1、重要资产面临的信息安全脆弱性汇总表表 1 重要资产脆弱性汇总表序号资产名称脆弱性名称1台式机(Bugzill/FPWe服务器)台式机(网关/V服务器)台式机(ac服务器)安装与维护缺乏管理操作系统补丁未及时安装操作系统存在弱口令操作系统的口令策略没有启用操作系统的帐户锁定策略没有启用操作系统开放多余服务缺少电磁防护物理访问控制欠缺设备性能不足2机架式服务器(Mai服务器)安装与维护缺乏管理操作系统补丁未及时安装操作系统存在弱口令操作系统的口令策略没有启用操作系统的帐户锁定策略没有启用操作系统开放多余服务缺少电磁防护物理访问控制欠缺笔记本电脑笔记本电脑操作系统补丁未安装操作系统开放多余服务操作系
2、统存在弱口令操作系统的口令策略没有启用病毒码无法自动更新操作系统的帐户锁定策略没有启用4台式机操作系统补丁未安装病毒码无法自动更新操作系统开放多余服务5VN业务系统未设置用户登录失败门限与超过门限后的处理措施无法保证用户使用的口令达到一定的质量要求无法检测存储的重要信息、数据是否出现完整性错误重要信息、数据无加密措施,以明文传输6Iptabls防火墙系统安全保障设备的其它配置不当安装与维护缺乏管理缺少操作规程和职责管理未启用日志功能VB-J项目开发资料没有访问控制策略或未实施信息资产没有清晰的分类标志8VBJ项目开发文件没有访问控制策略或未实施信息资产没有清晰的分类标志9总务相关资料没有访问控
3、制策略或未实施信息资产没有清晰的分类标志1机房管理员没有适当的奖惩规则没有正式的保密协议11服务器管理员没有适当的奖惩规则没有正式的保密协议1总务经理没有适当的奖惩规则没有正式的保密协议附件:风险处理计划根据本次风险评估结果,对不可接受的风险进行处理。在选取控制措施和方法时,结合公司的财力、物力和资产的重要度等各种因素,制定如下风险处理计划。该计划已经信息安全领导办公室审核批准。风险处理计划序号资产名称风险风险处理选项风险处理措施责任人计划完成时间1台式机(网关/VN服务器)台式机(Bugilla/FTP/Web服务器)机架式服务器(Mil服务器)操作系统补丁未及时安装降低实施定期升级补丁物理访问控制欠缺安装机房门禁系统2台式机(c服务器)设备性能不足重新分配台式机的服务器功能; 优化系统配置操作系统补丁未及时安装实施定期升级补丁物理访问控制欠缺机械锁安装机房门禁系统3笔记本电脑(X)笔记本电脑(XX)台式机(XXX)病毒码无法自动更新升级系统防毒软件