信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告

1、nil單位：1111系統(tǒng)安全項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告我們單位名日脈報(bào)告編寫人：日期:批準(zhǔn)人：日期：b概述錯(cuò)誤!未世義書簽。版本號(hào)：第一版本第二版本終板日期日期I、項(xiàng)目背景。錯(cuò)誤!未定義書簽1、2。工作方法1、，評(píng)估范用。錯(cuò)誤!未定義書簽。1、4 n基本信恩錯(cuò)誤!未定義書簽錯(cuò)誤!未定義書簽。2。業(yè)務(wù)系統(tǒng)分析錯(cuò)誤!未世義書簽。2、1業(yè)務(wù)系統(tǒng)職i洽錯(cuò)課!未定義書簽。2、2。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)錯(cuò)誤!未定義書簽。2、3。邊界數(shù)據(jù)流向錯(cuò)誤!未定義書簽。3。資產(chǎn)分析錯(cuò)誤!未世義書簽。3、1倍息資產(chǎn)分析。錯(cuò)誤味定義書簽3. 1、1324信息資產(chǎn)識(shí)別二錯(cuò)誤!未定義書簽信息資產(chǎn)識(shí)別概述錯(cuò)誤!未定義書冬4威脅分析。錯(cuò)誤!

2、未世義書簽。4、b威脅分析概述4、2。威脅分類靖誤!未定義書簽。4、3 威脅主體4、4。威脅識(shí)別。錯(cuò)誤!未定義書簽錯(cuò)誤!未定義書簽。錯(cuò)誤!未定義書簽。5 脆弱性分析錯(cuò)誤!未世義書簽。5、1脆翦性分析槪述。錯(cuò)誤!未定義書簽5. 2。技術(shù)脆弱性分析。錯(cuò)誤!未定義書簽。5. 2、25、2、35. 2、I網(wǎng)絡(luò)平臺(tái)脆弱性分析錯(cuò)誤!未定義書企操作系統(tǒng)脆弱性分析1錯(cuò)課!未定義書簽. 脆弱性掃描結(jié)果分析二錯(cuò)誤!未定義書簽。5、2、3、1掃描資產(chǎn)列表L錯(cuò)誤!未定義書簽。5, 2, 3、2°高危漏洞分析錯(cuò)誤!未定義書簽。5、2, 3、3系統(tǒng)帳戶分析二錯(cuò)誤!未定義書簽。5、2、3、4應(yīng)用帳戶分析二錯(cuò)誤!未

3、定義書簽。5、3 °管理脆弱性分析5、4脆弱件識(shí)別4錯(cuò)誤!未定義書簽106風(fēng)險(xiǎn)分析錯(cuò)誤!未世義書簽。6、1 風(fēng)險(xiǎn)分析概述。錯(cuò)誤!未定義書簽6、2資產(chǎn)風(fēng)險(xiǎn)分布。錯(cuò)誤!未定義書簽。6、3。資產(chǎn)風(fēng)險(xiǎn)列表d錯(cuò)誤!未定義書簽入系統(tǒng)安全加固建議錯(cuò)誤!未世義書簽。7、1管理類建議錯(cuò)誤!未定義書簽。7、2。技術(shù)類建議d錯(cuò)誤!未定義書簽7. 2. I7. 2、27. 2、3安全措杠錯(cuò)誤!未定義書簽 網(wǎng)絡(luò)平臺(tái)二錯(cuò)誤!未定義書簽 操作系統(tǒng)L錯(cuò)誤!未定義書簽&制定及確認(rèn)錯(cuò)誤!未泄義書簽。9 附錄A:脆弱性編號(hào)規(guī)則必什誤!未泄義書簽。2)網(wǎng)絡(luò)及其主要基礎(chǔ)設(shè)施例如路山器、交換機(jī)等;3)安全保護(hù)措施與設(shè)備

4、，例如防火墻、IDS等;4)信息安全管理體系(ISM S)1.1項(xiàng)目背景為了切實(shí)提高各系統(tǒng)得安全保障水平,更好地促進(jìn)各系統(tǒng)得安全建設(shè)工作，提 升奧運(yùn)保障能力需要增強(qiáng)對(duì)于網(wǎng)運(yùn)中心各系統(tǒng)得安全風(fēng)險(xiǎn)控制，發(fā)現(xiàn)系統(tǒng)安全 風(fēng)險(xiǎn)并及時(shí)糾正。根據(jù)網(wǎng)絡(luò)與信息安全建設(shè)規(guī)劃為了提高各系統(tǒng)得安全保障與 運(yùn)營水平現(xiàn)提出系統(tǒng)安全加固與服務(wù)項(xiàng)U。1.2工作方法在本次安全風(fēng)險(xiǎn)評(píng)測(cè)中將主要釆用得評(píng)測(cè)方法包括:人工評(píng)測(cè)；工具評(píng)測(cè)；調(diào)査問卷；顧問訪談。1.3評(píng)估范圍此次系統(tǒng)測(cè)評(píng)得范H主要針對(duì)該業(yè)務(wù)系統(tǒng)所涉及得服務(wù)器、應(yīng)用.數(shù)據(jù)庫. 網(wǎng)絡(luò)設(shè)備、安全設(shè)備、終端等資產(chǎn)。主要涉及以下方面：1)業(yè)務(wù)系統(tǒng)得應(yīng)用環(huán)境門1.4基本信息被評(píng)估系統(tǒng)

5、名稱XX系統(tǒng)業(yè)務(wù)系統(tǒng)負(fù)責(zé)人評(píng)估工作配合人員2業(yè)務(wù)系統(tǒng)分析2.1業(yè)務(wù)系統(tǒng)職能2.2網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖表錯(cuò)誤!未定義書簽.業(yè)務(wù)系統(tǒng)拓?fù)浣Y(jié)構(gòu)圖2.3邊界數(shù)據(jù)流向編 號(hào)邊界名稱邊界類型路徑系統(tǒng)發(fā)起方數(shù)據(jù)流向現(xiàn)有安全措施1.MDN系統(tǒng)類MDN本系統(tǒng)/ 對(duì)端系統(tǒng)雙向系統(tǒng)架構(gòu)隔離3資產(chǎn)分析3.1信息資產(chǎn)分析3丄1信息資產(chǎn)識(shí)別概述資產(chǎn)就是風(fēng)險(xiǎn)評(píng)佔(zhàn)得最終評(píng)佔(zhàn)對(duì)象在一個(gè)全面得風(fēng)險(xiǎn)評(píng)估中，風(fēng)險(xiǎn)得所有重 要因素都緊緊圍繞著資產(chǎn)為中心威脅、脆弱性以及風(fēng)險(xiǎn)都就是針對(duì)資產(chǎn)而客觀 存在得。威脅利用資產(chǎn)自身得脆弱性使得安全事件得發(fā)生成為可能從而形成了 風(fēng)險(xiǎn)這些安全事件一旦發(fā)生，將對(duì)資產(chǎn)其至就是整個(gè)系統(tǒng)都將造成一定得影響。資產(chǎn)被定義

6、為對(duì)組織具有價(jià)值得信息或資源，資產(chǎn)識(shí)別得U標(biāo)就就是識(shí)別出 資產(chǎn)得價(jià)值，風(fēng)險(xiǎn)評(píng)估中資產(chǎn)得價(jià)值不就是以資產(chǎn)得經(jīng)濟(jì)價(jià)值來衡量，而就是山 資產(chǎn)在其安全屬性一一機(jī)密性.完整性與可用性上得達(dá)成程度或者其安全屬性未 達(dá)成時(shí)所造成得影響程度來決定得。資產(chǎn)估價(jià)等級(jí)賦值咼3中2低I3-1.2信息資產(chǎn)識(shí)別資產(chǎn)分類資產(chǎn)組IP地址/名稱資產(chǎn) 估價(jià) 等級(jí)組號(hào)資產(chǎn)編號(hào)具體資產(chǎn)服務(wù)器1.H00 1sun ult r a 6 0中H002sun u I tra60中11003sun ult r a6 0.* 咼H004sun ultraGO. 咼網(wǎng)絡(luò)設(shè)備2.NOO 1華為36 8 0E中N002華為368 0 E中N003華為

7、S20 1 6中操作系 統(tǒng)、數(shù)據(jù) 庫與應(yīng)用 軟件3.H001Solar i s咼HO0 2S ola r i s咼HO0 3So 1 ar i s咼II 004S 0 1 aris亠 咼4.D001Sybas e咼4威脅分析4J威脅分析概述威脅就是指可能對(duì)資產(chǎn)或組織造成損害事故得潛在原因。作為風(fēng)險(xiǎn)評(píng)估得重 要因素，威脅就是一個(gè)客觀存在得事物，無論對(duì)于多么安全得信息系統(tǒng)都存在.威脅可能源于對(duì)系統(tǒng)直接或間接得攻擊，例如信息泄漏、篡改、刪除等在機(jī) 密性、完整性或可用性等方面造成損害；威脅也可能源于偶發(fā)得、或蓄意得事件。 按照威脅產(chǎn)生得來源，可以分為外部威脅與內(nèi)部威脅：（1 ）外部威脅:來自不可控網(wǎng)絡(luò)

8、得外部攻擊，主要指移動(dòng)得CM NET.其它 電信運(yùn)營商得Int e met互聯(lián)網(wǎng)，以及第三方得攻擊，其中互聯(lián)網(wǎng)得威脅主要就 是黑客攻擊、蠕蟲病毒等,而第三方得威脅主要就是越權(quán)或?yàn)E用、泄密、篡改、 惡意代碼或病«等。（2）內(nèi)部威脅：主要來自內(nèi)部人員得惡意攻擊、無作為或操作失誤、越權(quán)或?yàn)E 用、泄密、篡改等。另外川I于管理不規(guī)范導(dǎo)致各支撐系統(tǒng)之間得終端混用，也 帶來病毒泛濫得潛在威脅。對(duì)每種威脅發(fā)生得可能性進(jìn)行分析，最終為其賦一個(gè)相對(duì)等級(jí)值，將根據(jù)經(jīng) 驗(yàn)、有關(guān)得統(tǒng)汁數(shù)拯來判斷威脅發(fā)生得頻率或者概率。威脅發(fā)生得可能性受下列 因素影響：1）資產(chǎn)得吸引力；2）資產(chǎn)轉(zhuǎn)化成報(bào)酬得容易程度:3）威脅得

9、技術(shù)力量;4）脆弱性被利用得難易程度。 下面就是威脅標(biāo)識(shí)對(duì)應(yīng)表：威脅等級(jí)賦 值可能帶來得威脅可控性發(fā)生頻度咼3黑客攻擊、惡意代碼與病毒 等完全不可控出現(xiàn)得頻率較高（或事1 次/月）；或在大多數(shù)情況 下很有可能會(huì)發(fā)生;或可 以證實(shí)多次發(fā)生過。中2物理攻擊、內(nèi)部人員得操作 失誤、惡意代碼與病毒等一定得可控性出現(xiàn)得頻率中等（或1 次/半年）；或在某種情況 下可能會(huì)發(fā)生；或被證實(shí) 曾經(jīng)發(fā)生過。低1內(nèi)部人員得操作失誤、惡意代碼與病毒等較大得可控性出現(xiàn)得頻率較小;或一般 不太可能發(fā)生；或沒有被 證實(shí)發(fā)生過。4.2威脅分類下面就是針對(duì)威脅分類對(duì)威脅途徑得描述，其中不包括物理威脅:威脅種類威脅途徑操作錯(cuò)誤合法

10、用戶工作失誤或疏忽得可能性濫用授權(quán)合法用戶利用自己得權(quán)限故意或非故意:破壞系統(tǒng)得可 能性行為抵賴合法用戶對(duì)自己操作行為否認(rèn)得可能性身份假冒非法用戶冒充合法用戶進(jìn)行操作得可能性密碼分析非法用戶對(duì)系統(tǒng)密碼分析得可能性安全漏洞非法用戶利用系統(tǒng)漏洞侵入系統(tǒng)得可能性拒絕服務(wù)非法用戶利用拒絕服務(wù)手段攻擊系統(tǒng)得可能性惡童代碼病毒、特洛伊木馬、蠕蟲、邏輯炸彈等感染得可能性竊聽數(shù)據(jù)非法用戶通過竊聽等手段盜取重要數(shù)據(jù)得可能性社會(huì)工程非法用戶利用社交等手段獲取重要信息得可能性意外故障系統(tǒng)得組件發(fā)生意外故障得可能性通信中斷數(shù)據(jù)通信傳輸過程中發(fā)生意外中斷得可能性4.3威脅主體下面對(duì)威脅來源從威脅主體得角度進(jìn)行了威脅等級(jí)

11、分析:威脅主體面臨得威脅系統(tǒng)合法用戶（系統(tǒng)管理員與其她授權(quán)用戶）操作錯(cuò)誤濫用授權(quán)行為抵賴系統(tǒng)非法用戶（權(quán)限較低用戶與外部攻擊者）身份假冒密碼分析安全漏洞拒絕服務(wù)惡意代碼竊聽數(shù)據(jù)社會(huì)工程系統(tǒng)組件意外故障通信中斷4.4威脅識(shí)別序 號(hào)資產(chǎn)編號(hào)身 份 假 冒1.N22112.N22113.N22114.HI2115.HI2116.H12117.H12118.D12115脆弱性分析5.1脆弱性分析概述脆弱性就是指資產(chǎn)或資產(chǎn)組中能被威脅所利用得弱點(diǎn)，它包括物理環(huán)境、組 織機(jī)構(gòu)、業(yè)務(wù)流程、人員、管理、®件、軟件及通訊設(shè)施等各個(gè)方面，這些都可 能被各種安全威脅利用來侵害一個(gè)組織機(jī)構(gòu)內(nèi)得有關(guān)資產(chǎn)及這些

12、資產(chǎn)所支持得 業(yè)務(wù)系統(tǒng)。各種安全薄弱環(huán)節(jié)自身并不會(huì)造成什么危害只有在被各種安全威脅 利用后才可能造成相應(yīng)得危害。需要注意得就是不正確得、起不到應(yīng)有作用得或 沒有正確實(shí)施得安全保護(hù)措施本身就可能就是一個(gè)安全薄弱環(huán)節(jié).這里將對(duì)脆弱性被威脅利用得可能性進(jìn)行評(píng)估，最終為其賦相對(duì)等級(jí)值。脆弱性等級(jí)賦值描述高3很容易被攻擊者利用會(huì)對(duì)系統(tǒng)造成極大損害；中2脆弱項(xiàng)雖然對(duì)系統(tǒng)安全有一定影響，但其被利用需要一 定難度；低I脆弱項(xiàng)被利用后會(huì)對(duì)系統(tǒng)產(chǎn)生有限影響；在脆弱性評(píng)佔(zhàn)時(shí)得數(shù)據(jù)來源應(yīng)該就是資產(chǎn)得擁有者或使用者，相關(guān)業(yè)務(wù)領(lǐng)域 得專家以及軟硬件信息系統(tǒng)方面得專業(yè)人員。在本次評(píng)佔(zhàn)中將從技術(shù)、管理兩個(gè)方面進(jìn)行脆弱性評(píng)佔(zhàn)其

13、中在技術(shù)方面主要 就是通過遠(yuǎn)程與本地兩種方式進(jìn)行工具掃描、手動(dòng)檢査等方式進(jìn)行評(píng)估以保證 脆弱性評(píng)估得全面性與有效性;管理脆弱性評(píng)佔(zhàn)方面主要就是對(duì)現(xiàn)有得安全管理 制度得制定與執(zhí)行宿況進(jìn)行檢查，發(fā)現(xiàn)其中得管理漏洞與不足。5.2技術(shù)脆弱性分析5.2.1網(wǎng)絡(luò)平臺(tái)脆弱性分析華為交換機(jī)、路山器設(shè)備脆弱性分析，下面按照嚴(yán)重程度高、中、低得順序排 列：脆弱性 編號(hào)脆弱性名稱受影響得資產(chǎn)嚴(yán)重 程度V3000L未對(duì)SU P e r密碼加密高V3OOO2.未進(jìn)行用戶權(quán)限設(shè)置高V3OOO3.未對(duì)VTY得訪問限制中V30004.未進(jìn)行登陸超時(shí)設(shè)置中V3OOO5.未禁用FTP服務(wù)中V3OOO6.未進(jìn)行日志審汁中V3OOO

14、7.未對(duì)VTY得數(shù)量限制低522操作系統(tǒng)脆弱性分析Solari S操作系統(tǒng)脆弱性分析下面按照嚴(yán)巫程度高.中、低得順序排列:脆弱性編 號(hào)脆弱性名稱受影響得資產(chǎn)V22001.存在可能無用得組中V22002.存在沒有所有者得文件低V22003.不記錄登錄失敗事件低5.2.3脆弱性掃描結(jié)果分析5231掃描資產(chǎn)列表序號(hào)設(shè)備/系統(tǒng)名稱IP地址掃描策略就是 否掃 描1.網(wǎng)絡(luò)設(shè)備與防火墻就是2.網(wǎng)絡(luò)設(shè)備與防火墻就是3.S 0 laris 系統(tǒng)、s 0 1 a ris 應(yīng) 用就是4.Solaris 系統(tǒng)、solans 應(yīng)用就是5.solari s 系統(tǒng)、sol a r is 應(yīng) 用就是6.sol a ris 系

15、統(tǒng)、sola r is 應(yīng) 用就是7.wi n dow s 終端windows 系統(tǒng)就是8.w i n d 0 ws 終 端windows 系統(tǒng)就是9.wind 0 w s 終端wi n dow s 系統(tǒng)就是5232高危漏洞分析Solaris操作系統(tǒng)高危漏洞如下:脆弱性 編號(hào)脆弱性名稱受影響得資產(chǎn)嚴(yán)重 程度V22004.0 penS S H S / K ey 遠(yuǎn) 程信息泄露漏洞中V22005.Open SSH GSSA Pl 信號(hào) 處理程序內(nèi)存兩次釋放漏洞中V22006.Opens S H復(fù)制塊遠(yuǎn)程拒絕 服務(wù)漏洞中5233系統(tǒng)帳戶分析本次掃描未發(fā)現(xiàn)系統(tǒng)帳戶信息.5234應(yīng)用帳戶分析本次掃描未發(fā)

16、現(xiàn)應(yīng)用帳戶信息。5.3管理脆弱性分析項(xiàng)目子項(xiàng)檢査結(jié)果可能危害安全策 略信息安全 策略就是否有針對(duì)業(yè)務(wù)系統(tǒng)得安全策 略有無就是否傳達(dá)到相關(guān)員工有無就是否有復(fù)核制度無明確得復(fù)核制度安全策略與現(xiàn) 狀不符合，貫 徹不力安全組 織基礎(chǔ)組織 保障部門職資分配有無與外部安全機(jī)構(gòu)得介作合作較少對(duì)最新得安全 動(dòng)態(tài)與系統(tǒng)現(xiàn) 狀得了解不足， 不能及時(shí)響應(yīng) 最新得安全問 題第三方訪 問安全訪問控制外來人員參觀機(jī)房需 要有信息中心專人陪 同無保密合同有無資產(chǎn)分 類與控 制資產(chǎn)分類資產(chǎn)淸單與描述有無資產(chǎn)分類按業(yè)務(wù)角度進(jìn)行分類無人員安 全崗位與資 源工作職責(zé)有無崗位劃分劃分明確無能力要求有，對(duì)人員基本能力有 明確得技術(shù)要求

17、無保密協(xié)議簽訂保密協(xié)議無培訓(xùn)定期培訓(xùn)公司定期培訓(xùn)，無針 對(duì)本系統(tǒng)得培訓(xùn)不能完全適合 該業(yè)務(wù)系統(tǒng)得 實(shí)際情況*缺 少針對(duì)性安全意識(shí)員工安全意識(shí)比較強(qiáng)無事故處理事故報(bào)告制度有事件報(bào)告機(jī)制，有 明確規(guī)定無事故事后分析有無糾正機(jī)制有糾正機(jī)制無通訊與操作規(guī)程操作規(guī)程文件有明確得操作規(guī)程文無項(xiàng)目子項(xiàng)檢査結(jié)果可能危害運(yùn)行管 理與職責(zé)件及文檔播南安全事故管理資任有完整流程，并作相應(yīng) 記錄無內(nèi)務(wù)處理信息備份有詳細(xì)得備份計(jì)劃無保持操作記錄有完善得操作記錄無故障記錄有無系統(tǒng)訪 問控制網(wǎng)絡(luò)訪問 控制外聯(lián)用戶控制有防火墻無網(wǎng)絡(luò)路由控制有.統(tǒng)i做得無網(wǎng)絡(luò)連接控制有無網(wǎng)絡(luò)隔離控制劃分vl a n無應(yīng)用系統(tǒng) 訪問控制用戶認(rèn)證

18、用戶名與密碼簡單認(rèn) 證模式未授權(quán)用戶威 脅系統(tǒng)安全口令管理有無文件共享無無數(shù)據(jù)庫系 統(tǒng)訪問控 制用戶權(quán)限控制有無訪問權(quán)限控制有無口令控制有無日常維護(hù)業(yè)務(wù)系統(tǒng)監(jiān)控有，并且有記錄無網(wǎng)絡(luò)監(jiān)控有，統(tǒng)一部署得無維護(hù)文檔更新有無系統(tǒng)日志有無業(yè)務(wù)連 續(xù)性管 理容災(zāi)備份核心服務(wù)器冗余核心服務(wù)器數(shù)據(jù)腭有 備份無關(guān)鍵鏈路冗余有無數(shù)據(jù)庫備份有數(shù)據(jù)備份無技術(shù)支持安全機(jī)構(gòu)支持有無集成商得技術(shù)服務(wù)與支持華為無證據(jù)收集沒有采取收集證據(jù)得 方式來維護(hù)自己得利 益自身利益可能 受到損失安全策略 與技術(shù)安全策略信息系統(tǒng)有安全策略 并經(jīng)常彼審查，集團(tuán)下 發(fā)得-些東西無技術(shù)符合性檢驗(yàn)有，定期進(jìn)行技術(shù)審 査以確保符合安全實(shí) 現(xiàn)標(biāo)準(zhǔn)無5

19、.4脆弱性識(shí)別序 號(hào)資產(chǎn)編號(hào)身 份 假H1.N11I12.N11I13.N11114.HI1115.H11I16.H11117.HI1118.DI1I16風(fēng)險(xiǎn)分析6.1風(fēng)險(xiǎn)分析概述風(fēng)險(xiǎn)就是指特定得威脅利用資產(chǎn)得一種或一組脆弱性導(dǎo)致資產(chǎn)得丟失或損 害得潛在可能性即特定威脅事件發(fā)生得可能性與后果得結(jié)合風(fēng)險(xiǎn)只能預(yù)防、避 免、降低、轉(zhuǎn)移與接受，但不可能完全被消滅。在這個(gè)過程中將根據(jù)上面評(píng)估 得結(jié)果，選擇適當(dāng)?shù)蔑L(fēng)險(xiǎn)計(jì)算方法或丄具確定風(fēng)險(xiǎn)得大小與風(fēng)險(xiǎn)等級(jí)，即對(duì)每一 業(yè)務(wù)系統(tǒng)得資產(chǎn)因遭受泄露、修改、不可用與破壞所帶來得任何影響做出一個(gè)風(fēng) 險(xiǎn)測(cè)量得列表，以便識(shí)別與選擇適當(dāng)與正確得風(fēng)險(xiǎn)控制策略，這也將就是策劃信

20、 息安全體系架構(gòu)得重要步驟.6.2資產(chǎn)風(fēng)險(xiǎn)分布資產(chǎn)風(fēng)險(xiǎn)分布圖表錯(cuò)誤!未定義書簽.資產(chǎn)風(fēng)險(xiǎn)分布圖6.3資產(chǎn)風(fēng)險(xiǎn)列表根據(jù)風(fēng)險(xiǎn)得訃算公式函數(shù)：R=f (A, T, V)=f ( 1 a . L ( VaJ),其中R 代表風(fēng)險(xiǎn)，A代表資產(chǎn)得估價(jià)，T代表威脅，V代表脆弱性。我們得出下表：序 號(hào)資產(chǎn)編號(hào)1NO7663332.N327663333.N327663334.HO63335.H8363336.H8363337.H8363338.D 036337系統(tǒng)安全加固建議7.1管理類建議脆弱性描述安全加固建議號(hào)1.缺少明確得復(fù)核制度在安全體系中完善復(fù)核制度，明確執(zhí)行 方法2.與外部安全機(jī)構(gòu)得合作較少，對(duì)最新

21、得安全動(dòng)態(tài)與系統(tǒng)現(xiàn)狀得了解不足， 不能及時(shí)響應(yīng)最新得安全問題加強(qiáng)與安全服務(wù)商得合作,定期開展培訓(xùn) 與系統(tǒng)風(fēng)險(xiǎn)評(píng)佔(zhàn)與加固工作3.在對(duì)設(shè)備與系統(tǒng)得維護(hù)管理中缺少強(qiáng) 制使用身份認(rèn)證與通訊加密得要求采用SSH等非明文傳輸?shù)霉芾砉ぞ?，并?用認(rèn)證系統(tǒng)7.2技術(shù)類建議7.2.1安全措施編 號(hào)脆弱性描述安全加固建議1.系統(tǒng)邊界缺少安全防護(hù)措施出口鏈路中增加防火墻進(jìn)行訪問控制 與安全隔離2.系統(tǒng)邊界出口缺少冗余措施出口鏈路中增加鏈路冗余，減少發(fā)生通 訊故障得風(fēng)險(xiǎn).或者對(duì)關(guān)鍵設(shè)備做冷備3.內(nèi)部骨干鏈路與核心設(shè)備之間缺少冗 余措施骨干鏈路中增加鏈路冗余，減少發(fā)生通 訊故障得風(fēng)險(xiǎn)?；蛘邔?duì)關(guān)鍵設(shè)備做冷備4.系統(tǒng)得內(nèi)部網(wǎng)絡(luò)中缺少入侵檢測(cè)技術(shù) 手段在內(nèi)部核心交換處部署IDS設(shè)備5.系統(tǒng)中缺少對(duì)流量做監(jiān)控得技術(shù)手段在關(guān)鍵鏈路或核心交換處增加流量監(jiān) 控設(shè)備7.2.2網(wǎng)絡(luò)平臺(tái)華為交換機(jī)、路曲器設(shè)備加固建議:脆弱性編 號(hào)脆弱性描述安全加固建議加固風(fēng)險(xiǎn)/條件V3000K未對(duì)S uper密碼加密對(duì)S iiper密碼進(jìn)行加 密低風(fēng)險(xiǎn)V 300 02、未進(jìn)行用戶權(quán)限i殳置設(shè)置用戶權(quán)限可能會(huì)導(dǎo)致部分用 戶權(quán)限不適當(dāng)V3OO