【正文】 業(yè)務(wù)應(yīng)用服務(wù)器13（物理破壞物理脆弱性[防盜竊和防破壞、防火]）16（惡意代碼系統(tǒng)脆弱性[惡意代碼防范]）12（意外故障系統(tǒng)脆弱性[資源控制]）12（管理不到位管理脆弱性、運(yùn)行維護(hù)脆弱性、災(zāi)備與應(yīng)急響應(yīng)脆弱性）19（漏洞利用系統(tǒng)脆弱性[惡意代碼防范]）部級(jí)下發(fā)服務(wù)器13（物理破壞物理脆弱性[防盜竊和防破壞、防火]）16（惡意代碼系統(tǒng)脆弱性[惡意代碼防范]）12（意外故障系統(tǒng)脆弱性[資源控制]）12（管理不到位管理脆弱性、運(yùn)行維護(hù)脆弱性、災(zāi)備與應(yīng)急響應(yīng)脆弱性）19（漏洞利用系統(tǒng)脆弱性[惡意代碼防范]）數(shù)據(jù)采集前置機(jī)13（物理破壞物理脆弱性[防盜竊和防破壞、防火]）16（惡意代碼系統(tǒng)脆弱性[惡意代碼防范]）12（意外故障系統(tǒng)脆弱性[資源控制]）12（管理不到位管理脆弱性、運(yùn)行維護(hù)脆弱性、災(zāi)備與應(yīng)急響應(yīng)脆弱性）19（漏洞利用系統(tǒng)脆弱性[惡意代碼防范]）應(yīng)用支撐平臺(tái)服務(wù)器13（物理破壞物理脆弱性[防盜竊和防破壞、防火]）16（惡意代碼系統(tǒng)脆弱性[惡意代碼防范]）12（意外故障系統(tǒng)脆弱性[資源控制]）12（管理不到位管理脆弱性、運(yùn)行維護(hù)脆弱性、災(zāi)備與應(yīng)急響應(yīng)脆弱性）13（物理破壞物理脆弱性[防盜竊和防破壞、防火]）磁盤(pán)陣列 HP EVA440012（意外故障數(shù)據(jù)處理和存儲(chǔ)脆弱性[數(shù)據(jù)完整性]）12（管理不到位管理脆弱性、運(yùn)行維護(hù)脆弱性、災(zāi)備與應(yīng)急響應(yīng)脆弱性）14（操作失誤物理脆弱性[電力供應(yīng)]）UPS電源SANTAK 3C3 EX 30KS14（電源中斷物理脆弱性[電力供應(yīng)]）17（意外故障物理脆弱性[電力供應(yīng)]）10（管理不到位管理脆弱性、運(yùn)行維護(hù)脆弱性、災(zāi)備與應(yīng)急響應(yīng)脆弱性）13（操作失誤網(wǎng)絡(luò)脆弱性 [網(wǎng)絡(luò)設(shè)備防護(hù)]）千兆防火墻綠盟SG1200Series13（社會(huì)工程—運(yùn)行維護(hù)脆弱性[社會(huì)工程學(xué)破解]）13（物理破壞物理脆弱性[防盜竊和防破壞、防火]）18（濫用授權(quán)網(wǎng)絡(luò)脆弱性[網(wǎng)絡(luò)設(shè)備防護(hù)]）12（意外故障網(wǎng)絡(luò)脆弱性[網(wǎng)絡(luò)設(shè)備故障]）12（管理不到位管理脆弱性、運(yùn)行維護(hù)脆弱性、災(zāi)備與應(yīng)急響應(yīng)脆弱性）13（操作失誤網(wǎng)絡(luò)脆弱性[維護(hù)錯(cuò)誤、操作失誤]）IDS入侵檢測(cè)系統(tǒng)綠盟NIDS1200Series11（物理破壞物理脆弱性[防盜竊和防破壞、防火]）16（濫用授權(quán)網(wǎng)絡(luò)脆弱性[網(wǎng)絡(luò)入侵防范、網(wǎng)絡(luò)設(shè)備防護(hù)]）17（意外故障網(wǎng)絡(luò)脆弱性[網(wǎng)絡(luò)設(shè)備故障]）10（管理不到位管理脆弱性、運(yùn)行維護(hù)脆弱性、災(zāi)備與應(yīng)急響應(yīng)脆弱性）13（操作失誤網(wǎng)絡(luò)脆弱性[維護(hù)錯(cuò)誤、操作失誤]）入侵防護(hù)系統(tǒng)綠盟NIPS 1000 Series11（物理破壞物理脆弱性[防盜竊和防破壞、防火]）16（濫用授權(quán)網(wǎng)絡(luò)脆弱性[網(wǎng)絡(luò)入侵防范、網(wǎng)絡(luò)設(shè)備防護(hù)]）17（意外故障網(wǎng)絡(luò)脆弱性[網(wǎng)絡(luò)設(shè)備故障]）10（管理不到位管理脆弱性、運(yùn)行維護(hù)脆弱性、災(zāi)備與應(yīng)急響應(yīng)脆弱性）13（操作失誤網(wǎng)絡(luò)脆弱性[維護(hù)錯(cuò)誤、操作失誤]）SQL Server2008標(biāo)準(zhǔn)版8(意外故障數(shù)據(jù)處理和存儲(chǔ)脆弱性[數(shù)據(jù)庫(kù)軟件故障])10（管理不到位管理脆弱性、運(yùn)行維護(hù)脆弱性、災(zāi)備與應(yīng)急響應(yīng)脆弱性）13（操作失誤網(wǎng)絡(luò)脆弱性[維護(hù)錯(cuò)誤、操作失誤]）備份管理軟件Symantec Backup8（意外故障數(shù)據(jù)處理和存儲(chǔ)脆弱性[備份和恢復(fù)]）10（管理不到位管理脆弱性、運(yùn)行維護(hù)脆弱性、災(zāi)備與應(yīng)急響應(yīng)脆弱性）8（操作失誤網(wǎng)絡(luò)脆弱性[維護(hù)錯(cuò)誤、操作失誤]）內(nèi)容管理軟件WCMMULV60網(wǎng)站群版18（操作失誤數(shù)據(jù)處理和存儲(chǔ)脆弱性[信息存儲(chǔ)安全性]）13（數(shù)據(jù)受損數(shù)據(jù)處理和存儲(chǔ)脆弱性[信息存儲(chǔ)安全性]、應(yīng)用脆弱性[通信完整性]）12（管理不到位管理脆弱性、運(yùn)行維護(hù)脆弱性、災(zāi)備與應(yīng)急響應(yīng)脆弱性）18（操作失誤數(shù)據(jù)處理和存儲(chǔ)脆弱性[信息存儲(chǔ)安全性]）xxxx系統(tǒng)數(shù)據(jù)13（數(shù)據(jù)受損數(shù)據(jù)處理和存儲(chǔ)脆弱性[信息存儲(chǔ)安全性]、應(yīng)用脆弱性[通信完整性]）12（管理不到位管理脆弱性、運(yùn)行維護(hù)脆弱性、災(zāi)備與應(yīng)急響應(yīng)脆弱性）18（操作失誤數(shù)據(jù)處理和存儲(chǔ)脆弱性[信息存儲(chǔ)安全性]）金農(nóng)一期應(yīng)用系統(tǒng)14（身份假冒應(yīng)用脆弱性[身份冒假]）14（口令攻擊應(yīng)用脆弱性[口令攻擊]）16（社會(huì)工程運(yùn)行維護(hù)脆弱性[社會(huì)工程學(xué)破解]）8（意外故障數(shù)據(jù)處理和存儲(chǔ)脆弱性[備份和恢復(fù)]）12（管理不到位管理脆弱性、運(yùn)行維護(hù)脆弱性、災(zāi)備與應(yīng)急響應(yīng)脆弱性檢測(cè)）. 關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)等級(jí). 風(fēng)險(xiǎn)等級(jí)列表資產(chǎn)風(fēng)險(xiǎn)等級(jí)值資產(chǎn)名稱(chēng)資產(chǎn)風(fēng)險(xiǎn)等級(jí)18核心交換機(jī)高風(fēng)險(xiǎn)15光纖交換機(jī)中風(fēng)險(xiǎn)18電信接入交換機(jī)高風(fēng)險(xiǎn)18電信出口路由器高風(fēng)險(xiǎn)15數(shù)據(jù)庫(kù)服務(wù)器中風(fēng)險(xiǎn)17數(shù)據(jù)庫(kù)備份服務(wù)器高風(fēng)險(xiǎn)19業(yè)務(wù)應(yīng)用服務(wù)器高風(fēng)險(xiǎn)19部級(jí)下發(fā)服務(wù)器高風(fēng)險(xiǎn)19數(shù)據(jù)采集前置機(jī)高風(fēng)險(xiǎn)19應(yīng)用支撐平臺(tái)服務(wù)器高風(fēng)險(xiǎn)13磁盤(pán)陣列中風(fēng)險(xiǎn)17UPS電源高風(fēng)險(xiǎn)18千兆防火墻高風(fēng)險(xiǎn)17IDS入侵檢測(cè)系統(tǒng)高風(fēng)險(xiǎn)17入侵防護(hù)系統(tǒng)高風(fēng)險(xiǎn)10SQL Server2008標(biāo)準(zhǔn)版低風(fēng)險(xiǎn)10備份管理軟件低風(fēng)險(xiǎn)18內(nèi)容管理軟件高風(fēng)險(xiǎn)18xxxx系統(tǒng)數(shù)據(jù)高風(fēng)險(xiǎn)18金農(nóng)一期應(yīng)用系統(tǒng)高風(fēng)險(xiǎn). 風(fēng)險(xiǎn)等級(jí)統(tǒng)計(jì)風(fēng)險(xiǎn)等級(jí)資產(chǎn)數(shù)量所占比例（20個(gè)關(guān)鍵資產(chǎn)）4（高）15占關(guān)鍵資產(chǎn)75%3（中等）3占關(guān)鍵資產(chǎn)15%2（低）2占關(guān)鍵資產(chǎn)10%. 基于脆弱性的風(fēng)險(xiǎn)排名脆弱性風(fēng)險(xiǎn)等級(jí)所占比例網(wǎng)絡(luò)脆弱性：網(wǎng)絡(luò)設(shè)備和安全防護(hù)設(shè)備配置不合理、網(wǎng)絡(luò)訪問(wèn)控制不足、設(shè)備自身安全機(jī)制缺乏、濫用授權(quán)、錯(cuò)誤操作、設(shè)備硬件故障、通訊鏈路中斷、系統(tǒng)本身或軟件Bug等問(wèn)題，導(dǎo)致對(duì)業(yè)務(wù)高效穩(wěn)定運(yùn)行的影響。5%數(shù)據(jù)處理和存儲(chǔ)脆弱性：磁盤(pán)陣列、SQL數(shù)據(jù)庫(kù)軟件、備份管理軟件、xxxx數(shù)據(jù)因設(shè)備硬件故障、軟件Bug或錯(cuò)誤操作、數(shù)據(jù)傳輸中斷等問(wèn)題，可能導(dǎo)致信息數(shù)據(jù)無(wú)法及時(shí)更新，可能導(dǎo)致數(shù)據(jù)被破壞以后無(wú)法恢復(fù)。4%物理脆弱性：機(jī)房物理環(huán)境等方面存在缺陷，物理環(huán)境受到影響，有可能導(dǎo)致機(jī)房中各種軟硬件資產(chǎn)的不可用或可用性遺失。5%管理脆弱性：各類(lèi)資產(chǎn)或因管理機(jī)構(gòu)的不明確，或因管理制度和策略、管理規(guī)程、監(jiān)督控管機(jī)制等方面存在缺陷，或因人員安全管理的不足，可能導(dǎo)致安全工作的缺位和失誤，可能導(dǎo)致安全策略的執(zhí)行方面存在不足，可能導(dǎo)致資產(chǎn)完整性或可用性的遺失，可能導(dǎo)致管理人員安全意識(shí)的松懈，可能導(dǎo)致對(duì)外來(lái)人員管理的疏忽，造成系統(tǒng)各資產(chǎn)的損失。3覆蓋關(guān)鍵資產(chǎn)比例100%災(zāi)備與應(yīng)急響應(yīng)脆弱性：災(zāi)難恢復(fù)和應(yīng)急響應(yīng)工作存在脆弱性，可能導(dǎo)致突發(fā)安全事件后無(wú)法及時(shí)采取措施恢復(fù)系統(tǒng)，降低安全事件帶來(lái)的損失。3覆蓋關(guān)鍵資產(chǎn)比例100%系統(tǒng)脆弱性：服務(wù)器存在安全漏洞，未及時(shí)升級(jí)防惡意代碼軟件和惡意代碼庫(kù)，可能導(dǎo)致配置和數(shù)據(jù)遭到修改、破壞或泄露。5%運(yùn)行維護(hù)脆弱性：金農(nóng)一期系統(tǒng)的物理安全、系統(tǒng)設(shè)計(jì)、系統(tǒng)維護(hù)存在脆弱性，可能導(dǎo)致系統(tǒng)無(wú)法正常運(yùn)行，出現(xiàn)故障或異常無(wú)法及時(shí)發(fā)現(xiàn)并排除。3覆蓋關(guān)鍵資產(chǎn)比例100%應(yīng)用脆弱性：應(yīng)用系統(tǒng)存在的脆弱性將導(dǎo)致應(yīng)用系統(tǒng)中斷，影響業(yè)務(wù)的可用性。4%. 風(fēng)險(xiǎn)結(jié)果分析從安全風(fēng)險(xiǎn)狀態(tài)來(lái)看，關(guān)鍵資產(chǎn)存在著從低級(jí)風(fēng)險(xiǎn)到高風(fēng)險(xiǎn)等級(jí)別的風(fēng)險(xiǎn)。216。 高風(fēng)險(xiǎn)作用的關(guān)鍵資產(chǎn)178。 ….。216。 中風(fēng)險(xiǎn)作用的關(guān)鍵資產(chǎn)178。 ….。216。 低中風(fēng)險(xiǎn)作用的關(guān)鍵資產(chǎn)178。 …。4. 綜合分析與評(píng)價(jià). 綜合風(fēng)險(xiǎn)評(píng)價(jià)從信息系統(tǒng)安全風(fēng)險(xiǎn)狀態(tài)來(lái)看，關(guān)鍵資產(chǎn)存在著從低級(jí)、中級(jí)到高級(jí)等不同級(jí)別的風(fēng)險(xiǎn)，風(fēng)險(xiǎn)評(píng)價(jià)如下：216。 各關(guān)鍵資產(chǎn)存在高風(fēng)險(xiǎn)：(不可接受的風(fēng)險(xiǎn))l 重要服務(wù)器存在較高級(jí)別的安全漏洞，存在漏洞利用的風(fēng)險(xiǎn)；l 未定期開(kāi)展全系統(tǒng)的病毒、木馬查殺跟蹤工作，存在惡意代碼的風(fēng)險(xiǎn)；l UPS電源目前只為弱電供電，重要服務(wù)器、網(wǎng)絡(luò)設(shè)備均未被覆蓋，存在電力供應(yīng)的風(fēng)險(xiǎn)。216。 各關(guān)鍵資產(chǎn)存在中級(jí)風(fēng)險(xiǎn)：（跟蹤、降低和控制風(fēng)險(xiǎn)）l 部分服務(wù)器由于存在中、低風(fēng)險(xiǎn)的安全漏洞，存在漏洞利用的風(fēng)險(xiǎn)；l 各服務(wù)器未針對(duì)定期進(jìn)行的病毒、木馬查殺形成工作記錄和分析報(bào)告，存在惡意代碼的風(fēng)險(xiǎn)；l 機(jī)房中煙感、溫感只處于通電狀態(tài)，未啟用，存在物理安全風(fēng)險(xiǎn)；l 目前由外包公司定期對(duì)安全設(shè)備進(jìn)行定期回訪，但整個(gè)金農(nóng)一期系統(tǒng)未開(kāi)展全面、系統(tǒng)的安全運(yùn)行巡檢工作，出現(xiàn)故障或異常后可能無(wú)法及時(shí)發(fā)現(xiàn)進(jìn)行解決，存在巡檢缺位的風(fēng)險(xiǎn)；l 目前安全管理制度不夠全面，需要進(jìn)一步的補(bǔ)充、完善和細(xì)化，信息安全管理職責(zé)和分工還不夠明確，未定期開(kāi)展信息安全人員培訓(xùn)工作；l 系統(tǒng)運(yùn)維方面未定期開(kāi)展漏洞檢測(cè)、跟蹤和修補(bǔ)，無(wú)相關(guān)制度規(guī)定和工作記錄，密碼的管理和保存存在不足，并未定期進(jìn)行修改；l 應(yīng)急預(yù)案內(nèi)容需要進(jìn)一步完善和細(xì)化，未定期開(kāi)展應(yīng)急演練、培訓(xùn)，并形成記錄。216。 各關(guān)鍵資產(chǎn)存在低風(fēng)險(xiǎn)：l 未開(kāi)展軟件系統(tǒng)的安全運(yùn)行巡檢工作，出現(xiàn)故障或異常后可能無(wú)法及時(shí)發(fā)現(xiàn)進(jìn)行解決，存在巡檢缺位和系統(tǒng)故障的風(fēng)險(xiǎn)；l 目前安全管理制度不夠全面，需要進(jìn)一步的補(bǔ)充、完善和細(xì)化，未形成全面的管理記錄；l 系統(tǒng)運(yùn)維方面未定期開(kāi)展漏洞檢測(cè)、跟蹤和修補(bǔ)，無(wú)相關(guān)制度規(guī)定和工作記錄，密碼的管理和保存存在不足，并未定期進(jìn)行修改；l 應(yīng)急恢復(fù)流程、應(yīng)急恢復(fù)操作規(guī)范和工作分工仍需細(xì)化。. 風(fēng)險(xiǎn)控制角度需要解決的問(wèn)題216。 重要服務(wù)器漏洞修補(bǔ)和安全加固：未定期開(kāi)展系統(tǒng)漏洞檢測(cè)、跟蹤和修補(bǔ)工作，解決重要服務(wù)器安全漏洞問(wèn)題，并進(jìn)行記錄備案，消除安全隱患；216。 重要網(wǎng)絡(luò)設(shè)備和安全防護(hù)設(shè)備的安全配置加固：未限制重要設(shè)備的管理地址，未綁定重要設(shè)備和主機(jī)的IP和MAC地址防止非法接入和地址欺騙216。 系統(tǒng)安全運(yùn)維問(wèn)題：系統(tǒng)漏洞管理制度不夠完善，未定期開(kāi)展系統(tǒng)安全漏洞檢測(cè)；216。 災(zāi)備與應(yīng)急響應(yīng)問(wèn)題：未制定系統(tǒng)備份恢復(fù)機(jī)制和流程，系統(tǒng)應(yīng)急預(yù)案需進(jìn)一步完善，未定期開(kāi)展應(yīng)急演練、培訓(xùn)，保障系統(tǒng)故障發(fā)生時(shí)能夠有效恢復(fù)；216。 物理安全問(wèn)題：需解決物理環(huán)境中出現(xiàn)的安全隱患，完善機(jī)房物理環(huán)境建設(shè)；216。 管理安全問(wèn)題：未明確安全管理職責(zé)，需完善安全管理制度，計(jì)劃、落實(shí)安全意識(shí)與技能培訓(xùn)。整改意見(jiàn)1. 若不給自己設(shè)限，則人生中就沒(méi)有限制你發(fā)揮的藩籬。2. 若不是心寬似海，哪有人生風(fēng)平浪靜。在紛雜的塵世里，為自己留下一片純靜的心靈空間，不管是潮起潮落，也不管是陰晴圓缺，你都可以免去浮躁，義無(wú)反顧，勇往直前，輕松自如地走好人生路上的每一步3. 花一些時(shí)間，總會(huì)看清一些事。用一些事情，總會(huì)看清一些人。有時(shí)候覺(jué)得自己像個(gè)神經(jīng)病。既糾結(jié)了自己，又打擾了別人。努力過(guò)后，才知道許多事情，堅(jiān)持堅(jiān)持，就過(guò)來(lái)了。4. 歲月是無(wú)情的，假如你丟給它的是一片空白，它還給你的也是一片空白。歲月是有情的，假如你奉獻(xiàn)給她的是一些色彩，它奉獻(xiàn)給你的也是一些色彩。你必須努力，當(dāng)有一天驀然回首時(shí)，你的回憶里才會(huì)多一些色彩斑斕，少一些蒼白無(wú)力。只有你自己才能把歲月描畫(huà)成一幅難以忘懷的人生畫(huà)卷。