1、安全風(fēng)險(xiǎn)評(píng)估報(bào)告系統(tǒng)名稱：XXXXXXXXXXX送檢單位：xxxxxxxxxxxxxxxxxxxx合同編號(hào)：評(píng)估時(shí)間：2011年10月10日2011年10月25日目錄報(bào)告聲明委托方信息受托方信息風(fēng)險(xiǎn)評(píng)估報(bào)告單風(fēng)險(xiǎn)評(píng)估項(xiàng)目概述建設(shè)項(xiàng)目基本信息風(fēng)險(xiǎn)評(píng)估實(shí)施單位基本情況風(fēng)險(xiǎn)評(píng)估活動(dòng)概述風(fēng)險(xiǎn)評(píng)估工作組織過(guò)程風(fēng)險(xiǎn)評(píng)估技術(shù)路線依據(jù)的技術(shù)標(biāo)準(zhǔn)及相關(guān)法規(guī)文件評(píng)估對(duì)象構(gòu)成評(píng)估對(duì)象描述網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)邊界描述業(yè)務(wù)應(yīng)用描述子系統(tǒng)構(gòu)成及定級(jí)資產(chǎn)調(diào)查資產(chǎn)賦值關(guān)鍵資產(chǎn)說(shuō)明威脅識(shí)另U與分析關(guān)鍵資產(chǎn)安全需求關(guān)鍵資產(chǎn)威脅概要威脅描述匯總威脅賦值脆弱性識(shí)別與分析常規(guī)脆弱性描述管理脆弱性網(wǎng)絡(luò)脆弱性系統(tǒng)脆弱性應(yīng)用脆弱性數(shù)據(jù)處理和存儲(chǔ)

2、脆弱性災(zāi)備與應(yīng)急響應(yīng)脆弱性物理脆弱性脆弱性專項(xiàng)檢查木馬病毒專項(xiàng)檢查服務(wù)器漏洞掃描專項(xiàng)檢測(cè)安全設(shè)備漏洞掃描專項(xiàng)檢測(cè)脆弱性綜合列表風(fēng)險(xiǎn)分析關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)計(jì)算結(jié)果關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)等級(jí)風(fēng)險(xiǎn)等級(jí)列表風(fēng)險(xiǎn)等級(jí)統(tǒng)計(jì)基于脆弱性的風(fēng)險(xiǎn)排名風(fēng)險(xiǎn)結(jié)果分析綜合分析與評(píng)價(jià)綜合風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)控制角度需要解決的問(wèn)題整改意見(jiàn)注意事項(xiàng)威脅識(shí)別與分析關(guān)鍵資產(chǎn)安全需求資產(chǎn)類別重要資產(chǎn)名稱重要性程度(重要等級(jí))資產(chǎn)重要性說(shuō)明安全需求光纖交換機(jī)Brocade300非常重要(5)保證XXXX系統(tǒng)數(shù)據(jù)正常傳輸?shù)酱疟P(pán)陣列的設(shè)備。可用性-系統(tǒng)可用性是必需的，價(jià)值非常高；保證各項(xiàng)系統(tǒng)數(shù)據(jù)正常傳輸?shù)酱疟P(pán)陣列。完整性-完整性價(jià)值非常關(guān)鍵，除管理員外其他

3、任何用戶不能修改數(shù)據(jù)。保密性-包含組織的重要秘密，泄露將會(huì)造成嚴(yán)重?fù)p害。完整性-完整性價(jià)值非常關(guān)鍵，除管理員外其他任何用戶不能修改數(shù)據(jù)。保密性-包含組織的重要秘密，泄露將會(huì)造成嚴(yán)重?fù)p害。保密性-包含組織的重要秘密，泄露將會(huì)造成嚴(yán)重?fù)p害。資產(chǎn)類別重要資產(chǎn)名稱重要性程度（重要等級(jí)）資產(chǎn)重要性說(shuō)明安全需求保密性-包含組織的重要秘密，泄露將會(huì)造成嚴(yán)重?fù)p害。保密性-包含組織的重要秘密，泄露將會(huì)造成嚴(yán)重?fù)p害。存儲(chǔ)設(shè)備磁盤(pán)陣列HPEVA4400非常重要（5）XXXX系統(tǒng)數(shù)據(jù)存儲(chǔ)設(shè)備。可用性-系統(tǒng)可用性是必需的，價(jià)值非常高；保證XXXX系統(tǒng)數(shù)據(jù)存儲(chǔ)功能持續(xù)正常運(yùn)行。完整性-完整性價(jià)值非常關(guān)鍵，除管理員外其他任

4、何用戶不能修改數(shù)據(jù)。保密性-包含組織的重要秘密，泄露將會(huì)造成嚴(yán)重?fù)p害。保障設(shè)備UPS電源SANTAK3C3EX30KS重要（4）機(jī)房電力保障的重要設(shè)備。可用性-系統(tǒng)可用性價(jià)值較咼；保證XXXX系統(tǒng)供電工作正常。完整性-完整性價(jià)值較高；除授權(quán)人員外其他任何用戶不能修改數(shù)據(jù)。資產(chǎn)類別重要資產(chǎn)名稱重要性程度（重要等級(jí)）資產(chǎn)重要性說(shuō)明安全需求保密性-包含組織內(nèi)部可公開(kāi)的信息，泄露將會(huì)造成輕微損害。完整性-完整性價(jià)值較高，除授權(quán)人員外其他任何用戶不能修改數(shù)據(jù)。保密性-包含組織的重要秘密，泄露將會(huì)造成嚴(yán)重?fù)p害。金農(nóng)一期業(yè)務(wù)系統(tǒng)4（高）部署在應(yīng)用服務(wù)器上。可用性-系統(tǒng)可用性價(jià)值較咼；保證XXXX數(shù)據(jù)正常采集

5、。完整性-完整性價(jià)值較高，除授權(quán)人員外其他任何用戶不能修改數(shù)據(jù)。保密性-包含組織的重要秘密，泄露將會(huì)造成嚴(yán)重?fù)p害。備份管理軟件SymantecBackup重要（4）XXXX系統(tǒng)數(shù)據(jù)備份管理軟件。可用性-系統(tǒng)可用性價(jià)值較咼；保證XXXX系統(tǒng)數(shù)據(jù)備份管理功能正常運(yùn)行。資產(chǎn)類別重要資產(chǎn)名稱重要性程度（重要等級(jí)）資產(chǎn)重要性說(shuō)明安全需求完整性-完整性價(jià)值較高，除授權(quán)人員外其他任何用戶不能修改數(shù)據(jù)。保密性-包含組織的重要秘密，泄露將會(huì)造成嚴(yán)重?fù)p害。內(nèi)容管理軟件WCM-MUL-V60網(wǎng)站群版重要（4）用戶數(shù)據(jù)采編。可用性-系統(tǒng)可用性價(jià)值較咼；保證XXXX系統(tǒng)數(shù)據(jù)的采編。完整性-完整性價(jià)值較高，除授權(quán)人員外其

6、他任何用戶不能修改數(shù)據(jù)。保密性-包含組織的重要秘密，泄露將會(huì)造成嚴(yán)重?fù)p害。數(shù)據(jù)XXXX系統(tǒng)數(shù)據(jù)非常重要（5）XXXX系統(tǒng)的核心數(shù)據(jù)。可用性-系統(tǒng)可用性是必需的，價(jià)值非常高；保證XXXX系統(tǒng)的核心數(shù)據(jù)能夠正常讀取及使用。完整性-完整性價(jià)值非常關(guān)鍵，除管理員外其他任何用戶不能修改數(shù)據(jù)。資產(chǎn)類別重要資產(chǎn)名稱重要性程度（重要等級(jí)）資產(chǎn)重要性說(shuō)明安全需求保密性-包含組織的重要秘密，泄露將會(huì)造成嚴(yán)重?fù)p害。關(guān)鍵資產(chǎn)威脅概要威脅是一種客觀存在的，對(duì)組織及其資產(chǎn)構(gòu)成潛在破壞的可能性因素，通過(guò)對(duì)“XXXXXXXXXXXXXXXXXXXX信息系統(tǒng)關(guān)鍵資產(chǎn)進(jìn)行調(diào)查，對(duì)威脅來(lái)源（內(nèi)部/外部；主觀/不可抗力等）、威脅方式

7、、發(fā)生的可能性等進(jìn)行分析，如下表所示：關(guān)鍵資產(chǎn)名稱威脅類型關(guān)注范圍操作失誤（維護(hù)錯(cuò)誤、操作失誤）維護(hù)人貝操作不當(dāng)，導(dǎo)致父換機(jī)服務(wù)異常或中斷，導(dǎo)致金農(nóng)一期系統(tǒng)無(wú)法正常使用。核心交換機(jī)QuidwayS3300Series社會(huì)工程（社會(huì)工程學(xué)破解）流行的免費(fèi)下載軟件中捆綁流氓軟件、免費(fèi)音樂(lè)中包含病毒、網(wǎng)絡(luò)釣魚(yú)、垃圾電子郵件中包括間諜軟件等，引起系統(tǒng)安全問(wèn)題。物理破壞（斷電、消防、盜竊物理斷電導(dǎo)致關(guān)鍵設(shè)備停止工作，服務(wù)中斷。和破壞）火災(zāi)隱患威脅系統(tǒng)正常運(yùn)行。關(guān)鍵資產(chǎn)名稱威脅類型關(guān)注范圍濫用授權(quán)（非授權(quán)訪問(wèn)網(wǎng)絡(luò)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)）管理地址未與特定主機(jī)進(jìn)行綁定，可導(dǎo)致非授權(quán)人員訪問(wèn)核心

8、交換機(jī)，修改系統(tǒng)配置或數(shù)據(jù)，造成網(wǎng)絡(luò)中斷。意外故障（設(shè)備硬件故障、傳輸設(shè)備故障）硬件故障、傳輸設(shè)備故障，可能導(dǎo)致整個(gè)中心機(jī)房網(wǎng)絡(luò)中斷，造成業(yè)務(wù)應(yīng)用無(wú)法正常運(yùn)行。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無(wú)序，造成安全監(jiān)管漏洞和缺失。光纖交換機(jī)Brocade300操作失誤（維護(hù)錯(cuò)誤、操作失誤）維護(hù)人員操作不當(dāng)，導(dǎo)致父換機(jī)服務(wù)異常或中斷，導(dǎo)致金農(nóng)期數(shù)據(jù)無(wú)法正常保存到磁盤(pán)陣列。物理破壞（斷電、消防、盜竊和破壞）物理斷電導(dǎo)致關(guān)鍵設(shè)備停止工作，服務(wù)中斷。火災(zāi)隱患威脅系統(tǒng)正常運(yùn)行。濫用授權(quán)（非授權(quán)訪問(wèn)網(wǎng)絡(luò)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)

9、據(jù)）管理地址未與特定主機(jī)進(jìn)行綁定，可導(dǎo)致非授權(quán)人員訪問(wèn)光纖交換機(jī)，修改系統(tǒng)配置或數(shù)據(jù)，造成數(shù)據(jù)存儲(chǔ)任務(wù)失敗。意外故障（設(shè)備硬件故障、傳輸設(shè)備故障）硬件故障、傳輸設(shè)備故障，可能導(dǎo)致磁盤(pán)陣列無(wú)法連關(guān)鍵資產(chǎn)名稱威脅類型關(guān)注范圍接到網(wǎng)絡(luò)，造成數(shù)據(jù)存儲(chǔ)失敗。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無(wú)序，造成安全監(jiān)管漏洞和缺失。電信接入交換機(jī)QuidwayS3300Series操作失誤（維護(hù)錯(cuò)誤、操作失誤）維護(hù)人貝操作不當(dāng)，導(dǎo)致父換機(jī)服務(wù)異常或中斷，導(dǎo)致金農(nóng)一期系統(tǒng)無(wú)法通過(guò)互聯(lián)網(wǎng)訪問(wèn)。物理破壞（斷電、消防、盜竊和破壞）物理斷電導(dǎo)致關(guān)鍵設(shè)備

10、停止工作，服務(wù)中斷。火災(zāi)隱患威脅系統(tǒng)正常運(yùn)行。濫用授權(quán)（非授權(quán)訪問(wèn)網(wǎng)絡(luò)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)）管理地址未與特定主機(jī)進(jìn)行綁定，可導(dǎo)致非授權(quán)人員訪問(wèn)電信接入交換機(jī)，修改系統(tǒng)配置或數(shù)據(jù)，造成網(wǎng)絡(luò)中斷。意外故障（設(shè)備硬件故障、傳輸設(shè)備故障）設(shè)備硬件故障、傳輸設(shè)備故障，可能導(dǎo)致所有終端的網(wǎng)絡(luò)傳輸中斷，影響各辦公室用戶接入網(wǎng)絡(luò)。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無(wú)序，造成安全監(jiān)管漏洞和缺失。電信出口路由器操作失誤（維護(hù)錯(cuò)誤、操作失維護(hù)人員操作不當(dāng)，導(dǎo)致出關(guān)鍵資產(chǎn)名稱威脅類型關(guān)注范圍誤）口路由器服務(wù)異常或中斷，影響地市

11、州訪問(wèn)金農(nóng)一期系統(tǒng)。物理破壞（斷電、消防、盜竊和破壞）物理斷電導(dǎo)致關(guān)鍵設(shè)備停止工作，服務(wù)中斷。火災(zāi)隱患威脅系統(tǒng)正常運(yùn)行。濫用授權(quán)（非授權(quán)訪問(wèn)網(wǎng)絡(luò)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)）管理地址未與特定主機(jī)進(jìn)行綁定，可導(dǎo)致非授權(quán)人員訪問(wèn)電信出口路由器，修改系統(tǒng)配置或數(shù)據(jù)，造成互聯(lián)網(wǎng)通信線路中斷。意外故障（設(shè)備硬件故障、傳輸設(shè)備故障）設(shè)備硬件故障、傳輸設(shè)備故障，可能導(dǎo)致所有終端的網(wǎng)絡(luò)無(wú)法接入互聯(lián)網(wǎng)。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無(wú)序，造成安全監(jiān)管漏洞和缺失。數(shù)據(jù)庫(kù)服務(wù)器漏洞利用（利用漏洞竊取信息、利用漏洞破壞信息、利用漏

12、洞破壞系統(tǒng)）非法入侵者利用漏洞侵入系統(tǒng)篡改或破壞，可能導(dǎo)致數(shù)據(jù)不可用或完整性丟失。系統(tǒng)漏洞導(dǎo)致信息丟失、信息破壞、系統(tǒng)破壞，服務(wù)不可用。惡意代碼（病毒、木馬、間諜軟件、竊聽(tīng)軟件）系統(tǒng)可能受到病毒、木馬、間諜軟件、竊聽(tīng)軟件的影響。關(guān)鍵資產(chǎn)名稱威脅類型關(guān)注范圍物理破壞（斷電、消防、盜竊和破壞）物理斷電導(dǎo)致關(guān)鍵設(shè)備停止工作，服務(wù)中斷。火災(zāi)隱患威脅系統(tǒng)正常運(yùn)行。意外故障（設(shè)備硬件故障）硬件及系統(tǒng)故障導(dǎo)致系統(tǒng)不可用，服務(wù)中斷。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無(wú)序，造成安全監(jiān)管漏洞和缺失。數(shù)據(jù)庫(kù)備份服務(wù)器漏洞利用（利用漏洞竊取信息

13、、利用漏洞破壞信息、利用漏洞破壞系統(tǒng)）非法入侵者利用漏洞侵入系統(tǒng)篡改或破壞，可能導(dǎo)致備份數(shù)據(jù)不可用或完整性丟失。惡意代碼（病毒、木馬、間諜軟件、竊聽(tīng)軟件）系統(tǒng)可能受到病毒、木馬、間諜軟件、竊聽(tīng)軟件的影響。物理破壞（斷電、消防、盜竊和破壞）物理斷電導(dǎo)致關(guān)鍵設(shè)備停止工作，數(shù)據(jù)備份服務(wù)中斷。火災(zāi)隱患威脅系統(tǒng)正常運(yùn)行。意外故障（設(shè)備硬件故障）服務(wù)器系統(tǒng)本身軟硬件故障導(dǎo)致數(shù)據(jù)備份不可用。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無(wú)序，造成安全監(jiān)管漏洞和缺失。關(guān)鍵資產(chǎn)名稱威脅類型關(guān)注范圍業(yè)務(wù)應(yīng)用服務(wù)器漏洞利用（利用漏洞竊取信息、利用漏洞破壞

14、信息、利用漏洞破壞系統(tǒng)）非法入侵者利用漏洞侵入系統(tǒng)篡改或破壞，可能導(dǎo)致系統(tǒng)業(yè)務(wù)中斷。入侵者利用系統(tǒng)漏洞攻擊系統(tǒng)，導(dǎo)致服務(wù)中斷。惡意代碼（病毒、木馬、間諜軟件、竊聽(tīng)軟件）系統(tǒng)可能受到病毒、木馬、間諜軟件、竊聽(tīng)軟件的影響。物理破壞（斷電、消防、盜竊和破壞）物理斷電導(dǎo)致關(guān)鍵設(shè)備停止工作，服務(wù)中斷。火災(zāi)隱患威脅系統(tǒng)正常運(yùn)行。意外故障（設(shè)備硬件故障、應(yīng)用軟件故障）硬件及系統(tǒng)故障導(dǎo)致系統(tǒng)不可用，服務(wù)中斷。應(yīng)用軟件故障導(dǎo)致服務(wù)中斷。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無(wú)序，造成安全監(jiān)管漏洞和缺失。部級(jí)下發(fā)服務(wù)器漏洞利用（利用漏洞竊取信息

15、、利用漏洞破壞信息、利用漏洞破壞系統(tǒng)）非法入侵者利用漏洞侵入系統(tǒng)篡改或破壞，可能導(dǎo)致下發(fā)數(shù)據(jù)丟失。入侵者利用系統(tǒng)漏洞攻擊系統(tǒng)，導(dǎo)致部級(jí)數(shù)據(jù)無(wú)法接收。惡意代碼（病毒、木馬、間諜軟件、竊聽(tīng)軟件）系統(tǒng)可能受到病毒、木馬、間諜軟件、竊聽(tīng)軟件的影關(guān)鍵資產(chǎn)名稱威脅類型關(guān)注范圍響。物理破壞（斷電、消防、盜竊和破壞）物理斷電導(dǎo)致關(guān)鍵設(shè)備停止工作，部級(jí)數(shù)據(jù)無(wú)法接收。火災(zāi)隱患威脅系統(tǒng)正常運(yùn)行。意外故障（設(shè)備硬件故障、應(yīng)用軟件故障）硬件及系統(tǒng)故障導(dǎo)致系統(tǒng)不可用，部級(jí)數(shù)據(jù)無(wú)法接收。應(yīng)用軟件故障導(dǎo)致部級(jí)數(shù)據(jù)無(wú)法接收。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略

16、執(zhí)行無(wú)序，造成安全監(jiān)管漏洞和缺失。數(shù)據(jù)采集前置機(jī)漏洞利用（利用漏洞竊取信息、利用漏洞破壞信息、利用漏洞破壞系統(tǒng)）非法入侵者利用漏洞侵入系統(tǒng)篡改或破壞，可能導(dǎo)致數(shù)據(jù)不可用或完整性丟失。系統(tǒng)來(lái)賓帳號(hào)密碼為空，具有一定安全風(fēng)險(xiǎn)。惡意代碼（病毒、木馬、間諜軟件、竊聽(tīng)軟件）系統(tǒng)可能受到病毒、木馬、間諜軟件、竊聽(tīng)軟件的影響。物理破壞（斷電、消防、盜竊和破壞）物理斷電導(dǎo)致關(guān)鍵設(shè)備停止工作，服務(wù)中斷。火災(zāi)隱患威脅系統(tǒng)正常運(yùn)行。意外故障（設(shè)備硬件故障、應(yīng)硬件及系統(tǒng)故障導(dǎo)致系統(tǒng)關(guān)鍵資產(chǎn)名稱威脅類型關(guān)注范圍用軟件故障）不可用，服務(wù)中斷。應(yīng)用軟件故障導(dǎo)致服務(wù)不可用。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)

17、不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無(wú)序，造成安全監(jiān)管漏洞和缺失。應(yīng)用支撐平臺(tái)服務(wù)器漏洞利用（利用漏洞竊取信息、利用漏洞破壞信息、利用漏洞破壞系統(tǒng)）非法入侵者利用漏洞侵入系統(tǒng)篡改或破壞，可能導(dǎo)致數(shù)據(jù)不可用或完整性丟失。入侵者利用系統(tǒng)漏洞攻擊系統(tǒng)，導(dǎo)致服務(wù)中斷。惡意代碼（病毒、木馬、間諜軟件、竊聽(tīng)軟件）系統(tǒng)可能受到病毒、木馬、間諜軟件、竊聽(tīng)軟件的影響。物理破壞（斷電、消防、盜竊和破壞）物理斷電導(dǎo)致關(guān)鍵設(shè)備停止工作，服務(wù)中斷。火災(zāi)隱患威脅系統(tǒng)正常運(yùn)行。意外故障（設(shè)備硬件故障、應(yīng)用軟件故障）硬件及系統(tǒng)故障導(dǎo)致系統(tǒng)不可用，服務(wù)中斷。應(yīng)用軟件故障導(dǎo)致服務(wù)中斷。管理不到位（管理制度和策

18、略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無(wú)序，造成安全監(jiān)管漏洞和缺失。管理不到位（管理制度和策略安全管理制度不完善，策略關(guān)鍵資產(chǎn)名稱威脅類型關(guān)注范圍不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）執(zhí)行無(wú)序，造成安全監(jiān)管漏洞和缺失。磁盤(pán)陣列HPEVA4400物理破壞（斷電、消防、盜竊和破壞）物理斷電導(dǎo)致關(guān)鍵設(shè)備停止工作，服務(wù)中斷。火災(zāi)隱患威脅系統(tǒng)正常運(yùn)行。意外故障（設(shè)備硬件故障、存儲(chǔ)媒體故障）硬件故障，可能導(dǎo)致征金農(nóng)一期業(yè)務(wù)數(shù)據(jù)的錯(cuò)誤、異常、丟失，進(jìn)而導(dǎo)致所有業(yè)務(wù)中斷。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全

19、）安全管理制度不完善，策略執(zhí)行無(wú)序，造成安全監(jiān)管漏洞和缺失。UPS電源SANTAK3C3EX30KS操作失誤（無(wú)作為）UPS若損壞，該設(shè)備功能失效。電源中斷（備用電源中斷）電源中斷導(dǎo)致UPS停止工作，無(wú)法正常儲(chǔ)備電源。意外故障（設(shè)備硬件故障）硬件故障，遇到機(jī)房供電問(wèn)題，導(dǎo)致應(yīng)用服務(wù)中斷。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無(wú)序，造成安全監(jiān)管漏洞。UPS無(wú)專人對(duì)其定期進(jìn)行充放電操作，可導(dǎo)致UPS能效降低。千兆防火墻操作失誤（操作失誤）千兆防火墻配置管理由外關(guān)鍵資產(chǎn)名稱威脅類型關(guān)注范圍綠盟SG1200Series包公司維護(hù)，當(dāng)

20、系統(tǒng)發(fā)生故障時(shí)，系統(tǒng)恢復(fù)不可控，易引發(fā)操作失誤。社會(huì)工程（社會(huì)工程學(xué)破解）流行的免費(fèi)下載軟件中捆綁流氓軟件、免費(fèi)音樂(lè)中包含病毒、網(wǎng)絡(luò)釣魚(yú)、垃圾電子郵件中包括間諜軟件等，引起系統(tǒng)安全問(wèn)題。物理破壞（斷電、消防、盜竊和破壞）物理斷電導(dǎo)致設(shè)備停止工作。火災(zāi)隱患威脅系統(tǒng)正常運(yùn)行。濫用授權(quán)（非授權(quán)訪問(wèn)網(wǎng)絡(luò)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)）管理地址未與特定主機(jī)進(jìn)行綁定，可導(dǎo)致非授權(quán)人員訪問(wèn)防火墻。管理地址未與特定主機(jī)進(jìn)行綁定，可導(dǎo)致非授權(quán)人員修改系統(tǒng)配置或數(shù)據(jù)，造成網(wǎng)絡(luò)中斷。意外故障（設(shè)備硬件故障、傳輸設(shè)備故障）硬件故障、傳輸故障，可能導(dǎo)致中心機(jī)房與互聯(lián)網(wǎng)的通信中斷，或中心機(jī)房與電子政務(wù)外網(wǎng)的通信中

21、斷，或網(wǎng)絡(luò)邊界安全防護(hù)服務(wù)功能喪失，造成中心機(jī)房各服務(wù)器和業(yè)務(wù)數(shù)據(jù)的安全威脅。管理不到位（管理制度和策略安全管理制度不完善，策略關(guān)鍵資產(chǎn)名稱威脅類型關(guān)注范圍不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）執(zhí)行無(wú)序，造成安全監(jiān)管漏洞和缺失。IDS入侵檢測(cè)系統(tǒng)綠盟NIDS1200Series操作失誤（維護(hù)錯(cuò)誤、操作失誤）設(shè)備管理由外包公司維護(hù)，當(dāng)系統(tǒng)發(fā)生故障時(shí)，系統(tǒng)恢復(fù)不可控，易引發(fā)操作失誤。物理破壞（斷電、消防、盜竊和破壞）物理斷電導(dǎo)致設(shè)備停止工作。火災(zāi)隱患威脅系統(tǒng)正常運(yùn)行。濫用授權(quán)（非授權(quán)訪問(wèn)網(wǎng)絡(luò)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)）管理地址未與特定主機(jī)進(jìn)行綁定，可導(dǎo)致非授權(quán)人員訪問(wèn)I

22、DS。管理地址未與特定主機(jī)進(jìn)行綁定，可導(dǎo)致非授權(quán)人員修改系統(tǒng)配置或數(shù)據(jù)。意外故障（設(shè)備硬件故障）硬件故障，可能導(dǎo)致IDS無(wú)法正常使用，無(wú)法監(jiān)控網(wǎng)絡(luò)中的入侵和攻擊行為。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無(wú)序，造成安全監(jiān)管漏洞和缺失。入侵防護(hù)系統(tǒng)綠盟NIPS1000Series操作失誤（操作失誤）設(shè)備管理由外包公司維護(hù)，當(dāng)系統(tǒng)發(fā)生故障時(shí)，系統(tǒng)恢復(fù)不可控，易引發(fā)操作失誤。關(guān)鍵資產(chǎn)名稱威脅類型關(guān)注范圍物理破壞（斷電、消防、盜竊和破壞）物理斷電導(dǎo)致設(shè)備停止工作。火災(zāi)隱患威脅系統(tǒng)正常運(yùn)行。濫用授權(quán)（非授權(quán)訪問(wèn)網(wǎng)絡(luò)資源、濫用權(quán)限非正常

23、修改系統(tǒng)配置或數(shù)據(jù)）管理地址未與特定主機(jī)進(jìn)行綁定，可導(dǎo)致非授權(quán)人員訪問(wèn)應(yīng)用安全官理系統(tǒng)。管理地址未與特定主機(jī)進(jìn)行綁定，可導(dǎo)致非授權(quán)人員修改系統(tǒng)配置或數(shù)據(jù)。意外故障（設(shè)備硬件故障）硬件故障，可能導(dǎo)致入侵防護(hù)系統(tǒng)無(wú)法正常使用，無(wú)法防御網(wǎng)絡(luò)入侵。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無(wú)序，造成安全監(jiān)管漏洞和缺失。SQLServer2008標(biāo)準(zhǔn)版操作失誤（操作失誤）數(shù)據(jù)庫(kù)管理由外包公司維護(hù)，當(dāng)系統(tǒng)發(fā)生故障時(shí)，系統(tǒng)恢復(fù)不可控，易引發(fā)操作失誤。意外故障（數(shù)據(jù)庫(kù)軟件故障）數(shù)據(jù)庫(kù)軟件故障，可導(dǎo)致系統(tǒng)的核心數(shù)據(jù)嚴(yán)重?fù)p失。管理不到位（管理制度和

24、策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無(wú)序，造成安全監(jiān)管漏洞和缺失。關(guān)鍵資產(chǎn)名稱威脅類型關(guān)注范圍系統(tǒng)具備數(shù)據(jù)備份與恢復(fù)機(jī)制，但應(yīng)加強(qiáng)管理，以備恢復(fù)使用。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無(wú)序，造成安全監(jiān)管漏洞和缺失。金農(nóng)一期應(yīng)用系統(tǒng)操作失誤（維護(hù)錯(cuò)誤、操作失誤）系統(tǒng)軟件可能在維護(hù)中出現(xiàn)錯(cuò)誤。身份假冒（用戶身份偽裝和欺騙）身份被冒用，產(chǎn)生欺騙行為。口令攻擊（嗅探口令、暴力破解）對(duì)互聯(lián)網(wǎng)用戶發(fā)布，可能遭到口令攻擊，如口令嗅探和暴力破解。社會(huì)工程（社會(huì)工程學(xué)破解）流行的免費(fèi)下載軟

25、件中捆綁流氓軟件、免費(fèi)音樂(lè)中包含病毒、網(wǎng)絡(luò)釣魚(yú)、垃圾電子郵件中包括間諜軟件等，引起系統(tǒng)安全問(wèn)題。意外故障（應(yīng)用軟件故障）軟件故障，可能導(dǎo)致XXXX業(yè)務(wù)無(wú)法正常使用。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無(wú)序，無(wú)相關(guān)記錄，造成安全監(jiān)管漏洞和缺失。威脅描述匯總威脅種類威脅子類存在的威脅描述影響威脅發(fā)生頻率作用對(duì)象（完整性修改、機(jī)密性暴露、可用性遺失描述）（很高5/高4/中3/低2/很低1）利用漏洞破壞信息系統(tǒng)數(shù)據(jù)易通過(guò)漏洞被破壞。數(shù)據(jù)庫(kù)遭受網(wǎng)絡(luò)攻擊，如數(shù)據(jù)完整性被修改，可能會(huì)發(fā)生安全事件。4（高）數(shù)據(jù)庫(kù)服務(wù)器、數(shù)據(jù)庫(kù)備份服務(wù)器、

26、業(yè)務(wù)應(yīng)用服務(wù)器、部級(jí)下發(fā)服務(wù)器、數(shù)據(jù)采集前置機(jī)、應(yīng)用支撐平臺(tái)服務(wù)器。威脅種類威脅子類存在的威脅描述影響威脅發(fā)生頻率作用對(duì)象（完整性修改、機(jī)密性暴露、可用性遺失描述）（很高5/高4/中3/低2/很低1）利用漏洞破壞系統(tǒng)系統(tǒng)數(shù)據(jù)易通過(guò)漏洞被破壞。服務(wù)器遭受網(wǎng)絡(luò)攻擊，可能使內(nèi)部網(wǎng)絡(luò)、服務(wù)器設(shè)施的因攻擊而產(chǎn)生通信中斷故障或安全服務(wù)中斷，從而導(dǎo)致可用性遺失。4（高）數(shù)據(jù)庫(kù)服務(wù)器、數(shù)據(jù)庫(kù)備份服務(wù)器、業(yè)務(wù)應(yīng)用服務(wù)器、部級(jí)下發(fā)服務(wù)器、數(shù)據(jù)采集前置機(jī)、應(yīng)用支撐平臺(tái)服務(wù)器。管理規(guī)程缺失管理規(guī)程缺失，易造成安全監(jiān)管漏洞。管理規(guī)程存在缺陷，可能導(dǎo)致針對(duì)關(guān)鍵資產(chǎn)的日常運(yùn)維管理方面出現(xiàn)漏洞。3（中）所有資產(chǎn)威脅種類威脅子

27、類存在的威脅描述影響威脅發(fā)生頻率作用對(duì)象（完整性修改、機(jī)密性暴露、可用性遺失描述）（很高5/高4/中3/低2/很低1）職責(zé)不明確職責(zé)不明確，易造成安全監(jiān)管漏洞。職責(zé)不明確，可導(dǎo)致安全監(jiān)管漏洞。3（中）所有資產(chǎn)監(jiān)督控管機(jī)制不健全監(jiān)督控管機(jī)制不健全，易造成安全監(jiān)管漏洞。監(jiān)督控管機(jī)制等方面存在缺陷，導(dǎo)致完整性或可用性的遺失。3（中）所有資產(chǎn)威脅賦值資產(chǎn)名稱威脅操作失誤濫用授權(quán)行為抵賴身份假冒口令攻擊密碼分析漏洞利用拒絕服務(wù)惡意代碼竊取數(shù)據(jù)物理破壞社會(huì)工程意外故障通信中斷數(shù)據(jù)受損電源中斷災(zāi)害管理不到位越權(quán)使用核心交換機(jī)242443光纖交換機(jī)24243資產(chǎn)名稱威脅操作失誤濫用授權(quán)行為抵賴身份假冒口令攻擊

28、密碼分析漏洞利用拒絕服務(wù)惡意代碼竊取數(shù)據(jù)物理破壞社會(huì)工程意外故障通信中斷數(shù)據(jù)受損電源中斷災(zāi)害管理不到位越權(quán)使用電信接入交換機(jī)24243電信出口路由器24243數(shù)據(jù)庫(kù)服務(wù)器42243數(shù)據(jù)庫(kù)備份服務(wù)器42243業(yè)務(wù)應(yīng)用服務(wù)器42243部級(jí)下發(fā)服務(wù)器42243數(shù)據(jù)米集前置機(jī)42243應(yīng)用支撐平臺(tái)服務(wù)器42243磁盤(pán)陣列243UPS電源2423千兆防火墻242443IDS入侵檢測(cè)系統(tǒng)24243資產(chǎn)名稱威脅操作失誤濫用授權(quán)行為抵賴身份假冒口令攻擊密碼分析漏洞利用拒絕服務(wù)惡意代碼竊取數(shù)據(jù)物理破壞社會(huì)工程意外故障通信中斷數(shù)據(jù)受損電源中斷災(zāi)害管理不到位越權(quán)使用入侵防護(hù)系統(tǒng)24243SQLServer20082

29、23備份管理軟件223內(nèi)容管理軟件WCM-MUL-V60網(wǎng)站群版223XXXX系統(tǒng)數(shù)據(jù)423金農(nóng)一期業(yè)務(wù)系統(tǒng)434433脆弱性識(shí)別與分析常規(guī)脆弱性描述管理脆弱性網(wǎng)絡(luò)脆弱性系統(tǒng)脆弱性應(yīng)用脆弱性.數(shù)據(jù)處理和存儲(chǔ)脆弱性.運(yùn)行維護(hù)脆弱性.災(zāi)備與應(yīng)急響應(yīng)脆弱性A.物理脆弱性A。脆弱性專項(xiàng)檢查木馬病毒專項(xiàng)檢查A信息系統(tǒng)配置異常流量監(jiān)控系統(tǒng)、入侵防護(hù)、入侵檢測(cè)、防病毒網(wǎng)關(guān)，均通過(guò)聯(lián)網(wǎng)升級(jí)；A系統(tǒng)安裝瑞星殺毒軟件，程序版本號(hào)，升級(jí)設(shè)置為“即時(shí)升級(jí)”，殺毒引擎級(jí)別設(shè)置為中。服務(wù)器漏洞掃描專項(xiàng)檢測(cè)主機(jī)掃描統(tǒng)計(jì)列表序號(hào)漏洞名稱危險(xiǎn)級(jí)別漏洞類別發(fā)現(xiàn)主機(jī)遠(yuǎn)稈主機(jī)正在運(yùn)行終端服務(wù)低信息收集類匿名IPC$連接檢查低NT口令

30、類序號(hào)漏洞名稱危險(xiǎn)級(jí)別漏洞類別發(fā)現(xiàn)主機(jī)可以通過(guò)NetBios獲取操作系統(tǒng)信息低信息收集類ICMP時(shí)間戳獲取低信息收集類遠(yuǎn)程主機(jī)HTTP/WWW服務(wù)正在運(yùn)行低信息收集類WWWWeb服務(wù)器版本檢查SNMP使用默認(rèn)團(tuán)體名低高信息收集類SNMP類SNMP泄露Wins用戶名SNMP不能通知managementstations中中SNMP類SNMP類服務(wù)統(tǒng)計(jì)序號(hào)服務(wù)名稱端口協(xié)議描述發(fā)現(xiàn)主機(jī)1mstermservices3389TCP2Microsoftds445TCPMicrosoftps序號(hào)服務(wù)名稱端口協(xié)議描述發(fā)現(xiàn)主機(jī)3locsrv135TCPLocationService4會(huì)話服務(wù)139TCPNETB

31、IOS會(huì)話服務(wù)5compaqhttps2381TCPCompaqHTTPSCompaq6compaqdiag2301TCPremotediagnosticmanagementNetwork7ndmp10000TCPDataManagementProtocol8超文本傳輸協(xié)議80TCPWorldWideWeb（WWW）服務(wù)器9ms-sql-s1433TCPMicrosoft-SQL-Server10未知端口8087TCP漏洞掃描詳細(xì)列表SNMP使用默認(rèn)團(tuán)體名發(fā)現(xiàn)主機(jī)漏洞分類SNMP類危險(xiǎn)級(jí)別高影響平臺(tái)SNMP詳細(xì)描述Windows的SimpleNetworkManagementProtocol(

32、SNMP)使用默認(rèn)的public團(tuán)體名。攻擊者可以利用SimpleNetworkManagementProtocol(SNMP)取得有關(guān)機(jī)器的有用信息，例如網(wǎng)絡(luò)設(shè)備的信息，有那些打開(kāi)的連接等等。ApacheTomcatTransfer-Encoding頭處理拒絕服務(wù)和信息泄露漏洞發(fā)現(xiàn)主機(jī)漏洞分類CGI類危險(xiǎn)級(jí)別中影響平臺(tái)ApacheTomcatand7.0.0beta詳細(xì)描述ApacheTomcat是個(gè)流仃的開(kāi)放源碼的JSP應(yīng)用服務(wù)器程序。ApacheTomcat服務(wù)器在處理HTTP請(qǐng)求中的Transfer-Encoding頭時(shí)存在多個(gè)錯(cuò)誤，導(dǎo)致無(wú)法循環(huán)使用緩沖區(qū)。遠(yuǎn)程攻擊者可以利用這個(gè)漏洞導(dǎo)

33、致之后的請(qǐng)求失敗，或在請(qǐng)求之間泄露信息。SNMP不能通知managementstations發(fā)現(xiàn)主機(jī)漏洞分類SNMP類危險(xiǎn)級(jí)別中影響平臺(tái)SNMP詳細(xì)描述很多SNMPagents可以被配置在收到認(rèn)證不合格的SNMP消息后發(fā)送SNMPtrap或通知到管理臺(tái)。如果可以寫(xiě)入snmpEnableAuthenTrapsobject,這些通知便可以不發(fā)，從而阻止agent發(fā)送通知。SNMP泄露Wins用戶名發(fā)現(xiàn)主機(jī)漏洞分類SNMP類危險(xiǎn)級(jí)別影響平臺(tái)中WindowsNT、Windows2000詳細(xì)描述該漏洞表明通過(guò)SNMP可以暴露WindowsNT上的所有用戶名。SNMP服務(wù)正在運(yùn)行發(fā)現(xiàn)主機(jī)漏洞分類SNMP類

34、危險(xiǎn)級(jí)別低影響平臺(tái)SNMP詳細(xì)描述SNMP服務(wù)被檢測(cè)到正在運(yùn)行，當(dāng)SNMP使用了默認(rèn)的團(tuán)體名public或private時(shí)，攻擊者可以利用SimpleNetworkManagementProtocol(SNMP)取得有關(guān)機(jī)器的有用信息。不設(shè)置團(tuán)體名更加危險(xiǎn)，因?yàn)檫@意味著任意團(tuán)體名都可以訪問(wèn)。SNMP代理泄露網(wǎng)絡(luò)接口的信息發(fā)現(xiàn)主機(jī)漏洞分類危險(xiǎn)級(jí)別SNMP類低影響平臺(tái)SNMP詳細(xì)描述所有SNMPagents都支持標(biāo)準(zhǔn)的MIB-IIifTable。這個(gè)表含有機(jī)器所支持的每個(gè)接口的IP地址及網(wǎng)絡(luò)掩碼。這些信息暴露了網(wǎng)絡(luò)連接和網(wǎng)絡(luò)設(shè)備的信息。SNMP提供遠(yuǎn)程監(jiān)控信息發(fā)現(xiàn)主機(jī)漏洞分類SNMP類危險(xiǎn)級(jí)別低影

35、響平臺(tái)SNMP詳細(xì)描述一個(gè)活動(dòng)的RemoteMonitoring(RMON)探測(cè)可以遠(yuǎn)稈監(jiān)控應(yīng)用程序、網(wǎng)絡(luò)流量及用戶。SNMP提供遠(yuǎn)程路由信息發(fā)現(xiàn)主機(jī)漏洞分類SNMP類危險(xiǎn)級(jí)別低影響平臺(tái)SNMP詳細(xì)描述很多SNMPagents都支持MIB-II標(biāo)準(zhǔn)的ipRouteTable。這個(gè)表包括了IP地址及網(wǎng)絡(luò)掩碼，協(xié)議類型(prototype)等信息。這些信息暴露了網(wǎng)絡(luò)連接和網(wǎng)絡(luò)設(shè)備的信息。SSH信息獲取發(fā)現(xiàn)主機(jī)漏洞分類信息收集類危險(xiǎn)級(jí)別低影響平臺(tái)詳細(xì)描述SSH通過(guò)與目標(biāo)主機(jī)SSH守護(hù)進(jìn)程通訊，可獲得以下詢配置信息，包括:SSH版本、通訊公鑰、認(rèn)證方法ICMP時(shí)間戳獲取發(fā)現(xiàn)主機(jī)漏洞分類信息收集類危險(xiǎn)級(jí)別影響平臺(tái)低所有系統(tǒng)詳細(xì)描述ICMP協(xié)議