本，6.0.x，以及5.5.x版本沒有將ServletContext屬性設(shè)為只讀。本地web應(yīng)用程序可以利用該漏洞讀或?qū)戭A(yù)設(shè)工作目錄外的文件?！襁h(yuǎn)程主機(jī)正在運(yùn)行終端服務(wù)發(fā)現(xiàn)主機(jī)2,7,5,0,1,6,4,3漏洞分類信息收集類危險級別低影響平臺Windows詳細(xì)描述終端服務(wù)是windows主機(jī)具有的遠(yuǎn)程桌面連接服務(wù)(3389端口)，使用遠(yuǎn)程桌面服務(wù)，可以將終端延伸至任何可訪問服務(wù)所在主機(jī)網(wǎng)絡(luò)節(jié)點(diǎn)。在不是必須的情況下，應(yīng)當(dāng)停止此服務(wù)，以免攻擊者通過遠(yuǎn)程破解等手段完全控制遠(yuǎn)程主機(jī)。●ApacheTomcat"MemoryUserDatabase"信息泄露漏洞發(fā)現(xiàn)主機(jī)1漏洞分類Apache類危險級別低影響平臺ApacheTomcat5.5.0through5.5.33ApacheTomcat6.0.0through6.0.32ApacheTomcat7.0.0through7.0.16詳細(xì)描述ApacheTomcat是一款由ApacheFoundation維護(hù)的免費(fèi)開放源代碼的JavaServlet和JSP服務(wù)程序。ApacheTomcat在MemoryUserDatabase的實(shí)現(xiàn)上存在信息泄露漏洞，遠(yuǎn)程攻擊者可利用此漏洞獲取更多信息。●可以通過NetBios獲取操作系統(tǒng)信息發(fā)現(xiàn)主機(jī)2,7,5,0,1,6漏洞分類信息收集類危險級別低影響平臺Windows詳細(xì)描述通過NetBios可以獲取遠(yuǎn)程主機(jī)的操作系統(tǒng)信息?！裢ㄟ^SNMP獲得系統(tǒng)TCP端口列表發(fā)現(xiàn)主機(jī)2漏洞分類SNMP類危險級別低影響平臺SNMP詳細(xì)描述通過SNMP獲得系統(tǒng)TCP端口列表，導(dǎo)致系統(tǒng)敏感信息泄漏，給攻擊者提供更多信息●通過SNMP獲得系統(tǒng)UDP端口列表發(fā)現(xiàn)主機(jī)2漏洞分類SNMP類危險級別低影響平臺SNMP詳細(xì)描述通過SNMP獲得系統(tǒng)UDP端口列表，導(dǎo)致系統(tǒng)敏感信息泄漏，給攻擊者提供更多信息●通過SNMP獲得系統(tǒng)進(jìn)程列表發(fā)現(xiàn)主機(jī)2漏洞分類SNMP類危險級別低影響平臺SNMP詳細(xì)描述通過SNMP獲得系統(tǒng)進(jìn)程列表，導(dǎo)致系統(tǒng)敏感信息泄漏，給攻擊者提供更多信息●通過SNMP獲得系統(tǒng)服務(wù)列表發(fā)現(xiàn)主機(jī)2漏洞分類SNMP類危險級別低影響平臺SNMP詳細(xì)描述通過SNMP獲得系統(tǒng)服務(wù)列表，導(dǎo)致系統(tǒng)敏感信息泄漏，給攻擊者提供更多信息●通過SNMP獲得系統(tǒng)信息發(fā)現(xiàn)主機(jī)2漏洞分類SNMP類危險級別低影響平臺SNMP詳細(xì)描述通過SNMP獲得系統(tǒng)信息，攻擊者可以通過這些信息判斷對方操作系統(tǒng)或者設(shè)備類型●通過SNMP獲得系統(tǒng)安裝軟件列表發(fā)現(xiàn)主機(jī)2漏洞分類SNMP類危險級別低影響平臺SNMP詳細(xì)描述通過SNMP獲得系統(tǒng)安裝軟件列表，導(dǎo)致敏感信息泄露，給攻擊者提供更多信息?！裢ㄟ^SNMP獲得系統(tǒng)存儲設(shè)備列表發(fā)現(xiàn)主機(jī)2漏洞分類SNMP類危險級別低影響平臺SNMP詳細(xì)描述通過SNMP獲得系統(tǒng)存儲設(shè)備列表，導(dǎo)致敏感信息泄露，給攻擊者提供更多信息?！駍sh_檢測類型和版本發(fā)現(xiàn)主機(jī)2漏洞分類守護(hù)進(jìn)程類危險級別低影響平臺任何使用ssh服務(wù)的系統(tǒng)詳細(xì)描述遠(yuǎn)程攻擊者可以連接ssh服務(wù)器并處理接收緩存便可以檢測到ssh的版本和類型等敏感信息，為進(jìn)一步的攻擊做準(zhǔn)備?！駍sh_協(xié)議版本發(fā)現(xiàn)主機(jī)2漏洞分類守護(hù)進(jìn)程類危險級別低影響平臺任何使用ssh服務(wù)的系統(tǒng)詳細(xì)描述判斷遠(yuǎn)程ssh服務(wù)支持ssh協(xié)議是什么版本?！襁h(yuǎn)程SSH服務(wù)器允許使用低版本SSH協(xié)議發(fā)現(xiàn)主機(jī)2漏洞分類守護(hù)進(jìn)程類危險級別低影響平臺所有SSH服務(wù)器詳細(xì)描述遠(yuǎn)程SSH服務(wù)器允許使用1.33或者1.5版的SSH協(xié)議進(jìn)行通信。這些協(xié)議并不足夠安全，建議停止使用這些版本的協(xié)議?！襁h(yuǎn)程主機(jī)HTTP/WWW服務(wù)正在運(yùn)行發(fā)現(xiàn)主機(jī)2,1,0漏洞分類信息收集類危險級別低影響平臺HTTP詳細(xì)描述遠(yuǎn)程主機(jī)HTTP/WWW服務(wù)正在運(yùn)行安全設(shè)備漏洞掃描專項(xiàng)檢測主機(jī)掃描統(tǒng)計列表序號IP地址漏洞總數(shù)高危險漏洞中危險漏洞低危險漏洞服務(wù)總數(shù)用戶總數(shù)風(fēng)險分值安全狀態(tài)1001201比較安全0000100比較安全31001201比較安全41001201比較安全51001201比較安全61001201比較安全71001201比較安全漏洞統(tǒng)計發(fā)現(xiàn)主機(jī),,,,,漏洞名稱ICMP時間戳獲取漏洞分類信息收集類危險級別低服務(wù)統(tǒng)計序號服務(wù)名稱端口協(xié)議描述發(fā)現(xiàn)主機(jī)1https443TCP是http，通過TLS/SSL交談,,,,,2bgp179TCPBorderGatewayProtocol,,,,3安全shell22TCP安全shell4telnet23TCP終端仿真協(xié)議/實(shí)用程序漏洞掃描詳細(xì)列表●ICMP時間戳獲取發(fā)現(xiàn)主機(jī),,,,,漏洞分類信息收集類危險級別低影響平臺所有系統(tǒng)詳細(xì)描述ICMP協(xié)議提供查詢遠(yuǎn)端目標(biāo)主機(jī)當(dāng)前系統(tǒng)時間的操作。因此攻擊者利用ICMP協(xié)議支持的功能獲得目標(biāo)主機(jī)的系統(tǒng)時間，可以用來攻擊基于時間認(rèn)證的協(xié)議。脆弱性綜合列表編號檢測項(xiàng)檢測子項(xiàng)脆弱性作用對象賦值潛在影響管理脆弱性人員安全管理未定期開展安全意識培訓(xùn)；未制定第三方人員訪問管理制度；未嚴(yán)格填寫外來人員記錄，記錄內(nèi)容不夠詳細(xì)。所有資產(chǎn)3人員安全管理的不足，可能導(dǎo)致管理人員安全意識的松懈，可能導(dǎo)致對外來人員管理的疏忽，造成系統(tǒng)各資產(chǎn)的損失。安全管理制度管理制度內(nèi)容仍需完善修改；未明確管理制度發(fā)布和修訂的流程。所有資產(chǎn)3管理制度和策略、管理規(guī)程、監(jiān)督控管機(jī)制等方面存在缺陷，可能導(dǎo)致安全策略的執(zhí)行方面存在不足，可能導(dǎo)致針對關(guān)鍵資產(chǎn)的日常運(yùn)維管理方面出現(xiàn)漏洞，導(dǎo)致完整性或可用性的遺失。安全管理機(jī)構(gòu)未采用發(fā)文或制度的形式明確劃分系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全專員等角色。所有資產(chǎn)3信息安全管理機(jī)構(gòu)的不明確，可能導(dǎo)致安全工作的缺位和失誤。系統(tǒng)運(yùn)維管理資產(chǎn)管理方面，未根據(jù)資產(chǎn)的重要程度對資產(chǎn)落實(shí)相應(yīng)的管理措施，介質(zhì)和設(shè)備的使用、保修未進(jìn)行詳細(xì)的登記管理；未開展信息系統(tǒng)安全審計和定期巡檢工作，對系統(tǒng)安全漏洞，服務(wù)器和軟件的補(bǔ)丁修補(bǔ)工作未進(jìn)行詳細(xì)登記。所有資產(chǎn)3系統(tǒng)運(yùn)維管理存在不足，可能導(dǎo)致管理不到位出現(xiàn)安全事故，可能導(dǎo)致安全事件無法及時發(fā)現(xiàn)，可能導(dǎo)致安全事件出現(xiàn)后無法及時解決。網(wǎng)絡(luò)脆弱性網(wǎng)絡(luò)設(shè)備故障網(wǎng)絡(luò)設(shè)備和安全設(shè)備未定期開展安全運(yùn)行巡檢，形成檢查記錄和分析報告。網(wǎng)絡(luò)設(shè)備、安全設(shè)備3網(wǎng)絡(luò)設(shè)備和安全設(shè)備未定期開展巡檢可能導(dǎo)致設(shè)備出現(xiàn)故障或異常后無法及時發(fā)現(xiàn)進(jìn)行解決。核心交換機(jī)沒有做設(shè)備冗余；電信接入交換機(jī)容量較小。交換機(jī)3交換機(jī)硬件配置上的不足可能影響xxxx業(yè)務(wù)系統(tǒng)正常使用。網(wǎng)絡(luò)訪問控制網(wǎng)絡(luò)中無VLAN劃分；防火墻、交換機(jī)3網(wǎng)絡(luò)中無VLAN劃分不利于網(wǎng)絡(luò)通信控制和網(wǎng)絡(luò)安全管理。網(wǎng)絡(luò)設(shè)備防護(hù)網(wǎng)絡(luò)設(shè)備和安全設(shè)備訪問未使用MAC地址和IP地址綁定。網(wǎng)絡(luò)設(shè)備、安全設(shè)備3網(wǎng)絡(luò)和安全設(shè)備自身防護(hù)的不足，可能導(dǎo)致網(wǎng)絡(luò)和安全設(shè)備遭到攻擊，以至造成整個網(wǎng)絡(luò)的癱瘓。系統(tǒng)脆弱性惡意代碼防范各服務(wù)器主機(jī)存在不同程度的安全漏洞；服務(wù)器未定期開展安全巡檢工作；各服務(wù)器5服務(wù)器存在安全漏洞，服務(wù)器未定期開展安全巡檢，可能導(dǎo)致主機(jī)系統(tǒng)遭到病毒或木馬的威脅。未設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍，限制終端登錄；數(shù)據(jù)前置機(jī)中存在來賓賬號，且該帳號密碼為空。未對終端訪問做限制和未對來賓帳號進(jìn)行設(shè)置，可能造成非法用戶進(jìn)入系統(tǒng)，影響服務(wù)器的正常運(yùn)行。應(yīng)用脆弱性資源控制有一其他單位信息系統(tǒng)借用機(jī)房內(nèi)業(yè)務(wù)應(yīng)用服務(wù)器搭建。xxxx一期信息數(shù)據(jù)4若該系統(tǒng)出現(xiàn)異常，可能導(dǎo)致xxxx系統(tǒng)承擔(dān)額外風(fēng)險。身份鑒別用戶登錄沒有做單點(diǎn)限制，可在不同終端使用同一用戶登錄；部分用戶登錄密碼設(shè)置過于簡單，未做口令長度和復(fù)雜度要求；關(guān)鍵用戶未啟用密碼定期更改策略；xxxx數(shù)據(jù)4信息系統(tǒng)身份鑒別措施存在不足，可能引起口令猜測、身份冒用等安全事故。安全審計應(yīng)用系統(tǒng)中無安全審計的相關(guān)內(nèi)容，日志只能通過查看中間件的日志。金農(nóng)一期業(yè)務(wù)系統(tǒng)1可能導(dǎo)致安全事件發(fā)生后，無可跟蹤分析信息。數(shù)據(jù)處理和存儲脆弱性數(shù)據(jù)完整性存儲設(shè)備缺乏巡檢，在出現(xiàn)故障的情況下，無法及時進(jìn)行維修和恢復(fù)。磁盤陣列3存儲設(shè)備出現(xiàn)故障，因系統(tǒng)無冗余或備品配件，可能導(dǎo)致無法及時維修恢復(fù)，影響系統(tǒng)業(yè)務(wù)存儲工作中斷。數(shù)據(jù)傳輸安全性成員單位與中心機(jī)房之間的數(shù)據(jù)傳輸，偶爾因網(wǎng)絡(luò)問題導(dǎo)致中斷。xxxx一期信息數(shù)據(jù)3數(shù)據(jù)傳輸中斷，可能導(dǎo)致xxxx一期信息數(shù)據(jù)無法及時更新。備份和恢復(fù)備份管理軟件未定期進(jìn)行巡檢并形成檢查記錄。備份管理軟件3備份管理軟件系統(tǒng)出現(xiàn)故障，可能導(dǎo)致無法進(jìn)行數(shù)據(jù)的正常備份和恢復(fù)，造成數(shù)據(jù)損失。運(yùn)行維護(hù)脆弱性系統(tǒng)安全系統(tǒng)漏洞管理制度不夠完善，未定期開展。所有資產(chǎn)3運(yùn)行維護(hù)管理工作的不足，可能導(dǎo)致系統(tǒng)出現(xiàn)問題無法及時發(fā)現(xiàn)并解決，造成系統(tǒng)中斷。系統(tǒng)維護(hù)系統(tǒng)密碼管理保存方式存在不足，密碼未定期更換。所有資產(chǎn)3密碼管理不足，可能導(dǎo)致安全事故的發(fā)生。災(zāi)備與應(yīng)急響應(yīng)脆弱性建立災(zāi)難備份系統(tǒng)未建立異地災(zāi)難備份系統(tǒng)。所有資產(chǎn)2未建立異地災(zāi)難備份系統(tǒng)，可能在本地系統(tǒng)出現(xiàn)故障、數(shù)據(jù)遺失后無法進(jìn)行恢復(fù)。建立災(zāi)難恢復(fù)和應(yīng)急響應(yīng)預(yù)案已建立應(yīng)急響應(yīng)預(yù)案，預(yù)案流程和工作分工仍需細(xì)化。所有資產(chǎn)3應(yīng)急預(yù)案工作的不足，可能導(dǎo)致安全事件一旦發(fā)生無法及時解決并保障數(shù)據(jù)安全，可能導(dǎo)致數(shù)據(jù)遺失后無法恢復(fù)。檢查應(yīng)急預(yù)案的演練情況未定期開展應(yīng)急預(yù)案演練工作。物理脆弱性防火機(jī)房內(nèi)具備煙感、溫感報警器，但報警器只處于通電狀態(tài)。機(jī)房內(nèi)所有資產(chǎn)4防火措施的不足，可能導(dǎo)致無法及時發(fā)現(xiàn)火災(zāi)并進(jìn)行及時撲救。電力供應(yīng)UPS電源負(fù)載較低，且只覆蓋機(jī)房內(nèi)弱電設(shè)備；日常維護(hù)不夠，未定期進(jìn)行充放電，無日常維護(hù)記錄。機(jī)房內(nèi)所有電子設(shè)備資產(chǎn)5機(jī)房UPS電源未覆蓋機(jī)房所有設(shè)備，可能導(dǎo)致斷電時系統(tǒng)收到較大影響。風(fēng)險分析關(guān)鍵資產(chǎn)的風(fēng)險計算結(jié)果根據(jù)《GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》要求，通過選取關(guān)鍵資產(chǎn)的資產(chǎn)賦值、威脅賦值、脆弱性賦值，采用乘法計算風(fēng)險值，得到了如下風(fēng)險結(jié)果：資產(chǎn)風(fēng)險值資產(chǎn)名稱15（操作失誤-網(wǎng)絡(luò)脆弱性[維護(hù)錯誤、操作失誤]）核心交換機(jī)QuidwayS3300Series13（社會工程--運(yùn)行維護(hù)脆弱性[社會工程學(xué)破解]）13（物理破壞-物理脆弱性[防盜竊和防破壞、防火]）18（濫用授權(quán)-網(wǎng)絡(luò)脆弱性[網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)設(shè)備防護(hù)]）9（意外故障-網(wǎng)絡(luò)脆弱性[網(wǎng)絡(luò)設(shè)備故障]）12（管理不到位-管理脆弱性、運(yùn)行維護(hù)脆弱性、災(zāi)備與應(yīng)急響應(yīng)脆弱性）15（操作失誤-網(wǎng)絡(luò)脆弱性[維護(hù)錯誤、操作失誤]）光纖交換機(jī)Brocade30013（物理破壞-物理脆弱性[防盜竊和防破壞、防火]）15（意外故障-網(wǎng)絡(luò)脆弱性[網(wǎng)絡(luò)設(shè)備防護(hù)、網(wǎng)絡(luò)設(shè)備故障]）12（管理不到位-管理脆弱性、運(yùn)行維護(hù)脆弱性、災(zāi)備與應(yīng)急響應(yīng)脆弱性）15（操作失誤-網(wǎng)絡(luò)脆弱性[維護(hù)錯誤、操作失誤]）電信接入交換機(jī)QuidwayS3300Series13（物理破壞-物理脆弱性[防盜竊和防破壞、防火]）18（濫用授權(quán)-網(wǎng)絡(luò)脆弱性[網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)設(shè)備防護(hù)]）9（意外故障-網(wǎng)絡(luò)脆弱性[網(wǎng)絡(luò)設(shè)備故障]）12（管理不到位-管理脆弱性、運(yùn)行維護(hù)脆弱性、災(zāi)備與應(yīng)急響應(yīng)脆弱性）15（操作失誤-網(wǎng)絡(luò)脆弱性[維護(hù)錯誤、操作失誤]）電信出口路由器13（物理破壞-物理脆弱性[防盜竊和防破壞、防火]）18（濫用授權(quán)-網(wǎng)絡(luò)脆弱性[網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)設(shè)備防護(hù)]）9（意外故障-網(wǎng)絡(luò)脆弱性[網(wǎng)絡(luò)設(shè)備故障]）12（管理不到位-管理脆弱性、運(yùn)行維護(hù)脆弱性、災(zāi)備與應(yīng)急響應(yīng)脆弱性）15（漏洞利用-系統(tǒng)脆弱性[惡意代碼防范]）數(shù)據(jù)庫服務(wù)器13（物理破壞-物理脆弱性[防盜竊和防破壞、防火]）13（惡意代碼-系統(tǒng)脆弱性[惡意代碼防范]）12（意外故障-系統(tǒng)脆弱性[資源控制]）12（管理不到位-管理脆弱性、運(yùn)行維護(hù)脆弱性、災(zāi)備與應(yīng)急響應(yīng)脆弱性）17（漏洞利用-系統(tǒng)脆弱性[惡意代碼防范]）數(shù)據(jù)庫備份服務(wù)器11（物理破壞-物理脆弱性[防盜竊和防破壞、防火]）14（惡意代碼-系統(tǒng)脆弱性[惡意代碼防范]）10（意外故障-系統(tǒng)脆弱性[資源控制]）10（管理不到位-管理脆弱性、運(yùn)行維護(hù)脆弱性、災(zāi)備與應(yīng)急響應(yīng)脆弱性）19（漏洞利用-系統(tǒng)脆弱性[惡意代碼防范]）業(yè)務(wù)應(yīng)用服務(wù)器13（物理破壞-物理脆弱性[防盜竊和防破壞、防火]）16（惡意代碼-系統(tǒng)脆弱性[惡意代碼防范]）12（意外故障-系統(tǒng)脆弱性[資源控制]）12（管理不到位-管理脆弱性、運(yùn)行維護(hù)脆弱性、災(zāi)備與應(yīng)急響應(yīng)脆弱性）19（漏洞利用-系統(tǒng)脆弱性[惡意代碼防范]）部級下發(fā)服務(wù)器13（物理破壞-物理脆弱性[防盜竊和防破壞、防火]）16（惡意代碼-系統(tǒng)脆弱性[惡意代碼防范]）12（意外故障-系統(tǒng)脆弱性[資源控制]）12（管理不到位-管理脆弱性、運(yùn)行維護(hù)脆弱性、災(zāi)備與應(yīng)急響應(yīng)脆弱性）19（漏洞利用-系統(tǒng)脆弱性[惡意代碼防范]）數(shù)據(jù)采集前置機(jī)13（物理破壞-物理脆弱性[防盜竊和防破壞、防火]）16（惡意代碼-系統(tǒng)脆弱性[惡意代碼防范]）12（意外故障-系統(tǒng)脆弱性[資源控制]）12（管理不到位-管理脆弱性、運(yùn)行維護(hù)脆弱性、災(zāi)備與應(yīng)急響應(yīng)脆弱性）19（漏洞利用-系統(tǒng)脆弱性[惡意代碼防范]）應(yīng)用支撐平臺服務(wù)器13（物理破壞-物理脆弱性[防盜竊和防破壞、防火]）16（惡意代碼-系統(tǒng)脆弱性[惡意代碼防范]）12（意外故障-系統(tǒng)脆弱性[資源控制]）12（管理不到位-管理脆弱性、運(yùn)行維護(hù)脆弱性、災(zāi)備與應(yīng)急響應(yīng)脆弱性）13（物理破壞-物理脆弱性[防盜竊和防破壞、防火]）磁盤陣列HPEVA440012（意外故障-數(shù)據(jù)處理和存儲脆弱性[數(shù)據(jù)完整性]）12（管理不到位-管理脆弱性、運(yùn)行維護(hù)脆弱性、災(zāi)備與應(yīng)急響應(yīng)脆弱性）14（操作失誤-物理脆弱性[電力供應(yīng)]）UPS電源SANTAK3C3EX30KS14（電源中斷-物理脆弱性[電力供應(yīng)]）17（意外故障-物理脆弱性[電力供應(yīng)]）10（管理不到位-管理脆弱性、運(yùn)行維護(hù)脆弱性、災(zāi)備與應(yīng)急響應(yīng)脆弱性）13（操作失誤-網(wǎng)絡(luò)脆弱性[網(wǎng)絡(luò)設(shè)備防護(hù)]）千兆防火墻綠盟SG1200Series13（社會工程—運(yùn)行維護(hù)脆弱性[社會工程學(xué)破解]）13（物理破壞-物理脆弱性[防盜竊和防破壞、防火]）18（濫用授權(quán)-網(wǎng)絡(luò)脆弱性[網(wǎng)絡(luò)設(shè)備防護(hù)]）12（意外故障-網(wǎng)絡(luò)脆弱性[網(wǎng)絡(luò)設(shè)備故障]）12（管理不到位-管理脆弱性、運(yùn)行維護(hù)脆弱性、災(zāi)備與應(yīng)急響應(yīng)脆弱性）13（操作失誤-網(wǎng)絡(luò)脆弱性[維護(hù)錯誤、操作失誤]）IDS入侵檢測系統(tǒng)綠盟NIDS1200Series11（物理破壞-物理脆弱性[防盜竊和防破壞、防火]）16（濫用授權(quán)-網(wǎng)絡(luò)脆弱性[網(wǎng)絡(luò)入侵防范、網(wǎng)絡(luò)設(shè)備防護(hù)]）17（意外故障-網(wǎng)絡(luò)脆弱性[網(wǎng)絡(luò)設(shè)備故障]）10（管理不到位-管理脆弱性、運(yùn)行維護(hù)脆弱性、災(zāi)備與應(yīng)急響應(yīng)脆弱性）13（操作失誤-網(wǎng)絡(luò)脆弱性[維護(hù)錯誤、操作失誤]）入侵防護(hù)系統(tǒng)綠盟NIPS1000Series11（物理破壞-物理脆弱性[防盜竊和防破壞、防火]）16（濫用授權(quán)-網(wǎng)絡(luò)脆弱性[網(wǎng)絡(luò)入侵防范、網(wǎng)絡(luò)設(shè)備防護(hù)]）17（意外故障-網(wǎng)絡(luò)脆弱性[網(wǎng)絡(luò)設(shè)備故障]）10（管理不到位-管理脆弱性、運(yùn)行維護(hù)脆弱性、災(zāi)備與應(yīng)急響應(yīng)脆弱性）13（操作失誤-網(wǎng)絡(luò)脆弱性[維護(hù)錯誤、操作失誤]）SQLServer2008標(biāo)準(zhǔn)版8(意外故障-數(shù)據(jù)處理和存儲脆弱性[數(shù)據(jù)庫軟件故障])10（管理不到位-管理脆弱性、運(yùn)行維護(hù)脆弱性、災(zāi)備與應(yīng)急響應(yīng)脆弱性）13（操作失誤-網(wǎng)絡(luò)脆弱性[維護(hù)錯誤、操作失誤]）備份管理軟件SymantecBackup8（意外故障-數(shù)據(jù)處理和存儲脆弱性[備份和恢復(fù)]）10（管理不到位-管理脆弱性、運(yùn)行維護(hù)脆弱性、災(zāi)備與應(yīng)急響應(yīng)脆弱性）8（操作失誤-網(wǎng)絡(luò)脆弱性[維護(hù)錯誤、操作失誤]）內(nèi)容管理軟件WCM-MUL-V60網(wǎng)站群版18（操作失誤-數(shù)據(jù)處理和存儲脆弱性[信息存儲安全性]）13（數(shù)據(jù)受損-數(shù)據(jù)處理和存儲脆弱性[信息存儲安全性]、應(yīng)用脆弱性[通信完整性]）12（管理不到位-管理脆弱性、運(yùn)行維護(hù)脆弱性、災(zāi)備與應(yīng)急響應(yīng)脆弱性）18（操作失誤-數(shù)據(jù)處理和存儲脆弱性[信息存儲安全性]）xxxx系統(tǒng)數(shù)據(jù)13（數(shù)據(jù)受損-數(shù)據(jù)處理和存儲脆弱性[信息存儲安全性]、應(yīng)用脆弱性[通信完整性]）12（管理不到位-管理脆弱性、運(yùn)行維護(hù)脆弱性、災(zāi)備與應(yīng)急響應(yīng)脆弱性）18（操作失誤-數(shù)據(jù)處理和存儲脆弱性[信息存儲安全性]）金農(nóng)一期應(yīng)用系統(tǒng)14（身份假冒--應(yīng)用脆弱性[身份冒假]）14（口令攻擊--應(yīng)用脆弱性[口令攻擊]）16（社會工程--運(yùn)行維護(hù)脆弱性[社會工程學(xué)破解]）8（意外故障-數(shù)據(jù)處理和存儲脆弱性[備份和恢復(fù)]）12（管理不到位--管理脆弱性、運(yùn)行維護(hù)脆弱性、災(zāi)備與應(yīng)急響應(yīng)脆弱性檢測）關(guān)鍵資產(chǎn)的風(fēng)險等級風(fēng)險等級列表資產(chǎn)風(fēng)險等級值資產(chǎn)名稱資產(chǎn)風(fēng)險等級18核心交換機(jī)高風(fēng)險15光纖交換機(jī)中風(fēng)險18電信接入交換機(jī)高風(fēng)險18電信出口路由器高風(fēng)險15數(shù)據(jù)庫服務(wù)器中風(fēng)險17數(shù)據(jù)庫備份服務(wù)器高風(fēng)險19業(yè)務(wù)應(yīng)用服務(wù)器高風(fēng)險19部級下發(fā)服務(wù)器高風(fēng)險19數(shù)據(jù)采集前置機(jī)高風(fēng)險19應(yīng)用支撐平臺服務(wù)器高風(fēng)險13磁盤陣列中風(fēng)險17UPS電源高風(fēng)險18千兆防火墻高風(fēng)險17IDS入侵檢測系統(tǒng)高風(fēng)險17入侵防護(hù)系統(tǒng)高風(fēng)險10S