卷煙廠風(fēng)險評估報告

xx集團風(fēng)險評估詢問工程xx卷煙廠安全風(fēng)險評估報告文檔名稱風(fēng)險評估報告文檔名稱風(fēng)險評估報告保密級別內(nèi)部使用文檔版本編號擬定人更改記錄日期被修改的章節(jié)修改類型*修改描述修改人文檔信息*修改類型分為M-MODIFIED D-DELETED分發(fā)掌握1分發(fā)掌握1讀者文檔權(quán)限全體工程組與文檔的主要關(guān)系-本文檔存檔-必需依據(jù)本文檔的要求2 讀取成員進展全部工程文檔的編寫、治理和使用版權(quán)聲明遵守全部適用的版權(quán)法律是用戶的責(zé)任。在不對版權(quán)法所規(guī)定的權(quán)利加以限制xxxx公司擁有本文檔主題涉及到的專利、專利申請、商標(biāo)、版權(quán)或其他學(xué)問產(chǎn)權(quán)。除非在xx專利、商標(biāo)、版權(quán)或其它學(xué)問產(chǎn)權(quán)的許可證。名目章節(jié)名目\l“_TOC_250055“第1章綜述 1\l“_TOC_250054“前言 1\l“_TOC_250053“工程目標(biāo) 1\l“_TOC_250052“工程范圍 2\l“_TOC_250051“工程總體范圍 2\l“_TOC_250050“內(nèi)容范圍 2\l“_TOC_250049“人員范圍 2第2章安全現(xiàn)狀 \l“_TOC_250048“網(wǎng)絡(luò) 3\l“_TOC_250047“網(wǎng)絡(luò)拓?fù)洮F(xiàn)狀 3\l“_TOC_250046“弱點分析 4\l“_TOC_250045“主機 6\l“_TOC_250044“卷包一車間—一號工6\l“_TOC_250043“卷包一車間—高架8\l“_TOC_250042“卷包二車間 10\l“_TOC_250041“制絲二車間 12\l“_TOC_250040“動力車間 14\l“_TOC_250039“中試車間 15\l“_TOC_250038“復(fù)烤一車間 17\l“_TOC_250037“人工檢查分析 19\l“_TOC_250036“辦公終端 21\l“_TOC_250035“第3章安全風(fēng)險分析 23\l“_TOC_250034“3.1網(wǎng)絡(luò) 23\l“_TOC_250033“生產(chǎn)網(wǎng)與辦公網(wǎng)混23\l“_TOC_250032“大局部車間生產(chǎn)網(wǎng)相互獨24僅供啟明星辰、紅塔工程組內(nèi)部使用 I\l“_TOC_250031“生產(chǎn)效勞器與監(jiān)控維護終端間缺乏訪問掌握措24\l“_TOC_250030“現(xiàn)有網(wǎng)絡(luò)安全設(shè)備運行策略缺25\l“_TOC_250029“網(wǎng)絡(luò)單點故障 26\l“_TOC_250028“網(wǎng)絡(luò)中缺乏必要的安全防護設(shè)26\l“_TOC_250027“3.2主機 27\l“_TOC_250026“補丁升級不完善 27\l“_TOC_250025“病毒防護軟件 28\l“_TOC_250024“存在局部弱口令 28\l“_TOC_250023“未配置安全策略 29\l“_TOC_250022“開放有危急且不必需的效勞30\l“_TOC_250021“未安全配置Syslog日志 30\l“_TOC_250020“辦公終端 31\l“_TOC_250019“補丁升級不完善 31\l“_TOC_250018“缺乏單機防火墻 32\l“_TOC_250017“用戶帳號治理缺32\l“_TOC_250016“開放有很多不必需且危急的效勞33\l“_TOC_250015“安全策略配置 34\l“_TOC_250014“風(fēng)險匯總排序 34\l“_TOC_250013“第4章安全解決方案 36\l“_TOC_250012“安全解決方案設(shè)計 36\l“_TOC_250011“網(wǎng)絡(luò)安全建設(shè) 38\l“_TOC_250010“生產(chǎn)網(wǎng)的整合建38\l“_TOC_250009“網(wǎng)絡(luò)安全域的劃40\l“_TOC_250008“網(wǎng)絡(luò)安全設(shè)備部42\l“_TOC_250007“網(wǎng)絡(luò)及安全設(shè)備加42\l“_TOC_250006“主機安全建設(shè) 44\l“_TOC_250005“主機安全加固 44\l“_TOC_250004“病毒防護體系建46\l“_TOC_250003“業(yè)務(wù)審計系統(tǒng)建47\l“_TOC_250002“辦公終端安全建設(shè) 48\l“_TOC_250001“終端安全加固 48\l“_TOC_250000“終端安全治理系統(tǒng)建49圖名目圖2-1卷包一車間現(xiàn)狀 3圖2-2制絲一車間現(xiàn)狀 4圖2-3動力車間現(xiàn)狀 4圖2-4中試車間現(xiàn)狀 4圖2-5卷包一車間-一號工程主機危急程度分布圖 6卷包一車間-一號工程TOP10高風(fēng)險漏洞 8圖2-7卷包一車間-高架庫主機危急程度分布圖 9卷包一車間-高架庫TOP高風(fēng)險漏洞 10圖2-9卷包二車間主機危急程度分布圖 11圖2-10卷包二車間TOP10高風(fēng)險漏洞 12圖2-11制絲二車間主機危急程度分布圖 13圖2-12制絲二車間漏洞分布 13圖2-13制絲二車間TOP10高風(fēng)險漏洞 13圖2-14動力車間主機危急程度分布 14圖2-15動力車間TOP10高風(fēng)險漏洞 15圖2-16中試車間主機危急程度分布 16圖2-17中試車間TOP10高風(fēng)險漏洞 17圖2-18復(fù)烤車間主機危急程度分布 18圖2-19復(fù)烤車間TOP10高風(fēng)險漏洞 19圖2-20辦公終端危急程度分布 21圖2-21辦公終端TOP10高風(fēng)險漏洞 22圖4-1安全域總體規(guī)劃 40圖4-2WSUS補丁治理示意圖 47表名目表2-1卷包一車間-一號工程漏洞分布 7表2-2卷包一車間-高架庫漏洞分布 9表2-3卷包二車間主機漏洞分布 11表3-1生產(chǎn)網(wǎng)與辦公網(wǎng)混用 23表3-2大局部車間生產(chǎn)網(wǎng)相互獨立 24表3-3生產(chǎn)效勞器與監(jiān)控維護終端間缺乏訪問掌握措施 25表3-4現(xiàn)有網(wǎng)絡(luò)安全設(shè)備運行策略缺陷 26表3-5網(wǎng)絡(luò)單點故障 26表3-6網(wǎng)絡(luò)中缺乏必要的安全防護設(shè)備 27表3-7補丁升級不完善 28表3-8病毒防護軟件 28表3-9存在局部弱口令 29表3-10未配置帳號口令安全策略 29表3-11開放有危急的TCP/UDP小效勞 30表3-12未安全配置Syslog日志 31表3-13補丁升級不完善 32表3-14缺乏單機防火墻 32表3-15用戶帳號治理缺陷 33表3-16開放有很多不必需且危急的效勞 34表3-17安全策略配置 34表3-18風(fēng)險匯總表 35表4-1內(nèi)聯(lián)網(wǎng)接入?yún)^(qū) 40表4-2內(nèi)部網(wǎng)接入?yún)^(qū) 41表4-3計算環(huán)境域 41表4-4生產(chǎn)治理支撐域 41表4-5網(wǎng)絡(luò)設(shè)施域 42表4-6網(wǎng)絡(luò)安全設(shè)備部署 42表4-7運行策略優(yōu)化 43表4-8自身安全加固 44表4-9UNIX主機加固內(nèi)容 45表4-10Windows主機加固內(nèi)容 46表4-11終端安全加固內(nèi)容 4911章綜述第1章綜述前言1956xx質(zhì)創(chuàng)，增加企業(yè)核心競爭力”的工作思路，以消費者為導(dǎo)向，以科技創(chuàng)帶動產(chǎn)xx。在公司聯(lián)合重組過程中以及之后，信息系統(tǒng)有力推動了信息化系統(tǒng)整合及應(yīng)用xxxx運行供給有力的保障。工程目標(biāo)目前隨著信息技術(shù)的飛速進展，網(wǎng)絡(luò)安全漸漸成為影響網(wǎng)絡(luò)進一步進展的關(guān)鍵xx集團網(wǎng)絡(luò)進展信息安全評估和信息安全體系總體設(shè)計，提升xx集團網(wǎng)絡(luò)安全性及網(wǎng)絡(luò)安全治理水平，優(yōu)化網(wǎng)絡(luò)資源，增加競爭力。本次工程目標(biāo)包括以下幾個方面：在公司信息化計算機系統(tǒng)掩蓋的范圍內(nèi)，依據(jù)公司信息化現(xiàn)有的狀況，對上覺察企業(yè)存在的風(fēng)險，并提出解決建議；依據(jù)網(wǎng)絡(luò)的信息安全需求，進展安全域劃分設(shè)計，結(jié)合風(fēng)險評估結(jié)果制定xx集團信息系統(tǒng)信息安全保障技術(shù)規(guī)劃；依據(jù)實際狀況，規(guī)劃出信息安全治理框架藍(lán)圖。對xx集團目前關(guān)于信息和信息技術(shù)的治理制度和組織狀況，結(jié)合實際狀況進展評估，建立一套能夠治理企業(yè)日常安全事務(wù)和應(yīng)變重大安全大事的組織和制度藍(lán)圖。工程范圍工程總體范圍本工程涵蓋的范圍為xx集團總部和兩個具有代表性的分廠。內(nèi)容范圍xx集團總部和兩個分廠信息系統(tǒng)的技術(shù)和治理兩個層面：技術(shù)層面：包括網(wǎng)絡(luò)、主機、系統(tǒng)軟件、應(yīng)用軟件(包括平臺軟件)等方面；治理層面：包括信息科技治理和組織構(gòu)造，安全治理制度，安全策略、人規(guī)劃等；設(shè)備層面：涉及200多臺效勞器，幾十臺網(wǎng)絡(luò)設(shè)備和安全設(shè)備。人員范圍xx的全部員工和第三方人員，包括職工、外聘人員、外借人員、公司合作方技術(shù)、治理人員等。22章安全現(xiàn)狀第2章安全現(xiàn)狀xx集團xx卷煙廠的信息資產(chǎn)安全現(xiàn)狀進展分析描述。網(wǎng)絡(luò)了掩蓋卷煙一車間、卷煙二車間、制絲一車間、制絲二車間、動力車間、復(fù)烤一車間、復(fù)烤二車間、中試車間、103車間、物業(yè)公司等區(qū)域的綜合業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)。在各車間因生產(chǎn)業(yè)務(wù)所需存在一些小子網(wǎng)，以及分布其間的安防子網(wǎng)，與辦工網(wǎng)混接xx卷煙廠網(wǎng)絡(luò)支撐平臺。網(wǎng)絡(luò)拓?fù)洮F(xiàn)狀以下為幾個較為典型的車間部門網(wǎng)絡(luò)拓?fù)錁?gòu)造：1、卷煙一車間ci4506linksys-SR224G，掩蓋整個高架庫。一號工程網(wǎng)ATMVLAN的劃分。2-1卷包一車間現(xiàn)狀2、制絲一車間3comHB〕來會聚各個工控設(shè)備。2-2制絲一車間現(xiàn)狀3、動力車間1H3C75036H3CS5100以太網(wǎng)交換機、5臺H3CS3100以太網(wǎng)交換機，組成的動力部能源監(jiān)控網(wǎng)。2-3動力車間現(xiàn)狀4、中試車間工控網(wǎng)通過4臺cisco3750〔分別設(shè)在一樓微機室、一樓配電室、二樓中控室〕13phcenix集線器。2-4中試車間現(xiàn)狀弱點分析1、生產(chǎn)網(wǎng)與辦公網(wǎng)混用僅通過簡潔防火墻配置、甚至沒有防火墻，直接接入到辦公網(wǎng)中。缺乏根本的安全防護措施，辦公網(wǎng)中用戶可以任意訪問不少車間部門的生產(chǎn)系統(tǒng)。2、大局部車間生產(chǎn)網(wǎng)相互獨立當(dāng)前，大局部車間生產(chǎn)系統(tǒng)獨立組網(wǎng)，未與其它網(wǎng)絡(luò)系統(tǒng)有連接，無法進展系控和治理維護工作。3、生產(chǎn)效勞器與監(jiān)控維護終端間缺乏訪問掌握措施施。各監(jiān)控維護終端，可以任意訪問到本系統(tǒng)網(wǎng)絡(luò)中任意生產(chǎn)效勞器。4、現(xiàn)有安全設(shè)備策略僅起網(wǎng)絡(luò)連接作用，沒有訪問掌握策略。WLANWLAN功能的筆記本電腦、智能終端等設(shè)備均可直接接入到生產(chǎn)網(wǎng)中。5、網(wǎng)絡(luò)單點故障為突顯。6、缺乏必要的網(wǎng)絡(luò)安全防護設(shè)備IDS/IPS、網(wǎng)關(guān)型病毒防護、業(yè)務(wù)審計、終端安全治理等必要的網(wǎng)絡(luò)安全防護設(shè)備，安全防護措施力量較大缺乏。2章安全現(xiàn)狀主機卷包一車間—一號工程1、危急程度分布圖：2-5卷包一車間-一號工程主機危急程度分布圖漏洞掃描結(jié)果2、漏洞分布圖：漏洞掃描結(jié)果序號主機名IP高中低危急程度11347651高23316高33316高43316高53316高63316高22章安全現(xiàn)狀73316高83316高93316高101323高111316高121316高131316高141316高2-1卷包一車間-一號工程漏洞分布3、TOP10高風(fēng)險漏洞：-TOP10高風(fēng)險漏洞卷包一車間—高架庫1、危急程度分布圖：2章安全現(xiàn)狀圖2-7卷包一車間-高架庫主機危急程度分布圖2、漏洞分布圖：序號主機名IP高中低危急程度111120高211120高3107高4004低漏洞掃描結(jié)果表2-2卷包一車間-高架庫漏洞分布漏洞掃描結(jié)果3、TOP10高風(fēng)險漏洞：圖-TOP高風(fēng)險漏洞卷包二車間1、危急程度分布圖：2-9卷包二車間主機危急程度分布圖2、漏洞分布圖：序號主機名IP高中低危急程度11348751高211123高310120高4007低漏洞掃描結(jié)果2-3卷包二車間主機漏洞分布漏洞掃描結(jié)果3、TOP10高風(fēng)險漏洞：圖TOP10高風(fēng)險漏洞制絲二車間1、危急程度分布圖：22章安全現(xiàn)狀圖2-11制絲二車間主機危急程度分布圖2、漏洞分布圖：序號主機名IP高中低危急程度11427高20317中漏洞掃描結(jié)果2-12制絲二車間漏洞分布漏洞掃描結(jié)果3、TOP10高風(fēng)險漏洞：圖TOP10高風(fēng)險漏洞動力車間1、危急程度分布圖：2-14動力車間主機危急程度分布2、漏洞分布圖：涉及生產(chǎn)效勞器、終端較多，具體漏洞分布狀況詳見相應(yīng)漏洞掃描報告3、TOP10高風(fēng)險漏洞：2章安全現(xiàn)狀TOP10高風(fēng)險漏洞中試車間1、危急程度分布圖：2-16中試車間主機危急程度分布2、漏洞分布圖：涉及生產(chǎn)效勞器、終端較多，具體漏洞分布狀況詳見相應(yīng)漏洞掃描報告3、TOP10高風(fēng)險漏洞：TOP10高風(fēng)險漏洞復(fù)烤一車間1、危急程度分布圖：2-18復(fù)烤車間主機危急程度分布2、漏洞分布圖：涉及生產(chǎn)效勞器、終端較多，具體漏洞分布狀況詳見相應(yīng)漏洞掃描報告3、TOP10高風(fēng)險漏洞：22章安全現(xiàn)狀TOP10高風(fēng)險漏洞人工檢查分析1、補丁升級等緣由，當(dāng)前絕大多數(shù)主機補丁升級不完善，缺乏大量的安全相關(guān)系統(tǒng)補丁。2、病毒防護軟件檢查覺察，90%以上主機部署有病毒防護軟件，個別車間生產(chǎn)網(wǎng)中，仍有少數(shù)Windows主機因治理疏忽、怕引起兼容性問題、造成性能損失等緣由，未安裝病毒防護軟件。部署有病毒防護軟件的主機系統(tǒng)，僅有局部主機的病毒庫能準(zhǔn)時升級。因很多病毒庫離線升級包手動更不準(zhǔn)時。3、單機防火墻WindowsWindowsServer2023主機開啟防火墻外，其它多數(shù)主機未開啟或安裝有單機防火墻。4、弱口令帳號多數(shù)為特權(quán)帳號，狀況包括空口令、帳號口令一樣、極其簡潔的數(shù)字組合等。5、系統(tǒng)安全策略系統(tǒng)安全策略方面，Windwos平臺主機開放有系統(tǒng)默認(rèn)共享，同時沒有啟用帳號策略、審核策略等本地安全策略。UNIX類系統(tǒng)主機在用戶帳號治理、審計策略上根本承受默認(rèn)配置，主機的整體安全防護級別較低。6、網(wǎng)絡(luò)效勞檢查結(jié)果顯示，當(dāng)前多數(shù)主機承受默認(rèn)配置。UNIX類系統(tǒng)主機開放有一些危急的效勞，如RPC、X11相關(guān)的系列效勞、SNMPSendmail等效勞。局部Window平臺主機開放有遠(yuǎn)程注冊表、NetBIOS等危急的效勞。7、系統(tǒng)日志2章安全現(xiàn)狀檢查結(jié)果顯示，當(dāng)前多數(shù)主機承受默認(rèn)配置。UNIXsyslog功能，Windows主機未開啟審計策略功能。辦公終端XX漏洞掃描結(jié)果如下所示：1、危急程度分布圖：2-20辦公終端危急程度分布2、TOP10高風(fēng)險漏洞：TOP10高風(fēng)險漏洞33章安全風(fēng)險分析第3章安全風(fēng)險分析網(wǎng)絡(luò)生產(chǎn)網(wǎng)與辦公網(wǎng)混用網(wǎng)中的用戶，可以任意訪問不少車間部門的生產(chǎn)系統(tǒng)。蠕蟲病毒感染，整個生產(chǎn)業(yè)務(wù)系統(tǒng)響應(yīng)緩慢。同時，生產(chǎn)網(wǎng)效勞器系統(tǒng)開放有大量的網(wǎng)絡(luò)效勞，自身存在較多安全漏洞，在不受限訪問的狀況下，可能存在內(nèi)部個別心懷不滿的或有預(yù)謀的用戶，或患病惡意〔遠(yuǎn)程掌握后門、僵尸網(wǎng)絡(luò)〕卻不知情的用戶，通過網(wǎng)絡(luò)嗅探、偽造哄騙、漏洞入侵等手段進展網(wǎng)絡(luò)攻擊，越權(quán)濫用，造成信息泄露或破壞。風(fēng)險綜述：生產(chǎn)網(wǎng)與辦公網(wǎng)混用，辦公網(wǎng)中的安全威逼將直接影響到生產(chǎn)網(wǎng)與辦公網(wǎng)混用，辦公網(wǎng)中的安全威逼將直接影響到風(fēng)險名稱生產(chǎn)網(wǎng)系統(tǒng)。級別5可能性分析幾乎確定發(fā)生：預(yù)期在大多數(shù)狀況下發(fā)生，不行避開；或描述者可以證明常常發(fā)生。級別3影響分析描述可能造成生產(chǎn)網(wǎng)系統(tǒng)患病病毒蠕蟲、入侵攻擊等威逼影響風(fēng)險級別高3-1生產(chǎn)網(wǎng)與辦公網(wǎng)混用大局部車間生產(chǎn)網(wǎng)相互獨立MES系統(tǒng)等的建設(shè)。同時，各車間生產(chǎn)網(wǎng)系常安全治理成效較差。風(fēng)險綜述：大局部車間生產(chǎn)網(wǎng)相互獨立，無法信息交互，無法開展集大局部車間生產(chǎn)網(wǎng)相互獨立，無法信息交互，無法開展集風(fēng)險名稱中的安全治理維護工作。級別4可能性分析格外有可能發(fā)生：在大多數(shù)狀況下，很有可能會發(fā)生；或描述者可以證明發(fā)生過。級別2無法互聯(lián)進展信息交互，格外不利于以后MES系統(tǒng)等的建影響分析描述設(shè)。無法開展集中的安全監(jiān)控維護工作，日常安全治理成效較差。風(fēng)險級別中3-2大局部車間生產(chǎn)網(wǎng)相互獨立生產(chǎn)效勞器與監(jiān)控維護終端間缺乏訪問掌握措施響到生產(chǎn)效勞器，給正常的生產(chǎn)操作帶來影響。風(fēng)險綜述：風(fēng)險名稱風(fēng)險名稱生產(chǎn)效勞器與監(jiān)控維護終端間缺乏訪問掌握措施級別級別5可能性分析幾乎確定發(fā)生：預(yù)期在大多數(shù)狀況下發(fā)生，不行避開；或描述者可以證明常常發(fā)生。級別3影響分析來自監(jiān)控維護終端的病毒蠕蟲、人為攻擊等威逼將直接影描述響到生產(chǎn)效勞器，給正常的生產(chǎn)操作帶來影響。風(fēng)險級別高3-3生產(chǎn)效勞器與監(jiān)控維護終端間缺乏訪問掌握措施現(xiàn)有網(wǎng)絡(luò)安全設(shè)備運行策略缺陷中，造成很大安全隱患。WLAN系統(tǒng)也未啟用認(rèn)證策入設(shè)備的不確定性，可能引入預(yù)知的安全威逼。風(fēng)險綜述：現(xiàn)有網(wǎng)絡(luò)安全設(shè)備運行策略存在缺陷，未充分發(fā)揮安全防現(xiàn)有網(wǎng)絡(luò)安全設(shè)備運行策略存在缺陷，未充分發(fā)揮安全防風(fēng)險名稱護成效。存在很大安全隱患。級別5可能性分析幾乎確定發(fā)生：預(yù)期在大多數(shù)狀況下發(fā)生，不行避開；或描述者可以證明常常發(fā)生。級別3影響分析可能將生產(chǎn)網(wǎng)直接暴露在辦公網(wǎng)中，造成很大安全隱患。描述接入設(shè)備的不確定性，可能引入預(yù)知的安全威逼。風(fēng)險級別風(fēng)險級別高3-4現(xiàn)有網(wǎng)絡(luò)安全設(shè)備運行策略缺陷網(wǎng)絡(luò)單點故障護的需要停機重啟，均會造成相應(yīng)區(qū)域網(wǎng)絡(luò)的通訊中斷，造成重要影響。但隨著生產(chǎn)網(wǎng)信息系統(tǒng)不斷進展，重要程度越來越高，網(wǎng)絡(luò)單點故障的隱患將更為嚴(yán)峻。風(fēng)險綜述：風(fēng)險名稱風(fēng)險名稱網(wǎng)絡(luò)單點故障，簡潔造成網(wǎng)絡(luò)通訊中斷級別5可能性分析幾乎確定發(fā)生：預(yù)期在大多數(shù)狀況下發(fā)生，不行避開；或描述者可以證明常常發(fā)生。級別2影響分析描述網(wǎng)絡(luò)的通訊中斷，造成重要影響。風(fēng)險級別中3-5錯誤!3,H3,Heading3-old,h3,sect1.2.3,BOD0,標(biāo)題3CharCharCharCharCharCharCharChar,level_3,PIM3,Levelsubheading,Head3,Head31,Head32,CSub-Sub/Italic1,Sub2Para,h31,網(wǎng)絡(luò)中缺乏必要的安全防護設(shè)備網(wǎng)絡(luò)中缺乏必要的安全防護設(shè)備，如IDS/IPS、網(wǎng)關(guān)型病毒防護、業(yè)務(wù)審計、消退安全大事的造成影響，系統(tǒng)的安全防護力量較低。風(fēng)險綜述：網(wǎng)絡(luò)中缺乏必要的安全防護設(shè)備，系統(tǒng)的安全防護力量較網(wǎng)絡(luò)中缺乏必要的安全防護設(shè)備，系統(tǒng)的安全防護力量較風(fēng)險名稱低級別5可能性分析幾乎確定發(fā)生：預(yù)期在大多數(shù)狀況下發(fā)生，不行避開；或描述者可以證明常常發(fā)生。級別2影響分析在發(fā)生安全大事時，將無法準(zhǔn)時的檢測覺察和分析處理，描述無法準(zhǔn)時消退安全大事的造成影響風(fēng)險級別中3-6網(wǎng)絡(luò)中缺乏必要的安全防護設(shè)備主機補丁升級不完善險漏洞。破壞活動。風(fēng)險綜述：風(fēng)險名稱風(fēng)險名稱主機及應(yīng)用系統(tǒng)欠缺較多的補丁，存在較多的高風(fēng)險漏洞級別3可能性分析描述發(fā)生的可能性較大：在某些狀況下，很可能會發(fā)生。級別4影響分析描述主機系統(tǒng)患病入侵攻擊。風(fēng)險級別高3-7補丁升級不完善病毒防護軟件將很大程度影響各主機的病毒防護力量。運行。風(fēng)險綜述：局部主機缺乏病毒防護軟件、無法自動準(zhǔn)時升級病毒庫，局部主機缺乏病毒防護軟件、無法自動準(zhǔn)時升級病毒庫，風(fēng)險名稱病毒防護力量較差級別3可能性分析描述發(fā)生的可能性較大：在某些狀況下，很可能會發(fā)生。級別4影響分析在爆發(fā)病毒蠕蟲大事時，可能無法抵擋，極易感染，直接描述影響生產(chǎn)主機的正常運行風(fēng)險級別高3-8病毒防護軟件存在局部弱口令當(dāng)前各車間生產(chǎn)網(wǎng)中，有相當(dāng)局部主機存在弱口令帳號狀況?？梢灾苯釉L問系統(tǒng)，甚至獵取系統(tǒng)治理員帳號和密碼，完全掌握該系統(tǒng)。假設(shè)系統(tǒng)xx業(yè)務(wù)的正常運行造成很大的影響。風(fēng)險綜述：相當(dāng)局部主機存在弱口令帳號，極易被猜測利用，訪問主相當(dāng)局部主機存在弱口令帳號，極易被猜測利用，訪問主風(fēng)險名稱機系統(tǒng)，造成影響破壞。級別3可能性分析描述發(fā)生的可能性較大：在某些狀況下，很可能會發(fā)生。級別4影響分析可以直接訪問系統(tǒng)，甚至獵取系統(tǒng)治理員帳號和密碼，完描述全掌握該系統(tǒng)風(fēng)險級別高3-9存在局部弱口令未配置安全策略等措施，入侵主機。風(fēng)險綜述：風(fēng)險名稱風(fēng)險名稱多數(shù)主機承受默認(rèn)安全策略配置，安全防護力量較差可能性分析級別2描述描述有可能發(fā)生：在某種狀況下或某個時間，可能會發(fā)生。級別3影響分析描述用戶可能通過信息嗅探、暴力猜測等措施，入侵系統(tǒng)。風(fēng)險級別中3-10未配置安全策略開放有危急且不必需的效勞當(dāng)前絕大多數(shù)主機承受默認(rèn)配置，開放有大量的網(wǎng)絡(luò)效勞，其中相當(dāng)局部是不必需且存在危急的效勞。如RPC、CDE、Sendmail等。每一種網(wǎng)絡(luò)效勞都是一個可能造成緩沖區(qū)溢出、遠(yuǎn)程執(zhí)行任意代碼、系統(tǒng)信息泄漏等危急。在當(dāng)前網(wǎng)絡(luò)中，未實施效勞器區(qū)的邊界訪問掌握的狀況下，任意用戶均可以直接訪問、利用這些危急的效勞，存在相當(dāng)大的危急性。風(fēng)險綜述：絕大多數(shù)主機開放有危急且不必需的效勞，造成很大安全絕大多數(shù)主機開放有危急且不必需的效勞，造成很大安全風(fēng)險名稱隱患。級別4可能性分析格外有可能發(fā)生：在大多數(shù)狀況下，很有可能會發(fā)生；或描述者可以證明發(fā)生過。級別3影響分析描述可能拒絕效勞攻擊、系統(tǒng)入侵等危害風(fēng)險級別高3-11開放有危急且不必需的效勞Syslog日志Syslog集中的外部日志效勞器系統(tǒng)，進展統(tǒng)一的收集、存儲和分析。風(fēng)險綜述：大局部主機和應(yīng)用系統(tǒng)承受默認(rèn)的大局部主機和應(yīng)用系統(tǒng)承受默認(rèn)的Syslog日志配置，無法風(fēng)險名稱有效進展安全日志分析。級別2可能性分析描述有可能發(fā)生：在某種狀況下或某個時間，可能會發(fā)生級別2影響分析不能準(zhǔn)時有效地覺察業(yè)務(wù)中的問題以及安全大事，不利于描述安全大事的跟蹤分析風(fēng)險級別低辦公終端補丁升級不完善的高風(fēng)險漏洞。補丁升級不完善，極易患病病毒、蠕蟲、后門等惡意代碼的攻擊，同時，攻擊風(fēng)險綜述：大局部辦公終端欠缺較多的操作系統(tǒng)補丁，存在較多的高大局部辦公終端欠缺較多的操作系統(tǒng)補丁，存在較多的高風(fēng)險名稱風(fēng)險漏洞。級別4可能性分析格外有可能發(fā)生：在大多數(shù)狀況下，很有可能會發(fā)生；或描述者可以證明發(fā)生過。級別3影響分析描述極易患病病毒、蠕蟲、后門等惡意代碼的攻擊風(fēng)險級別高3-13補丁升級不完善缺乏單機防火墻Windows自帶防火墻功能泄露系統(tǒng)信息，簡潔受到蠕蟲和木馬病毒攻擊。風(fēng)險綜述：風(fēng)險名稱風(fēng)險名稱辦公終端大局部缺乏單機防火墻，無法有效防護系統(tǒng)級別2可能性分析描述有可能發(fā)生：在某種狀況下或某個時間，可能會發(fā)生。級別2影響分析無法阻擋惡意用戶或病毒蠕蟲對終端的掃描、嗅探。簡潔描述泄露系統(tǒng)信息，簡潔受到蠕蟲和木馬病毒攻擊。風(fēng)險級別中3-14缺乏單機防火墻用戶帳號治理缺陷PC的帳號口令安全策略，根本承受默認(rèn)配置，未啟用帳號鎖定策略、口令簡單度要求等。同時局部終端存在多個治理帳號，局部終端的帳號口令過于簡潔，帳號口令全都，或空口令?？梢灾苯釉L問系統(tǒng)，甚至獵取系統(tǒng)治理員帳號和密碼，完全掌握該系統(tǒng)。風(fēng)險綜述：辦公終端很多存在弱口令，未啟用帳號安全策略，存在較辦公終端很多存在弱口令，未啟用帳號安全策略，存在較風(fēng)險名稱大安全隱患級別4可能性分析格外有可能發(fā)生：在大多數(shù)狀況下，很有可能會發(fā)生；或描述者可以證明發(fā)生過。級別3影響分析可以直接訪問系統(tǒng)，甚至獵取系統(tǒng)治理員帳號和密碼，完描述全掌握該系統(tǒng)風(fēng)險級別高3-15用戶帳號治理缺陷開放有很多不必需且危急的效勞RemoteRegistry、Messenger、TaskScheduler、TerminalServices等。行惡意程序以及可能被遠(yuǎn)程掌握。風(fēng)險綜述：辦公終端開放很多不必需且危急的效勞，存在肯定安全隱辦公終端開放很多不必需且危急的效勞，存在肯定安全隱風(fēng)險名稱患級別3可能性分析描述發(fā)生的可能性較大：在某些狀況下，很可能會發(fā)生。級別3影響分析簡潔造成終端系統(tǒng)被遠(yuǎn)程修改注冊表、被蠕蟲感染，定時描述執(zhí)行惡意程序以及可能被遠(yuǎn)程掌握。風(fēng)險級別中表3-16開放有很多不必需且危急的效勞安全策略配置終端系統(tǒng)在文件系統(tǒng)安全、權(quán)限治理、審計策略等安全策略方面，多數(shù)主機承受入侵系統(tǒng)。風(fēng)險綜述：風(fēng)險名稱風(fēng)險名稱辦公終端承受默認(rèn)安全策略配置，安全防護力量較差級別2可能性分析描述有可能發(fā)生：在某種狀況下或某個時間，可能會發(fā)生。級別2影響分析描述用戶可能通過信息嗅探、暴力猜測等措施，入侵系統(tǒng)。風(fēng)險級別低3-17安全策略配置風(fēng)險匯總排序序號危急程度高高高高高高高高高中中中中中中低低

風(fēng)險描述網(wǎng)系統(tǒng)。生產(chǎn)效勞器與監(jiān)控維護終端間缺乏訪問掌握措施。存在很大安全隱患。主機及應(yīng)用系統(tǒng)欠缺較多的補丁，存在較多的高風(fēng)險漏洞防護力量較差統(tǒng)，造成影響破壞?；?。漏洞。全隱患安全治理維護工作。網(wǎng)絡(luò)單點故障，簡潔造成網(wǎng)絡(luò)通訊中斷多數(shù)主機承受默認(rèn)安全策略配置，安全防護力量較差辦公終端大局部缺乏單機防火墻，無法有效防護系統(tǒng)辦公終端開放很多不必需且危急的效勞，存在肯定安全隱患進展安全日志分析。辦公終端承受默認(rèn)安全策略配置，安全防護力量較差3-18風(fēng)險匯總表

風(fēng)險類型網(wǎng)絡(luò)風(fēng)險44章安全解決方案第4章安全解決方案安全解決方案設(shè)計層的一個安全體系建設(shè)的投入建議。針對安全風(fēng)險列表，相應(yīng)的解決方案概述如下：序號 風(fēng)險描述1網(wǎng)系統(tǒng)。2 生產(chǎn)效勞器與監(jiān)控維護終端間缺乏訪問掌握措施

解決方案概述安全域劃分安全設(shè)備部署網(wǎng)絡(luò)及安全設(shè)備3效。存在很大安全隱患。 加固4 主機及應(yīng)用系統(tǒng)欠缺較多的補丁，存在較多的高風(fēng)險漏洞5防護力量較差6統(tǒng)，造成影響破壞。絕大多數(shù)主機開放有危急且不必需的效勞，造成很大安全隱7患。8漏洞。9全隱患10安全治理維護工作。網(wǎng)絡(luò)單點故障，簡潔造成網(wǎng)絡(luò)通訊中斷網(wǎng)絡(luò)中缺乏必要的安全防護設(shè)備，系統(tǒng)的安全防護力量較低

主機安全加固設(shè)生產(chǎn)網(wǎng)整合建設(shè)安全設(shè)備部署多數(shù)主機承受默認(rèn)安全策略配置，安全防護力量較差辦公終端大局部缺乏單機防火墻，無法有效防護系統(tǒng)辦公終端開放很多不必需且危急的效勞，存在肯定安全隱患16進展安全日志分析。17 辦公終端承受默認(rèn)安全策略配置，安全防護力量較差解決方案的總體設(shè)計，共計9項主要建設(shè)內(nèi)容：1、生產(chǎn)網(wǎng)的整合建設(shè)2、網(wǎng)絡(luò)安全域的劃分3、網(wǎng)絡(luò)安全設(shè)備部署4、網(wǎng)絡(luò)及安全設(shè)備加固5、主機安全加固6、病毒防護體系建設(shè)7、業(yè)務(wù)審計系統(tǒng)建設(shè)8、終端安全加固9、終端安全治理系統(tǒng)建設(shè)

網(wǎng)絡(luò)安全建設(shè)生產(chǎn)網(wǎng)的整合建設(shè)安全防護。經(jīng)過安全域劃分及安全建設(shè)后，網(wǎng)絡(luò)拓?fù)淙缦拢?-2網(wǎng)絡(luò)拓?fù)渖a(chǎn)網(wǎng)整合建設(shè)的內(nèi)容包括：1、網(wǎng)絡(luò)核心區(qū)域C6509+FWSM防火墻模塊，用于連接各車間部門、廠級效勞器區(qū)、治理支撐區(qū)及邊界接入。VLAN間集中的可能。保證現(xiàn)有個車間部門間的按需互通、隔離防護。2、廠級效勞器區(qū)整合各車間部門現(xiàn)有的生產(chǎn)效勞器系統(tǒng)，建設(shè)廠級效勞器區(qū)，規(guī)劃部署MES系統(tǒng)等區(qū)域。同樣通過核心交換機的FWSM防火墻模塊實施強化的網(wǎng)絡(luò)訪問掌握。3、數(shù)據(jù)交互區(qū)能安全網(wǎng)關(guān)，配置DMZ區(qū)，作為生產(chǎn)網(wǎng)與辦公網(wǎng)數(shù)據(jù)交互緩沖區(qū)。將辦公網(wǎng)需要訊，削減安全風(fēng)險。多功能安全網(wǎng)關(guān)主要供給防火墻、網(wǎng)關(guān)型病毒防護、IPS等功能，通過多重防護措施，保障生產(chǎn)網(wǎng)與辦公網(wǎng)數(shù)據(jù)交互的安全性。4、各車間部門VLANIP地址后，直接接入到核心交換機上，工業(yè)環(huán)網(wǎng)維持現(xiàn)狀。原有防火墻隔離混用到辦公網(wǎng)中的系統(tǒng)，利舊原有防火墻，用戶本部門中生產(chǎn)效勞器與監(jiān)控維護終端的訪問掌握，更大程度的保障生產(chǎn)效勞器的安全。的區(qū)域間訪問需求。網(wǎng)絡(luò)設(shè)備和鏈路，提高網(wǎng)絡(luò)可用性和性能。5、辦公區(qū)能削減辦公終端對生產(chǎn)網(wǎng)的影響。6、治理支撐區(qū)VLAN。網(wǎng)絡(luò)安全域的劃分全域的規(guī)劃設(shè)計。網(wǎng)絡(luò)安全域的總體構(gòu)架規(guī)劃如下：4-1安全域總體規(guī)劃1、邊界接入域內(nèi)聯(lián)網(wǎng)接入?yún)^(qū)序號所含單元所含資產(chǎn) 說明1數(shù)據(jù)交互區(qū)關(guān)業(yè)務(wù)系統(tǒng)前置機。到辦公網(wǎng)的接入2 到辦公網(wǎng)的接入2 鏈路內(nèi)部網(wǎng)接入?yún)^(qū)序號序號所含單元所含資產(chǎn)說明生產(chǎn)部門1~N生產(chǎn)部門包括：卷煙一車間、1 〔各生產(chǎn)部門獨立一個單元〕103103車間、膨脹絲車間、物業(yè)公司等4-2內(nèi)部網(wǎng)接入?yún)^(qū)2、計算環(huán)境域序號序號所含單元所含資產(chǎn)說明1MES系統(tǒng)MES系統(tǒng)其它廠級效勞系1~N2 廠級效勞器系統(tǒng)〔依據(jù)實際需求劃分〕4-3計算環(huán)境域3、生產(chǎn)治理支撐域序號所含單元所含資產(chǎn) 說明1治理支撐區(qū)安全治理系統(tǒng)、終端網(wǎng)絡(luò)治理系統(tǒng)、終端業(yè)務(wù)治理系統(tǒng)、終端4-4生產(chǎn)治理支撐域4、網(wǎng)絡(luò)設(shè)施域序號序號所含單元所含資產(chǎn)說明1核心層C6509E兩臺+FWSM各建區(qū)域會聚交換機2會聚層各生產(chǎn)部門原有核心交換機3接入層各建區(qū)域接入交換機各生產(chǎn)部門原有接入交換機各生產(chǎn)部門原有接入交換機4-5網(wǎng)絡(luò)設(shè)施域網(wǎng)絡(luò)安全設(shè)備部署序號安全設(shè)備部署位置數(shù)量規(guī)格需求概述1FWSM防火墻模塊核心交換機C65092IPS性能≥500MIPS性能≥500M1000M端口≥43IDS核心交換機11000M雙端口監(jiān)聽4SOC安全運營中心治理支撐區(qū)1

防火墻性能≥1000M防病毒性能≥500M4-6網(wǎng)絡(luò)安全設(shè)備部署網(wǎng)絡(luò)及安全設(shè)備加固1、運行策略安全優(yōu)化實施網(wǎng)絡(luò)及安全設(shè)備運行策略的優(yōu)化。建議的實施內(nèi)容包括：序號序號加固措施分類描述檢查防火墻運行策略，對開放訪問策略的源地址、防火墻運行策略優(yōu)目的地址和效勞端口范圍較廣的策略進展需求分1化的訪問。的訪問。保護無線客戶端2WLAN安全優(yōu)化掌握公司網(wǎng)絡(luò)使用審核無線網(wǎng)絡(luò)活動增加無線規(guī)章4-7運行策略優(yōu)化2、自身安全加固提高設(shè)備自身的安全性。建議的安全加固內(nèi)容包括：序號 加固措施分類 描述1 IOS版本升級更改弱口令及口令加2密

IOS操作系統(tǒng)到較的版本號，消退程序本身的漏洞。用口令破解軟件進展密碼解密后登錄網(wǎng)絡(luò)設(shè)備進展破壞。通過設(shè)置Telnet口令和對登錄主機的范圍進展3 限制Telnet登錄 限制來防止某些惡意用戶登錄網(wǎng)絡(luò)設(shè)備進展SNMP默認(rèn)通信4字符串

破壞。SNMP網(wǎng)絡(luò)設(shè)備信息泄漏。阻擋觀察路由器診斷信息。5 關(guān)閉不必要的效勞 阻擋查看到路由器當(dāng)前的用戶列表。阻擋路由器接收帶源路由標(biāo)記的包，將帶有源路由選項的數(shù)據(jù)流丟棄。路由選項的數(shù)據(jù)流丟棄。效勞。抵擋spoofing(哄騙)類攻擊防止病毒傳播4-8自身安全加固主機安全建設(shè)主機安全加固和安全風(fēng)險，提高主機的安全防護力量。1、UNIX類主機的安全加固內(nèi)容序號 加固措施分類 描述配置安全的系統(tǒng)訪問方式，制定安全的系統(tǒng)訪問1系統(tǒng)訪問治理策略確保對系統(tǒng)的訪問都是通過安全加密的方式進展依據(jù)制定的方案和系統(tǒng)功能，對主機供給的效勞2效勞訪問治理設(shè)置訪問掌握，以消退未授權(quán)的效勞訪問所帶來安全隱患對在權(quán)威機構(gòu)或是操作系統(tǒng)生產(chǎn)產(chǎn)商已公布的安3系統(tǒng)漏洞修補全漏洞通過打補丁或是升級操作系統(tǒng)版本的方式進展修補。4

對系統(tǒng)供給的常用效勞，諸如：DNS效勞、FTP效勞、telnet效勞等，檢查軟件本身的安全漏洞，通過打補丁或是更換服查軟件本身的安全漏洞，通過打補丁或是更換服依據(jù)制定的方案，兼顧全網(wǎng)原則，配置主機系統(tǒng)5一次性口令認(rèn)證的一次性口令認(rèn)證機制，實現(xiàn)高效安全的口令及用戶治理。依據(jù)制定的方案和系統(tǒng)功能，配置主機系統(tǒng)的實6實時入侵檢測系統(tǒng)時入侵檢測系統(tǒng)，從主機層次對入侵進展檢測，并記錄日志，分析入侵狀況。7從應(yīng)用層次配置訪問掌握系統(tǒng)，供給更高層次的訪問掌握系統(tǒng)用戶訪問掌握。檢測針對主機系統(tǒng)的DDoS攻擊，并實行相應(yīng)措8DDoS攻擊檢測防護施進展防護。4-9UNIX主機加固內(nèi)容具體的加固方案，請參照每臺主機的漏洞掃描報告來制定。2、Windows主機的安全加固內(nèi)容序號序號加固措施分類描述1BUG商供給的“補丁“程序；同時依據(jù)國際權(quán)威安全組織的建議準(zhǔn)時修補已公開的安全漏洞嚴(yán)格的認(rèn)證口令2用戶使用簡潔口令，并強制用戶定期修改口令，如策略果可能，使用增加的身份驗證產(chǎn)品。賬戶要盡可能少，盡快刪除已經(jīng)不再使用的賬戶。3嚴(yán)格的帳戶策略GuestGuest加一個簡單的密碼。4卸載多余的組件不要按默認(rèn)安裝組件，依據(jù)安全原則“最少的效勞務(wù)安裝即可。5停頓多余效勞只保存系統(tǒng)運行必需的效勞，關(guān)，停其他的效勞默認(rèn)狀況下，任何用戶可通過空連接連上效勞器，6制止建立