【正文】 效的方法是在源頭有效截?cái)鄲阂獯a的侵入，在濟(jì)寧職業(yè)技術(shù)學(xué)院與外部接入網(wǎng)的邊界位置使用網(wǎng)關(guān)型防病毒技術(shù)過(guò)濾基于網(wǎng)絡(luò)傳輸?shù)母鞣N病毒、木馬、蠕蟲(chóng)等惡意代碼，避免外部接入網(wǎng)絡(luò)中的惡意代碼通過(guò)網(wǎng)絡(luò)途徑侵入到信息系統(tǒng)內(nèi)。 脆弱性監(jiān)控網(wǎng)絡(luò)的應(yīng)用越來(lái)越廣泛，而網(wǎng)絡(luò)不可避免的安全問(wèn)題也就越來(lái)越突出，如今，每天都有數(shù)十種有關(guān)操作系統(tǒng)、網(wǎng)絡(luò)軟件、應(yīng)用軟件的安全漏洞被公布，利用這些漏洞可以很容易的破壞乃至完全的控制系統(tǒng)；另外，由于管理員的疏忽或者技術(shù)水平的限制造成的配置漏洞也是廣泛存在的，這對(duì)于系統(tǒng)的威脅同樣很?chē)?yán)重。建議濟(jì)寧職業(yè)技術(shù)學(xué)院采用漏洞掃描系統(tǒng)定期對(duì)內(nèi)部主機(jī)、服務(wù)器系統(tǒng)進(jìn)行脆弱性檢查，能夠達(dá)到以下效果：? 通過(guò)對(duì)網(wǎng)絡(luò)系統(tǒng)中的關(guān)鍵服務(wù)器進(jìn)行漏洞掃描，能夠發(fā)現(xiàn)由于安全管理配置不當(dāng)、疏忽或操作系統(tǒng)本身存在的漏洞（這些漏洞會(huì)使系統(tǒng)中的資料容易被網(wǎng)絡(luò)上的懷有惡意的人竊取，甚至造成系統(tǒng)本身的崩潰） ，生成詳細(xì)的可視化報(bào)告，同時(shí)向管理人員給出相應(yīng)的解決辦法及安全建議。? 通過(guò)對(duì)網(wǎng)絡(luò)系統(tǒng)邊界組件、基礎(chǔ)組件和其他系統(tǒng)進(jìn)行漏洞掃描，檢查31 / 64系統(tǒng)的潛在問(wèn)題，發(fā)現(xiàn)操作系統(tǒng)存在的漏洞和安全隱患。? 通過(guò)對(duì)網(wǎng)絡(luò)及各種系統(tǒng)進(jìn)行定期或不定期的掃描監(jiān)測(cè)，并向安全管理員提供系統(tǒng)最新的漏洞報(bào)告，使管理員能夠隨時(shí)了解網(wǎng)絡(luò)系統(tǒng)當(dāng)前存在的漏洞并及時(shí)采取相應(yīng)的措施進(jìn)行修補(bǔ)。? 通過(guò)漏洞掃描的結(jié)果，能夠?qū)ο到y(tǒng)進(jìn)行加固和優(yōu)化。 內(nèi)部威脅監(jiān)控通過(guò)安全子系統(tǒng)的建設(shè)能夠阻擋絕大多數(shù)攻擊的侵入，但安全防護(hù)設(shè)備一般都是采用靜態(tài)的防護(hù)措施，不能及時(shí)適用外部動(dòng)態(tài)變化的攻擊技術(shù)，一旦用外部最新的攻擊行為透過(guò)防護(hù)技術(shù)進(jìn)入到系統(tǒng)中，防護(hù)措施很難發(fā)揮作用。另外，系統(tǒng)內(nèi)部存在大量的終端，一旦這些終端有意或無(wú)意（如 ARP 欺騙）的發(fā)起攻擊，防護(hù)措施也無(wú)能為力。因此，必須建立針對(duì)系統(tǒng)整體的監(jiān)控系統(tǒng)，例如入侵檢測(cè)系統(tǒng)的動(dòng)態(tài)監(jiān)控技術(shù)，彌補(bǔ)靜態(tài)防護(hù)技術(shù)的不足，實(shí)時(shí)監(jiān)控系統(tǒng)內(nèi)部的異常流量和攻擊事件，準(zhǔn)確定位安全事件的發(fā)生源。 應(yīng)用監(jiān)控WEB 應(yīng)用有著其自身的特殊性，入侵防護(hù)措施和防篡改措施能夠有效防范大多數(shù)針對(duì) WEB 應(yīng)用的攻擊，并防范頁(yè)面被惡意篡改，但這些措施對(duì) WEB 掛馬等威脅仍力不從心，無(wú)法進(jìn)行有效防護(hù)；另外，隨著 WEB 攻擊技術(shù)的發(fā)展，防護(hù)技術(shù)總有一定的滯后性，這些都對(duì) WEB 應(yīng)用的安全形成嚴(yán)重威脅，需要建立專(zhuān)門(mén)針對(duì) WEB 應(yīng)用的檢測(cè)措施，定期檢測(cè) WEB 應(yīng)用的漏洞和網(wǎng)站掛馬的情況，配合防護(hù)技術(shù)實(shí)現(xiàn) WEB 應(yīng)用安全穩(wěn)定的運(yùn)行，并保障了訪(fǎng)問(wèn)者的安全瀏覽。32 / 64 網(wǎng)絡(luò)行為審計(jì)由于辦公的需要，濟(jì)寧職業(yè)技術(shù)學(xué)院內(nèi)部網(wǎng)絡(luò)需要訪(fǎng)問(wèn)互聯(lián)網(wǎng)，在獲取相關(guān)信息的同時(shí)，也很容易受到互聯(lián)網(wǎng)上惡意信息的侵害?；ヂ?lián)網(wǎng)中存在大量的惡意站點(diǎn)，黑客、木馬工具，病毒程序等，如果不加限制地訪(fǎng)問(wèn)這些站點(diǎn)、使用這些工具，會(huì)給系統(tǒng)帶來(lái)安全隱患，影響網(wǎng)絡(luò)的正常使用。另外，隨著 P2P 技術(shù)的發(fā)展，很有可能存在上班時(shí)間某些用戶(hù)不停地下載大容量的文件或者在線(xiàn)聽(tīng)音樂(lè)、看視頻電影，這些行為都會(huì)嚴(yán)重占用網(wǎng)絡(luò)帶寬，造成網(wǎng)絡(luò)堵塞，上網(wǎng)速度下降，影響其他人的正常上網(wǎng)行為，使重要的網(wǎng)絡(luò)業(yè)務(wù)無(wú)法得到有效的保障。 因此，對(duì)互聯(lián)網(wǎng)的使用進(jìn)行規(guī)范，提高互聯(lián)網(wǎng)使用效率，同時(shí)避免對(duì)互聯(lián)網(wǎng)使用的不良影響，關(guān)系濟(jì)寧職業(yè)技術(shù)學(xué)院的正常辦公和對(duì)外服務(wù)，是在信息化建設(shè)過(guò)程中非常關(guān)鍵的一環(huán)。建議使用互聯(lián)網(wǎng)審計(jì)設(shè)備加強(qiáng)對(duì)互聯(lián)網(wǎng)訪(fǎng)問(wèn)行為的管理，避免上網(wǎng)行為對(duì)信息系統(tǒng)造成的危害。 業(yè)務(wù)行為審計(jì)濟(jì)寧職業(yè)技術(shù)學(xué)院的網(wǎng)絡(luò)中有許多關(guān)鍵業(yè)務(wù)服務(wù)器，它們是各類(lèi)網(wǎng)絡(luò)服務(wù)的載體，其重要性不言而喻，這些對(duì)重要設(shè)備及其所承載的應(yīng)用的操作將直接影響到信息系統(tǒng)的安全性、穩(wěn)定性和可用性，因此對(duì)這些行為必須進(jìn)行有效的監(jiān)控和審計(jì)記錄。建議在核心交換機(jī)上部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，能夠?qū)π畔⑾到y(tǒng)中各類(lèi)網(wǎng)絡(luò)操作行為進(jìn)行細(xì)粒度審計(jì)。網(wǎng)絡(luò)安全審計(jì)技術(shù)能夠詳細(xì)記錄誰(shuí)在什么時(shí)間做了什么樣的事情，從管理角度給以震懾，從技術(shù)的角度進(jìn)行保障，并作為系統(tǒng)安全管理或運(yùn)維部門(mén)的免責(zé)依據(jù)或安全管理/IT 審計(jì)部門(mén)的追查證據(jù)。網(wǎng)絡(luò)安全審計(jì)系統(tǒng)通過(guò)對(duì)被授權(quán)人員和系統(tǒng)的網(wǎng)絡(luò)行為進(jìn)行收集、分析、記錄和匯報(bào)，有效實(shí)現(xiàn)了事前統(tǒng)一的授權(quán)管理、事中的實(shí)時(shí)監(jiān)控和違規(guī)響應(yīng)、33 / 64事后的合規(guī)審計(jì)和事故追蹤，全面體現(xiàn)了管理者對(duì)業(yè)務(wù)系統(tǒng)信息資源的全局把控和調(diào)度能力，加強(qiáng)了信息系統(tǒng)中對(duì)重要網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)操作行為的監(jiān)管。濟(jì)寧職業(yè)技術(shù)學(xué)院安全管理子系統(tǒng)的建設(shè)內(nèi)容包括建立專(zhuān)門(mén)的安全管理組織、合理的安全管理策略和全面的安全管理制度，實(shí)現(xiàn)濟(jì)寧職業(yè)技術(shù)學(xué)院安全事件的監(jiān)控管理、脆弱性管理、綜合安全風(fēng)險(xiǎn)分析與預(yù)警、安全響應(yīng)管理、安全信息知識(shí)庫(kù)管理、網(wǎng)絡(luò)拓?fù)湔宫F(xiàn)等。安全管理組織、安全管理平臺(tái)和安全管理制度等將人、技術(shù)、管理三者的能力有機(jī)融合，提升濟(jì)寧職業(yè)技術(shù)學(xué)院的安全運(yùn)營(yíng)管理能力，形成濟(jì)寧職業(yè)技術(shù)學(xué)院的安全管理子系統(tǒng)。 安全管理組織為實(shí)現(xiàn)對(duì)濟(jì)寧職業(yè)技術(shù)學(xué)院信息系統(tǒng)有效的安全管理，必須建立專(zhuān)門(mén)管理信息安全的管理組織，負(fù)責(zé)日常信息安全的管理；制定與信息安全有關(guān)的規(guī)章制度；負(fù)責(zé)濟(jì)寧職業(yè)技術(shù)學(xué)院信息系統(tǒng)的維護(hù)和管理工作。 安全管理策略完備的信息安全管理策略體能夠?qū)π畔⒑托畔⑻幚泶胧┻M(jìn)行管理、保護(hù)、分配和規(guī)劃，使?jié)鷮幝殬I(yè)技術(shù)學(xué)院信息系統(tǒng)免遭入侵和破壞。安全策略必須遵循以下原則：? 目的性。安全管理策略是為完成信息安全使命而制定的，反映了濟(jì)寧職業(yè)技術(shù)學(xué)院的整體利益和可持續(xù)發(fā)展的要求。? 適用性。安全管理策略反映了真實(shí)環(huán)境，反映了當(dāng)前信息安全的發(fā)展水平。? 可行性。安全管理策略具有切實(shí)可行性，保障了信息安全的目標(biāo)可以通過(guò)技術(shù)手段和管理手段來(lái)實(shí)現(xiàn)。34 / 64? 經(jīng)濟(jì)性。安全管理策略經(jīng)濟(jì)合理。? 完整性。安全管理策略充分反映了當(dāng)前所有業(yè)務(wù)流程的安全需要。? 一致性。安全管理策略的一致性包括下面三個(gè)層次：? 和國(guó)家、地方的法律法規(guī)保持一致；? 和己有的其他策略、方針保持一致；? 整體安全策略保持一致，能夠反映濟(jì)寧職業(yè)技術(shù)學(xué)院的對(duì)信息安全的一般看法。? 彈性。安全管理策略不僅要滿(mǎn)足當(dāng)前的要求，還充分考慮到了在未來(lái)一段時(shí)間內(nèi)發(fā)展的要求。 安全管理制度為有效規(guī)范工作人員在日常過(guò)程中的操作行為，需要以統(tǒng)一的安全策略為依據(jù)，制定了一系列切實(shí)可行的管理規(guī)范和制度，主要包括下列內(nèi)容：? 以《機(jī)房安全管理制度》 、 《設(shè)備管理制度》為代表的一系列制度，明確了對(duì)機(jī)房防火、防盜和訪(fǎng)問(wèn)控制等方面的管理和監(jiān)控，規(guī)范物理設(shè)備存放管理，防范對(duì)設(shè)備未經(jīng)授權(quán)的使用，以及對(duì)設(shè)備放置區(qū)域的未經(jīng)授權(quán)的訪(fǎng)問(wèn)，確保物理設(shè)備安全，以管理手段減少了物理層面的安全風(fēng)險(xiǎn)。? 《網(wǎng)絡(luò)管理及服務(wù)制度》 、 《區(qū)域劃分原則及訪(fǎng)問(wèn)控制策略》 、 《安全監(jiān)控制度》 、 《數(shù)據(jù)加密規(guī)范》 、 《網(wǎng)絡(luò)設(shè)備口令管理制度》 、 《電子郵箱管理制度》 、 《網(wǎng)絡(luò)保密管理制度》等管理制度主要作為網(wǎng)絡(luò)層對(duì)技術(shù)手段的補(bǔ)充，有效的減少了由網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)不當(dāng)、網(wǎng)絡(luò)設(shè)備口令管理不當(dāng)所造成的網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)。? 《補(bǔ)丁管理制度》 、 《操作系統(tǒng)及數(shù)據(jù)庫(kù)安全管理制度》 、 《數(shù)據(jù)備份管理制度》 、 《密碼管理制度》等主要用來(lái)管理和規(guī)范對(duì)系統(tǒng)層的操作。以《補(bǔ)丁管理制度》為例，規(guī)范了包括補(bǔ)丁的跟進(jìn)和通告、補(bǔ)丁的獲取、補(bǔ)丁的測(cè)試、補(bǔ)丁的加載、補(bǔ)丁的驗(yàn)證和補(bǔ)丁的歸檔等內(nèi)容。以上一系列管理制度規(guī)范了操作系統(tǒng)的脆弱性防護(hù)、主機(jī)訪(fǎng)問(wèn)安全脆弱性防護(hù)和敏感信息安全控制等幾個(gè)方面，大幅降低了系35 / 64統(tǒng)層的風(fēng)險(xiǎn)。? 《病毒防護(hù)管理制度》 、 《安全審計(jì)制度》 、 《審計(jì)規(guī)范制度》 、 《身份認(rèn)證規(guī)范》等幾個(gè)管理制度在應(yīng)用層惡意代碼防范、身份認(rèn)證和入侵取證等幾個(gè)方面制定了相應(yīng)的規(guī)范，減少了由他們所可能引起的風(fēng)險(xiǎn)。36 / 645 信息系統(tǒng)安全部署方案因濟(jì)寧職業(yè)學(xué)院網(wǎng)絡(luò)規(guī)模較大，安全設(shè)備的部署分兩期：第一期安排漏洞掃描、安全審計(jì)與入侵檢測(cè)。在安全管理中心域內(nèi)部署漏洞掃描引擎，對(duì)服務(wù)器和應(yīng)用進(jìn)行日常的脆弱性?huà)呙瑁皶r(shí)了解系統(tǒng)的漏洞并根據(jù)修復(fù)建議進(jìn)行加固。同時(shí)，在數(shù)據(jù)中心的服務(wù)器域交換機(jī)上部署網(wǎng)絡(luò)安全審計(jì)設(shè)備，實(shí)現(xiàn)對(duì)重要服務(wù)器系統(tǒng)及其所承載的應(yīng)用的各類(lèi)操作行為進(jìn)行監(jiān)控和審計(jì)，并對(duì)違規(guī)行為進(jìn)行記錄、報(bào)警和響應(yīng)；在數(shù)據(jù)中心接入交換機(jī)上部署入侵檢測(cè)系統(tǒng)，實(shí)時(shí)監(jiān)控系統(tǒng)內(nèi)部的異常情況并進(jìn)行報(bào)警；針對(duì) WEB 發(fā)布區(qū)增加 WEB 安全防護(hù)，并采用安全服務(wù)實(shí)現(xiàn)對(duì)安全管理制度的制定、風(fēng)險(xiǎn)評(píng)估及安全加固。產(chǎn)品部署方案如下圖所示：37 / 64產(chǎn)品名稱(chēng) 型號(hào) 數(shù)量（套）入侵檢測(cè)系統(tǒng)天闐入侵檢測(cè)與管理系統(tǒng) NS22001網(wǎng)絡(luò)安全審計(jì)系統(tǒng)天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)CA23001漏洞掃描系統(tǒng)天鏡脆弱性?huà)呙枧c管理產(chǎn)品1WEB 安全防護(hù)網(wǎng)關(guān)天清入侵防御系統(tǒng)WAG10201安全服務(wù)安全管理咨詢(xún)、風(fēng)險(xiǎn)評(píng)估、安全加固138 / 646 安全咨詢(xún)服務(wù)進(jìn)行安全評(píng)估的目的包括以下幾個(gè)方面：? 發(fā)現(xiàn)網(wǎng)站中的漏洞或弱點(diǎn)；? 對(duì) WEB 服務(wù)器、防火墻等最重要的、最敏感的資產(chǎn)，分析威脅發(fā)生時(shí)其潛在的損失或破壞；? 分析可能對(duì)資產(chǎn)造成危害的威脅，包括入侵者、罪犯、不滿(mǎn)員工、恐怖分子和自然災(zāi)害；? 通過(guò)對(duì)歷史資料和專(zhuān)家的經(jīng)驗(yàn)確定威脅實(shí)施的可能性；? 對(duì)可能受到威脅影響的資產(chǎn)確定其價(jià)值、敏感性和嚴(yán)重性，以及相應(yīng)的級(jí)別，確定哪些資產(chǎn)是最重要的；? 明晰組織的安全需求，指導(dǎo)組織建立安全管理框架，提出安全建議，合理規(guī)劃未來(lái)的安全建設(shè)和投入。? 了解組織的管理、網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀； 評(píng)估范圍本次安全評(píng)估的范圍涉及到濟(jì)寧職業(yè)技術(shù)學(xué)院的以下方面：? 物理環(huán)境；? 網(wǎng)站服務(wù)? 承載網(wǎng)站業(yè)務(wù)的 2 臺(tái) WEB 服務(wù)器? 保護(hù)網(wǎng)站的防火墻設(shè)備? 安全管理狀況；? 安全策略狀況；? 系統(tǒng)日志審計(jì)；? 安全滲透測(cè)試；39 / 64 評(píng)估內(nèi)容本次項(xiàng)目的評(píng)估內(nèi)容主要包括以下幾個(gè)方面：? 通過(guò)網(wǎng)絡(luò)弱點(diǎn)檢測(cè)，識(shí)別網(wǎng)站服務(wù)及相關(guān)服務(wù)器系統(tǒng)等在技術(shù)層面存在的安全弱點(diǎn)；? 通過(guò)采集 WEB 應(yīng)用、服務(wù)器系統(tǒng)、防火墻本地安全信息，獲得目前操作系統(tǒng)安全、網(wǎng)絡(luò)安全設(shè)備、各種安全管理、安全控制、人員、安全策略、應(yīng)用系統(tǒng)、業(yè)務(wù)系統(tǒng)等方面的信息，并進(jìn)行相應(yīng)的分析；? 通過(guò)對(duì)組織的人員、制度等相關(guān)安全管理措施的分析，了解組織現(xiàn)有的信息安全管理狀況；? 通過(guò)對(duì)以上各種安全風(fēng)險(xiǎn)的分析和匯總，形成組織安全風(fēng)險(xiǎn)評(píng)估報(bào)告；? 根據(jù)組織安全風(fēng)險(xiǎn)評(píng)估報(bào)告和安全現(xiàn)狀，提出相應(yīng)的網(wǎng)站安全建議，指導(dǎo)下一步的網(wǎng)站安全建設(shè)； 評(píng)估流程本次項(xiàng)目評(píng)估分為以下幾個(gè)步驟：? 步驟一：收集資料及制定項(xiàng)目計(jì)劃；? 步驟二：向濟(jì)寧職業(yè)技術(shù)學(xué)院網(wǎng)站提交《綜合安全調(diào)查表》 、 《人工審計(jì)實(shí)施方案》和《漏洞掃描方案》 ，或者《安全滲透測(cè)試方案》 ；? 步驟三：經(jīng)濟(jì)寧職業(yè)技術(shù)學(xué)院確認(rèn)后按既定計(jì)劃對(duì)網(wǎng)站實(shí)施安全評(píng)估與審計(jì)；? 步驟四：評(píng)估審計(jì)完成后提交《安全檢查報(bào)告》 ，或者《安全滲透測(cè)試報(bào)告》 ；? 步驟五：面對(duì)發(fā)現(xiàn)的安全問(wèn)題，提出《安全解決方案》 ；40 / 64 評(píng)估方法保護(hù)資產(chǎn)免受安全威脅是安全工程實(shí)施的根本目標(biāo)。要做好這項(xiàng)工作，首先需要詳細(xì)了解資產(chǎn)分類(lèi)與管理的詳細(xì)情況。? 資產(chǎn)分類(lèi)調(diào)查項(xiàng)目名稱(chēng) 資產(chǎn)分類(lèi)調(diào)查簡(jiǎn)要描述 采集資產(chǎn)信息，進(jìn)行資產(chǎn)分類(lèi)，劃分資產(chǎn)重要級(jí)別；達(dá)成目標(biāo) 采集資產(chǎn)信息，進(jìn)行資產(chǎn)分類(lèi)，劃分資產(chǎn)重要級(jí)別；進(jìn)一步明確評(píng)估的范圍和重點(diǎn)；主要內(nèi)容? 采集資產(chǎn)信息，獲取資產(chǎn)清單；? 進(jìn)行資產(chǎn)分類(lèi)劃分；? 確定資產(chǎn)的重要級(jí)別；實(shí)現(xiàn)方式? 調(diào)查? 填表式調(diào)查?《資產(chǎn)調(diào)查表》 ，包含計(jì)算機(jī)設(shè)備、通訊設(shè)備、存儲(chǔ)及保障設(shè)備、信息、軟件等。? 交流? 審閱已有的針對(duì)資產(chǎn)的安全管理規(guī)章、制度；? 與高級(jí)主管、業(yè)務(wù)人員、網(wǎng)絡(luò)管理員（系統(tǒng)管理員）等進(jìn)行交流。工作結(jié)果 資產(chǎn)類(lèi)別、資產(chǎn)重要級(jí)別；? 資產(chǎn)管理項(xiàng)目名稱(chēng) 資產(chǎn)管理簡(jiǎn)要描述 評(píng)估資產(chǎn)的安全等級(jí)和應(yīng)給予的安全保護(hù)等級(jí)達(dá)成目標(biāo) 評(píng)估資產(chǎn)的安全等級(jí)；評(píng)估資產(chǎn)應(yīng)給予的安全保護(hù)等級(jí)；主要內(nèi)容? 確定資產(chǎn)的安全等級(jí)；? 對(duì)安全保障進(jìn)行等級(jí)分類(lèi)；? 確定資產(chǎn)的應(yīng)給予的保護(hù)級(jí)別； 41 / 64實(shí)現(xiàn)方式? 調(diào)查? 填表式調(diào)查：《資產(chǎn)調(diào)查表》 ，包含計(jì)算機(jī)設(shè)備、通訊設(shè)備、存儲(chǔ)及保障設(shè)備、信息、軟件等。? 交流? 審閱已有的針對(duì)資產(chǎn)的安全管理規(guī)章、制度；? 與高級(jí)主管、業(yè)務(wù)人員、網(wǎng)絡(luò)管理員（系統(tǒng)管理員）等進(jìn)行交流。工作結(jié)果 資產(chǎn)安全級(jí)別；資產(chǎn)應(yīng)給予的安全保障級(jí)別；物理環(huán)境的安全評(píng)估主要包括物理環(huán)境、物理設(shè)備、線(xiàn)路等方面，具體分為以下幾個(gè)方面。? 物理設(shè)備脆弱性評(píng)估網(wǎng)絡(luò)信息系統(tǒng)存在的載體為計(jì)算機(jī)、服務(wù)器、交換機(jī)、線(xiàn)路等物理設(shè)備，這些物理設(shè)備本身也存在一定的安全風(fēng)險(xiǎn)，物理設(shè)備脆弱性評(píng)估就是針對(duì)這些風(fēng)險(xiǎn)進(jìn)行評(píng)估。比如：設(shè)備的損壞、介質(zhì)老化造成的數(shù)據(jù)丟失和數(shù)據(jù)交換可靠性的降低等；還有可能存在惡意的物理破壞，比如存放相對(duì)集中的服務(wù)器區(qū)等；可移動(dòng)存儲(chǔ)設(shè)備丟失、被盜，造成涉密信息泄露；設(shè)備網(wǎng)絡(luò)接口與數(shù)據(jù)接口沒(méi)有采取有效的訪(fǎng)問(wèn)控制，造成非授權(quán)使用。? 環(huán)境因素脆弱性評(píng)估環(huán)境因素的脆弱性對(duì)系統(tǒng)造成的安全威脅也比較大，比如機(jī)房的防火和防盜措施是否完善、機(jī)房出入控制管理控制是否嚴(yán)格，介質(zhì)管理或廢棄介質(zhì)處理是否管理嚴(yán)格等，如果這些措施不嚴(yán)格，都可能導(dǎo)致信息的隨意復(fù)制或泄漏等。42 / 64遠(yuǎn)程安全風(fēng)險(xiǎn)評(píng)估主要依據(jù)漏洞掃描工具對(duì)目標(biāo)進(jìn)行