信息安全风险评估报告(示例)

信息安全风险评估报告第第1094页目录报告声明 错误!未定义书签。托付方信息 错误!未定义书签。受托方信息 错误!未定义书签。风险评估报告单 错误!未定义书签。风险评估工程概述 错误!未定义书签。建设工程根本信息 错误!未定义书签。风险评估实施单位根本状况 错误!未定义书签。风险评估活动概述 错误!未定义书签。风险评估工作组织过程 错误!未定义书签。风险评估技术路线 错误!未定义书签。依据的技术标准及相关法规文件 错误!未定义书签。评估对象构成 错误!未定义书签。评估对象描述 错误!未定义书签。网络拓扑构造 错误!未定义书签。网络边界描述 错误!未定义书签。业务应用描述 错误!未定义书签。子系统构成及定级 错误!未定义书签。资产调查 错误!未定义书签。资产赋值 错误!未定义书签。关键资产说明 错误!未定义书签。威逼识别与分析 3关键资产安全需求 3关键资产威逼概要 7威逼描述汇总 20威逼赋值 22脆弱性识别与分析 25常规脆弱性描述 25治理脆弱性 25网络脆弱性 25系统脆弱性 25应用脆弱性 25数据处理和存储脆弱性 25灾备与应急响应脆弱性 25物理脆弱性 25脆弱性专项检查 25木马病毒专项检查 25效劳器漏洞扫描专项检测 26安全设备漏洞扫描专项检测 37脆弱性综合列表 40风险分析 47关键资产的风险计算结果 47关键资产的风险等级 51风险等级列表 51风险等级统计 52基于脆弱性的风险排名 52风险结果分析 54综合分析与评价 55综合风险评价 55风险掌握角度需要解决的问题 56整改意见 57留意事项 错误未定义书签。威逼识别与分析关键资产安全需求重要性程度资产重要资产名称 〔重要等类别级〕

说明

安全需求可用性-系统可用性是保证各项系统数据正常传输到磁盘阵列。完整性-完整性价值格外他任何用户不能修改数据。保密性-包含组织的重光纤交换机Brocade300

〔5〕

保证xxxx系统数据正常传输到严峻损害。磁盘阵列的设完整性-完整性价值非备。 员外其数据。保密性-包含组织的重严峻损害。保密性-包含组织的重严峻损害。重要性程度资产重要资产名称 〔重要等类别级〕

说明

安全需求保密性-包含组织的重严峻损害。存储 磁盘阵列设备 HPEVA4400保障UPS电源SANTAK设备 3C3EX30KS

格外重要〔5〕

xxxx系统数据存储设备。重要设备。

保密性-包含组织的重严峻损害。可用性-系统可用性是xxxx完整性-完整性价值格外他任何用户不能修改数据。保密性-包含组织的重严峻损害。可用性-系统可用性价统供电工作正常。完整性-完整性价值较任何用户不能修改数据。重要性程度资产重要资产名称 〔重要等类别级〕

说明

安全需求保密性-包含组织内部会造成稍微损害。完整性-完整性价值较任何用户不能修改数据。保密性-包含组织的重严峻损害。系统SymantecBackup

4〔高〕

可用性-系统可用性价据正常采集。完整性-完整性价值较部署在应用效劳高，除授权人员外其他器上。任何用户不能修改数据。保密性-包含组织的重严峻损害。可用性-系统可用性价xxxx系统数据值较高；保证xxxx备份治理软件。统数据备份治理功能正常运行。重要性程度资产重要资产名称 〔重要等类别级〕内容治理软件

说明

安全需求完整性-完整性价值较任何用户不能修改数据。保密性-包含组织的重严峻损害。可用性-系统可用性价统数据的采编。完整性-完整性价值较WCM-MUL-V60网站群版

重要〔4〕用户数据采编。格外重要 xxxx系统的核

据。保密性-包含组织的重严峻损害。可用性-系统可用性是xxxx数据能够正常读取及数据 xxxx系统数据 使用。〔5〕 心数据。完整性-完整性价值非他任何用户不能修改数据。重要性程度重要性程度资产资产重要性重要资产名称 〔重要等 安全需求类别 说明级〕保密性-包含组织的重严峻损害。关键资产威逼概要对“xxxxxxxxxxxxxxxxxxxx信息系统”关键资产进展调查，对威逼来源〔内部/外部；主观/不行抗力等、威逼方式、发生的可能性等进展分析，如下表所示：关键资产名称 威逼类型 关注范围核心交换机QuidwayS3300Series

员操作不当导致交操作失误〔维护错误、操作失换机效劳特别或中断导致误〕 金农一期系统无法正常使用。流行的免费下载软件中捆社会工程〔社会工程学破解〕含病毒、网络钓鱼、垃圾电引起系统安全问题。物理破坏〔断电、消防、盗窃止工作，效劳中断。和破坏〕 威逼系统正常运行。关键资产名称 威逼类型 关注范围治理地址未与特定主机进滥用授权〔非授权访问网络资行绑定可导致非授权人员源、滥用权限非正常修改系统访问核心交换机修改系统配置或数据〕 配置或数据，造成网络中断。障、传输设备故障，意外故障〔设备硬件故障、传可能导致整个中心机房网输设备故障〕 络中断造成业务应用无法正常运行。治理制度和策略不明确、监视控管机制不健全〕

洞和缺失。光纤交换机Brocade300

操作失误〔维护错误、操作失换机效劳特别或中断导致误〕 金农一期数据无法正常保存到磁盘阵列。物理破坏〔断电、消防、盗窃止工作，效劳中断。和破坏〕 威逼系统正常运行。滥用授权〔非授权访问网络资治理地址未与特定主机进源、滥用权限非正常修改系统行绑定可导致非授权人员配置或数据〕 交换机修改系统任务失败。意外故障〔设备硬件故障、传硬件故障、传输设备故障，输设备故障〕 可能导致磁盘阵列无法连关键资产名称 威逼类型 关注范围治理制度和策略不明确、监视控管机制不健全〕

败。洞和缺失。QuidwayS3300Series

操作失误〔维护错误、操作失换机效劳特别或中断导致误〕 金农一期系统无法通过互联网访问。物理破坏〔断电、消防、盗窃止工作，效劳中断。和破坏〕 威逼系统正常运行。治理地址未与特定主机进滥用授权〔非授权访问网络资行绑定可导致非授权人员源、滥用权限非正常修改系统访问电信接入交换机修改配置或数据〕 或数据造成网络中断。件故障传输设备有意外故障〔设备硬件故障、传障可能导致全部终端的网输设备故障〕 断影响各办公室用户接入网络。治理制度和策略不明确、监视控管机制不健全〕

洞和缺失。电信出口路由器 操作失误〔维护错误、操作失维护人员操作不当导致出关键资产名称误〕

威逼类型 关注范围影响地市州访问金农一期系统。物理断电导致关键设备停物理破坏〔断电、消防、盗窃止工作，效劳中断。和破坏〕 威逼系统正常运行。治理地址未与特定主机进滥用授权〔非授权访问网络资行绑定可导致非授权人员源、滥用权限非正常修改系统访问电信出口路由器修改配置或数据〕 或数据造成互联网通信线路中断。

输设备故障〕治理制度和策略不明确、监视控管机制不健全〕漏洞利用〔利用漏洞窃取信漏洞破坏系统〕软件、窃听软件〕

络无法接入互联网。洞和缺失。非法入侵者利用漏洞侵入用。间谍软件、窃听软件的影响。关键资产名称 威逼类型 关注范围物理破坏〔断电、消防、盗窃止工作，效劳中断。和破坏〕 威逼系统正常运行。硬件及系统故障导致系统意外故障〔设备硬件故障〕治理制度和策略不明确、监视控管机制不健全〕漏洞利用〔利用漏洞窃取信漏洞破坏系统〕软件、窃听软件〕数据库备份效劳器物理破坏〔断电、消防、盗窃和破坏〕

不行用，效劳中断。洞和缺失。非法入侵者利用漏洞侵入备份数据不行用或完整性丧失。间谍软件、窃听软件的影响。断。行。意外故障〔设备硬件故障〕治理制度和策略不明确、监视控管机制不健全〕

洞和缺失。关键资产名称 威逼类型 关注范围非法入侵者利用漏洞侵入漏洞利用〔利用漏洞窃取信 改或破坏可能导致息、利用漏洞破坏信息、利用系统业务中断。漏洞破坏系统〕 用系统漏洞攻击系统，导致效劳中断。系统可能受到病毒、木马、软件、窃听软件〕

响。物理断电导致关键设备停

物理破坏〔断电、消防、盗窃止工作，效劳中断。和破坏〕 威逼系统正常运行。意外故障〔设备硬件故障、应不行用，效劳中断。用软件故障〕 故障导致效劳中断。治理制度和策略不明确、监视控管机制不健全〕漏洞利用〔利用漏洞窃取信部级下发效劳器 漏洞破坏系统〕

洞和缺失。非法入侵者利用漏洞侵入下发数据丧失。入侵者利用系统漏洞攻击收。恶意代码〔病毒、木马、间谍系统可能受到病毒、木马、软件、窃听软件〕 间谍软件、窃听软件的影关键资产名称 威逼类型 关注范围和破坏〕用软件故障〕治理制度和策略不明确、监视控管机制不健全〕

响。收。行。收。据无法接收。洞和缺失。非法入侵者利用漏洞侵入漏洞利用〔利用漏洞窃取信系统篡改或破坏可能导致息、利用漏洞破坏信息、利用数据不行用或完整性丧失。漏洞破坏系统〕 系统来宾帐号密码为空具有肯定安全风险。系统可能受到病毒、木马、

软件、窃听软件〕

响。物理断电导致关键设备停物理破坏〔断电、消防、盗窃止工作，效劳中断。和破坏〕 威逼系统正常运行。意外故障〔设备硬件故障、应硬件及系统故障导致系统关键资产名称 用软件故障〕治理制度和策略不明确、监视控管机制不健全〕

关注范围用。洞和缺失。非法入侵者利用漏洞侵入漏洞利用〔利用漏洞窃取信系统篡改或破坏可能导致息、利用漏洞破坏信息、利用数据不行用或完整性丧失。漏洞破坏系统〕 入侵者利用系统漏洞攻击系统，导致效劳中断。系统可能受到病毒、木马、软件、窃听软件〕

响。物理断电导致关键设备停效劳器

物理破坏〔断电、消防、盗窃止工作，效劳中断。和破坏〕 威逼系统正常运行。意外故障〔设备硬件故障、应不行用，效劳中断。用软件故障〕 故障导致效劳中断。治理制度和策略不明确、监视控管机制不健全〕

洞和缺失。治理不到位〔关键资产名称 威逼类型 关注范围不完善、治理规程遗失、职责执行无序造成安全监管漏不明确、监视控管机制不健 洞和缺失。全〕磁盘阵列HPEVA4400

物理破坏〔断电、消防、盗窃止工作，效劳中断。和破坏〕 威逼系统正常运行。硬件故障可能导致征金农意外故障〔设备硬件故障、存一期业务数据的错误、异储媒体故障〕 ，进而导致全部业务中断。3C3EX30KS

治理制度和策略不明确、监视控管机制不健全〕操作失误〔无作为〕电源中断〔备用电源中断〕意外故障〔设备硬件故障〕

洞和缺失。效。电源中断导致UPS停顿工作，无法正常储藏电源。题，导致应用效劳中断。治理不到位〔治理制度和策略不完善、治理规程遗失、职责洞。不明确、监视控管机制不健 全〕 降低。千兆防火墙 操作失误〔操作失误〕 千兆防火墙配置治理由外绿盟SG1200Series

威逼类型 关注范围引发操作失误。流行的免费下载软件中捆社会工程〔社会工程学破解〕含病毒、网络钓鱼、垃圾电引起系统安全问题。物理破坏〔断电、消防、盗窃作。和破坏〕 威逼系统正常运行。治理地址未与特定主机进展滥用授权〔非授权访问网络资访问防火墙。源、滥用权限非正常修改系统治理地址未与特定主机进配置或数据〕 导致非授权人员网络中断。导致中心机房与互联网的意外故障〔设备硬件故障、传子政务外网的通信中断或输设备故障〕 网络边界安全防护效劳功器和业务数据的安全威逼。治理不到位〔关键资产名称 威逼类型 关注范围不完善、治理规程遗失、职责执行无序造成安全监管漏不明确、监视控管机制不健 洞和缺失。全〕由外包公司维护，操作失误〔维护错误、操作失当系统发生故障时系统恢误〕 复不行控，易引发操作失误。绿盟NIDS1200Series

物理破坏〔断电、消防、盗窃作。和破坏〕 威逼系统正常运行。治理地址未与特定主机进滥用授权〔非授权访问网络资IDS。源、滥用权限非正常修改系统治理地址未与特定主机进配置或数据〕修改系统配置或数据。意外故障〔设备硬件故障〕 使用无法监控网络中的入侵和攻击行为。入侵防护系统Series

治理制度和策略不明确、监视控管机制不健全〕操作失误〔操作失误〕

洞和缺失。复不行控，易引发操作失误。关键资产名称 威逼类型 关注范围物理破坏〔断电、消防、盗窃作。和破坏〕 威逼系统正常运行。治理地址未与特定主机进配置或数据〕

访问应用安全治理系统。治理地址未与特定主机进展修改系统配置或数据。意外故障〔设备硬件故障〕 护系统无法正常使用无法防范网络入侵。治理制度和策略不明确、监视控管机制不健全〕操作失误〔操作失误〕

洞和缺失。数据库治理由外包公司维失误。SQLServer2022标准版

治理制度和策略不明确、监视控管机制不健全〕

统的核心数据严峻损失。洞和缺失。关键资产名称 威逼类型 关注范围系统具备数据备份与恢复恢复使用。治理制度和策略不明确、监视控管机制不健全〕

洞和缺失。操作失误〔维护错误、操作失系统软件可能在维护中出误〕 现错误。身份假冒〔用户身份伪装和欺身份被冒用，产生哄骗行

骗〕解〕

为。暴力破解。流行的免费下载软件中捆社会工程〔社会工程学破解〕含病毒、网络钓鱼、垃圾电引起系统安全问题。软件故障，可能导致xxxx意外故障〔应用软件故障〕治理制度和策略不明确、监视控管机制不健全〕

业务无法正常使用。成安全监管漏洞和缺失。威逼描述汇总威逼发威逼发影响生频率〔完整性修〔很高威逼存在的威逼改、机密性5/4/作用对象子类描述暴露、可用3/低2/很低威述〕1〕胁种数据库患病类数据库效劳器、数据库备利用 网络攻击，系统数据易 、业务应用效劳漏洞 如数据完整通过漏洞被 4〔高〕器、部级下发效劳器、数破坏 性被修改，破坏。 据采集前置机、应用支撑信息 可能会发生平台效劳器。安全大事。威胁

存在的威逼

影响

生频率〔很高5/4/

作用对象种 类

描述暴露、可用述〕

3/低2/很低1〕利用系统数据易器设施的因漏洞通过漏洞被攻击而产生破坏破坏。 系统性遗失。

4〔高〕器、部级下发效劳器、数平台效劳器。治理规程存在缺陷，可治理治理规程缺能导致针对规程关键资产的3〔中〕全部资产缺失全监管漏洞。日常运维管理方面消灭漏洞。威逼发威逼发影响生频率威〔完整性修〔很高胁威逼存在的威逼改、机密性4/作用对象种子类描述暴露、可用3/低类2/很低述〕1〕职责职责不明确，确，可导致不明易造成安全3〔中〕全部资产安全监管漏确监管漏洞。洞。监视控管机监视监视控管机制等方面存控管制不健全，易在缺陷，导机制 3〔中〕全部资产造成安全监致完整性或不健管漏洞。 可用性的遗全失。威逼赋值威逼资产名称操作失误滥用授权行为抵赖身份假冒口令攻击密码分析漏洞利用拒绝效劳恶意代码窃取数据物理破坏社会工程意外故障通信中断数据受损电源中断灾难治理不到位越权使用核心交换机242443光纤交换机24243电信接入交24243换机威逼资产名称操作失误滥用授权行为抵赖身份假冒口令攻击密码分析漏洞利用拒绝效劳恶意代码窃取数据物理破坏社会工程意外故障通信中断数据受损电源中断灾难治理不到位越权使用电信出口路24243由器数据库效劳42243器数据库备份42243效劳器业务应用42243效劳器部级下发42243效劳器数据采集前42243置机应用支撑平42243台效劳器磁盘阵列243UPS2423千兆防火墙242443IDS24243测系统入侵防护24243系统SQL223Server2022资产名称资产名称备份治理软件软件WCM-MUL-V60网站群版据金农一期业务系统威逼操作失误滥用授权行为抵赖身份假冒口令攻击密码分析漏洞利用拒绝效劳恶意代码窃取数据物理破坏社会工程意外故障通信中断数据受损电源中断灾难治理不到位越权使用223223423434433脆弱性识别与分析2.1.常规脆弱性描述2.1.1.治理脆弱性….。2.1.2.网络脆弱性….。2.1.3.系统脆弱性….。2.1.4.应用脆弱性…..2.1.5.数据处理和存储脆弱性…..2.1.6.运行维护脆弱性….2.1.7.灾备与应急响应脆弱性…2.1.8.物理脆弱性…。2.2.脆弱性专项检查2.2.1.木马病毒专项检查信息系统配置特别流量监控系统、入侵防护、入侵检测、防病毒网关，均通过联网升级；系统安装瑞星杀毒软件，程序版本号23.00.48.42，升级设置为“即时升级”，杀毒引擎级别设置为中。效劳器漏洞扫描专项检测主机扫描统计列表序号IP漏洞总数觉察主机漏洞统计觉察主机

高危急中危急低危急效劳用户风险漏洞 漏洞 漏洞 总数总数分值

安全状态序号漏洞名称危急级别漏洞类别远程主机正1.在运行终端低信息收集类效劳2.IPC$连低NT接检查序号漏洞名称危急级别漏洞类别可以通过3.NetBios低信息收集类操作系统信息4.ICMP低信息收集类猎取远程主机5./WWW低信息收集类务正在运行WWWWeb服6.务器版本检低信息收集类查7.SNMP高SNMP认团体名8.SNMP中SNMPWinsSNMP9.知中SNMPmanagementstations觉察主机效劳统计觉察主机觉察主机觉察主机序号效劳名称ms-term-端口协议描述1services3389TCP2Microsoft445TCPMicrosoft--dsDS3loc-srv135TCPLocationService4会话效劳139TCPNETBIOS会话效劳5compaq-2381TCPCompaqsSCompaq6compaqdi2301TCPremoteagdiagnosticmanagement序号效劳名称端口协议7ndmp10000TCP描述觉察主机描述觉察主机NetworkDataManagementProtocolWorldWide超文本传880TCPWeb〔WWW〕输协议效劳器Microsoft-9ms-sql-s1433TCPSQL-Server10未知端口8087TCP觉察主机2漏洞分类觉察主机2漏洞分类SNMP危急级别高影响平台SNMPWindows的Simple NetworkManagementProtocol(SNMP)使用默认的public团体名。攻击者可以利用SimpleNetwork具体描述ManagementProtocol(SNMP)取得有关机器的有用信息，例如网络设备的信息，有那些翻开的连接等等。ApacheTomcatTransfer-Encoding头处理拒绝效劳和信息泄露漏洞觉察主机觉察主机1漏洞分类CGI危急级别中影响平台具体描述

ApacheTomcat5.5.0through5.5.29through6.0.27,and7.0.0betaApacheTomcatJSPTransfer-Encoding时存在多个错误，导致无法循环使用缓冲区。远程攻击者可以利用这个漏洞导致之后的恳求失败，或在恳求之间泄露信息。觉察主机2漏洞分类SNMP危急级别觉察主机2漏洞分类SNMP危急级别中影响平台SNMP很多SNMPagents可以被配置在收到认证不合格的SNMP消息后发具体描述送SNMPtrapsnmpEnableAuthenTrapsobject，agentSNMPWins用户名觉察主机觉察主机2漏洞分类SNMP危急级别中影响平台WindowsNT、Windows2022具体描述SNMPWindowsNT觉察主机2漏洞分类觉察主机2漏洞分类SNMP危急级别低影响平台SNMP具体描述

SNMP效劳被检测到正在运行,当SNMP使用了默认的团体名public或private时,攻击者可以利用Simple Network Protocol(SNMP)取得有关机器的有用信息。不设置团体名更加危急，由于这意味着任意团体名都可以访问。觉察主机2漏洞分类SNMP觉察主机2漏洞分类SNMP危急级别低影响平台SNMPSNMPagentsMIB-IIifTable。这个表含有机器具体描述所支持的每个接口的IP地址及网络掩码。这些信息暴露了网络连接和网络设备的信息。SNMP供给远程监控信息觉察主机觉察主机2漏洞分类SNMP危急级别低影响平台SNMP一个活动的Remote Monitoring(RMON) 探测可以远程监控应用具体描述程序、网络流量及用户。觉察主机2漏洞分类觉察主机2漏洞分类SNMP危急级别低影响平台SNMPSNMPagentsMIB-IIipRouteTable。这个表包具体描述IP〔prototype〕息暴露了网络连接和网络设备的信息。觉察主机2漏洞分类信息收集类觉察主机2漏洞分类信息收集类危急级别低影响平台SSH通过与目标主机SSH守护进程通讯，可获得以下询配置信息，包括：具体描述SSH 版本、通讯公钥、认证方法ICMP时间戳猎取2,1,7,0,2,1,7,0,觉察主机0,1漏洞分类信息收集类危急级别低影响平台全部系统具体描述利用ICMP协议支持的功能获得目标主机的系统时间，可以用来攻击基于时间认证的协议。觉察主机2,1,0漏洞分类信息收集类危急级别低觉察主机2,1,0漏洞分类信息收集类危急级别低影响平台全部系统检查是否目标主机正在运行最的web效劳器软件。攻击者利用具体描述webMSSQL效劳觉察主机觉察主机2漏洞分类信息收集类危急级别低影响平台影响平台MSSQL具体描述MSSQL0,1,4,3,觉察主机2,5,6,7漏洞分类0,1,4,3,觉察主机2,5,6,7漏洞分类NT危急级别低影响平台WindowsIPC$Windows具体描述匿名IPC$连接，攻击者就可以通过匿名IPC$连接猎取很多的系统信息。ApacheTomcat设计错误漏洞觉察主机觉察主机1漏洞分类Apache危急级别低影响平台ApacheTomcat7.0.0through7.0.3,6.0.xand5.5.xApacheTomcatApacheFoundation码的JavaServlet和JSP效劳程序。具体描述当在SecurityManager中运行时，ApacheTomcat7.0.0至7.0.3版本，6.0.x，以及5.5.x版本没有将ServletContext属性设为只读。本地web应用程序可以利用该漏洞读或写预设工作名目外的文件。2,7,5,0,1,觉察主机2,7,5,0,1,觉察主机6,4,3漏洞分类信息收集类危急级别低影响平台Windows具体描述

(3389用远程桌面效劳，可以将终端延长至任何可访问效劳所在主机网络节点。在不是必需的状况下，应当停顿此效劳，以免攻击者通过远程破解等手段完全掌握远程主机。ApacheTomcat“MemoryUserDatabase“信息泄露漏洞觉察主机危急级别1Apache低ApacheTomcat5.5.0through5.5.33影响平台ApacheTomcat6.0.0through6.0.32ApacheTomcat7.0.0through7.0.16具体描述

ApacheFoundationJavaServletJSPApacheTomcatMemoryUserDatabase远程攻击者可利用此漏洞猎取更多信息。2,7,5,0,觉察主机1,6漏洞分类信息收集类2,7,5,0,觉察主机1,6漏洞分类信息收集类危急级别低影响平台Windows具体描述通过NetBios可以猎取远程主机的操作系统信息。SNMPTCP端口列表觉察主机觉察主机2漏洞分类SNMP危急级别低影响平台SNMP具体描述

者供给更多信息觉察主机2漏洞分类SNMP危急级别低影响平台觉察主机2漏洞分类SNMP危急级别低影响平台SNMP通过SNMP获得系统UDP端口列表，导致系统敏感信息泄漏，给攻击具体描述者供给更多信息SNMP获得系统进程列表觉察主机觉察主机2漏洞分类SNMP危急级别低影响平台SNMP通过SNMP获得系统进程列表，导致系统敏感信息泄漏，给攻击者提具体描述供更多信息觉察主机2漏洞分类SNMP觉察主机2漏洞分类SNMP危急级别低影响平台SNMP通过SNMP获得系统效劳列表，导致系统敏感信息泄漏，给攻击者提具体描述供更多信息SNMP获得系统信息觉察主机觉察主机2漏洞分类SNMP危急级别危急级别低影响平台SNMP通过SNMP获得系统信息，攻击者可以通过这些信息推断对方操作系具体描述统或者设备类型觉察主机2漏洞分类SNMP觉察主机2漏洞分类SNMP危急级别低影响平台SNMP通过SNMP获得系统安装软件列表，导致敏感信息泄露，给攻击者提具体描述供更多信息。SNMP获得系统存储设备列表觉察主机觉察主机2漏洞分类SNMP危急级别低影响平台SNMP通过SNMP获得系统存储设备列表，导致敏感信息泄露，给攻击者提具体描述供更多信息。觉察主机2漏洞分类觉察主机2漏洞分类守护进程类危急级别低影响平台sshsshssh具体描述的版本和类型等敏感信息，为进一步的攻击做预备。ssh_协议版本觉察主机觉察主机2漏洞分类守护进程类危急级别低影响平台ssh具体描述sshssh觉察主机2漏洞分类守护进程类危急级别低影响平台觉察主机2漏洞分类守护进程类危急级别低影响平台SSHSSH1.331.5SSH具体描述些协议并缺乏够安全，建议停顿使用这些版本的协议。/WWW效劳正在运行觉察主机觉察主机2,1,0漏洞分类信息收集类危急级别低影响平台具体描述/WWW安全设备漏洞扫描专项检测主机扫描统计列表序号IP漏洞总数高危急漏洞中危急漏洞低危急漏洞效劳总数用户总数风险分值安全状态11001201比较安全20000100比较安全31001201比较安全41001201比较安全51001201比较安全61001201比较安全71001201比较安全觉察主机,,,,,漏洞名称觉察主机,,,,,漏洞名称ICMP漏洞分类信息收集类危急级别低效劳统计序号效劳名称序号效劳名称端口协议描述觉察主机,,10.2.9.是，通过1s443TCP7,,,10.2.TLS/SSL交谈8.1BorderGateway,,bgp179TCPProtocol6,,安全322TCPshell4telnet23TCP有用程序漏洞扫描具体列表觉察主机,,,,,漏洞分类信息收集类觉察主机,,,,,漏洞分类信息收集类危急级别低影响平台全部系统具体描述利用ICMP协议支持的功能获得目标主机的系统时间，可以用来攻击基于时间认证的协议。2.3.脆弱性综合列表编 检测检测项 脆弱性号 子项意识培训；

赋作用对象 值人员安全治理的弱性

员访问治理制度；需完善修改；

全部资产

损失。略、治理规程、监视控管机制等方面存在缺陷，可能导致安全策略的执行方面存制度

2、未明确治理制度全部资产程。

3在缺乏，可能导用性的遗失。编号检测项检测子项脆弱性作用对象赋值潜在影响3.未承受发文或制度的形式明确划分系全部资产3机构色。能导致安全工作的缺位和失误。1、资产治理方面，未依据资产的重要程度对资产落实相应的治理措系统运维治理存施，介质和设备在缺乏，可能导的使用、保修未致治理不到位出系统进展具体的登记现安全事故，可4.运维治理；全部资产3能导致安全大事治理2、未开展信息系统无法准时觉察，安全审计和定期可能导致安全事巡检工作，对系件消灭后无法及统安全漏洞，服时解决。务器和软件的补丁修补工作未进行具体登记。网络设备和安全5.网络脆网络网络设备、安全3弱性设备故障记录和分析报告。设备备消灭故障或异常后无法准时发现进展解决。6.1.核心交换机没有交换机3交换机硬件配置编 检测检测项号 子项脆弱性作用对象赋值潜在影响做设备冗余；上的缺乏可能影2.电信接入交换机响xxxx容量较小。正常使用。网络7. 访问网络中无VLAN划分；防火墙、3网络中无VLAN分不利于网络通掌握交换机信掌握和网络安全治理。网络和安全设备网络网络设备和安全设网络设足，可能导致网8. 设备备访问未使用MAC地备、安全3络和安全设备遭防护IP设备到攻击，以至造成整个网络的瘫痪。1、各效劳器主机存效劳器存在安全恶意在不同程度的安漏洞，效劳器未系统脆9. 代码弱性防范全漏洞；2、效劳器未定期开展安全巡检工各效劳器5定期开展安全巡作；或木马的威逼。编号10.

检测项弱性

检测脆弱性子项登录；2、数据前置机中存在来宾账号，且该帐号密码为空。有一其他单位信息资源系统借用机房内业掌握一用户登录；2、局部用户登录密身份 码设置过于简

赋作用对象值xxxx4信息数据

潜在影响运行。假设该系统消灭特别外风险。信息系统身份鉴11.

鉴别单，未做口令长度和复杂度要求；略；

xxxx数据 4 足，可能引起口编号检测项检测子项脆弱性作用对象赋值潜在影响12.应用系统中无安全志只能通过查看中间件的日志。1存储设备消灭故13.在消灭故障的状况磁盘阵列3障，因系统无冗性修和恢复。工作中断。14.数据处理性成员单位与中心机间或因网络问题导致中断。信息数据3数据传输中断，可能导致xxxx期信息数据无法准时更。备份治理软件系15.和备份治理3恢复检查记录。软件数据的正常备份和恢复，造成数据损失。运行维护治理工16.系统系统漏洞治理制度全部资产3安全性 展。

题无法准时觉察统中断。编检测项号

检测脆弱性子项系统

作用对象

赋潜在影响值密码治理缺乏，17. 方式存在缺乏，密码全部资产维护

可能导致安全事未定期更换。 故的发生。18.

建立灾难 难备备份 份系统。系统

全部资产

未建立异地灾难备份系统，可能在本地系统消灭故障、数据遗失复。19.20.

应急响应

恢复 已建立应急响应预和应 和工作急响 分工仍需细化。应预案 开展应急预的演 案演练工作。练

全部资产

应急预案工作的缺乏，可能导致安全大事一旦发生无法准时解决全，可能导致数据遗失后无法恢复。编 检测项号

赋脆弱性 作用对象值

潜在影响防火 报警器只处于通电状态。物理脆弱性 且只掩盖机房内弱电力 22.供给 录。

资产备资产

，可能导致无法准时觉察火灾救。UPS掩盖机房全部设大影响。风险分析关键资产的风险计算结果依据《GB/T20984-2022信息安全技术信息安全风险评估标准》要求，通到了如下风险结果：资产风险值15〔操作失误-网络脆弱性[维护错误、操作失误]〕13〔社会工程--运行维护脆弱性[社会工程学破解]〕〕18〔滥用授权-网络脆弱性[网络访问掌握、网络设备防护]〕9〔意外故障-网络脆弱性[网络设备故障]〕与应急响应脆弱性〕15〔操作失误-网络脆弱性[维护错误、操作失误]〕〕15〔意外故障-网络脆弱性[网络设备防护、网络设备故障]〕与应急响应脆弱性〕15〔操作失误-网络脆弱性[维护错误、操作失误]〕〕18〔滥用授权-网络脆弱性[网络访问掌握、网络设备防护]〕9〔意外故障-网络脆弱性[网络设备故障]〕

资产名称核心交换机QuidwayS3300Series光纤交换机Brocade300电信接入交换机QuidwayS3300Series

资产风险值

资产名称15〔操作失误-网络脆弱性[维护错误、操作失误]〕13〔物理破坏-物理脆弱性[防盗窃和防破坏、防火]〕18〔滥用授权-网络脆弱性[网络访问掌握、网络设备防护]〕9〔意外故障-网络脆弱性[网络设备故障]〕与应急响应脆弱性〕15〔漏洞利用-系统脆弱性[恶意代码防范]〕〕13〔恶意代码-系统脆弱性[恶意代码防范]〕12〔意外故障-系统脆弱性[资源掌握]〕与应急响应脆弱性〕17〔漏洞利用-系统脆弱性[恶意代码防范]〕〕14〔恶意代码-系统脆弱性[恶意代码防范]〕10〔意外故障-系统脆弱性[资源掌握]〕与应急响应脆弱性〕19〔漏洞利用-系统脆弱性[恶意代码防范]〕〕16〔恶意代码-系统脆弱性[恶意代码防范]〕12〔意外故障-系统脆弱性[资源掌握]〕与应急响应脆弱性〕19〔漏洞利用-系统脆弱性[恶意代码防范]〕〕

电信出口路由器数据库效劳器数据库备份效劳器业务应用效劳器部级下发效劳器资产风险值恶意代码-系统脆弱性[恶意代码防范]〕12〔意外故障-系统脆弱性[资源掌握]〕与应急响应脆弱性〕19〔漏洞利用-系统脆弱性[恶意代码防范]〕〕16〔恶意代码-系统脆弱性[恶意代码防范]〕12〔意外故障-系统脆弱性[资源掌握]〕与应急响应脆弱性〕19〔漏洞利用-系统脆弱性[恶意代码防范]〕〕16〔恶意代码-系统脆弱性[恶意代码防范]〕12〔意外故障-系统脆弱性[资源掌握]〕与应急响应脆弱性〕〕〕与应急响应脆弱性〕14〔操作失误-物理脆弱性[电力供给]〕14〔电源中断-物理脆弱性[电力供给]〕17〔意外故障-物理脆弱性[电力供给]〕与应急响应脆弱性〕13〔操作失误-网络脆弱性[网络设备防护]〕13〔社会工程—运行维护脆弱性[社会工程学破解]〕〕

资产名称数据采集前置机应用支撑平台效劳器磁盘阵列HPEVA4400UPSSANTAK3C3EX30KS千兆防火墙绿盟SG1200Series资产风险值〕12〔意外故障-网络脆弱性[网络设备故障]〕与应急响应脆弱性〕13〔操作失误-网络脆弱性[维护错误、操作失误]〕〕16〔滥用授权-网络脆弱性[网络入侵防范、网络设备防护]〕17〔意外故障-网络脆弱性[网络设备故障]〕与应急响应脆弱性〕13〔操作失误-网络脆弱性[维护错误、操作失误]〕〕16〔滥用授权-网络脆弱性[网络入侵防范、网络设备防护]〕17〔意外故障-网络脆弱性[网络设备故障]〕与应急响应脆弱性〕13〔操作失误-网络脆弱性[维护错误、操作失误]〕8(意外故障-数据处理和存储脆弱性[数据库软件故障])与应急响应脆弱性〕13〔操作失误-网络脆弱性[维护错误、操作失误]〕8〔意外故障-数据处理和存储脆弱性[备份和恢复]〕与应急响应脆弱性〕

资产名称IDS入侵防护系统NIPS1000SeriesSQLServer2022标准版备份治理软件SymantecBackup资产风险值8〔操作失误-网络脆弱性[维护错误、操作失误]〕18〔操作失误-数据处理和存储脆弱性[信息存储安全性]〕13〔数据受损-数据处理和存储脆弱性[信息存储安全性]、应用脆弱性[通信完整性]〕与应急响应脆弱性〕18〔操作失误-数据处理和存储脆弱性[信息存储安全性]〕13〔数据受损-数据处理和存储脆弱性[信息存储安全性]、应用脆弱性[通信完整性]〕与应急响应脆弱性〕18〔操作失误-数据处理和存储脆弱性[信息存储安全性]〕14〔身份假冒--应用脆弱性[身份冒假]〕14〔口令攻击--应用脆弱性[口令攻击]〕16〔社会工程--运行维护脆弱性[社会工程学破解]〕8〔意外故障-数据处理和存储脆弱性[备份和恢复]〕与应急响应脆弱性检测〕

资产名称WCM-MUL-V60网站群版xxxx金农一期应用系统关键资产的风险等级风险等级列表资产风险等级值资产风险等级值资产名称资产风险等级18核心交换机高风险