【正文】 5.。你必須努力，當有一天驀然回首時，你的回憶里才會多一些色彩斑斕，少一些蒼白無力。4. 歲月是無情的，假如你丟給它的是一片空白，它還給你的也是一片空白。既糾結了自己，又打擾了別人。用一些事情，總會看清一些人。2. 若不是心寬似海，哪有人生風平浪靜。 管理安全問題：未明確安全管理職責，需完善安全管理制度，計劃、落實安全意識與技能培訓。 災備與應急響應問題：未制定系統(tǒng)備份恢復機制和流程，系統(tǒng)應急預案需進一步完善，未定期開展應急演練、培訓，保障系統(tǒng)故障發(fā)生時能夠有效恢復；216。 重要網(wǎng)絡設備和安全防護設備的安全配置加固：未限制重要設備的管理地址，未綁定重要設備和主機的IP和MAC地址防止非法接入和地址欺騙216。. 風險控制角度需要解決的問題216。216。216。4. 綜合分析與評價. 綜合風險評價從信息系統(tǒng)安全風險狀態(tài)來看，關鍵資產(chǎn)存在著從低級、中級到高級等不同級別的風險，風險評價如下：216。 低中風險作用的關鍵資產(chǎn)178。 ….。216。 高風險作用的關鍵資產(chǎn)178。4%. 風險結果分析從安全風險狀態(tài)來看，關鍵資產(chǎn)存在著從低級風險到高風險等級別的風險。5%運行維護脆弱性：金農(nóng)一期系統(tǒng)的物理安全、系統(tǒng)設計、系統(tǒng)維護存在脆弱性，可能導致系統(tǒng)無法正常運行，出現(xiàn)故障或異常無法及時發(fā)現(xiàn)并排除。3覆蓋關鍵資產(chǎn)比例100%災備與應急響應脆弱性：災難恢復和應急響應工作存在脆弱性，可能導致突發(fā)安全事件后無法及時采取措施恢復系統(tǒng)，降低安全事件帶來的損失。4%物理脆弱性：機房物理環(huán)境等方面存在缺陷，物理環(huán)境受到影響，有可能導致機房中各種軟硬件資產(chǎn)的不可用或可用性遺失。3. 風險分析. 關鍵資產(chǎn)的風險計算結果根據(jù)《GB/T 209842007 信息安全技術 信息安全風險評估規(guī)范》要求，通過選取關鍵資產(chǎn)的資產(chǎn)賦值、威脅賦值、脆弱性賦值，采用乘法計算風險值，得到了如下風險結果：資產(chǎn)風險值資產(chǎn)名稱15（操作失誤網(wǎng)絡脆弱性[維護錯誤、操作失誤]）核心交換機Quidway S3300 Series13（社會工程運行維護脆弱性[社會工程學破解]）13（物理破壞物理脆弱性[防盜竊和防破壞、防火]）18（濫用授權網(wǎng)絡脆弱性[網(wǎng)絡訪問控制、網(wǎng)絡設備防護]）9（意外故障網(wǎng)絡脆弱性[網(wǎng)絡設備故障]）12（管理不到位管理脆弱性、運行維護脆弱性、災備與應急響應脆弱性）15（操作失誤網(wǎng)絡脆弱性[維護錯誤、操作失誤]）光纖交換機Brocade 30013（物理破壞物理脆弱性[防盜竊和防破壞、防火]）15（意外故障網(wǎng)絡脆弱性[網(wǎng)絡設備防護、網(wǎng)絡設備故障]）12（管理不到位管理脆弱性、運行維護脆弱性、災備與應急響應脆弱性）15（操作失誤網(wǎng)絡脆弱性[維護錯誤、操作失誤]）電信接入交換機Quidway S3300 Series13（物理破壞物理脆弱性[防盜竊和防破壞、防火]）18（濫用授權網(wǎng)絡脆弱性[網(wǎng)絡訪問控制、網(wǎng)絡設備防護]）9（意外故障網(wǎng)絡脆弱性[網(wǎng)絡設備故障]）12（管理不到位管理脆弱性、運行維護脆弱性、災備與應急響應脆弱性）15（操作失誤網(wǎng)絡脆弱性[維護錯誤、操作失誤]）電信出口路由器13（物理破壞物理脆弱性[防盜竊和防破壞、防火]）18（濫用授權網(wǎng)絡脆弱性[網(wǎng)絡訪問控制、網(wǎng)絡設備防護]）9（意外故障網(wǎng)絡脆弱性[網(wǎng)絡設備故障]）12（管理不到位管理脆弱性、運行維護脆弱性、災備與應急響應脆弱性）15（漏洞利用系統(tǒng)脆弱性[惡意代碼防范]）數(shù)據(jù)庫服務器13（物理破壞物理脆弱性[防盜竊和防破壞、防火]）13（惡意代碼系統(tǒng)脆弱性[惡意代碼防范]）12（意外故障系統(tǒng)脆弱性[資源控制]）12（管理不到位管理脆弱性、運行維護脆弱性、災備與應急響應脆弱性）17（漏洞利用系統(tǒng)脆弱性[惡意代碼防范]）數(shù)據(jù)庫備份服務器11（物理破壞物理脆弱性[防盜竊和防破壞、防火]）14（惡意代碼系統(tǒng)脆弱性[惡意代碼防范]）10（意外故障系統(tǒng)脆弱性[資源控制]）10（管理不到位管理脆弱性、運行維護脆弱性、災備與應急響應脆弱性）19（漏洞利用系統(tǒng)脆弱性[惡意代碼防范]）業(yè)務應用服務器13（物理破壞物理脆弱性[防盜竊和防破壞、防火]）16（惡意代碼系統(tǒng)脆弱性[惡意代碼防范]）12（意外故障系統(tǒng)脆弱性[資源控制]）12（管理不到位管理脆弱性、運行維護脆弱性、災備與應急響應脆弱性）19（漏洞利用系統(tǒng)脆弱性[惡意代碼防范]）部級下發(fā)服務器13（物理破壞物理脆弱性[防盜竊和防破壞、防火]）16（惡意代碼系統(tǒng)脆弱性[惡意代碼防范]）12（意外故障系統(tǒng)脆弱性[資源控制]）12（管理不到位管理脆弱性、運行維護脆弱性、災備與應急響應脆弱性）19（漏洞利用系統(tǒng)脆弱性[惡意代碼防范]）數(shù)據(jù)采集前置機13（物理破壞物理脆弱性[防盜竊和防破壞、防火]）16（惡意代碼系統(tǒng)脆弱性[惡意代碼防范]）12（意外故障系統(tǒng)脆弱性[資源控制]）12（管理不到位管理脆弱性、運行維護脆弱性、災備與應急響應脆弱性）19（漏洞利用系統(tǒng)脆弱性[惡意代碼防范]）應用支撐平臺服務器13（物理破壞物理脆弱性[防盜竊和防破壞、防火]）16（惡意代碼系統(tǒng)脆弱性[惡意代碼防范]）12（意外故障系統(tǒng)脆弱性[資源控制]）12（管理不到位管理脆弱性、運行維護脆弱性、災備與應急響應脆弱性）13（物理破壞物理脆弱性[防盜竊和防破壞、防火]）磁盤陣列 HP EVA440012（意外故障數(shù)據(jù)處理和存儲脆弱性[數(shù)據(jù)完整性]）12（管理不到位管理脆弱性、運行維護脆弱性、災備與應急響應脆弱性）14（操作失誤物理脆弱性[電力供應]）UPS電源SANTAK 3C3 EX 30KS14（電源中斷物理脆弱性[電力供應]）17（意外故障物理脆弱性[電力供應]）10（管理不到位管理脆弱性、運行維護脆弱性、災備與應急響應脆弱性）13（操作失誤網(wǎng)絡脆弱性 [網(wǎng)絡設備防護]）千兆防火墻綠盟SG1200Series13（社會工程—運行維護脆弱性[社會工程學破解]）13（物理破壞物理脆弱性[防盜竊和防破壞、防火]）18（濫用授權網(wǎng)絡脆弱性[網(wǎng)絡設備防護]）12（意外故障網(wǎng)絡脆弱性[網(wǎng)絡設備故障]）12（管理不到位管理脆弱性、運行維護脆弱性、災備與應急響應脆弱性）13（操作失誤網(wǎng)絡脆弱性[維護錯誤、操作失誤]）IDS入侵檢測系統(tǒng)綠盟NIDS1200Series11（物理破壞物理脆弱性[防盜竊和防破壞、防火]）16（濫用授權網(wǎng)絡脆弱性[網(wǎng)絡入侵防范、網(wǎng)絡設備防護]）17（意外故障網(wǎng)絡脆弱性[網(wǎng)絡設備故障]）10（管理不到位管理脆弱性、運行維護脆弱性、災備與應急響應脆弱性）13（操作失誤網(wǎng)絡脆弱性[維護錯誤、操作失誤]）入侵防護系統(tǒng)綠盟NIPS 1000 Series11（物理破壞物理脆弱性[防盜竊和防破壞、防火]）16（濫用授權網(wǎng)絡脆弱性[網(wǎng)絡入侵防范、網(wǎng)絡設備防護]）17（意外故障網(wǎng)絡脆弱性[網(wǎng)絡設備故障]）10（管理不到位管理脆弱性、運行維護脆弱性、災備與應急響應脆弱性）13（操作失誤網(wǎng)絡脆弱性[維護錯誤、操作失誤]）SQL Server2008標準版8(意外故障數(shù)據(jù)處理和存儲脆弱性[數(shù)據(jù)庫軟件故障])10（管理不到位管理脆弱性、運行維護脆弱性、災備與應急響應脆弱性）13（操作失誤網(wǎng)絡脆弱性[維護錯誤、操作失誤]）備份管理軟件Symantec Backup8（意外故障數(shù)據(jù)處理和存儲脆弱性[備份和恢復]）10（管理不到位管理脆弱性、運行維護脆弱性、災備與應急響應脆弱性）8（操作失誤網(wǎng)絡脆弱性[維護錯誤、操作失誤]）內容管理軟件WCMMULV60網(wǎng)站群版18（操作失誤數(shù)據(jù)處理和存儲脆弱性[信息存儲安全性]）13（數(shù)據(jù)受損數(shù)據(jù)處理和存儲脆弱性[信息存儲安全性]、應用脆弱性[通信完整性]）12（管理不到位管理脆弱性、運行維護脆弱性、災備與應急響應脆弱性）18（操作失誤數(shù)據(jù)處理和存儲脆弱性[信息存儲安全性]）xxxx系統(tǒng)數(shù)據(jù)13（數(shù)據(jù)受損數(shù)據(jù)處理和存儲脆弱性[信息存儲安全性]、應用脆弱性[通信完整性]）12（管理不到位管理脆弱性、運行維護脆弱性、災備與應急響應脆弱性）18（操作失誤數(shù)據(jù)處理和存儲脆弱性[信息存儲安全性]）金農(nóng)一期應用系統(tǒng)14（身份假冒應用脆弱性[身份冒假]）14（口令攻擊應用脆弱性[口令攻擊]）16（社會工程運行維護脆弱性[社會工程學破解]）8（意外故障數(shù)據(jù)處理和存儲脆弱性[備份和恢復]）12（管理不到位管理脆弱性、運行維護脆弱性、災備與應急響應脆弱性檢測）. 關鍵資產(chǎn)的風險等級. 風險等級列表資產(chǎn)風險等級值資產(chǎn)名稱資產(chǎn)風險等級18核心交換機高風險15光纖交換機中風險18電信接入交換機高風險18電信出口路由器高風險15數(shù)據(jù)庫服務器中風險17數(shù)據(jù)庫備份服務器高風險19業(yè)務應用服務器高風險19部級下發(fā)服務器高風險19數(shù)據(jù)采集前置機高風險19應用支撐平臺服務器高風險13磁盤陣列中風險17UPS電源高風險18千兆防火墻高風險17IDS入侵檢測系統(tǒng)高風險17入侵防護系統(tǒng)高風險10SQL Server2008標準版低風險10備份管理軟件低風險18內容管理軟件高風險18xxxx系統(tǒng)數(shù)據(jù)高風險18金農(nóng)一期應用系統(tǒng)高風險. 風險等級統(tǒng)計風險等級資產(chǎn)數(shù)量所占比例（20個關鍵資產(chǎn)）4（高）15占關鍵資產(chǎn)75%3（中等）3占關鍵資產(chǎn)15%2（低）2占關鍵資產(chǎn)10%. 基于脆弱性的風險排名脆弱性風險等級所占比例網(wǎng)絡脆弱性：網(wǎng)絡設備和安全防護設備配置不合理、網(wǎng)絡訪問控制不足、設備自身安全機制缺乏、濫用授權、錯誤操作、設備硬件故障、通訊鏈路中斷、系統(tǒng)本身或軟件Bug等問題，導致對業(yè)務高效穩(wěn)定運行的影響。22.電力供應UPS電源負載較低，且只覆蓋機房內弱電設備；日常維護不夠，未定期進行充放電，無日常維護記錄。21.物理脆弱性防火機房內具備煙感、溫感報警器，但報警器只處于通電狀態(tài)。所有資產(chǎn)3應急預案工作的不足，可能導致安全事件一旦發(fā)生無法及時解決并保障數(shù)據(jù)安全，可能導致數(shù)據(jù)遺失后無法恢復。所有資產(chǎn)2未建立異地災難備份系統(tǒng)，可能在本地系統(tǒng)出現(xiàn)故障、數(shù)據(jù)遺失后無法進行恢復。所有資產(chǎn)3密碼管理不足，可能導致安全事故的發(fā)生。所有資產(chǎn)3運行維護管理工作的不足，可能導致系統(tǒng)出現(xiàn)問題無法及時發(fā)現(xiàn)并解決，造成系統(tǒng)中斷。備份管理軟件3備份管理軟件系統(tǒng)出現(xiàn)故障，可能導致無法進行數(shù)據(jù)的正常備份和恢復，造成數(shù)據(jù)損失。xxxx一期信息數(shù)據(jù)3數(shù)據(jù)傳輸中斷，可能導致xxxx一期信息數(shù)據(jù)無法及時更新。磁盤陣列