信息安全風(fēng)險評估報告(示例)

信息安全風(fēng)險評估報告第第1094頁目錄報告聲明 錯誤!未定義書簽。托付方信息 錯誤!未定義書簽。受托方信息 錯誤!未定義書簽。風(fēng)險評估報告單 錯誤!未定義書簽。風(fēng)險評估工程概述 錯誤!未定義書簽。建設(shè)工程根本信息 錯誤!未定義書簽。風(fēng)險評估實(shí)施單位根本狀況 錯誤!未定義書簽。風(fēng)險評估活動概述 錯誤!未定義書簽。風(fēng)險評估工作組織過程 錯誤!未定義書簽。風(fēng)險評估技術(shù)路線 錯誤!未定義書簽。依據(jù)的技術(shù)標(biāo)準(zhǔn)及相關(guān)法規(guī)文件 錯誤!未定義書簽。評估對象構(gòu)成 錯誤!未定義書簽。評估對象描述 錯誤!未定義書簽。網(wǎng)絡(luò)拓?fù)錁?gòu)造 錯誤!未定義書簽。網(wǎng)絡(luò)邊界描述 錯誤!未定義書簽。業(yè)務(wù)應(yīng)用描述 錯誤!未定義書簽。子系統(tǒng)構(gòu)成及定級 錯誤!未定義書簽。資產(chǎn)調(diào)查 錯誤!未定義書簽。資產(chǎn)賦值 錯誤!未定義書簽。關(guān)鍵資產(chǎn)說明 錯誤!未定義書簽。威逼識別與分析 3關(guān)鍵資產(chǎn)安全需求 3關(guān)鍵資產(chǎn)威逼概要 7威逼描述匯總 20威逼賦值 22脆弱性識別與分析 25常規(guī)脆弱性描述 25治理脆弱性 25網(wǎng)絡(luò)脆弱性 25系統(tǒng)脆弱性 25應(yīng)用脆弱性 25數(shù)據(jù)處理和存儲脆弱性 25災(zāi)備與應(yīng)急響應(yīng)脆弱性 25物理脆弱性 25脆弱性專項(xiàng)檢查 25木馬病毒專項(xiàng)檢查 25效勞器漏洞掃描專項(xiàng)檢測 26安全設(shè)備漏洞掃描專項(xiàng)檢測 37脆弱性綜合列表 40風(fēng)險分析 47關(guān)鍵資產(chǎn)的風(fēng)險計算結(jié)果 47關(guān)鍵資產(chǎn)的風(fēng)險等級 51風(fēng)險等級列表 51風(fēng)險等級統(tǒng)計 52基于脆弱性的風(fēng)險排名 52風(fēng)險結(jié)果分析 54綜合分析與評價 55綜合風(fēng)險評價 55風(fēng)險掌握角度需要解決的問題 56整改意見 57留意事項(xiàng) 錯誤未定義書簽。威逼識別與分析關(guān)鍵資產(chǎn)安全需求重要性程度資產(chǎn)重要資產(chǎn)名稱 〔重要等類別級〕

說明

安全需求可用性-系統(tǒng)可用性是保證各項(xiàng)系統(tǒng)數(shù)據(jù)正常傳輸?shù)酱疟P陣列。完整性-完整性價值格外他任何用戶不能修改數(shù)據(jù)。保密性-包含組織的重光纖交換機(jī)Brocade300

〔5〕

保證xxxx系統(tǒng)數(shù)據(jù)正常傳輸?shù)絿?yán)峻損害。磁盤陣列的設(shè)完整性-完整性價值非備。 員外其數(shù)據(jù)。保密性-包含組織的重嚴(yán)峻損害。保密性-包含組織的重嚴(yán)峻損害。重要性程度資產(chǎn)重要資產(chǎn)名稱 〔重要等類別級〕

說明

安全需求保密性-包含組織的重嚴(yán)峻損害。存儲 磁盤陣列設(shè)備 HPEVA4400保障UPS電源SANTAK設(shè)備 3C3EX30KS

格外重要〔5〕

xxxx系統(tǒng)數(shù)據(jù)存儲設(shè)備。重要設(shè)備。

保密性-包含組織的重嚴(yán)峻損害?？捎眯?系統(tǒng)可用性是xxxx完整性-完整性價值格外他任何用戶不能修改數(shù)據(jù)。保密性-包含組織的重嚴(yán)峻損害?？捎眯?系統(tǒng)可用性價統(tǒng)供電工作正常。完整性-完整性價值較任何用戶不能修改數(shù)據(jù)。重要性程度資產(chǎn)重要資產(chǎn)名稱 〔重要等類別級〕

說明

安全需求保密性-包含組織內(nèi)部會造成稍微損害。完整性-完整性價值較任何用戶不能修改數(shù)據(jù)。保密性-包含組織的重嚴(yán)峻損害。系統(tǒng)SymantecBackup

4〔高〕

可用性-系統(tǒng)可用性價據(jù)正常采集。完整性-完整性價值較部署在應(yīng)用效勞高，除授權(quán)人員外其他器上。任何用戶不能修改數(shù)據(jù)。保密性-包含組織的重嚴(yán)峻損害?？捎眯?系統(tǒng)可用性價xxxx系統(tǒng)數(shù)據(jù)值較高；保證xxxx備份治理軟件。統(tǒng)數(shù)據(jù)備份治理功能正常運(yùn)行。重要性程度資產(chǎn)重要資產(chǎn)名稱 〔重要等類別級〕內(nèi)容治理軟件

說明

安全需求完整性-完整性價值較任何用戶不能修改數(shù)據(jù)。保密性-包含組織的重嚴(yán)峻損害。可用性-系統(tǒng)可用性價統(tǒng)數(shù)據(jù)的采編。完整性-完整性價值較WCM-MUL-V60網(wǎng)站群版

重要〔4〕用戶數(shù)據(jù)采編。格外重要 xxxx系統(tǒng)的核

據(jù)。保密性-包含組織的重嚴(yán)峻損害。可用性-系統(tǒng)可用性是xxxx數(shù)據(jù)能夠正常讀取及數(shù)據(jù) xxxx系統(tǒng)數(shù)據(jù) 使用。〔5〕 心數(shù)據(jù)。完整性-完整性價值非他任何用戶不能修改數(shù)據(jù)。重要性程度重要性程度資產(chǎn)資產(chǎn)重要性重要資產(chǎn)名稱 〔重要等 安全需求類別 說明級〕保密性-包含組織的重嚴(yán)峻損害。關(guān)鍵資產(chǎn)威逼概要對“xxxxxxxxxxxxxxxxxxxx信息系統(tǒng)”關(guān)鍵資產(chǎn)進(jìn)展調(diào)查，對威逼來源〔內(nèi)部/外部；主觀/不行抗力等、威逼方式、發(fā)生的可能性等進(jìn)展分析，如下表所示：關(guān)鍵資產(chǎn)名稱 威逼類型 關(guān)注范圍核心交換機(jī)QuidwayS3300Series

員操作不當(dāng)導(dǎo)致交操作失誤〔維護(hù)錯誤、操作失換機(jī)效勞特別或中斷導(dǎo)致誤〕 金農(nóng)一期系統(tǒng)無法正常使用。流行的免費(fèi)下載軟件中捆社會工程〔社會工程學(xué)破解〕含病毒、網(wǎng)絡(luò)釣魚、垃圾電引起系統(tǒng)安全問題。物理破壞〔斷電、消防、盜竊止工作，效勞中斷。和破壞〕 威逼系統(tǒng)正常運(yùn)行。關(guān)鍵資產(chǎn)名稱 威逼類型 關(guān)注范圍治理地址未與特定主機(jī)進(jìn)濫用授權(quán)〔非授權(quán)訪問網(wǎng)絡(luò)資行綁定可導(dǎo)致非授權(quán)人員源、濫用權(quán)限非正常修改系統(tǒng)訪問核心交換機(jī)修改系統(tǒng)配置或數(shù)據(jù)〕 配置或數(shù)據(jù)，造成網(wǎng)絡(luò)中斷。障、傳輸設(shè)備故障，意外故障〔設(shè)備硬件故障、傳可能導(dǎo)致整個中心機(jī)房網(wǎng)輸設(shè)備故障〕 絡(luò)中斷造成業(yè)務(wù)應(yīng)用無法正常運(yùn)行。治理制度和策略不明確、監(jiān)視控管機(jī)制不健全〕

洞和缺失。光纖交換機(jī)Brocade300

操作失誤〔維護(hù)錯誤、操作失換機(jī)效勞特別或中斷導(dǎo)致誤〕 金農(nóng)一期數(shù)據(jù)無法正常保存到磁盤陣列。物理破壞〔斷電、消防、盜竊止工作，效勞中斷。和破壞〕 威逼系統(tǒng)正常運(yùn)行。濫用授權(quán)〔非授權(quán)訪問網(wǎng)絡(luò)資治理地址未與特定主機(jī)進(jìn)源、濫用權(quán)限非正常修改系統(tǒng)行綁定可導(dǎo)致非授權(quán)人員配置或數(shù)據(jù)〕 交換機(jī)修改系統(tǒng)任務(wù)失敗。意外故障〔設(shè)備硬件故障、傳硬件故障、傳輸設(shè)備故障，輸設(shè)備故障〕 可能導(dǎo)致磁盤陣列無法連關(guān)鍵資產(chǎn)名稱 威逼類型 關(guān)注范圍治理制度和策略不明確、監(jiān)視控管機(jī)制不健全〕

敗。洞和缺失。QuidwayS3300Series

操作失誤〔維護(hù)錯誤、操作失換機(jī)效勞特別或中斷導(dǎo)致誤〕 金農(nóng)一期系統(tǒng)無法通過互聯(lián)網(wǎng)訪問。物理破壞〔斷電、消防、盜竊止工作，效勞中斷。和破壞〕 威逼系統(tǒng)正常運(yùn)行。治理地址未與特定主機(jī)進(jìn)濫用授權(quán)〔非授權(quán)訪問網(wǎng)絡(luò)資行綁定可導(dǎo)致非授權(quán)人員源、濫用權(quán)限非正常修改系統(tǒng)訪問電信接入交換機(jī)修改配置或數(shù)據(jù)〕 或數(shù)據(jù)造成網(wǎng)絡(luò)中斷。件故障傳輸設(shè)備有意外故障〔設(shè)備硬件故障、傳障可能導(dǎo)致全部終端的網(wǎng)輸設(shè)備故障〕 斷影響各辦公室用戶接入網(wǎng)絡(luò)。治理制度和策略不明確、監(jiān)視控管機(jī)制不健全〕

洞和缺失。電信出口路由器 操作失誤〔維護(hù)錯誤、操作失維護(hù)人員操作不當(dāng)導(dǎo)致出關(guān)鍵資產(chǎn)名稱誤〕

威逼類型 關(guān)注范圍影響地市州訪問金農(nóng)一期系統(tǒng)。物理斷電導(dǎo)致關(guān)鍵設(shè)備停物理破壞〔斷電、消防、盜竊止工作，效勞中斷。和破壞〕 威逼系統(tǒng)正常運(yùn)行。治理地址未與特定主機(jī)進(jìn)濫用授權(quán)〔非授權(quán)訪問網(wǎng)絡(luò)資行綁定可導(dǎo)致非授權(quán)人員源、濫用權(quán)限非正常修改系統(tǒng)訪問電信出口路由器修改配置或數(shù)據(jù)〕 或數(shù)據(jù)造成互聯(lián)網(wǎng)通信線路中斷。

輸設(shè)備故障〕治理制度和策略不明確、監(jiān)視控管機(jī)制不健全〕漏洞利用〔利用漏洞竊取信漏洞破壞系統(tǒng)〕軟件、竊聽軟件〕

絡(luò)無法接入互聯(lián)網(wǎng)。洞和缺失。非法入侵者利用漏洞侵入用。間諜軟件、竊聽軟件的影響。關(guān)鍵資產(chǎn)名稱 威逼類型 關(guān)注范圍物理破壞〔斷電、消防、盜竊止工作，效勞中斷。和破壞〕 威逼系統(tǒng)正常運(yùn)行。硬件及系統(tǒng)故障導(dǎo)致系統(tǒng)意外故障〔設(shè)備硬件故障〕治理制度和策略不明確、監(jiān)視控管機(jī)制不健全〕漏洞利用〔利用漏洞竊取信漏洞破壞系統(tǒng)〕軟件、竊聽軟件〕數(shù)據(jù)庫備份效勞器物理破壞〔斷電、消防、盜竊和破壞〕

不行用，效勞中斷。洞和缺失。非法入侵者利用漏洞侵入備份數(shù)據(jù)不行用或完整性喪失。間諜軟件、竊聽軟件的影響。斷。行。意外故障〔設(shè)備硬件故障〕治理制度和策略不明確、監(jiān)視控管機(jī)制不健全〕

洞和缺失。關(guān)鍵資產(chǎn)名稱 威逼類型 關(guān)注范圍非法入侵者利用漏洞侵入漏洞利用〔利用漏洞竊取信 改或破壞可能導(dǎo)致息、利用漏洞破壞信息、利用系統(tǒng)業(yè)務(wù)中斷。漏洞破壞系統(tǒng)〕 用系統(tǒng)漏洞攻擊系統(tǒng)，導(dǎo)致效勞中斷。系統(tǒng)可能受到病毒、木馬、軟件、竊聽軟件〕

響。物理斷電導(dǎo)致關(guān)鍵設(shè)備停

物理破壞〔斷電、消防、盜竊止工作，效勞中斷。和破壞〕 威逼系統(tǒng)正常運(yùn)行。意外故障〔設(shè)備硬件故障、應(yīng)不行用，效勞中斷。用軟件故障〕 故障導(dǎo)致效勞中斷。治理制度和策略不明確、監(jiān)視控管機(jī)制不健全〕漏洞利用〔利用漏洞竊取信部級下發(fā)效勞器 漏洞破壞系統(tǒng)〕

洞和缺失。非法入侵者利用漏洞侵入下發(fā)數(shù)據(jù)喪失。入侵者利用系統(tǒng)漏洞攻擊收。惡意代碼〔病毒、木馬、間諜系統(tǒng)可能受到病毒、木馬、軟件、竊聽軟件〕 間諜軟件、竊聽軟件的影關(guān)鍵資產(chǎn)名稱 威逼類型 關(guān)注范圍和破壞〕用軟件故障〕治理制度和策略不明確、監(jiān)視控管機(jī)制不健全〕

響。收。行。收。據(jù)無法接收。洞和缺失。非法入侵者利用漏洞侵入漏洞利用〔利用漏洞竊取信系統(tǒng)篡改或破壞可能導(dǎo)致息、利用漏洞破壞信息、利用數(shù)據(jù)不行用或完整性喪失。漏洞破壞系統(tǒng)〕 系統(tǒng)來賓帳號密碼為空具有肯定安全風(fēng)險。系統(tǒng)可能受到病毒、木馬、

軟件、竊聽軟件〕

響。物理斷電導(dǎo)致關(guān)鍵設(shè)備停物理破壞〔斷電、消防、盜竊止工作，效勞中斷。和破壞〕 威逼系統(tǒng)正常運(yùn)行。意外故障〔設(shè)備硬件故障、應(yīng)硬件及系統(tǒng)故障導(dǎo)致系統(tǒng)關(guān)鍵資產(chǎn)名稱 用軟件故障〕治理制度和策略不明確、監(jiān)視控管機(jī)制不健全〕

關(guān)注范圍用。洞和缺失。非法入侵者利用漏洞侵入漏洞利用〔利用漏洞竊取信系統(tǒng)篡改或破壞可能導(dǎo)致息、利用漏洞破壞信息、利用數(shù)據(jù)不行用或完整性喪失。漏洞破壞系統(tǒng)〕 入侵者利用系統(tǒng)漏洞攻擊系統(tǒng)，導(dǎo)致效勞中斷。系統(tǒng)可能受到病毒、木馬、軟件、竊聽軟件〕

響。物理斷電導(dǎo)致關(guān)鍵設(shè)備停效勞器

物理破壞〔斷電、消防、盜竊止工作，效勞中斷。和破壞〕 威逼系統(tǒng)正常運(yùn)行。意外故障〔設(shè)備硬件故障、應(yīng)不行用，效勞中斷。用軟件故障〕 故障導(dǎo)致效勞中斷。治理制度和策略不明確、監(jiān)視控管機(jī)制不健全〕

洞和缺失。治理不到位〔關(guān)鍵資產(chǎn)名稱 威逼類型 關(guān)注范圍不完善、治理規(guī)程遺失、職責(zé)執(zhí)行無序造成安全監(jiān)管漏不明確、監(jiān)視控管機(jī)制不健 洞和缺失。全〕磁盤陣列HPEVA4400

物理破壞〔斷電、消防、盜竊止工作，效勞中斷。和破壞〕 威逼系統(tǒng)正常運(yùn)行。硬件故障可能導(dǎo)致征金農(nóng)意外故障〔設(shè)備硬件故障、存一期業(yè)務(wù)數(shù)據(jù)的錯誤、異儲媒體故障〕 ，進(jìn)而導(dǎo)致全部業(yè)務(wù)中斷。3C3EX30KS

治理制度和策略不明確、監(jiān)視控管機(jī)制不健全〕操作失誤〔無作為〕電源中斷〔備用電源中斷〕意外故障〔設(shè)備硬件故障〕

洞和缺失。效。電源中斷導(dǎo)致UPS停頓工作，無法正常儲藏電源。題，導(dǎo)致應(yīng)用效勞中斷。治理不到位〔治理制度和策略不完善、治理規(guī)程遺失、職責(zé)洞。不明確、監(jiān)視控管機(jī)制不健 全〕 降低。千兆防火墻 操作失誤〔操作失誤〕 千兆防火墻配置治理由外綠盟SG1200Series

威逼類型 關(guān)注范圍引發(fā)操作失誤。流行的免費(fèi)下載軟件中捆社會工程〔社會工程學(xué)破解〕含病毒、網(wǎng)絡(luò)釣魚、垃圾電引起系統(tǒng)安全問題。物理破壞〔斷電、消防、盜竊作。和破壞〕 威逼系統(tǒng)正常運(yùn)行。治理地址未與特定主機(jī)進(jìn)展濫用授權(quán)〔非授權(quán)訪問網(wǎng)絡(luò)資訪問防火墻。源、濫用權(quán)限非正常修改系統(tǒng)治理地址未與特定主機(jī)進(jìn)配置或數(shù)據(jù)〕 導(dǎo)致非授權(quán)人員網(wǎng)絡(luò)中斷。導(dǎo)致中心機(jī)房與互聯(lián)網(wǎng)的意外故障〔設(shè)備硬件故障、傳子政務(wù)外網(wǎng)的通信中斷或輸設(shè)備故障〕 網(wǎng)絡(luò)邊界安全防護(hù)效勞功器和業(yè)務(wù)數(shù)據(jù)的安全威逼。治理不到位〔關(guān)鍵資產(chǎn)名稱 威逼類型 關(guān)注范圍不完善、治理規(guī)程遺失、職責(zé)執(zhí)行無序造成安全監(jiān)管漏不明確、監(jiān)視控管機(jī)制不健 洞和缺失。全〕由外包公司維護(hù)，操作失誤〔維護(hù)錯誤、操作失當(dāng)系統(tǒng)發(fā)生故障時系統(tǒng)恢誤〕 復(fù)不行控，易引發(fā)操作失誤。綠盟NIDS1200Series

物理破壞〔斷電、消防、盜竊作。和破壞〕 威逼系統(tǒng)正常運(yùn)行。治理地址未與特定主機(jī)進(jìn)濫用授權(quán)〔非授權(quán)訪問網(wǎng)絡(luò)資IDS。源、濫用權(quán)限非正常修改系統(tǒng)治理地址未與特定主機(jī)進(jìn)配置或數(shù)據(jù)〕修改系統(tǒng)配置或數(shù)據(jù)。意外故障〔設(shè)備硬件故障〕 使用無法監(jiān)控網(wǎng)絡(luò)中的入侵和攻擊行為。入侵防護(hù)系統(tǒng)Series

治理制度和策略不明確、監(jiān)視控管機(jī)制不健全〕操作失誤〔操作失誤〕

洞和缺失。復(fù)不行控，易引發(fā)操作失誤。關(guān)鍵資產(chǎn)名稱 威逼類型 關(guān)注范圍物理破壞〔斷電、消防、盜竊作。和破壞〕 威逼系統(tǒng)正常運(yùn)行。治理地址未與特定主機(jī)進(jìn)配置或數(shù)據(jù)〕

訪問應(yīng)用安全治理系統(tǒng)。治理地址未與特定主機(jī)進(jìn)展修改系統(tǒng)配置或數(shù)據(jù)。意外故障〔設(shè)備硬件故障〕 護(hù)系統(tǒng)無法正常使用無法防范網(wǎng)絡(luò)入侵。治理制度和策略不明確、監(jiān)視控管機(jī)制不健全〕操作失誤〔操作失誤〕

洞和缺失。數(shù)據(jù)庫治理由外包公司維失誤。SQLServer2022標(biāo)準(zhǔn)版

治理制度和策略不明確、監(jiān)視控管機(jī)制不健全〕

統(tǒng)的核心數(shù)據(jù)嚴(yán)峻損失。洞和缺失。關(guān)鍵資產(chǎn)名稱 威逼類型 關(guān)注范圍系統(tǒng)具備數(shù)據(jù)備份與恢復(fù)恢復(fù)使用。治理制度和策略不明確、監(jiān)視控管機(jī)制不健全〕

洞和缺失。操作失誤〔維護(hù)錯誤、操作失系統(tǒng)軟件可能在維護(hù)中出誤〕 現(xiàn)錯誤。身份假冒〔用戶身份偽裝和欺身份被冒用，產(chǎn)生哄騙行

騙〕解〕

為。暴力破解。流行的免費(fèi)下載軟件中捆社會工程〔社會工程學(xué)破解〕含病毒、網(wǎng)絡(luò)釣魚、垃圾電引起系統(tǒng)安全問題。軟件故障，可能導(dǎo)致xxxx意外故障〔應(yīng)用軟件故障〕治理制度和策略不明確、監(jiān)視控管機(jī)制不健全〕

業(yè)務(wù)無法正常使用。成安全監(jiān)管漏洞和缺失。威逼描述匯總威逼發(fā)威逼發(fā)影響生頻率〔完整性修〔很高威逼存在的威逼改、機(jī)密性5/4/作用對象子類描述暴露、可用3/低2/很低威述〕1〕脅種數(shù)據(jù)庫患病類數(shù)據(jù)庫效勞器、數(shù)據(jù)庫備利用 網(wǎng)絡(luò)攻擊，系統(tǒng)數(shù)據(jù)易 、業(yè)務(wù)應(yīng)用效勞漏洞 如數(shù)據(jù)完整通過漏洞被 4〔高〕器、部級下發(fā)效勞器、數(shù)破壞 性被修改，破壞。 據(jù)采集前置機(jī)、應(yīng)用支撐信息 可能會發(fā)生平臺效勞器。安全大事。威脅

存在的威逼

影響

生頻率〔很高5/4/

作用對象種 類

描述暴露、可用述〕

3/低2/很低1〕利用系統(tǒng)數(shù)據(jù)易器設(shè)施的因漏洞通過漏洞被攻擊而產(chǎn)生破壞破壞。 系統(tǒng)性遺失。

4〔高〕器、部級下發(fā)效勞器、數(shù)平臺效勞器。治理規(guī)程存在缺陷，可治理治理規(guī)程缺能導(dǎo)致針對規(guī)程關(guān)鍵資產(chǎn)的3〔中〕全部資產(chǎn)缺失全監(jiān)管漏洞。日常運(yùn)維管理方面消滅漏洞。威逼發(fā)威逼發(fā)影響生頻率威〔完整性修〔很高脅威逼存在的威逼改、機(jī)密性4/作用對象種子類描述暴露、可用3/低類2/很低述〕1〕職責(zé)職責(zé)不明確，確，可導(dǎo)致不明易造成安全3〔中〕全部資產(chǎn)安全監(jiān)管漏確監(jiān)管漏洞。洞。監(jiān)視控管機(jī)監(jiān)視監(jiān)視控管機(jī)制等方面存控管制不健全，易在缺陷，導(dǎo)機(jī)制 3〔中〕全部資產(chǎn)造成安全監(jiān)致完整性或不健管漏洞。 可用性的遺全失。威逼賦值威逼資產(chǎn)名稱操作失誤濫用授權(quán)行為抵賴身份假冒口令攻擊密碼分析漏洞利用拒絕效勞惡意代碼竊取數(shù)據(jù)物理破壞社會工程意外故障通信中斷數(shù)據(jù)受損電源中斷災(zāi)難治理不到位越權(quán)使用核心交換機(jī)242443光纖交換機(jī)24243電信接入交24243換機(jī)威逼資產(chǎn)名稱操作失誤濫用授權(quán)行為抵賴身份假冒口令攻擊密碼分析漏洞利用拒絕效勞惡意代碼竊取數(shù)據(jù)物理破壞社會工程意外故障通信中斷數(shù)據(jù)受損電源中斷災(zāi)難治理不到位越權(quán)使用電信出口路24243由器數(shù)據(jù)庫效勞42243器數(shù)據(jù)庫備份42243效勞器業(yè)務(wù)應(yīng)用42243效勞器部級下發(fā)42243效勞器數(shù)據(jù)采集前42243置機(jī)應(yīng)用支撐平42243臺效勞器磁盤陣列243UPS2423千兆防火墻242443IDS24243測系統(tǒng)入侵防護(hù)24243系統(tǒng)SQL223Server2022資產(chǎn)名稱資產(chǎn)名稱備份治理軟件軟件WCM-MUL-V60網(wǎng)站群版據(jù)金農(nóng)一期業(yè)務(wù)系統(tǒng)威逼操作失誤濫用授權(quán)行為抵賴身份假冒口令攻擊密碼分析漏洞利用拒絕效勞惡意代碼竊取數(shù)據(jù)物理破壞社會工程意外故障通信中斷數(shù)據(jù)受損電源中斷災(zāi)難治理不到位越權(quán)使用223223423434433脆弱性識別與分析2.1.常規(guī)脆弱性描述2.1.1.治理脆弱性….。2.1.2.網(wǎng)絡(luò)脆弱性….。2.1.3.系統(tǒng)脆弱性….。2.1.4.應(yīng)用脆弱性…..2.1.5.數(shù)據(jù)處理和存儲脆弱性…..2.1.6.運(yùn)行維護(hù)脆弱性….2.1.7.災(zāi)備與應(yīng)急響應(yīng)脆弱性…2.1.8.物理脆弱性…。2.2.脆弱性專項(xiàng)檢查2.2.1.木馬病毒專項(xiàng)檢查信息系統(tǒng)配置特別流量監(jiān)控系統(tǒng)、入侵防護(hù)、入侵檢測、防病毒網(wǎng)關(guān)，均通過聯(lián)網(wǎng)升級；系統(tǒng)安裝瑞星殺毒軟件，程序版本號23.00.48.42，升級設(shè)置為“即時升級”，殺毒引擎級別設(shè)置為中。效勞器漏洞掃描專項(xiàng)檢測主機(jī)掃描統(tǒng)計列表序號IP漏洞總數(shù)覺察主機(jī)漏洞統(tǒng)計覺察主機(jī)

高危急中危急低危急效勞用戶風(fēng)險漏洞 漏洞 漏洞 總數(shù)總數(shù)分值

安全狀態(tài)序號漏洞名稱危急級別漏洞類別遠(yuǎn)程主機(jī)正1.在運(yùn)行終端低信息收集類效勞2.IPC$連低NT接檢查序號漏洞名稱危急級別漏洞類別可以通過3.NetBios低信息收集類操作系統(tǒng)信息4.ICMP低信息收集類獵取遠(yuǎn)程主機(jī)5./WWW低信息收集類務(wù)正在運(yùn)行WWWWeb服6.務(wù)器版本檢低信息收集類查7.SNMP高SNMP認(rèn)團(tuán)體名8.SNMP中SNMPWinsSNMP9.知中SNMPmanagementstations覺察主機(jī)效勞統(tǒng)計覺察主機(jī)覺察主機(jī)覺察主機(jī)序號效勞名稱ms-term-端口協(xié)議描述1services3389TCP2Microsoft445TCPMicrosoft--dsDS3loc-srv135TCPLocationService4會話效勞139TCPNETBIOS會話效勞5compaq-2381TCPCompaqsSCompaq6compaqdi2301TCPremoteagdiagnosticmanagement序號效勞名稱端口協(xié)議7ndmp10000TCP描述覺察主機(jī)描述覺察主機(jī)NetworkDataManagementProtocolWorldWide超文本傳880TCPWeb〔WWW〕輸協(xié)議效勞器Microsoft-9ms-sql-s1433TCPSQL-Server10未知端口8087TCP覺察主機(jī)2漏洞分類覺察主機(jī)2漏洞分類SNMP危急級別高影響平臺SNMPWindows的Simple NetworkManagementProtocol(SNMP)使用默認(rèn)的public團(tuán)體名。攻擊者可以利用SimpleNetwork具體描述ManagementProtocol(SNMP)取得有關(guān)機(jī)器的有用信息，例如網(wǎng)絡(luò)設(shè)備的信息，有那些翻開的連接等等。ApacheTomcatTransfer-Encoding頭處理拒絕效勞和信息泄露漏洞覺察主機(jī)覺察主機(jī)1漏洞分類CGI危急級別中影響平臺具體描述

ApacheTomcat5.5.0through5.5.29through6.0.27,and7.0.0betaApacheTomcatJSPTransfer-Encoding時存在多個錯誤，導(dǎo)致無法循環(huán)使用緩沖區(qū)。遠(yuǎn)程攻擊者可以利用這個漏洞導(dǎo)致之后的懇求失敗，或在懇求之間泄露信息。覺察主機(jī)2漏洞分類SNMP危急級別覺察主機(jī)2漏洞分類SNMP危急級別中影響平臺SNMP很多SNMPagents可以被配置在收到認(rèn)證不合格的SNMP消息后發(fā)具體描述送SNMPtrapsnmpEnableAuthenTrapsobject，agentSNMPWins用戶名覺察主機(jī)覺察主機(jī)2漏洞分類SNMP危急級別中影響平臺WindowsNT、Windows2022具體描述SNMPWindowsNT覺察主機(jī)2漏洞分類覺察主機(jī)2漏洞分類SNMP危急級別低影響平臺SNMP具體描述

SNMP效勞被檢測到正在運(yùn)行,當(dāng)SNMP使用了默認(rèn)的團(tuán)體名public或private時,攻擊者可以利用Simple Network Protocol(SNMP)取得有關(guān)機(jī)器的有用信息。不設(shè)置團(tuán)體名更加危急，由于這意味著任意團(tuán)體名都可以訪問。覺察主機(jī)2漏洞分類SNMP覺察主機(jī)2漏洞分類SNMP危急級別低影響平臺SNMPSNMPagentsMIB-IIifTable。這個表含有機(jī)器具體描述所支持的每個接口的IP地址及網(wǎng)絡(luò)掩碼。這些信息暴露了網(wǎng)絡(luò)連接和網(wǎng)絡(luò)設(shè)備的信息。SNMP供給遠(yuǎn)程監(jiān)控信息覺察主機(jī)覺察主機(jī)2漏洞分類SNMP危急級別低影響平臺SNMP一個活動的Remote Monitoring(RMON) 探測可以遠(yuǎn)程監(jiān)控應(yīng)用具體描述程序、網(wǎng)絡(luò)流量及用戶。覺察主機(jī)2漏洞分類覺察主機(jī)2漏洞分類SNMP危急級別低影響平臺SNMPSNMPagentsMIB-IIipRouteTable。這個表包具體描述IP〔prototype〕息暴露了網(wǎng)絡(luò)連接和網(wǎng)絡(luò)設(shè)備的信息。覺察主機(jī)2漏洞分類信息收集類覺察主機(jī)2漏洞分類信息收集類危急級別低影響平臺SSH通過與目標(biāo)主機(jī)SSH守護(hù)進(jìn)程通訊，可獲得以下詢配置信息，包括：具體描述SSH 版本、通訊公鑰、認(rèn)證方法ICMP時間戳獵取2,1,7,0,2,1,7,0,覺察主機(jī)0,1漏洞分類信息收集類危急級別低影響平臺全部系統(tǒng)具體描述利用ICMP協(xié)議支持的功能獲得目標(biāo)主機(jī)的系統(tǒng)時間，可以用來攻擊基于時間認(rèn)證的協(xié)議。覺察主機(jī)2,1,0漏洞分類信息收集類危急級別低覺察主機(jī)2,1,0漏洞分類信息收集類危急級別低影響平臺全部系統(tǒng)檢查是否目標(biāo)主機(jī)正在運(yùn)行最的web效勞器軟件。攻擊者利用具體描述webMSSQL效勞覺察主機(jī)覺察主機(jī)2漏洞分類信息收集類危急級別低影響平臺影響平臺MSSQL具體描述MSSQL0,1,4,3,覺察主機(jī)2,5,6,7漏洞分類0,1,4,3,覺察主機(jī)2,5,6,7漏洞分類NT危急級別低影響平臺WindowsIPC$Windows具體描述匿名IPC$連接，攻擊者就可以通過匿名IPC$連接獵取很多的系統(tǒng)信息。ApacheTomcat設(shè)計錯誤漏洞覺察主機(jī)覺察主機(jī)1漏洞分類Apache危急級別低影響平臺ApacheTomcat7.0.0through7.0.3,6.0.xand5.5.xApacheTomcatApacheFoundation碼的JavaServlet和JSP效勞程序。具體描述當(dāng)在SecurityManager中運(yùn)行時，ApacheTomcat7.0.0至7.0.3版本，6.0.x，以及5.5.x版本沒有將ServletContext屬性設(shè)為只讀。本地web應(yīng)用程序可以利用該漏洞讀或?qū)戭A(yù)設(shè)工作名目外的文件。2,7,5,0,1,覺察主機(jī)2,7,5,0,1,覺察主機(jī)6,4,3漏洞分類信息收集類危急級別低影響平臺Windows具體描述

(3389用遠(yuǎn)程桌面效勞，可以將終端延長至任何可訪問效勞所在主機(jī)網(wǎng)絡(luò)節(jié)點(diǎn)。在不是必需的狀況下，應(yīng)當(dāng)停頓此效勞，以免攻擊者通過遠(yuǎn)程破解等手段完全掌握遠(yuǎn)程主機(jī)。ApacheTomcat“MemoryUserDatabase“信息泄露漏洞覺察主機(jī)危急級別1Apache低ApacheTomcat5.5.0through5.5.33影響平臺ApacheTomcat6.0.0through6.0.32ApacheTomcat7.0.0through7.0.16具體描述

ApacheFoundationJavaServletJSPApacheTomcatMemoryUserDatabase遠(yuǎn)程攻擊者可利用此漏洞獵取更多信息。2,7,5,0,覺察主機(jī)1,6漏洞分類信息收集類2,7,5,0,覺察主機(jī)1,6漏洞分類信息收集類危急級別低影響平臺Windows具體描述通過NetBios可以獵取遠(yuǎn)程主機(jī)的操作系統(tǒng)信息。SNMPTCP端口列表覺察主機(jī)覺察主機(jī)2漏洞分類SNMP危急級別低影響平臺SNMP具體描述

者供給更多信息覺察主機(jī)2漏洞分類SNMP危急級別低影響平臺覺察主機(jī)2漏洞分類SNMP危急級別低影響平臺SNMP通過SNMP獲得系統(tǒng)UDP端口列表，導(dǎo)致系統(tǒng)敏感信息泄漏，給攻擊具體描述者供給更多信息SNMP獲得系統(tǒng)進(jìn)程列表覺察主機(jī)覺察主機(jī)2漏洞分類SNMP危急級別低影響平臺SNMP通過SNMP獲得系統(tǒng)進(jìn)程列表，導(dǎo)致系統(tǒng)敏感信息泄漏，給攻擊者提具體描述供更多信息覺察主機(jī)2漏洞分類SNMP覺察主機(jī)2漏洞分類SNMP危急級別低影響平臺SNMP通過SNMP獲得系統(tǒng)效勞列表，導(dǎo)致系統(tǒng)敏感信息泄漏，給攻擊者提具體描述供更多信息SNMP獲得系統(tǒng)信息覺察主機(jī)覺察主機(jī)2漏洞分類SNMP危急級別危急級別低影響平臺SNMP通過SNMP獲得系統(tǒng)信息，攻擊者可以通過這些信息推斷對方操作系具體描述統(tǒng)或者設(shè)備類型覺察主機(jī)2漏洞分類SNMP覺察主機(jī)2漏洞分類SNMP危急級別低影響平臺SNMP通過SNMP獲得系統(tǒng)安裝軟件列表，導(dǎo)致敏感信息泄露，給攻擊者提具體描述供更多信息。SNMP獲得系統(tǒng)存儲設(shè)備列表覺察主機(jī)覺察主機(jī)2漏洞分類SNMP危急級別低影響平臺SNMP通過SNMP獲得系統(tǒng)存儲設(shè)備列表，導(dǎo)致敏感信息泄露，給攻擊者提具體描述供更多信息。覺察主機(jī)2漏洞分類覺察主機(jī)2漏洞分類守護(hù)進(jìn)程類危急級別低影響平臺sshsshssh具體描述的版本和類型等敏感信息，為進(jìn)一步的攻擊做預(yù)備。ssh_協(xié)議版本覺察主機(jī)覺察主機(jī)2漏洞分類守護(hù)進(jìn)程類危急級別低影響平臺ssh具體描述sshssh覺察主機(jī)2漏洞分類守護(hù)進(jìn)程類危急級別低影響平臺覺察主機(jī)2漏洞分類守護(hù)進(jìn)程類危急級別低影響平臺SSHSSH1.331.5SSH具體描述些協(xié)議并缺乏夠安全，建議停頓使用這些版本的協(xié)議。/WWW效勞正在運(yùn)行覺察主機(jī)覺察主機(jī)2,1,0漏洞分類信息收集類危急級別低影響平臺具體描述/WWW安全設(shè)備漏洞掃描專項(xiàng)檢測主機(jī)掃描統(tǒng)計列表序號IP漏洞總數(shù)高危急漏洞中危急漏洞低危急漏洞效勞總數(shù)用戶總數(shù)風(fēng)險分值安全狀態(tài)11001201比較安全20000100比較安全31001201比較安全41001201比較安全51001201比較安全61001201比較安全71001201比較安全覺察主機(jī),,,,,漏洞名稱覺察主機(jī),,,,,漏洞名稱ICMP漏洞分類信息收集類危急級別低效勞統(tǒng)計序號效勞名稱序號效勞名稱端口協(xié)議描述覺察主機(jī),,10.2.9.是，通過1s443TCP7,,,10.2.TLS/SSL交談8.1BorderGateway,,bgp179TCPProtocol6,,安全322TCPshell4telnet23TCP有用程序漏洞掃描具體列表覺察主機(jī),,,,,漏洞分類信息收集類覺察主機(jī),,,,,漏洞分類信息收集類危急級別低影響平臺全部系統(tǒng)具體描述利用ICMP協(xié)議支持的功能獲得目標(biāo)主機(jī)的系統(tǒng)時間，可以用來攻擊基于時間認(rèn)證的協(xié)議。2.3.脆弱性綜合列表編 檢測檢測項(xiàng) 脆弱性號 子項(xiàng)意識培訓(xùn)；

賦作用對象 值人員安全治理的弱性

員訪問治理制度；需完善修改；

全部資產(chǎn)

損失。略、治理規(guī)程、監(jiān)視控管機(jī)制等方面存在缺陷，可能導(dǎo)致安全策略的執(zhí)行方面存制度

2、未明確治理制度全部資產(chǎn)程。

3在缺乏，可能導(dǎo)用性的遺失。編號檢測項(xiàng)檢測子項(xiàng)脆弱性作用對象賦值潛在影響3.未承受發(fā)文或制度的形式明確劃分系全部資產(chǎn)3機(jī)構(gòu)色。能導(dǎo)致安全工作的缺位和失誤。1、資產(chǎn)治理方面，未依據(jù)資產(chǎn)的重要程度對資產(chǎn)落實(shí)相應(yīng)的治理措系統(tǒng)運(yùn)維治理存施，介質(zhì)和設(shè)備在缺乏，可能導(dǎo)的使用、保修未致治理不到位出系統(tǒng)進(jìn)展具體的登記現(xiàn)安全事故，可4.運(yùn)維治理；全部資產(chǎn)3能導(dǎo)致安全大事治理2、未開展信息系統(tǒng)無法準(zhǔn)時覺察，安全審計和定期可能導(dǎo)致安全事巡檢工作，對系件消滅后無法及統(tǒng)安全漏洞，服時解決。務(wù)器和軟件的補(bǔ)丁修補(bǔ)工作未進(jìn)行具體登記。網(wǎng)絡(luò)設(shè)備和安全5.網(wǎng)絡(luò)脆網(wǎng)絡(luò)網(wǎng)絡(luò)設(shè)備、安全3弱性設(shè)備故障記錄和分析報告。設(shè)備備消滅故障或異常后無法準(zhǔn)時發(fā)現(xiàn)進(jìn)展解決。6.1.核心交換機(jī)沒有交換機(jī)3交換機(jī)硬件配置編 檢測檢測項(xiàng)號 子項(xiàng)脆弱性作用對象賦值潛在影響做設(shè)備冗余；上的缺乏可能影2.電信接入交換機(jī)響xxxx容量較小。正常使用。網(wǎng)絡(luò)7. 訪問網(wǎng)絡(luò)中無VLAN劃分；防火墻、3網(wǎng)絡(luò)中無VLAN分不利于網(wǎng)絡(luò)通掌握交換機(jī)信掌握和網(wǎng)絡(luò)安全治理。網(wǎng)絡(luò)和安全設(shè)備網(wǎng)絡(luò)網(wǎng)絡(luò)設(shè)備和安全設(shè)網(wǎng)絡(luò)設(shè)足，可能導(dǎo)致網(wǎng)8. 設(shè)備備訪問未使用MAC地備、安全3絡(luò)和安全設(shè)備遭防護(hù)IP設(shè)備到攻擊，以至造成整個網(wǎng)絡(luò)的癱瘓。1、各效勞器主機(jī)存效勞器存在安全惡意在不同程度的安漏洞，效勞器未系統(tǒng)脆9. 代碼弱性防范全漏洞；2、效勞器未定期開展安全巡檢工各效勞器5定期開展安全巡作；或木馬的威逼。編號10.

檢測項(xiàng)弱性

檢測脆弱性子項(xiàng)登錄；2、數(shù)據(jù)前置機(jī)中存在來賓賬號，且該帳號密碼為空。有一其他單位信息資源系統(tǒng)借用機(jī)房內(nèi)業(yè)掌握一用戶登錄；2、局部用戶登錄密身份 碼設(shè)置過于簡

賦作用對象值xxxx4信息數(shù)據(jù)

潛在影響運(yùn)行。假設(shè)該系統(tǒng)消滅特別外風(fēng)險。信息系統(tǒng)身份鑒11.

鑒別單，未做口令長度和復(fù)雜度要求；略；

xxxx數(shù)據(jù) 4 足，可能引起口編號檢測項(xiàng)檢測子項(xiàng)脆弱性作用對象賦值潛在影響12.應(yīng)用系統(tǒng)中無安全志只能通過查看中間件的日志。1存儲設(shè)備消滅故13.在消滅故障的狀況磁盤陣列3障，因系統(tǒng)無冗性修和恢復(fù)。工作中斷。14.數(shù)據(jù)處理性成員單位與中心機(jī)間或因網(wǎng)絡(luò)問題導(dǎo)致中斷。信息數(shù)據(jù)3數(shù)據(jù)傳輸中斷，可能導(dǎo)致xxxx期信息數(shù)據(jù)無法準(zhǔn)時更。備份治理軟件系15.和備份治理3恢復(fù)檢查記錄。軟件數(shù)據(jù)的正常備份和恢復(fù)，造成數(shù)據(jù)損失。運(yùn)行維護(hù)治理工16.系統(tǒng)系統(tǒng)漏洞治理制度全部資產(chǎn)3安全性 展。

題無法準(zhǔn)時覺察統(tǒng)中斷。編檢測項(xiàng)號

檢測脆弱性子項(xiàng)系統(tǒng)

作用對象

賦潛在影響值密碼治理缺乏，17. 方式存在缺乏，密碼全部資產(chǎn)維護(hù)

可能導(dǎo)致安全事未定期更換。 故的發(fā)生。18.

建立災(zāi)難 難備備份 份系統(tǒng)。系統(tǒng)

全部資產(chǎn)

未建立異地災(zāi)難備份系統(tǒng)，可能在本地系統(tǒng)消滅故障、數(shù)據(jù)遺失復(fù)。19.20.

應(yīng)急響應(yīng)

恢復(fù) 已建立應(yīng)急響應(yīng)預(yù)和應(yīng) 和工作急響 分工仍需細(xì)化。應(yīng)預(yù)案 開展應(yīng)急預(yù)的演 案演練工作。練

全部資產(chǎn)

應(yīng)急預(yù)案工作的缺乏，可能導(dǎo)致安全大事一旦發(fā)生無法準(zhǔn)時解決全，可能導(dǎo)致數(shù)據(jù)遺失后無法恢復(fù)。編 檢測項(xiàng)號

賦脆弱性 作用對象值

潛在影響防火 報警器只處于通電狀態(tài)。物理脆弱性 且只掩蓋機(jī)房內(nèi)弱電力 22.供給 錄。

資產(chǎn)備資產(chǎn)

，可能導(dǎo)致無法準(zhǔn)時覺察火災(zāi)救。UPS掩蓋機(jī)房全部設(shè)大影響。風(fēng)險分析關(guān)鍵資產(chǎn)的風(fēng)險計算結(jié)果依據(jù)《GB/T20984-2022信息安全技術(shù)信息安全風(fēng)險評估標(biāo)準(zhǔn)》要求，通到了如下風(fēng)險結(jié)果：資產(chǎn)風(fēng)險值15〔操作失誤-網(wǎng)絡(luò)脆弱性[維護(hù)錯誤、操作失誤]〕13〔社會工程--運(yùn)行維護(hù)脆弱性[社會工程學(xué)破解]〕〕18〔濫用授權(quán)-網(wǎng)絡(luò)脆弱性[網(wǎng)絡(luò)訪問掌握、網(wǎng)絡(luò)設(shè)備防護(hù)]〕9〔意外故障-網(wǎng)絡(luò)脆弱性[網(wǎng)絡(luò)設(shè)備故障]〕與應(yīng)急響應(yīng)脆弱性〕15〔操作失誤-網(wǎng)絡(luò)脆弱性[維護(hù)錯誤、操作失誤]〕〕15〔意外故障-網(wǎng)絡(luò)脆弱性[網(wǎng)絡(luò)設(shè)備防護(hù)、網(wǎng)絡(luò)設(shè)備故障]〕與應(yīng)急響應(yīng)脆弱性〕15〔操作失誤-網(wǎng)絡(luò)脆弱性[維護(hù)錯誤、操作失誤]〕〕18〔濫用授權(quán)-網(wǎng)絡(luò)脆弱性[網(wǎng)絡(luò)訪問掌握、網(wǎng)絡(luò)設(shè)備防護(hù)]〕9〔意外故障-網(wǎng)絡(luò)脆弱性[網(wǎng)絡(luò)設(shè)備故障]〕

資產(chǎn)名稱核心交換機(jī)QuidwayS3300Series光纖交換機(jī)Brocade300電信接入交換機(jī)QuidwayS3300Series

資產(chǎn)風(fēng)險值

資產(chǎn)名稱15〔操作失誤-網(wǎng)絡(luò)脆弱性[維護(hù)錯誤、操作失誤]〕13〔物理破壞-物理脆弱性[防盜竊和防破壞、防火]〕18〔濫用授權(quán)-網(wǎng)絡(luò)脆弱性[網(wǎng)絡(luò)訪問掌握、網(wǎng)絡(luò)設(shè)備防護(hù)]〕9〔意外故障-網(wǎng)絡(luò)脆弱性[網(wǎng)絡(luò)設(shè)備故障]〕與應(yīng)急響應(yīng)脆弱性〕15〔漏洞利用-系統(tǒng)脆弱性[惡意代碼防范]〕〕13〔惡意代碼-系統(tǒng)脆弱性[惡意代碼防范]〕12〔意外故障-系統(tǒng)脆弱性[資源掌握]〕與應(yīng)急響應(yīng)脆弱性〕17〔漏洞利用-系統(tǒng)脆弱性[惡意代碼防范]〕〕14〔惡意代碼-系統(tǒng)脆弱性[惡意代碼防范]〕10〔意外故障-系統(tǒng)脆弱性[資源掌握]〕與應(yīng)急響應(yīng)脆弱性〕19〔漏洞利用-系統(tǒng)脆弱性[惡意代碼防范]〕〕16〔惡意代碼-系統(tǒng)脆弱性[惡意代碼防范]〕12〔意外故障-系統(tǒng)脆弱性[資源掌握]〕與應(yīng)急響應(yīng)脆弱性〕19〔漏洞利用-系統(tǒng)脆弱性[惡意代碼防范]〕〕

電信出口路由器數(shù)據(jù)庫效勞器數(shù)據(jù)庫備份效勞器業(yè)務(wù)應(yīng)用效勞器部級下發(fā)效勞器資產(chǎn)風(fēng)險值惡意代碼-系統(tǒng)脆弱性[惡意代碼防范]〕12〔意外故障-系統(tǒng)脆弱性[資源掌握]〕與應(yīng)急響應(yīng)脆弱性〕19〔漏洞利用-系統(tǒng)脆弱性[惡意代碼防范]〕〕16〔惡意代碼-系統(tǒng)脆弱性[惡意代碼防范]〕12〔意外故障-系統(tǒng)脆弱性[資源掌握]〕與應(yīng)急響應(yīng)脆弱性〕19〔漏洞利用-系統(tǒng)脆弱性[惡意代碼防范]〕〕16〔惡意代碼-系統(tǒng)脆弱性[惡意代碼防范]〕12〔意外故障-系統(tǒng)脆弱性[資源掌握]〕與應(yīng)急響應(yīng)脆弱性〕〕〕與應(yīng)急響應(yīng)脆弱性〕14〔操作失誤-物理脆弱性[電力供給]〕14〔電源中斷-物理脆弱性[電力供給]〕17〔意外故障-物理脆弱性[電力供給]〕與應(yīng)急響應(yīng)脆弱性〕13〔操作失誤-網(wǎng)絡(luò)脆弱性[網(wǎng)絡(luò)設(shè)備防護(hù)]〕13〔社會工程—運(yùn)行維護(hù)脆弱性[社會工程學(xué)破解]〕〕

資產(chǎn)名稱數(shù)據(jù)采集前置機(jī)應(yīng)用支撐平臺效勞器磁盤陣列HPEVA4400UPSSANTAK3C3EX30KS千兆防火墻綠盟SG1200Series資產(chǎn)風(fēng)險值〕12〔意外故障-網(wǎng)絡(luò)脆弱性[網(wǎng)絡(luò)設(shè)備故障]〕與應(yīng)急響應(yīng)脆弱性〕13〔操作失誤-網(wǎng)絡(luò)脆弱性[維護(hù)錯誤、操作失誤]〕〕16〔濫用授權(quán)-網(wǎng)絡(luò)脆弱性[網(wǎng)絡(luò)入侵防范、網(wǎng)絡(luò)設(shè)備防護(hù)]〕17〔意外故障-網(wǎng)絡(luò)脆弱性[網(wǎng)絡(luò)設(shè)備故障]〕與應(yīng)急響應(yīng)脆弱性〕13〔操作失誤-網(wǎng)絡(luò)脆弱性[維護(hù)錯誤、操作失誤]〕〕16〔濫用授權(quán)-網(wǎng)絡(luò)脆弱性[網(wǎng)絡(luò)入侵防范、網(wǎng)絡(luò)設(shè)備防護(hù)]〕17〔意外故障-網(wǎng)絡(luò)脆弱性[網(wǎng)絡(luò)設(shè)備故障]〕與應(yīng)急響應(yīng)脆弱性〕13〔操作失誤-網(wǎng)絡(luò)脆弱性[維護(hù)錯誤、操作失誤]〕8(意外故障-數(shù)據(jù)處理和存儲脆弱性[數(shù)據(jù)庫軟件故障])與應(yīng)急響應(yīng)脆弱性〕13〔操作失誤-網(wǎng)絡(luò)脆弱性[維護(hù)錯誤、操作失誤]〕8〔意外故障-數(shù)據(jù)處理和存儲脆弱性[備份和恢復(fù)]〕與應(yīng)急響應(yīng)脆弱性〕

資產(chǎn)名稱IDS入侵防護(hù)系統(tǒng)NIPS1000SeriesSQLServer2022標(biāo)準(zhǔn)版?zhèn)浞葜卫碥浖ymantecBackup資產(chǎn)風(fēng)險值8〔操作失誤-網(wǎng)絡(luò)脆弱性[維護(hù)錯誤、操作失誤]〕18〔操作失誤-數(shù)據(jù)處理和存儲脆弱性[信息存儲安全性]〕13〔數(shù)據(jù)受損-數(shù)據(jù)處理和存儲脆弱性[信息存儲安全性]、應(yīng)用脆弱性[通信完整性]〕與應(yīng)急響應(yīng)脆弱性〕18〔操作失誤-數(shù)據(jù)處理和存儲脆弱性[信息存儲安全性]〕13〔數(shù)據(jù)受損-數(shù)據(jù)處理和存儲脆弱性[信息存儲安全性]、應(yīng)用脆弱性[通信完整性]〕與應(yīng)急響應(yīng)脆弱性〕18〔操作失誤-數(shù)據(jù)處理和存儲脆弱性[信息存儲安全性]〕14〔身份假冒--應(yīng)用脆弱性[身份冒假]〕14〔口令攻擊--應(yīng)用脆弱性[口令攻擊]〕16〔社會工程--運(yùn)行維護(hù)脆弱性[社會工程學(xué)破解]〕8〔意外故障-數(shù)據(jù)處理和存儲脆弱性[備份和恢復(fù)]〕與應(yīng)急響應(yīng)脆弱性檢測〕

資產(chǎn)名稱WCM-MUL-V60網(wǎng)站群版xxxx金農(nóng)一期應(yīng)用系統(tǒng)關(guān)鍵資產(chǎn)的風(fēng)險等級風(fēng)險等級列表資產(chǎn)風(fēng)險等級值資產(chǎn)風(fēng)險等級值資產(chǎn)名稱資產(chǎn)風(fēng)險等級18核心交換機(jī)高風(fēng)險