信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告

TOC\o"1-5"\h\z威脅識(shí)別與分析3關(guān)鍵資產(chǎn)安全需求3關(guān)鍵資產(chǎn)威脅概要5威脅描述匯總12威脅賦值13脆弱性識(shí)別與分析16常規(guī)脆弱性描述16\o"CurrentDocument"管理脆弱性16\o"CurrentDocument"網(wǎng)絡(luò)脆弱性16系統(tǒng)脆弱性16\o"CurrentDocument"應(yīng)用脆弱性16數(shù)據(jù)處理和存儲(chǔ)脆弱性16運(yùn)行維護(hù)脆弱性16災(zāi)備與應(yīng)急響應(yīng)脆弱性16\o"CurrentDocument"物理脆弱性16脆弱性專項(xiàng)檢查16木馬病毒專項(xiàng)檢查16服務(wù)器漏洞掃描專項(xiàng)檢測(cè)16安全設(shè)備漏洞掃描專項(xiàng)檢測(cè)26脆弱性綜合列表27風(fēng)險(xiǎn)分析32關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)計(jì)算結(jié)果32關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)等級(jí)36\o"CurrentDocument"風(fēng)險(xiǎn)等級(jí)列表36\o"CurrentDocument"風(fēng)險(xiǎn)等級(jí)統(tǒng)計(jì)37基于脆弱性的風(fēng)險(xiǎn)排名37\o"CurrentDocument"風(fēng)險(xiǎn)結(jié)果分析384.綜合分析與評(píng)價(jià)39綜合風(fēng)險(xiǎn)評(píng)價(jià)39風(fēng)險(xiǎn)控制角度需要解決的問題395.整改意見41

1.威脅識(shí)別與分析1.1.關(guān)鍵資產(chǎn)安全需求資產(chǎn)類別重要資產(chǎn)名稱重要性程度（重要等級(jí)）資產(chǎn)重要性說明安全需求光纖交換機(jī)Brocade300非常重要（5）保證XXXX系統(tǒng)數(shù)據(jù)正常傳輸?shù)酱疟P陣列的設(shè)備。可用性-系統(tǒng)可用性是必需的，價(jià)值非常高；保證各項(xiàng)系統(tǒng)數(shù)據(jù)正常傳輸?shù)酱疟P陣列。完整性-完整性價(jià)值非常關(guān)鍵，除管理員外其他任何用戶不能修改數(shù)據(jù)。保密性-包含組織的重要秘密，泄露將會(huì)造成嚴(yán)重?fù)p害。完整性-完整性價(jià)值非常關(guān)鍵，除管理員外其他任何用戶不能修改數(shù)據(jù)。保密性-包含組織的重要秘密，泄露將會(huì)造成嚴(yán)重?fù)p害。保密性-包含組織的重要秘密，泄露將會(huì)造成嚴(yán)重?fù)p害。保密性-包含組織的重要秘密，泄露將會(huì)造成嚴(yán)重?fù)p害。保密性-包含組織的重要秘密，泄露將會(huì)造成嚴(yán)重?fù)p害。存儲(chǔ)設(shè)備磁盤陣列HPEVA4400非常重要（5）XXXX系統(tǒng)數(shù)據(jù)存儲(chǔ)設(shè)備。可用性-系統(tǒng)可用性是必需的，價(jià)值非常咼；保證XXXX系統(tǒng)數(shù)據(jù)存儲(chǔ)功能持續(xù)正常運(yùn)行。完整性-完整性價(jià)值非常關(guān)鍵，除管理員外其他任何用戶不能修改數(shù)據(jù)。保密性-包含組織的重要秘密，泄露將會(huì)造成嚴(yán)重?fù)p害。保障設(shè)備UPS電源SANTAK3C3EX30KS重要（4）機(jī)房電力保障的重要設(shè)備?？捎眯?系統(tǒng)可用性價(jià)值較咼；保證XXXX系統(tǒng)供電工作正常。完整性-完整性價(jià)值較高；除授權(quán)人員外其他任何用戶不能修改數(shù)據(jù)。

資產(chǎn)類別重要資產(chǎn)名稱重要性程度（重要等級(jí)）資產(chǎn)重要性說明安全需求保密性-包含組織內(nèi)部可公開的信息，泄露將會(huì)造成輕微損害。完整性-完整性價(jià)值較高，除授權(quán)人員外其他任何用戶不能修改數(shù)據(jù)。保密性-包含組織的重要秘密，泄露將會(huì)造成嚴(yán)重?fù)p害。金農(nóng)一期業(yè)務(wù)系統(tǒng)4（高）部署在應(yīng)用服務(wù)器上?？捎眯?系統(tǒng)可用性價(jià)值較咼；保證XXXX數(shù)據(jù)正常采集。完整性-完整性價(jià)值較高，除授權(quán)人員外其他任何用戶不能修改數(shù)據(jù)。保密性-包含組織的重要秘密，泄露將會(huì)造成嚴(yán)重?fù)p害。備份管理軟件SymantecBackup重要（4）XXXX系統(tǒng)數(shù)據(jù)備份管理軟件。可用性-系統(tǒng)可用性價(jià)值較咼；保證XXXX系統(tǒng)數(shù)據(jù)備份管理功能正常運(yùn)行。完整性-完整性價(jià)值較高，除授權(quán)人員外其他任何用戶不能修改數(shù)據(jù)。保密性-包含組織的重要秘密，泄露將會(huì)造成嚴(yán)重?fù)p害。內(nèi)容管理軟件WCM-MUL-V60網(wǎng)站群版重要（4）用戶數(shù)據(jù)米編。可用性-系統(tǒng)可用性價(jià)值較咼；保證XXXX系統(tǒng)數(shù)據(jù)的米編。完整性-完整性價(jià)值較高，除授權(quán)人員外其他任何用戶不能修改數(shù)據(jù)。保密性-包含組織的重要秘密，泄露將會(huì)造成嚴(yán)重?fù)p害。數(shù)據(jù)XXXX系統(tǒng)數(shù)據(jù)非常重要（5）XXXX系統(tǒng)的核心數(shù)據(jù)?？捎眯?系統(tǒng)可用性是必需的，價(jià)值非常咼；保證XXXX系統(tǒng)的核心數(shù)據(jù)能夠正常讀取及使用。完整性-完整性價(jià)值非常關(guān)鍵，除管理員外其他任何用戶不能修改數(shù)據(jù)。保密性-包含組織的重要秘密，泄露將會(huì)造成嚴(yán)重?fù)p害。

關(guān)鍵資產(chǎn)威脅概要威脅是一種客觀存在的，對(duì)組織及其資產(chǎn)構(gòu)成潛在破壞的可能性因素，通過對(duì)“xxxxxxxxxxxxxxxxxxxx信息系統(tǒng)”關(guān)鍵資產(chǎn)進(jìn)行調(diào)查，對(duì)威脅來源（內(nèi)部/外部；主觀/不可抗力等）、威脅方式、發(fā)生的可能性等進(jìn)行分析，如下表所示：關(guān)鍵資產(chǎn)名稱威脅類型關(guān)注范圍核心交換機(jī)QuidwayS3300Series操作失誤（維護(hù)錯(cuò)誤、操作失誤）維護(hù)人員操作不當(dāng)，導(dǎo)致交換機(jī)服務(wù)異常或中斷，導(dǎo)致金農(nóng)一期系統(tǒng)無法正常使用。社會(huì)工程（社會(huì)工程學(xué)破解）流行的免費(fèi)下載軟件中捆綁流氓軟件、免費(fèi)音樂中包含病毒、網(wǎng)絡(luò)釣魚、垃圾電子郵件中包括間諜軟件等，引起系統(tǒng)安全問題。物理破壞（斷電、消防、盜竊和破壞）物理斷電導(dǎo)致關(guān)鍵設(shè)備停止工作，服務(wù)中斷。火災(zāi)隱患威脅系統(tǒng)正常運(yùn)行。濫用授權(quán)（非授權(quán)訪問網(wǎng)絡(luò)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)）管理地址未與特定主機(jī)進(jìn)行綁定，可導(dǎo)致非授權(quán)人員訪問核心父換機(jī)，修改系統(tǒng)配置或數(shù)據(jù)，造成網(wǎng)絡(luò)中斷。意外故障（設(shè)備硬件故障、傳輸設(shè)備故障）硬件故障、傳輸設(shè)備故障，可能導(dǎo)致整個(gè)中心機(jī)房網(wǎng)絡(luò)中斷，造成業(yè)務(wù)應(yīng)用無法正常運(yùn)行。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無序，造成安全監(jiān)管漏洞和缺失。光纖交換機(jī)Brocade300操作失誤（維護(hù)錯(cuò)誤、操作失誤）維護(hù)人員操作不當(dāng)，導(dǎo)致交換機(jī)服務(wù)異?；蛑袛?，導(dǎo)致金農(nóng)一期數(shù)據(jù)無法正常保存到磁盤陣列。物理破壞（斷電、消防、盜竊和破壞）物理斷電導(dǎo)致關(guān)鍵設(shè)備停止工作，服務(wù)中斷。火災(zāi)隱患威脅系統(tǒng)正常運(yùn)行。濫用授權(quán)（非授權(quán)訪問網(wǎng)絡(luò)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)）管理地址未與特定主機(jī)進(jìn)行綁定，可導(dǎo)致非授權(quán)人員訪問光纖父換機(jī)，修改系統(tǒng)配置或數(shù)據(jù)，造成數(shù)據(jù)存儲(chǔ)任務(wù)失敗。意外故障（設(shè)備硬件故障、傳輸設(shè)備故障）硬件故障、傳輸設(shè)備故障，可能導(dǎo)致磁盤陣列無法連接到網(wǎng)絡(luò)，造成數(shù)據(jù)存儲(chǔ)失敗。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)安全管理制度不完善，策略執(zhí)行無序，造成安全監(jiān)管漏洞和缺失。

關(guān)鍵資產(chǎn)名稱威脅類型關(guān)注范圍督控管機(jī)制不健全）電信接入交換機(jī)QuidwayS3300Series操作失誤（維護(hù)錯(cuò)誤、操作失誤）維護(hù)人員操作不當(dāng)，導(dǎo)致交換機(jī)服務(wù)異常或中斷，導(dǎo)致金農(nóng)一期系統(tǒng)無法通過互聯(lián)網(wǎng)訪問。物理破壞（斷電、消防、盜竊和破壞）物理斷電導(dǎo)致關(guān)鍵設(shè)備停止工作，服務(wù)中斷?；馂?zāi)隱患威脅系統(tǒng)正常運(yùn)行。濫用授權(quán)（非授權(quán)訪問網(wǎng)絡(luò)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)）管理地址未與特定主機(jī)進(jìn)行綁定，可導(dǎo)致非授權(quán)人員訪問電信接入交換機(jī)，修改系統(tǒng)配置或數(shù)據(jù)，造成網(wǎng)絡(luò)中斷。意外故障（設(shè)備硬件故障、傳輸設(shè)備故障）設(shè)備硬件故障、傳輸設(shè)備故障，可能導(dǎo)致所有終端的網(wǎng)絡(luò)傳輸中斷，影響各辦公室用戶接入網(wǎng)絡(luò)。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無序，造成安全監(jiān)管漏洞和缺失。電信出口路由器操作失誤（維護(hù)錯(cuò)誤、操作失誤）維護(hù)人員操作不當(dāng)，導(dǎo)致出口路由器服務(wù)異?；蛑袛啵绊懙厥兄菰L問金農(nóng)一期系統(tǒng)。物理破壞（斷電、消防、盜竊和破壞）物理斷電導(dǎo)致關(guān)鍵設(shè)備停止工作，服務(wù)中斷?；馂?zāi)隱患威脅系統(tǒng)正常運(yùn)行。濫用授權(quán)（非授權(quán)訪問網(wǎng)絡(luò)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)）管理地址未與特定主機(jī)進(jìn)行綁定，可導(dǎo)致非授權(quán)人員訪問電信出口路由器，修改系統(tǒng)配置或數(shù)據(jù)，造成互聯(lián)網(wǎng)通信線路中斷。意外故障（設(shè)備硬件故障、傳輸設(shè)備故障）設(shè)備硬件故障、傳輸設(shè)備故障，可能導(dǎo)致所有終端的網(wǎng)絡(luò)無法接入互聯(lián)網(wǎng)。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無序，造成安全監(jiān)管漏洞和缺失。數(shù)據(jù)庫服務(wù)器漏洞利用（利用漏洞竊取信息、利用漏洞破壞信息、利用漏洞破壞系統(tǒng)）非法入侵者利用漏洞侵入系統(tǒng)篡改或破壞，可能導(dǎo)致數(shù)據(jù)不可用或完整性丟失。系統(tǒng)漏洞導(dǎo)致信息丟失、信息破壞、系統(tǒng)破壞，服務(wù)不可用。

關(guān)鍵資產(chǎn)名稱威脅類型關(guān)注范圍惡意代碼（病毒、木馬、間諜軟件、竊聽軟件）系統(tǒng)可能受到病毒、木馬、間諜軟件、竊聽軟件的影響。物理破壞（斷電、消防、盜竊和破壞）物理斷電導(dǎo)致關(guān)鍵設(shè)備停止工作，服務(wù)中斷?；馂?zāi)隱患威脅系統(tǒng)正常運(yùn)行。意外故障（設(shè)備硬件故障）硬件及系統(tǒng)故障導(dǎo)致系統(tǒng)不可用，服務(wù)中斷。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無序，造成安全監(jiān)管漏洞和缺失。數(shù)據(jù)庫備份服務(wù)器漏洞利用（利用漏洞竊取信息、利用漏洞破壞信息、利用漏洞破壞系統(tǒng)）非法入侵者利用漏洞侵入系統(tǒng)篡改或破壞，可能導(dǎo)致備份數(shù)據(jù)不可用或完整性丟失。惡意代碼（病毒、木馬、間諜軟件、竊聽軟件）系統(tǒng)可能受到病毒、木馬、間諜軟件、竊聽軟件的影響。物理破壞（斷電、消防、盜竊和破壞）物理斷電導(dǎo)致關(guān)鍵設(shè)備停止工作，數(shù)據(jù)備份服務(wù)中斷?；馂?zāi)隱患威脅系統(tǒng)正常運(yùn)行。意外故障（設(shè)備硬件故障）服務(wù)器系統(tǒng)本身軟硬件故障導(dǎo)致數(shù)據(jù)備份不可用。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無序，造成安全監(jiān)管漏洞和缺失。業(yè)務(wù)應(yīng)用服務(wù)器漏洞利用（利用漏洞竊取信息、利用漏洞破壞信息、利用漏洞破壞系統(tǒng)）非法入侵者利用漏洞侵入系統(tǒng)篡改或破壞，可能導(dǎo)致系統(tǒng)業(yè)務(wù)中斷。入侵者利用系統(tǒng)漏洞攻擊系統(tǒng)，導(dǎo)致服務(wù)中斷。惡意代碼（病毒、木馬、間諜軟件、竊聽軟件）系統(tǒng)可能受到病毒、木馬、間諜軟件、竊聽軟件的影響。物理破壞（斷電、消防、盜竊和破壞）物理斷電導(dǎo)致關(guān)鍵設(shè)備停止工作，服務(wù)中斷?；馂?zāi)隱患威脅系統(tǒng)正常運(yùn)行。

關(guān)鍵資產(chǎn)名稱威脅類型關(guān)注范圍意外故障（設(shè)備硬件故障、應(yīng)用軟件故障）硬件及系統(tǒng)故障導(dǎo)致系統(tǒng)不可用，服務(wù)中斷。應(yīng)用軟件故障導(dǎo)致服務(wù)中斷。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無序，造成安全監(jiān)管漏洞和缺失。部級(jí)下發(fā)服務(wù)器漏洞利用（利用漏洞竊取信息、利用漏洞破壞信息、利用漏洞破壞系統(tǒng)）非法入侵者利用漏洞侵入系統(tǒng)篡改或破壞，可能導(dǎo)致下發(fā)數(shù)據(jù)丟失。入侵者利用系統(tǒng)漏洞攻擊系統(tǒng)，導(dǎo)致部級(jí)數(shù)據(jù)無法接收。惡意代碼（病毒、木馬、間諜軟件、竊聽軟件）系統(tǒng)可能受到病毒、木馬、間諜軟件、竊聽軟件的影響。物理破壞（斷電、消防、盜竊和破壞）物理斷電導(dǎo)致關(guān)鍵設(shè)備停止工作，部級(jí)數(shù)據(jù)無法接收。火災(zāi)隱患威脅系統(tǒng)正常運(yùn)行。意外故障（設(shè)備硬件故障、應(yīng)用軟件故障）硬件及系統(tǒng)故障導(dǎo)致系統(tǒng)不可用，部級(jí)數(shù)據(jù)無法接收。應(yīng)用軟件故障導(dǎo)致部級(jí)數(shù)據(jù)無法接收。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無序，造成安全監(jiān)管漏洞和缺失。數(shù)據(jù)采集前置機(jī)漏洞利用（利用漏洞竊取信息、利用漏洞破壞信息、利用漏洞破壞系統(tǒng)）非法入侵者利用漏洞侵入系統(tǒng)篡改或破壞，可能導(dǎo)致數(shù)據(jù)不可用或完整性丟失。系統(tǒng)來賓帳號(hào)密碼為空，具有一定安全風(fēng)險(xiǎn)。惡意代碼（病毒、木馬、間諜軟件、竊聽軟件）系統(tǒng)可能受到病毒、木馬、間諜軟件、竊聽軟件的影響。物理破壞（斷電、消防、盜竊和破壞）物理斷電導(dǎo)致關(guān)鍵設(shè)備停止工作，服務(wù)中斷。火災(zāi)隱患威脅系統(tǒng)正常運(yùn)行。意外故障（設(shè)備硬件故硬件及系統(tǒng)故障導(dǎo)致系統(tǒng)不可用，服務(wù)中斷。

關(guān)鍵資產(chǎn)名稱威脅類型關(guān)注范圍障、應(yīng)用軟件故障）應(yīng)用軟件故障導(dǎo)致服務(wù)不可用。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無序，造成安全監(jiān)管漏洞和缺失。應(yīng)用支撐平臺(tái)服務(wù)器漏洞利用（利用漏洞竊取信息、利用漏洞破壞信息、利用漏洞破壞系統(tǒng)）非法入侵者利用漏洞侵入系統(tǒng)篡改或破壞，可能導(dǎo)致數(shù)據(jù)不可用或完整性丟失。入侵者利用系統(tǒng)漏洞攻擊系統(tǒng)，導(dǎo)致服務(wù)中斷。惡意代碼（病毒、木馬、間諜軟件、竊聽軟件）系統(tǒng)可能受到病毒、木馬、間諜軟件、竊聽軟件的影響。物理破壞（斷電、消防、盜竊和破壞）物理斷電導(dǎo)致關(guān)鍵設(shè)備停止工作，服務(wù)中斷?；馂?zāi)隱患威脅系統(tǒng)正常運(yùn)行。意外故障（設(shè)備硬件故障、應(yīng)用軟件故障）硬件及系統(tǒng)故障導(dǎo)致系統(tǒng)不可用，服務(wù)中斷。應(yīng)用軟件故障導(dǎo)致服務(wù)中斷。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無序，造成安全監(jiān)管漏洞和缺失。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無序，造成安全監(jiān)管漏洞和缺失。磁盤陣列HPEVA4400物理破壞（斷電、消防、盜竊和破壞）物理斷電導(dǎo)致關(guān)鍵設(shè)備停止工作，服務(wù)中斷?；馂?zāi)隱患威脅系統(tǒng)正常運(yùn)行。意外故障（設(shè)備硬件故障、存儲(chǔ)媒體故障）硬件故障，可能導(dǎo)致征金農(nóng)一期業(yè)務(wù)數(shù)據(jù)的錯(cuò)誤、異常、丟失，進(jìn)而導(dǎo)致所有業(yè)務(wù)中斷。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無序，造成安全監(jiān)管漏洞和缺失。UPS電源操作失誤（無作為）UPS若損壞，該設(shè)備功能失效。

關(guān)鍵資產(chǎn)名稱威脅類型關(guān)注范圍SANTAK3C3EX30KS電源中斷（備用電源中斷）電源中斷導(dǎo)致UPS停止工作，無法正常儲(chǔ)備電源。意外故障（設(shè)備硬件故障）硬件故障，遇到機(jī)房供電問題，導(dǎo)致應(yīng)用服務(wù)中斷。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無序，造成安全監(jiān)管漏洞。UPS無專人對(duì)其定期進(jìn)行充放電操作，可導(dǎo)致UPS能效降低。千兆防火墻綠盟SG1200Series操作失誤（操作失誤）千兆防火墻配置管理由外包公司維護(hù)，當(dāng)系統(tǒng)發(fā)生故障時(shí)，系統(tǒng)恢復(fù)不可控，易引發(fā)操作失誤。社會(huì)工程（社會(huì)工程學(xué)破解）流行的免費(fèi)下載軟件中捆綁流氓軟件、免費(fèi)音樂中包含病毒、網(wǎng)絡(luò)釣魚、垃圾電子郵件中包括間諜軟件等，引起系統(tǒng)安全問題。物理破壞（斷電、消防、盜竊和破壞）物理斷電導(dǎo)致設(shè)備停止工作。火災(zāi)隱患威脅系統(tǒng)正常運(yùn)行。濫用授權(quán)（非授權(quán)訪問網(wǎng)絡(luò)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)）管理地址未與特定主機(jī)進(jìn)行綁定，可導(dǎo)致非授權(quán)人員訪問防火墻。管理地址未與特定主機(jī)進(jìn)行綁定，可導(dǎo)致非授權(quán)人員修改系統(tǒng)配置或數(shù)據(jù)，造成網(wǎng)絡(luò)中斷。意外故障（設(shè)備硬件故障、傳輸設(shè)備故障）硬件故障、傳輸故障，可能導(dǎo)致中心機(jī)房與互聯(lián)網(wǎng)的通信中斷，或中心機(jī)房與電子政務(wù)外網(wǎng)的通信中斷，或網(wǎng)絡(luò)邊界安全防護(hù)服務(wù)功能喪失，造成中心機(jī)房各服務(wù)器和業(yè)務(wù)數(shù)據(jù)的安全威脅。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無序，造成安全監(jiān)管漏洞和缺失。IDS入侵檢測(cè)系統(tǒng)綠盟操作失誤（維護(hù)錯(cuò)誤、操作失誤）設(shè)備管理由外包公司維護(hù)，當(dāng)系統(tǒng)發(fā)生故障時(shí)，系統(tǒng)恢復(fù)不可控，易引發(fā)操作失誤。物理破壞（斷電、消防、物理斷電導(dǎo)致設(shè)備停止工作。

關(guān)鍵資產(chǎn)名稱威脅類型關(guān)注范圍NIDS1200Series盜竊和破壞）火災(zāi)隱患威脅系統(tǒng)正常運(yùn)行。濫用授權(quán)（非授權(quán)訪問網(wǎng)絡(luò)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)）管理地址未與特定主機(jī)進(jìn)行綁定，可導(dǎo)致非授權(quán)人員訪問IDS。管理地址未與特定主機(jī)進(jìn)行綁定，可導(dǎo)致非授權(quán)人員修改系統(tǒng)配置或數(shù)據(jù)。意外故障（設(shè)備硬件故障）硬件故障，可能導(dǎo)致IDS無法正常使用，無法監(jiān)控網(wǎng)絡(luò)中的入侵和攻擊行為。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無序，造成安全監(jiān)管漏洞和缺失。入侵防護(hù)系統(tǒng)綠盟NIPS1000Series操作失誤（操作失誤）設(shè)備管理由外包公司維護(hù)，當(dāng)系統(tǒng)發(fā)生故障時(shí)，系統(tǒng)恢復(fù)不可控，易引發(fā)操作失誤。物理破壞（斷電、消防、盜竊和破壞）物理斷電導(dǎo)致設(shè)備停止工作?；馂?zāi)隱患威脅系統(tǒng)正常運(yùn)行。濫用授權(quán)（非授權(quán)訪問網(wǎng)絡(luò)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)）管理地址未與特定主機(jī)進(jìn)行綁定，可導(dǎo)致非授權(quán)人員訪問應(yīng)用安全管理系統(tǒng)。管理地址未與特定主機(jī)進(jìn)行綁定，可導(dǎo)致非授權(quán)人員修改系統(tǒng)配置或數(shù)據(jù)。意外故障（設(shè)備硬件故障）硬件故障，可能導(dǎo)致入侵防護(hù)系統(tǒng)無法正常使用，無法防御網(wǎng)絡(luò)入侵。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無序，造成安全監(jiān)管漏洞和缺失。SQLServer2008標(biāo)準(zhǔn)版操作失誤（操作失誤）數(shù)據(jù)庫管理由外包公司維護(hù)，當(dāng)系統(tǒng)發(fā)生故障時(shí)，系統(tǒng)恢復(fù)不可控，易引發(fā)操作失誤。意外故障（數(shù)據(jù)庫軟件故障）數(shù)據(jù)庫軟件故障，可導(dǎo)致系統(tǒng)的核心數(shù)據(jù)嚴(yán)重?fù)p失。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)安全管理制度不完善，策略執(zhí)行無序，造成安全監(jiān)管漏洞和缺失。

關(guān)鍵資產(chǎn)名稱威脅類型關(guān)注范圍督控管機(jī)制不健全）系統(tǒng)具備數(shù)據(jù)備份與恢復(fù)機(jī)制，但應(yīng)加強(qiáng)管理，以備恢復(fù)使用。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無序，造成安全監(jiān)管漏洞和缺失。金農(nóng)一期應(yīng)用系統(tǒng)操作失誤（維護(hù)錯(cuò)誤、操作失誤）系統(tǒng)軟件可能在維護(hù)中出現(xiàn)錯(cuò)誤。身份假冒（用戶身份偽裝和欺騙）身份被冒用，產(chǎn)生欺騙行為?？诹罟簦ㄐ崽娇诹?、暴力破解）對(duì)互聯(lián)網(wǎng)用戶發(fā)布，可能遭到口令攻擊，如口令嗅探和暴力破解。社會(huì)工程（社會(huì)工程學(xué)破解）流行的免費(fèi)下載軟件中捆綁流氓軟件、免費(fèi)音樂中包含病毒、網(wǎng)絡(luò)釣魚、垃圾電子郵件中包括間諜軟件等，引起系統(tǒng)安全問題。意外故障（應(yīng)用軟件故障）軟件故障，可能導(dǎo)致XXXX業(yè)務(wù)無法正常使用。管理不到位（管理制度和策略不完善、管理規(guī)程遺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全）安全管理制度不完善，策略執(zhí)行無序，無相關(guān)記錄，造成安全監(jiān)管漏洞和缺失。1.3.威脅描述匯總威脅種類威脅子類存在的威脅描述影響威脅發(fā)生頻率作用對(duì)象（完整性修改、機(jī)密性暴露、可用性遺失描述）（很高5/高4/中3/低2/很低1）利用漏洞破壞信息系統(tǒng)數(shù)據(jù)易通過漏洞被破壞。數(shù)據(jù)庫遭受網(wǎng)絡(luò)攻擊，如數(shù)據(jù)完整性被修改，可能會(huì)發(fā)生安全事件。4（高）數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)庫備份服務(wù)器、業(yè)務(wù)應(yīng)用服務(wù)器、部級(jí)下發(fā)服務(wù)器、數(shù)據(jù)采集前置機(jī)、應(yīng)用支撐平臺(tái)服務(wù)器。

威脅種類威脅子類存在的威脅描述影響威脅發(fā)生頻率作用對(duì)象（完整性修改、機(jī)密性暴露、可用性遺失描述）（很高5/高4/中3/低2/很低1）利用漏洞破壞系統(tǒng)系統(tǒng)數(shù)據(jù)易通過漏洞被破壞。服務(wù)器遭受網(wǎng)絡(luò)攻擊，可能使內(nèi)部網(wǎng)絡(luò)、服務(wù)器設(shè)施的因攻擊而產(chǎn)生通信中斷故障或安全服務(wù)中斷，從而導(dǎo)致可用性遺失。4（高）數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)庫備份服務(wù)器、業(yè)務(wù)應(yīng)用服務(wù)器、部級(jí)下發(fā)服務(wù)器、數(shù)據(jù)采集前置機(jī)、應(yīng)用支撐平臺(tái)服務(wù)器。管理規(guī)程缺失管理規(guī)程缺失，易造成安全監(jiān)管漏洞。管理規(guī)程存在缺陷，可能導(dǎo)致針對(duì)關(guān)鍵資產(chǎn)的日常運(yùn)維管理方面出現(xiàn)漏洞。3（中）所有資產(chǎn)職責(zé)不明確職責(zé)不明確，易造成安全監(jiān)管漏洞。職責(zé)不明確，可導(dǎo)致安全監(jiān)管漏洞。3（中）所有資產(chǎn)監(jiān)督控管機(jī)制不健全監(jiān)督控管機(jī)制不健全，易造成安全監(jiān)管漏洞。監(jiān)督控管機(jī)制等方面存在缺陷，導(dǎo)致完整性或可用性的遺失。3（中）所有資產(chǎn)1.4.威脅賦值資產(chǎn)名稱威脅操作失誤濫用授權(quán)行為抵賴身份假冒口令攻擊密碼分析漏洞利用拒絕服務(wù)惡意代碼竊取數(shù)據(jù)物理破壞社會(huì)工程意外故障通信中斷數(shù)據(jù)受損電源中斷災(zāi)害管理不到位越權(quán)使用核心交換機(jī)242443光纖交換機(jī)24243

資產(chǎn)名稱威脅操作失誤濫用授權(quán)行為抵賴身份假冒口令攻擊密碼分析漏洞利用拒絕服務(wù)惡意代碼竊取數(shù)據(jù)物理破壞社會(huì)工程意外故障通信中斷數(shù)據(jù)受損電源中斷災(zāi)害管理不到位越權(quán)使用電信接入交換機(jī)24243電信出口路由器24243數(shù)據(jù)庫服務(wù)器42243數(shù)據(jù)庫備份服務(wù)器42243業(yè)務(wù)應(yīng)用服務(wù)器42243部級(jí)下發(fā)服務(wù)器42243數(shù)據(jù)米集前置機(jī)42243應(yīng)用支撐平臺(tái)服務(wù)器42243磁盤陣列243UPS電源2423千兆防火墻242443IDS入侵檢測(cè)系統(tǒng)24243入侵防護(hù)系統(tǒng)24243SQLServer2008223

資產(chǎn)名稱威脅操作失誤濫用授權(quán)行為抵賴身份假冒口攻擊密碼分析漏洞利用拒絕服務(wù)惡意代碼竊取數(shù)據(jù)物理破壞社會(huì)程意外故障通信中斷數(shù)據(jù)受損電源中斷災(zāi)害管理不到位越權(quán)使用備份管理軟件223內(nèi)容管理軟件WCM-MUL-V60網(wǎng)站群版223XXXX系統(tǒng)數(shù)據(jù)423金農(nóng)一期業(yè)務(wù)系統(tǒng)4344332.脆弱性識(shí)別與分析2.脆弱性識(shí)別與分析常規(guī)脆弱性描述2.1.1.管理脆弱性>……2.1.2.網(wǎng)絡(luò)脆弱性>……2?1?3?系統(tǒng)脆弱性>……2?1?4.應(yīng)用脆弱性>???..2.1.5.數(shù)據(jù)處理和存儲(chǔ)脆弱性>???..2.L6.運(yùn)行維護(hù)脆弱性>….2,1,7,災(zāi)備與應(yīng)急響應(yīng)脆弱性A???2.L8.物理脆弱性A…。脆弱性專項(xiàng)檢查木馬病毒專項(xiàng)檢查A信息系統(tǒng)配置異常流量監(jiān)控系統(tǒng)、入侵防護(hù)、入侵檢測(cè)、防病毒網(wǎng)關(guān)，均通過聯(lián)網(wǎng)升級(jí)；A系統(tǒng)安裝瑞星殺毒軟件，程序版本號(hào)，升級(jí)設(shè)置為“即時(shí)升級(jí)”，殺毒引擎級(jí)別設(shè)置為中。服務(wù)器漏洞掃描專項(xiàng)檢測(cè)A主機(jī)掃描統(tǒng)計(jì)列表

序號(hào)IP地址漏洞總數(shù)高危險(xiǎn)漏洞中危險(xiǎn)漏洞低危險(xiǎn)漏洞服務(wù)總數(shù)用戶總數(shù)風(fēng)險(xiǎn)分值安全狀態(tài)＞漏洞統(tǒng)計(jì)序號(hào)漏洞名稱危險(xiǎn)級(jí)別漏洞類別發(fā)現(xiàn)主機(jī)遠(yuǎn)程主機(jī)正在運(yùn)行終端服務(wù)低信息收集類匿名IPC$連接檢查低NT口令類可以通過NetBios獲取操作系統(tǒng)信息低信息收集類ICMP時(shí)間戳獲取低信息收集類遠(yuǎn)稈主機(jī)HTTP/WWW服務(wù)正在運(yùn)行低信息收集類WWWWeb服務(wù)器版本檢查低信息收集類SNMP使用默認(rèn)團(tuán)體名高SNMP類SNMP泄露Wins用戶名中SNMP類SNMP不能通知managementstations中SNMP類＞服務(wù)統(tǒng)計(jì)序號(hào)服務(wù)名稱端口協(xié)議描述發(fā)現(xiàn)主機(jī)1ms—term-services3389TCP2Microsoft—ds445TCPMicrosoft-DS3loc—srv135TCPLocationService4會(huì)話服務(wù)139TCPNETBIOS會(huì)話服務(wù)

序號(hào)服務(wù)名稱端口協(xié)議描述發(fā)現(xiàn)主機(jī)5Compaq—https2381TCPCompaqHTTPS6compaqdiag2301TCPCompaqremotediagnosticmanagement7ndmp10000TCPNetworkDataManagementProtocol8超文本傳輸協(xié)議80TCPWorldWideWeb(WWW)服務(wù)器9ms—sql—s1433TCPMicrosoft—SQL—Server10未知端口8087TCP漏洞掃描詳細(xì)列表?snmp使用默認(rèn)團(tuán)體名發(fā)現(xiàn)主機(jī)漏洞分類SNMP類危險(xiǎn)級(jí)別高影響平臺(tái)SNMP詳細(xì)描述Windows的SimpleNetworkManagementProtocol(SNMP)使用默認(rèn)的public團(tuán)體名。攻擊者可以利用SimpleNetworkManagementProtocol(SNMP)取得有關(guān)機(jī)器的有用信息，例如網(wǎng)絡(luò)設(shè)備的信息，有那些打開的連接等等。?ApacheTomcatTransfer-Encoding頭處理拒絕服務(wù)和信息泄露漏洞發(fā)現(xiàn)主機(jī)漏洞分類CGI類危險(xiǎn)級(jí)別中影響平臺(tái)ApacheTomcatand7.0.0beta

詳細(xì)描述ApacheTomcat是一個(gè)流彳丁的開放源碼的JSP應(yīng)用服務(wù)器程序。ApacheTomcat服務(wù)器在處理HTTP請(qǐng)求中的Transfer-Encoding頭時(shí)存在多個(gè)錯(cuò)誤，導(dǎo)致無法循環(huán)使用緩沖區(qū)。遠(yuǎn)程攻擊者可以利用這個(gè)漏洞導(dǎo)致之后的請(qǐng)求失敗，或在請(qǐng)求之間泄露信息。?SNMP不能通知managementstations發(fā)現(xiàn)主機(jī)漏洞分類SNMP類危險(xiǎn)級(jí)別中影響平臺(tái)SNMP詳細(xì)描述很多SNMPagents可以被配置在收到認(rèn)證不合格的SNMP消息后發(fā)送SNMPtrap或通知到管理臺(tái)。如果可以寫入snmpEnableAuthenTrapsobject,這些通知便可以不發(fā)，從而阻止agent發(fā)送通知。?SNMP泄露Wins用戶名發(fā)現(xiàn)主機(jī)漏洞分類SNMP類危險(xiǎn)級(jí)別中影響平臺(tái)WindowsNT、Windows2000詳細(xì)描述該漏洞表明通過SNMP可以暴露WindowsNT上的所有用戶名。?SNMP服務(wù)正在運(yùn)行發(fā)現(xiàn)主機(jī)漏洞分類SNMP類危險(xiǎn)級(jí)別低影響平臺(tái)SNMP詳細(xì)描述SNMP服務(wù)被檢測(cè)到正在運(yùn)彳丁，當(dāng)SNMP使用了默認(rèn)的團(tuán)體名public或private時(shí)，攻擊者可以利用SimpleNetworkManagementProtocol(SNMP)取得有關(guān)機(jī)器的有用信息。不設(shè)置團(tuán)體名更加危險(xiǎn)，因?yàn)檫@意味著任意團(tuán)體名都可以訪問。

?SNMP代理泄露網(wǎng)絡(luò)接口的信息發(fā)現(xiàn)主機(jī)漏洞分類SNMP類危險(xiǎn)級(jí)別低影響平臺(tái)SNMP詳細(xì)描述所有SNMPagents都支持標(biāo)準(zhǔn)的MIB-IIifTable。這個(gè)表含有機(jī)器所支持的每個(gè)接口的IP地址及網(wǎng)絡(luò)掩碼。這些信息暴露了網(wǎng)絡(luò)連接和網(wǎng)絡(luò)設(shè)備的信息。?SNMP提供遠(yuǎn)程監(jiān)控信息發(fā)現(xiàn)主機(jī)漏洞分類SNMP類危險(xiǎn)級(jí)別低影響平臺(tái)SNMP詳細(xì)描述一個(gè)活動(dòng)的RemoteMonitoring(RMON)探測(cè)可以遠(yuǎn)稈監(jiān)控應(yīng)用程序、網(wǎng)絡(luò)流量及用戶。?SNMP提供遠(yuǎn)程路由信息發(fā)現(xiàn)主機(jī)漏洞分類SNMP類危險(xiǎn)級(jí)別低影響平臺(tái)SNMP詳細(xì)描述很多SNMPagents都支持MIB-II標(biāo)準(zhǔn)的ipRouteTable。這個(gè)表包括了IP地址及網(wǎng)絡(luò)掩碼，協(xié)議類型((prototype)等信息。這些信息暴露了網(wǎng)絡(luò)連接和網(wǎng)絡(luò)設(shè)備的信息。?SSH信息獲取發(fā)現(xiàn)主機(jī)漏洞分類信息收集類

危險(xiǎn)級(jí)別低影響平臺(tái)SSH詳細(xì)描述通過與目標(biāo)主機(jī)SSH守護(hù)進(jìn)程通訊，可獲得