日期: 2011 年 8月 12日填表部门:序信息资产资产详细名资产本身存在资产存在的外部威号类别称的弱点或漏洞胁威胁发生的可威胁发生的后果能性确定风风险的目前采取的控确定可能会出现险的优控制水提出整改建议制措施的问题(风险)先级平1、适当设置安全参数并定期检查2、正确设置其他参数3、定期的参数复核检查流程很低无1、维保合同2、双机等冗余配置很低无主机放置在了正规的机房,对各种机房指标都有严格的控制很低无实物资产主机:spnode03spnode04spnode05spnode06P670AP670B易受参数配置的影响产生错可能遭到非法访问误或数据窜改硬件有一定的故障几率设备硬件老化小1、业务连续性受到影响2、业务数据的真实性受影响1、业务连续性受到影响2、硬件重新购置的费用小易受电源、温度等不稳定影电源、温度、湿度响。不符合要求机房的物理访问控制可能不非法或不合规的机十分严格房物理访问小1小硬件有一定的故障几率设备硬件老化磁盘阵列7513
小1、业务连续性受到影响2、可能造成数据丢失,甚至业务无法回复所有主机登陆都有用户密码保护,但如遭恶意破严格的机房访坏,可能造成服务器硬件问控制,机房损坏出入登记制度很低1、维保合同2、磁盘RAID冗余技术3、阵列的hostspare备1、业务连续性受到影响盘技术2、可能造成数据丢失,4、对数据进行甚至业务无法回复定期备份到带3、硬件重新购置费用库很低无无实物资产磁盘阵列7513易受电源、温度等不稳定影电源、温度、湿度响。不符合要求1、业务连续性受到影响2、可能造成数据丢失,甚至业务无法回复小2机房的物理访问控制可能不非法或不合规的机十分严格房物理访问小硬件有一定的故障几率设备硬件老化小阵列有单独管理的钥匙,但如遭恶意破坏,可能造成服务器硬件损坏1、硬件重新购置费用2、需要时备份数据不可用,可能影响业务的预期恢复实物资产带库易受电源、温度等不稳定影电源、温度、湿度响。不符合要求小需要时备份数据不可用,可能影响业务的预期恢复3机房的物理访问控制可能不非法或不合规的机十分严格房物理访问小带库有单独管理的钥匙,但如遭恶意破坏,可能造成服务器硬件损坏易受参数配置的影响产生错可能遭到非法访问误窜改1、业务连续性受到影响小阵列放置在了正规的机房,对各种机房指标都有严格的控制1、严格的机房访问控制,机房出入登记制度2、阵列有单独管理的钥匙,1、维保合同2、对备份是否成功的定期检查带库放置在了正规的机房,对各种机房指标都有严格的控制1、严格的机房访问控制,机房出入登记制度2、带库有单独管理的钥匙,1、适当设置安全参数并定期检查2、正确设置地址、路由等参数3、定期的参数复核检查流程很低无很低无很低无很低无很低无很低无实物资产网络设备硬件有一定的故障几率设备硬件老化小1、业务连续性受到影响2、硬件重新购置的费用易受电源、温度等不稳定影电源、温度、湿度响。不符合要求机房的物理访问控制可能不非法或不合规的机十分严格房物理访问业务连续性受到影响小1、维保合同2、双机、双链路等冗余配置很低主机放置在了正规的机房,对各种机房指标都有严格的控制很低无无4小实物资产终端设备病毒影响网络病毒的传播小5被他人违规或非法使用登陆被他人违规或非法结算系统使用登陆结算系统小易受参数配置的影响产生错可能遭到非法访问误或数据窜改没有及时进行补丁操作小操作系统bug小所有网络设备登陆都有用户密码保护,但如遭恶意严格的机房访破坏,可能造成服务器硬问控制,机房件损坏出入登记制度很低所有系统都设置了杀毒软件,并且病毒代码更新到最终端设备不能正常工作新很低服务器的telnet设置了业务数据的非法窜改,从最大idle超时而影响业务数据的真实性退出很低1、适当设置安全参数并定期检查2、正确设置其1、业务连续性受到影响他参数2、业务数据的真实性受3、定期的参数影响复核检查流程很低根据需要及时可能影响操作系统的正常将操作系统升运行级到最新版本很低无无无无无软件资产操作系统主机硬件故障导致系统不能正常运新主机硬件故障小阵列的硬件故障导致操作系统文件系统损坏阵列硬件故障带库的硬件故障引起备份动作无法完成带库硬件故障小6小易受参数配置的影响产生错可能遭到非法访问误或数据窜改小数据库bug软件资产数据库没有及时进行补丁操作小数据库使用过程中需要定期的维护,如数没有及时进行完整据库完整性检性检查或性能优化查或性能优化操作小1、硬件的冗余设置2、合理的操作系统文件备份1、业务连续性受到影响周期和备份管理制度1、阵列的磁盘镜像或冗余配置2、业务数据的1、业务连续性受到影响合理备份策略2、业务数据的真实性受和备份管理制影响度合理的备份管理制度,当备需要时备份数据不可用,份失败时对备可能影响业务的预期恢复份重新执行1、适当设置安全参数并定期检查2、正确设置其1、业务连续性受到影响他参数2、业务数据的真实性受3、定期的参数影响复核检查流程根据需要及时将数据库系统可能影响数据库的正常运升级到最新版行本1、定期的数据库完整性检查2、直接访问数据库的管理审核3、数据库性能下降时的性能业务处理能力下降调优很低无很低无很低无很低无很低无无7数据库使用的裸设备或文件操作系统底层提供系统损坏的资源损坏小1、业务连续性受到影响2、业务数据的真实性受影响1、操作系统、阵列的冗余设计2、数据库数据的合理备份策略和备份检查很低系统功能未安预期实现,应开发商对软件未进用软件存在bug行充分测试大1、系统上线前的充分测试系统无法作为依据或者错2、完整、和规系统无法作为依误的UAT报告据或者依据错误高软件资产应用软件易受参数配置的影响产生错可能遭到非法访问误或数据窜改大应用软件权限管理实现不到无权用户在系统进位行操作和越权操作大1、适当设置安全参数并定期检查2、正确设置其1、业务连续性受到影响他参数2、业务数据的真实性受3、定期的参数影响复核检查流程1、权限管理遵循安全管理规范无权用户在系统进行操作2、定期的用户和越权操作权限复核流程1、业务连续性受到影响2、业务数据的真实性受影响高无1、选择规模、经验的开发商2、对开发商的开发流程进行规范3、对其开发的软件进行充分的用户客接受性测试4、和开发商签订软件维护合同,定期沟通系关键控统软件是否需优制化更新应用系统软件实现内控要求的所有安全参数:用户密码策略;安全日志记录;应用权限模块的合理、灵活设置;记录所有系统管关键控理员的后台操制作,等。很低应用使用人员人员疲乏和培训不的误操作到位大1、加强培训;2、要求操作人员按操作规程进行操作;存在人员培训不系统输出的数据出现错误3、加强检查到位的情况高8服务器和客户端传输数据未被网络监听,盗取经加密处理数据和数据替换,小泄露企业秘密信息资产应用系统维护文档易于毁坏或丢1、丢失或被窃用失2、版本管理失控小101、版权风险2、不可作为依据3、对系统安全造成威胁服务类资产维护合同111、维护合同签署的责任和义务划分不明确2、维护合同未正确传达,未充分使用服务提供商应该提供的服务3、所购买的服务清单不合适4、维护合同文1、丢失或被窃用本保管不利2、版本管理失控小1、版权风险2、不可作为依据3、对系统安全造成威胁结算系统没有客户端,无此风险很低1、对文档按照文档管理制度合理存放和存取2、系统更新是及时更新系统文档很低1、维护合同签约前的全省调查2、维护合同签约后的全省传达3、合同中充分明确甲乙双方的责权利4、合同文本档案馆、运维部保管,电子文本支撑中心使用很低高1、提供操作冲抵功能2、对应用操作人员不过渡使用3、对应用使用关键控人员进行充分的制培训服务器和客户端传输的数据,特别是用户名密码关键控等敏感数据进行制加密处理无无制表人:审核人:
因篇幅问题不能全部显示,请点此查看更多更全内容