公司重要资产信息安全脆弱性汇总表模版.doc

重要资产面临的信息安全脆弱性汇总表 表 ２－1 重要资产脆弱性汇总表 序号 资产名称 脆弱性名称 1 台式机（Bugzillａ/FＴP／Weｂ服务器） 台式机（网关/ＳVＮ服务器) 台式机(Ｔｒac服务器） 安装与维护缺乏管理 操作系统补丁未及时安装 操作系统存在弱口令 操作系统的口令策略没有启用 操作系统的帐户锁定策略没有启用 操作系统开放多余服务 缺少电磁防护 物理访问控制欠缺 设备性能不足 2 机架式服务器(Maiｌ服务器） 安装与维护缺乏管理 操作系统补丁未及时安装 操作系统存在弱口令 操作系统的口令策略没有启用 操作系统的帐户锁定策略没有启用 操作系统开放多余服务 缺少电磁防护 物理访问控制欠缺 ３ 笔记本电脑 笔记本电脑 操作系统补丁未安装 操作系统开放多余服务 操作系统存在弱口令 操作系统的口令策略没有启用 病毒码无法自动更新 操作系统的帐户锁定策略没有启用 4 台式机 操作系统补丁未安装 病毒码无法自动更新 操作系统开放多余服务 5 ＳVN业务系统 未设置用户登录失败门限与超过门限后的处理措施 无法保证用户使用的口令达到一定的质量要求 无法检测存储的重要信息、数据是否出现完整性错误 重要信息、数据无加密措施，以明文传输 6 Iptablｅs防火墙系统 安全保障设备的其它配置不当 安装与维护缺乏管理 缺少操作规程和职责管理 未启用日志功能 ７ ＤVB-J项目开发资料 没有访问控制策略或未实施 信息资产没有清晰的分类标志 8 ＤVB－J项目开发文件 没有访问控制策略或未实施 信息资产没有清晰的分类标志 9 总务相关资料 没有访问控制策略或未实施 信息资产没有清晰的分类标志 1０ 机房管理员 没有适当的奖惩规则 没有正式的保密协议 11 服务器管理员 没有适当的奖惩规则 没有正式的保密协议 1２ 总务经理 没有适当的奖惩规则 没有正式的保密协议 ﻬ 附件:风险处理计划 根据本次风险评估结果，对不可接受的风险进行处理。在选取控制措施和方法时,结合公司的财力、物力和资产的重要度等各种因素，制定如下风险处理计划。 该计划已经信息安全领导办公室审核批准。 风险处理计划 序号 资产名称 风险 风险处理选项 风险处理措施 责任人 计划完成时间 1 台式机 （网关/ＳVN服务器) 台式机 (Bugｚilla/FTP/Web服务器) 机架式服务器（Mａil服务器） 操作系统补丁未及时安装 降低 实施定期升级补丁 物理访问控制欠缺 安装机房门禁系统 2 台式机（Ｔｒａc服务器) 设备性能不足 重新分配台式机的服务器功能； 优化系统配置 操作系统补丁未及时安装 实施定期升级补丁 物理访问控制欠缺 机械锁 安装机房门禁系统 3 笔记本电脑(XＸＸ) 笔记本电脑(XＸX) 台式机（XXX) 病毒码无法自动更新 升级系统防毒软件