某业务运维信息系统风险评估报告(DOC).doc

XXX业务运维 信息系统风险评估报告 文档控制 提交方 提交日期 版本信息 日期 版本 撰写者 审核者 描述 所有权声明 文档里的资料版权归江苏开拓信息系统有限公司（以下简称“江苏开拓”）所有。未经江苏开拓事先书面允许，不得复制或散发任何部分的内容。任何团体或个人未经批准，擅自观看方案将被认为获取了江苏开拓的私有信息而遭受法律的制裁。目 录 TOC \o 1-3 \h \z \u HYPERLINK \l _Toc427355611 1. 评估项目概述 PAGEREF _Toc427355611 \h 6 HYPERLINK \l _Toc427355612 1.1. 评估目的和目标 PAGEREF _Toc427355612 \h 6 HYPERLINK \l _Toc427355613 1.2. 被评估系统概述 PAGEREF _Toc427355613 \h 6 HYPERLINK \l _Toc427355614 1.2.1. 系统概况 PAGEREF _Toc427355614 \h 6 HYPERLINK \l _Toc427355615 2. 风险综述 PAGEREF _Toc427355615 \h 6 HYPERLINK \l _Toc427355616 2.1. 风险摘要 PAGEREF _Toc427355616 \h 6 HYPERLINK \l _Toc427355617 2.1.1. 风险统计与分析 PAGEREF _Toc427355617 \h 6 HYPERLINK \l _Toc427355618 2.1.2. 极高风险摘要 PAGEREF _Toc427355618 \h 10 HYPERLINK \l _Toc427355619 2.1.3. 高风险摘要 PAGEREF _Toc427355619 \h 10 HYPERLINK \l _Toc427355620 2.1.4. 中风险摘要 PAGEREF _Toc427355620 \h 11 HYPERLINK \l _Toc427355621 2.1.5. 低风险摘要 PAGEREF _Toc427355621 \h 12 HYPERLINK \l _Toc427355622 2.2. 风险综述 PAGEREF _Toc427355622 \h 13 HYPERLINK \l _Toc427355623 3. 风险分析 PAGEREF _Toc427355623 \h 17 HYPERLINK \l _Toc427355624 3.1. 网络通信 PAGEREF _Toc427355624 \h 17 HYPERLINK \l _Toc427355625 3.1.1. VLAN间未做访问控制 PAGEREF _Toc427355625 \h 17 HYPERLINK \l _Toc427355626 3.1.2. 内网设计中存在单点故障风险 PAGEREF _Toc427355626 \h 18 HYPERLINK \l _Toc427355627 3.1.3. 外网设计中存在单点故障风险 PAGEREF _Toc427355627 \h 19 HYPERLINK \l _Toc427355628 3.1.4. 无专业审计系统 PAGEREF _Toc427355628 \h 20 HYPERLINK \l _Toc427355629 3.1.5. SSG520防火墙配置策略不当 PAGEREF _Toc427355629 \h 20 HYPERLINK \l _Toc427355630 3.1.6. 网络边界未做访问控制 PAGEREF _Toc427355630 \h 22 HYPERLINK \l _Toc427355631 3.2. 安装部署 PAGEREF _Toc427355631 \h 23 HYPERLINK \l _Toc427355632 3.2.1. Windows系统未安装最新补丁 PAGEREF _Toc427355632 \h 23 HYPERLINK \l _Toc427355633 3.2.2. Windows系统开放了不需要的服务 PAGEREF _Toc427355633 \h 24 HYPERLINK \l _Toc427355634 3.2.3. Windows系统开放了默认共享 PAGEREF _Toc427355634 \h 25 HYPERLINK \l _Toc427355635 3.2.4. Windows系统存在权限控制不当的共享 PAGEREF _Toc427355635 \h