卷煙廠風(fēng)險(xiǎn)評(píng)估報(bào)告

xx集團(tuán)風(fēng)險(xiǎn)評(píng)估詢(xún)問(wèn)工程xx卷煙廠安全風(fēng)險(xiǎn)評(píng)估報(bào)告文檔名稱(chēng)風(fēng)險(xiǎn)評(píng)估報(bào)告文檔名稱(chēng)風(fēng)險(xiǎn)評(píng)估報(bào)告保密級(jí)別內(nèi)部使用文檔版本編號(hào)擬定人更改記錄日期被修改的章節(jié)修改類(lèi)型*修改描述修改人文檔信息*修改類(lèi)型分為M-MODIFIED D-DELETED分發(fā)掌握1分發(fā)掌握1讀者文檔權(quán)限全體工程組與文檔的主要關(guān)系-本文檔存檔-必需依據(jù)本文檔的要求2 讀取成員進(jìn)展全部工程文檔的編寫(xiě)、治理和使用版權(quán)聲明遵守全部適用的版權(quán)法律是用戶(hù)的責(zé)任。在不對(duì)版權(quán)法所規(guī)定的權(quán)利加以限制xxxx公司擁有本文檔主題涉及到的專(zhuān)利、專(zhuān)利申請(qǐng)、商標(biāo)、版權(quán)或其他學(xué)問(wèn)產(chǎn)權(quán)。除非在xx專(zhuān)利、商標(biāo)、版權(quán)或其它學(xué)問(wèn)產(chǎn)權(quán)的許可證。名目章節(jié)名目\l“_TOC_250055“第1章綜述 1\l“_TOC_250054“前言 1\l“_TOC_250053“工程目標(biāo) 1\l“_TOC_250052“工程范圍 2\l“_TOC_250051“工程總體范圍 2\l“_TOC_250050“內(nèi)容范圍 2\l“_TOC_250049“人員范圍 2第2章安全現(xiàn)狀 \l“_TOC_250048“網(wǎng)絡(luò) 3\l“_TOC_250047“網(wǎng)絡(luò)拓?fù)洮F(xiàn)狀 3\l“_TOC_250046“弱點(diǎn)分析 4\l“_TOC_250045“主機(jī) 6\l“_TOC_250044“卷包一車(chē)間—一號(hào)工6\l“_TOC_250043“卷包一車(chē)間—高架8\l“_TOC_250042“卷包二車(chē)間 10\l“_TOC_250041“制絲二車(chē)間 12\l“_TOC_250040“動(dòng)力車(chē)間 14\l“_TOC_250039“中試車(chē)間 15\l“_TOC_250038“復(fù)烤一車(chē)間 17\l“_TOC_250037“人工檢查分析 19\l“_TOC_250036“辦公終端 21\l“_TOC_250035“第3章安全風(fēng)險(xiǎn)分析 23\l“_TOC_250034“3.1網(wǎng)絡(luò) 23\l“_TOC_250033“生產(chǎn)網(wǎng)與辦公網(wǎng)混23\l“_TOC_250032“大局部車(chē)間生產(chǎn)網(wǎng)相互獨(dú)24僅供啟明星辰、紅塔工程組內(nèi)部使用 I\l“_TOC_250031“生產(chǎn)效勞器與監(jiān)控維護(hù)終端間缺乏訪(fǎng)問(wèn)掌握措24\l“_TOC_250030“現(xiàn)有網(wǎng)絡(luò)安全設(shè)備運(yùn)行策略缺25\l“_TOC_250029“網(wǎng)絡(luò)單點(diǎn)故障 26\l“_TOC_250028“網(wǎng)絡(luò)中缺乏必要的安全防護(hù)設(shè)26\l“_TOC_250027“3.2主機(jī) 27\l“_TOC_250026“補(bǔ)丁升級(jí)不完善 27\l“_TOC_250025“病毒防護(hù)軟件 28\l“_TOC_250024“存在局部弱口令 28\l“_TOC_250023“未配置安全策略 29\l“_TOC_250022“開(kāi)放有危急且不必需的效勞30\l“_TOC_250021“未安全配置Syslog日志 30\l“_TOC_250020“辦公終端 31\l“_TOC_250019“補(bǔ)丁升級(jí)不完善 31\l“_TOC_250018“缺乏單機(jī)防火墻 32\l“_TOC_250017“用戶(hù)帳號(hào)治理缺32\l“_TOC_250016“開(kāi)放有很多不必需且危急的效勞33\l“_TOC_250015“安全策略配置 34\l“_TOC_250014“風(fēng)險(xiǎn)匯總排序 34\l“_TOC_250013“第4章安全解決方案 36\l“_TOC_250012“安全解決方案設(shè)計(jì) 36\l“_TOC_250011“網(wǎng)絡(luò)安全建設(shè) 38\l“_TOC_250010“生產(chǎn)網(wǎng)的整合建38\l“_TOC_250009“網(wǎng)絡(luò)安全域的劃40\l“_TOC_250008“網(wǎng)絡(luò)安全設(shè)備部42\l“_TOC_250007“網(wǎng)絡(luò)及安全設(shè)備加42\l“_TOC_250006“主機(jī)安全建設(shè) 44\l“_TOC_250005“主機(jī)安全加固 44\l“_TOC_250004“病毒防護(hù)體系建46\l“_TOC_250003“業(yè)務(wù)審計(jì)系統(tǒng)建47\l“_TOC_250002“辦公終端安全建設(shè) 48\l“_TOC_250001“終端安全加固 48\l“_TOC_250000“終端安全治理系統(tǒng)建49圖名目圖2-1卷包一車(chē)間現(xiàn)狀 3圖2-2制絲一車(chē)間現(xiàn)狀 4圖2-3動(dòng)力車(chē)間現(xiàn)狀 4圖2-4中試車(chē)間現(xiàn)狀 4圖2-5卷包一車(chē)間-一號(hào)工程主機(jī)危急程度分布圖 6卷包一車(chē)間-一號(hào)工程TOP10高風(fēng)險(xiǎn)漏洞 8圖2-7卷包一車(chē)間-高架庫(kù)主機(jī)危急程度分布圖 9卷包一車(chē)間-高架庫(kù)TOP高風(fēng)險(xiǎn)漏洞 10圖2-9卷包二車(chē)間主機(jī)危急程度分布圖 11圖2-10卷包二車(chē)間TOP10高風(fēng)險(xiǎn)漏洞 12圖2-11制絲二車(chē)間主機(jī)危急程度分布圖 13圖2-12制絲二車(chē)間漏洞分布 13圖2-13制絲二車(chē)間TOP10高風(fēng)險(xiǎn)漏洞 13圖2-14動(dòng)力車(chē)間主機(jī)危急程度分布 14圖2-15動(dòng)力車(chē)間TOP10高風(fēng)險(xiǎn)漏洞 15圖2-16中試車(chē)間主機(jī)危急程度分布 16圖2-17中試車(chē)間TOP10高風(fēng)險(xiǎn)漏洞 17圖2-18復(fù)烤車(chē)間主機(jī)危急程度分布 18圖2-19復(fù)烤車(chē)間TOP10高風(fēng)險(xiǎn)漏洞 19圖2-20辦公終端危急程度分布 21圖2-21辦公終端TOP10高風(fēng)險(xiǎn)漏洞 22圖4-1安全域總體規(guī)劃 40圖4-2WSUS補(bǔ)丁治理示意圖 47表名目表2-1卷包一車(chē)間-一號(hào)工程漏洞分布 7表2-2卷包一車(chē)間-高架庫(kù)漏洞分布 9表2-3卷包二車(chē)間主機(jī)漏洞分布 11表3-1生產(chǎn)網(wǎng)與辦公網(wǎng)混用 23表3-2大局部車(chē)間生產(chǎn)網(wǎng)相互獨(dú)立 24表3-3生產(chǎn)效勞器與監(jiān)控維護(hù)終端間缺乏訪(fǎng)問(wèn)掌握措施 25表3-4現(xiàn)有網(wǎng)絡(luò)安全設(shè)備運(yùn)行策略缺陷 26表3-5網(wǎng)絡(luò)單點(diǎn)故障 26表3-6網(wǎng)絡(luò)中缺乏必要的安全防護(hù)設(shè)備 27表3-7補(bǔ)丁升級(jí)不完善 28表3-8病毒防護(hù)軟件 28表3-9存在局部弱口令 29表3-10未配置帳號(hào)口令安全策略 29表3-11開(kāi)放有危急的TCP/UDP小效勞 30表3-12未安全配置Syslog日志 31表3-13補(bǔ)丁升級(jí)不完善 32表3-14缺乏單機(jī)防火墻 32表3-15用戶(hù)帳號(hào)治理缺陷 33表3-16開(kāi)放有很多不必需且危急的效勞 34表3-17安全策略配置 34表3-18風(fēng)險(xiǎn)匯總表 35表4-1內(nèi)聯(lián)網(wǎng)接入?yún)^(qū) 40表4-2內(nèi)部網(wǎng)接入?yún)^(qū) 41表4-3計(jì)算環(huán)境域 41表4-4生產(chǎn)治理支撐域 41表4-5網(wǎng)絡(luò)設(shè)施域 42表4-6網(wǎng)絡(luò)安全設(shè)備部署 42表4-7運(yùn)行策略?xún)?yōu)化 43表4-8自身安全加固 44表4-9UNIX主機(jī)加固內(nèi)容 45表4-10Windows主機(jī)加固內(nèi)容 46表4-11終端安全加固內(nèi)容 4911章綜述第1章綜述前言1956xx質(zhì)創(chuàng)，增加企業(yè)核心競(jìng)爭(zhēng)力”的工作思路，以消費(fèi)者為導(dǎo)向，以科技創(chuàng)帶動(dòng)產(chǎn)xx。在公司聯(lián)合重組過(guò)程中以及之后，信息系統(tǒng)有力推動(dòng)了信息化系統(tǒng)整合及應(yīng)用xxxx運(yùn)行供給有力的保障。工程目標(biāo)目前隨著信息技術(shù)的飛速進(jìn)展，網(wǎng)絡(luò)安全漸漸成為影響網(wǎng)絡(luò)進(jìn)一步進(jìn)展的關(guān)鍵xx集團(tuán)網(wǎng)絡(luò)進(jìn)展信息安全評(píng)估和信息安全體系總體設(shè)計(jì)，提升xx集團(tuán)網(wǎng)絡(luò)安全性及網(wǎng)絡(luò)安全治理水平，優(yōu)化網(wǎng)絡(luò)資源，增加競(jìng)爭(zhēng)力。本次工程目標(biāo)包括以下幾個(gè)方面：在公司信息化計(jì)算機(jī)系統(tǒng)掩蓋的范圍內(nèi)，依據(jù)公司信息化現(xiàn)有的狀況，對(duì)上覺(jué)察企業(yè)存在的風(fēng)險(xiǎn)，并提出解決建議；依據(jù)網(wǎng)絡(luò)的信息安全需求，進(jìn)展安全域劃分設(shè)計(jì)，結(jié)合風(fēng)險(xiǎn)評(píng)估結(jié)果制定xx集團(tuán)信息系統(tǒng)信息安全保障技術(shù)規(guī)劃；依據(jù)實(shí)際狀況，規(guī)劃出信息安全治理框架藍(lán)圖。對(duì)xx集團(tuán)目前關(guān)于信息和信息技術(shù)的治理制度和組織狀況，結(jié)合實(shí)際狀況進(jìn)展評(píng)估，建立一套能夠治理企業(yè)日常安全事務(wù)和應(yīng)變重大安全大事的組織和制度藍(lán)圖。工程范圍工程總體范圍本工程涵蓋的范圍為xx集團(tuán)總部和兩個(gè)具有代表性的分廠。內(nèi)容范圍xx集團(tuán)總部和兩個(gè)分廠信息系統(tǒng)的技術(shù)和治理兩個(gè)層面：技術(shù)層面：包括網(wǎng)絡(luò)、主機(jī)、系統(tǒng)軟件、應(yīng)用軟件(包括平臺(tái)軟件)等方面；治理層面：包括信息科技治理和組織構(gòu)造，安全治理制度，安全策略、人規(guī)劃等；設(shè)備層面：涉及200多臺(tái)效勞器，幾十臺(tái)網(wǎng)絡(luò)設(shè)備和安全設(shè)備。人員范圍xx的全部員工和第三方人員，包括職工、外聘人員、外借人員、公司合作方技術(shù)、治理人員等。22章安全現(xiàn)狀第2章安全現(xiàn)狀xx集團(tuán)xx卷煙廠的信息資產(chǎn)安全現(xiàn)狀進(jìn)展分析描述。網(wǎng)絡(luò)了掩蓋卷煙一車(chē)間、卷煙二車(chē)間、制絲一車(chē)間、制絲二車(chē)間、動(dòng)力車(chē)間、復(fù)烤一車(chē)間、復(fù)烤二車(chē)間、中試車(chē)間、103車(chē)間、物業(yè)公司等區(qū)域的綜合業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)。在各車(chē)間因生產(chǎn)業(yè)務(wù)所需存在一些小子網(wǎng)，以及分布其間的安防子網(wǎng)，與辦工網(wǎng)混接xx卷煙廠網(wǎng)絡(luò)支撐平臺(tái)。網(wǎng)絡(luò)拓?fù)洮F(xiàn)狀以下為幾個(gè)較為典型的車(chē)間部門(mén)網(wǎng)絡(luò)拓?fù)錁?gòu)造：1、卷煙一車(chē)間ci4506linksys-SR224G，掩蓋整個(gè)高架庫(kù)。一號(hào)工程網(wǎng)ATMVLAN的劃分。2-1卷包一車(chē)間現(xiàn)狀2、制絲一車(chē)間3comHB〕來(lái)會(huì)聚各個(gè)工控設(shè)備。2-2制絲一車(chē)間現(xiàn)狀3、動(dòng)力車(chē)間1H3C75036H3CS5100以太網(wǎng)交換機(jī)、5臺(tái)H3CS3100以太網(wǎng)交換機(jī)，組成的動(dòng)力部能源監(jiān)控網(wǎng)。2-3動(dòng)力車(chē)間現(xiàn)狀4、中試車(chē)間工控網(wǎng)通過(guò)4臺(tái)cisco3750〔分別設(shè)在一樓微機(jī)室、一樓配電室、二樓中控室〕13phcenix集線(xiàn)器。2-4中試車(chē)間現(xiàn)狀弱點(diǎn)分析1、生產(chǎn)網(wǎng)與辦公網(wǎng)混用僅通過(guò)簡(jiǎn)潔防火墻配置、甚至沒(méi)有防火墻，直接接入到辦公網(wǎng)中。缺乏根本的安全防護(hù)措施，辦公網(wǎng)中用戶(hù)可以任意訪(fǎng)問(wèn)不少車(chē)間部門(mén)的生產(chǎn)系統(tǒng)。2、大局部車(chē)間生產(chǎn)網(wǎng)相互獨(dú)立當(dāng)前，大局部車(chē)間生產(chǎn)系統(tǒng)獨(dú)立組網(wǎng)，未與其它網(wǎng)絡(luò)系統(tǒng)有連接，無(wú)法進(jìn)展系控和治理維護(hù)工作。3、生產(chǎn)效勞器與監(jiān)控維護(hù)終端間缺乏訪(fǎng)問(wèn)掌握措施施。各監(jiān)控維護(hù)終端，可以任意訪(fǎng)問(wèn)到本系統(tǒng)網(wǎng)絡(luò)中任意生產(chǎn)效勞器。4、現(xiàn)有安全設(shè)備策略?xún)H起網(wǎng)絡(luò)連接作用，沒(méi)有訪(fǎng)問(wèn)掌握策略。WLANWLAN功能的筆記本電腦、智能終端等設(shè)備均可直接接入到生產(chǎn)網(wǎng)中。5、網(wǎng)絡(luò)單點(diǎn)故障為突顯。6、缺乏必要的網(wǎng)絡(luò)安全防護(hù)設(shè)備IDS/IPS、網(wǎng)關(guān)型病毒防護(hù)、業(yè)務(wù)審計(jì)、終端安全治理等必要的網(wǎng)絡(luò)安全防護(hù)設(shè)備，安全防護(hù)措施力量較大缺乏。2章安全現(xiàn)狀主機(jī)卷包一車(chē)間—一號(hào)工程1、危急程度分布圖：2-5卷包一車(chē)間-一號(hào)工程主機(jī)危急程度分布圖漏洞掃描結(jié)果2、漏洞分布圖：漏洞掃描結(jié)果序號(hào)主機(jī)名IP高中低危急程度11347651高23316高33316高43316高53316高63316高22章安全現(xiàn)狀73316高83316高93316高101323高111316高121316高131316高141316高2-1卷包一車(chē)間-一號(hào)工程漏洞分布3、TOP10高風(fēng)險(xiǎn)漏洞：-TOP10高風(fēng)險(xiǎn)漏洞卷包一車(chē)間—高架庫(kù)1、危急程度分布圖：2章安全現(xiàn)狀圖2-7卷包一車(chē)間-高架庫(kù)主機(jī)危急程度分布圖2、漏洞分布圖：序號(hào)主機(jī)名IP高中低危急程度111120高211120高3107高4004低漏洞掃描結(jié)果表2-2卷包一車(chē)間-高架庫(kù)漏洞分布漏洞掃描結(jié)果3、TOP10高風(fēng)險(xiǎn)漏洞：圖-TOP高風(fēng)險(xiǎn)漏洞卷包二車(chē)間1、危急程度分布圖：2-9卷包二車(chē)間主機(jī)危急程度分布圖2、漏洞分布圖：序號(hào)主機(jī)名IP高中低危急程度11348751高211123高310120高4007低漏洞掃描結(jié)果2-3卷包二車(chē)間主機(jī)漏洞分布漏洞掃描結(jié)果3、TOP10高風(fēng)險(xiǎn)漏洞：圖TOP10高風(fēng)險(xiǎn)漏洞制絲二車(chē)間1、危急程度分布圖：22章安全現(xiàn)狀圖2-11制絲二車(chē)間主機(jī)危急程度分布圖2、漏洞分布圖：序號(hào)主機(jī)名IP高中低危急程度11427高20317中漏洞掃描結(jié)果2-12制絲二車(chē)間漏洞分布漏洞掃描結(jié)果3、TOP10高風(fēng)險(xiǎn)漏洞：圖TOP10高風(fēng)險(xiǎn)漏洞動(dòng)力車(chē)間1、危急程度分布圖：2-14動(dòng)力車(chē)間主機(jī)危急程度分布2、漏洞分布圖：涉及生產(chǎn)效勞器、終端較多，具體漏洞分布狀況詳見(jiàn)相應(yīng)漏洞掃描報(bào)告3、TOP10高風(fēng)險(xiǎn)漏洞：2章安全現(xiàn)狀TOP10高風(fēng)險(xiǎn)漏洞中試車(chē)間1、危急程度分布圖：2-16中試車(chē)間主機(jī)危急程度分布2、漏洞分布圖：涉及生產(chǎn)效勞器、終端較多，具體漏洞分布狀況詳見(jiàn)相應(yīng)漏洞掃描報(bào)告3、TOP10高風(fēng)險(xiǎn)漏洞：TOP10高風(fēng)險(xiǎn)漏洞復(fù)烤一車(chē)間1、危急程度分布圖：2-18復(fù)烤車(chē)間主機(jī)危急程度分布2、漏洞分布圖：涉及生產(chǎn)效勞器、終端較多，具體漏洞分布狀況詳見(jiàn)相應(yīng)漏洞掃描報(bào)告3、TOP10高風(fēng)險(xiǎn)漏洞：22章安全現(xiàn)狀TOP10高風(fēng)險(xiǎn)漏洞人工檢查分析1、補(bǔ)丁升級(jí)等緣由，當(dāng)前絕大多數(shù)主機(jī)補(bǔ)丁升級(jí)不完善，缺乏大量的安全相關(guān)系統(tǒng)補(bǔ)丁。2、病毒防護(hù)軟件檢查覺(jué)察，90%以上主機(jī)部署有病毒防護(hù)軟件，個(gè)別車(chē)間生產(chǎn)網(wǎng)中，仍有少數(shù)Windows主機(jī)因治理疏忽、怕引起兼容性問(wèn)題、造成性能損失等緣由，未安裝病毒防護(hù)軟件。部署有病毒防護(hù)軟件的主機(jī)系統(tǒng)，僅有局部主機(jī)的病毒庫(kù)能準(zhǔn)時(shí)升級(jí)。因很多病毒庫(kù)離線(xiàn)升級(jí)包手動(dòng)更不準(zhǔn)時(shí)。3、單機(jī)防火墻WindowsWindowsServer2023主機(jī)開(kāi)啟防火墻外，其它多數(shù)主機(jī)未開(kāi)啟或安裝有單機(jī)防火墻。4、弱口令帳號(hào)多數(shù)為特權(quán)帳號(hào)，狀況包括空口令、帳號(hào)口令一樣、極其簡(jiǎn)潔的數(shù)字組合等。5、系統(tǒng)安全策略系統(tǒng)安全策略方面，Windwos平臺(tái)主機(jī)開(kāi)放有系統(tǒng)默認(rèn)共享，同時(shí)沒(méi)有啟用帳號(hào)策略、審核策略等本地安全策略。UNIX類(lèi)系統(tǒng)主機(jī)在用戶(hù)帳號(hào)治理、審計(jì)策略上根本承受默認(rèn)配置，主機(jī)的整體安全防護(hù)級(jí)別較低。6、網(wǎng)絡(luò)效勞檢查結(jié)果顯示，當(dāng)前多數(shù)主機(jī)承受默認(rèn)配置。UNIX類(lèi)系統(tǒng)主機(jī)開(kāi)放有一些危急的效勞，如RPC、X11相關(guān)的系列效勞、SNMPSendmail等效勞。局部Window平臺(tái)主機(jī)開(kāi)放有遠(yuǎn)程注冊(cè)表、NetBIOS等危急的效勞。7、系統(tǒng)日志2章安全現(xiàn)狀檢查結(jié)果顯示，當(dāng)前多數(shù)主機(jī)承受默認(rèn)配置。UNIXsyslog功能，Windows主機(jī)未開(kāi)啟審計(jì)策略功能。辦公終端XX漏洞掃描結(jié)果如下所示：1、危急程度分布圖：2-20辦公終端危急程度分布2、TOP10高風(fēng)險(xiǎn)漏洞：TOP10高風(fēng)險(xiǎn)漏洞33章安全風(fēng)險(xiǎn)分析第3章安全風(fēng)險(xiǎn)分析網(wǎng)絡(luò)生產(chǎn)網(wǎng)與辦公網(wǎng)混用網(wǎng)中的用戶(hù)，可以任意訪(fǎng)問(wèn)不少車(chē)間部門(mén)的生產(chǎn)系統(tǒng)。蠕蟲(chóng)病毒感染，整個(gè)生產(chǎn)業(yè)務(wù)系統(tǒng)響應(yīng)緩慢。同時(shí)，生產(chǎn)網(wǎng)效勞器系統(tǒng)開(kāi)放有大量的網(wǎng)絡(luò)效勞，自身存在較多安全漏洞，在不受限訪(fǎng)問(wèn)的狀況下，可能存在內(nèi)部個(gè)別心懷不滿(mǎn)的或有預(yù)謀的用戶(hù)，或患病惡意〔遠(yuǎn)程掌握后門(mén)、僵尸網(wǎng)絡(luò)〕卻不知情的用戶(hù)，通過(guò)網(wǎng)絡(luò)嗅探、偽造哄騙、漏洞入侵等手段進(jìn)展網(wǎng)絡(luò)攻擊，越權(quán)濫用，造成信息泄露或破壞。風(fēng)險(xiǎn)綜述：生產(chǎn)網(wǎng)與辦公網(wǎng)混用，辦公網(wǎng)中的安全威逼將直接影響到生產(chǎn)網(wǎng)與辦公網(wǎng)混用，辦公網(wǎng)中的安全威逼將直接影響到風(fēng)險(xiǎn)名稱(chēng)生產(chǎn)網(wǎng)系統(tǒng)。級(jí)別5可能性分析幾乎確定發(fā)生：預(yù)期在大多數(shù)狀況下發(fā)生，不行避開(kāi)；或描述者可以證明常常發(fā)生。級(jí)別3影響分析描述可能造成生產(chǎn)網(wǎng)系統(tǒng)患病病毒蠕蟲(chóng)、入侵攻擊等威逼影響風(fēng)險(xiǎn)級(jí)別高3-1生產(chǎn)網(wǎng)與辦公網(wǎng)混用大局部車(chē)間生產(chǎn)網(wǎng)相互獨(dú)立MES系統(tǒng)等的建設(shè)。同時(shí)，各車(chē)間生產(chǎn)網(wǎng)系常安全治理成效較差。風(fēng)險(xiǎn)綜述：大局部車(chē)間生產(chǎn)網(wǎng)相互獨(dú)立，無(wú)法信息交互，無(wú)法開(kāi)展集大局部車(chē)間生產(chǎn)網(wǎng)相互獨(dú)立，無(wú)法信息交互，無(wú)法開(kāi)展集風(fēng)險(xiǎn)名稱(chēng)中的安全治理維護(hù)工作。級(jí)別4可能性分析格外有可能發(fā)生：在大多數(shù)狀況下，很有可能會(huì)發(fā)生；或描述者可以證明發(fā)生過(guò)。級(jí)別2無(wú)法互聯(lián)進(jìn)展信息交互，格外不利于以后MES系統(tǒng)等的建影響分析描述設(shè)。無(wú)法開(kāi)展集中的安全監(jiān)控維護(hù)工作，日常安全治理成效較差。風(fēng)險(xiǎn)級(jí)別中3-2大局部車(chē)間生產(chǎn)網(wǎng)相互獨(dú)立生產(chǎn)效勞器與監(jiān)控維護(hù)終端間缺乏訪(fǎng)問(wèn)掌握措施響到生產(chǎn)效勞器，給正常的生產(chǎn)操作帶來(lái)影響。風(fēng)險(xiǎn)綜述：風(fēng)險(xiǎn)名稱(chēng)風(fēng)險(xiǎn)名稱(chēng)生產(chǎn)效勞器與監(jiān)控維護(hù)終端間缺乏訪(fǎng)問(wèn)掌握措施級(jí)別級(jí)別5可能性分析幾乎確定發(fā)生：預(yù)期在大多數(shù)狀況下發(fā)生，不行避開(kāi)；或描述者可以證明常常發(fā)生。級(jí)別3影響分析來(lái)自監(jiān)控維護(hù)終端的病毒蠕蟲(chóng)、人為攻擊等威逼將直接影描述響到生產(chǎn)效勞器，給正常的生產(chǎn)操作帶來(lái)影響。風(fēng)險(xiǎn)級(jí)別高3-3生產(chǎn)效勞器與監(jiān)控維護(hù)終端間缺乏訪(fǎng)問(wèn)掌握措施現(xiàn)有網(wǎng)絡(luò)安全設(shè)備運(yùn)行策略缺陷中，造成很大安全隱患。WLAN系統(tǒng)也未啟用認(rèn)證策入設(shè)備的不確定性，可能引入預(yù)知的安全威逼。風(fēng)險(xiǎn)綜述：現(xiàn)有網(wǎng)絡(luò)安全設(shè)備運(yùn)行策略存在缺陷，未充分發(fā)揮安全防現(xiàn)有網(wǎng)絡(luò)安全設(shè)備運(yùn)行策略存在缺陷，未充分發(fā)揮安全防風(fēng)險(xiǎn)名稱(chēng)護(hù)成效。存在很大安全隱患。級(jí)別5可能性分析幾乎確定發(fā)生：預(yù)期在大多數(shù)狀況下發(fā)生，不行避開(kāi)；或描述者可以證明常常發(fā)生。級(jí)別3影響分析可能將生產(chǎn)網(wǎng)直接暴露在辦公網(wǎng)中，造成很大安全隱患。描述接入設(shè)備的不確定性，可能引入預(yù)知的安全威逼。風(fēng)險(xiǎn)級(jí)別風(fēng)險(xiǎn)級(jí)別高3-4現(xiàn)有網(wǎng)絡(luò)安全設(shè)備運(yùn)行策略缺陷網(wǎng)絡(luò)單點(diǎn)故障護(hù)的需要停機(jī)重啟，均會(huì)造成相應(yīng)區(qū)域網(wǎng)絡(luò)的通訊中斷，造成重要影響。但隨著生產(chǎn)網(wǎng)信息系統(tǒng)不斷進(jìn)展，重要程度越來(lái)越高，網(wǎng)絡(luò)單點(diǎn)故障的隱患將更為嚴(yán)峻。風(fēng)險(xiǎn)綜述：風(fēng)險(xiǎn)名稱(chēng)風(fēng)險(xiǎn)名稱(chēng)網(wǎng)絡(luò)單點(diǎn)故障，簡(jiǎn)潔造成網(wǎng)絡(luò)通訊中斷級(jí)別5可能性分析幾乎確定發(fā)生：預(yù)期在大多數(shù)狀況下發(fā)生，不行避開(kāi)；或描述者可以證明常常發(fā)生。級(jí)別2影響分析描述網(wǎng)絡(luò)的通訊中斷，造成重要影響。風(fēng)險(xiǎn)級(jí)別中3-5錯(cuò)誤!3,H3,Heading3-old,h3,sect1.2.3,BOD0,標(biāo)題3CharCharCharCharCharCharCharChar,level_3,PIM3,Levelsubheading,Head3,Head31,Head32,CSub-Sub/Italic1,Sub2Para,h31,網(wǎng)絡(luò)中缺乏必要的安全防護(hù)設(shè)備網(wǎng)絡(luò)中缺乏必要的安全防護(hù)設(shè)備，如IDS/IPS、網(wǎng)關(guān)型病毒防護(hù)、業(yè)務(wù)審計(jì)、消退安全大事的造成影響，系統(tǒng)的安全防護(hù)力量較低。風(fēng)險(xiǎn)綜述：網(wǎng)絡(luò)中缺乏必要的安全防護(hù)設(shè)備，系統(tǒng)的安全防護(hù)力量較網(wǎng)絡(luò)中缺乏必要的安全防護(hù)設(shè)備，系統(tǒng)的安全防護(hù)力量較風(fēng)險(xiǎn)名稱(chēng)低級(jí)別5可能性分析幾乎確定發(fā)生：預(yù)期在大多數(shù)狀況下發(fā)生，不行避開(kāi)；或描述者可以證明常常發(fā)生。級(jí)別2影響分析在發(fā)生安全大事時(shí)，將無(wú)法準(zhǔn)時(shí)的檢測(cè)覺(jué)察和分析處理，描述無(wú)法準(zhǔn)時(shí)消退安全大事的造成影響風(fēng)險(xiǎn)級(jí)別中3-6網(wǎng)絡(luò)中缺乏必要的安全防護(hù)設(shè)備主機(jī)補(bǔ)丁升級(jí)不完善險(xiǎn)漏洞。破壞活動(dòng)。風(fēng)險(xiǎn)綜述：風(fēng)險(xiǎn)名稱(chēng)風(fēng)險(xiǎn)名稱(chēng)主機(jī)及應(yīng)用系統(tǒng)欠缺較多的補(bǔ)丁，存在較多的高風(fēng)險(xiǎn)漏洞級(jí)別3可能性分析描述發(fā)生的可能性較大：在某些狀況下，很可能會(huì)發(fā)生。級(jí)別4影響分析描述主機(jī)系統(tǒng)患病入侵攻擊。風(fēng)險(xiǎn)級(jí)別高3-7補(bǔ)丁升級(jí)不完善病毒防護(hù)軟件將很大程度影響各主機(jī)的病毒防護(hù)力量。運(yùn)行。風(fēng)險(xiǎn)綜述：局部主機(jī)缺乏病毒防護(hù)軟件、無(wú)法自動(dòng)準(zhǔn)時(shí)升級(jí)病毒庫(kù)，局部主機(jī)缺乏病毒防護(hù)軟件、無(wú)法自動(dòng)準(zhǔn)時(shí)升級(jí)病毒庫(kù)，風(fēng)險(xiǎn)名稱(chēng)病毒防護(hù)力量較差級(jí)別3可能性分析描述發(fā)生的可能性較大：在某些狀況下，很可能會(huì)發(fā)生。級(jí)別4影響分析在爆發(fā)病毒蠕蟲(chóng)大事時(shí)，可能無(wú)法抵擋，極易感染，直接描述影響生產(chǎn)主機(jī)的正常運(yùn)行風(fēng)險(xiǎn)級(jí)別高3-8病毒防護(hù)軟件存在局部弱口令當(dāng)前各車(chē)間生產(chǎn)網(wǎng)中，有相當(dāng)局部主機(jī)存在弱口令帳號(hào)狀況?？梢灾苯釉L(fǎng)問(wèn)系統(tǒng)，甚至獵取系統(tǒng)治理員帳號(hào)和密碼，完全掌握該系統(tǒng)。假設(shè)系統(tǒng)xx業(yè)務(wù)的正常運(yùn)行造成很大的影響。風(fēng)險(xiǎn)綜述：相當(dāng)局部主機(jī)存在弱口令帳號(hào)，極易被猜測(cè)利用，訪(fǎng)問(wèn)主相當(dāng)局部主機(jī)存在弱口令帳號(hào)，極易被猜測(cè)利用，訪(fǎng)問(wèn)主風(fēng)險(xiǎn)名稱(chēng)機(jī)系統(tǒng)，造成影響破壞。級(jí)別3可能性分析描述發(fā)生的可能性較大：在某些狀況下，很可能會(huì)發(fā)生。級(jí)別4影響分析可以直接訪(fǎng)問(wèn)系統(tǒng)，甚至獵取系統(tǒng)治理員帳號(hào)和密碼，完描述全掌握該系統(tǒng)風(fēng)險(xiǎn)級(jí)別高3-9存在局部弱口令未配置安全策略等措施，入侵主機(jī)。風(fēng)險(xiǎn)綜述：風(fēng)險(xiǎn)名稱(chēng)風(fēng)險(xiǎn)名稱(chēng)多數(shù)主機(jī)承受默認(rèn)安全策略配置，安全防護(hù)力量較差可能性分析級(jí)別2描述描述有可能發(fā)生：在某種狀況下或某個(gè)時(shí)間，可能會(huì)發(fā)生。級(jí)別3影響分析描述用戶(hù)可能通過(guò)信息嗅探、暴力猜測(cè)等措施，入侵系統(tǒng)。風(fēng)險(xiǎn)級(jí)別中3-10未配置安全策略開(kāi)放有危急且不必需的效勞當(dāng)前絕大多數(shù)主機(jī)承受默認(rèn)配置，開(kāi)放有大量的網(wǎng)絡(luò)效勞，其中相當(dāng)局部是不必需且存在危急的效勞。如RPC、CDE、Sendmail等。每一種網(wǎng)絡(luò)效勞都是一個(gè)可能造成緩沖區(qū)溢出、遠(yuǎn)程執(zhí)行任意代碼、系統(tǒng)信息泄漏等危急。在當(dāng)前網(wǎng)絡(luò)中，未實(shí)施效勞器區(qū)的邊界訪(fǎng)問(wèn)掌握的狀況下，任意用戶(hù)均可以直接訪(fǎng)問(wèn)、利用這些危急的效勞，存在相當(dāng)大的危急性。風(fēng)險(xiǎn)綜述：絕大多數(shù)主機(jī)開(kāi)放有危急且不必需的效勞，造成很大安全絕大多數(shù)主機(jī)開(kāi)放有危急且不必需的效勞，造成很大安全風(fēng)險(xiǎn)名稱(chēng)隱患。級(jí)別4可能性分析格外有可能發(fā)生：在大多數(shù)狀況下，很有可能會(huì)發(fā)生；或描述者可以證明發(fā)生過(guò)。級(jí)別3影響分析描述可能拒絕效勞攻擊、系統(tǒng)入侵等危害風(fēng)險(xiǎn)級(jí)別高3-11開(kāi)放有危急且不必需的效勞Syslog日志Syslog集中的外部日志效勞器系統(tǒng)，進(jìn)展統(tǒng)一的收集、存儲(chǔ)和分析。風(fēng)險(xiǎn)綜述：大局部主機(jī)和應(yīng)用系統(tǒng)承受默認(rèn)的大局部主機(jī)和應(yīng)用系統(tǒng)承受默認(rèn)的Syslog日志配置，無(wú)法風(fēng)險(xiǎn)名稱(chēng)有效進(jìn)展安全日志分析。級(jí)別2可能性分析描述有可能發(fā)生：在某種狀況下或某個(gè)時(shí)間，可能會(huì)發(fā)生級(jí)別2影響分析不能準(zhǔn)時(shí)有效地覺(jué)察業(yè)務(wù)中的問(wèn)題以及安全大事，不利于描述安全大事的跟蹤分析風(fēng)險(xiǎn)級(jí)別低辦公終端補(bǔ)丁升級(jí)不完善的高風(fēng)險(xiǎn)漏洞。補(bǔ)丁升級(jí)不完善，極易患病病毒、蠕蟲(chóng)、后門(mén)等惡意代碼的攻擊，同時(shí)，攻擊風(fēng)險(xiǎn)綜述：大局部辦公終端欠缺較多的操作系統(tǒng)補(bǔ)丁，存在較多的高大局部辦公終端欠缺較多的操作系統(tǒng)補(bǔ)丁，存在較多的高風(fēng)險(xiǎn)名稱(chēng)風(fēng)險(xiǎn)漏洞。級(jí)別4可能性分析格外有可能發(fā)生：在大多數(shù)狀況下，很有可能會(huì)發(fā)生；或描述者可以證明發(fā)生過(guò)。級(jí)別3影響分析描述極易患病病毒、蠕蟲(chóng)、后門(mén)等惡意代碼的攻擊風(fēng)險(xiǎn)級(jí)別高3-13補(bǔ)丁升級(jí)不完善缺乏單機(jī)防火墻Windows自帶防火墻功能泄露系統(tǒng)信息，簡(jiǎn)潔受到蠕蟲(chóng)和木馬病毒攻擊。風(fēng)險(xiǎn)綜述：風(fēng)險(xiǎn)名稱(chēng)風(fēng)險(xiǎn)名稱(chēng)辦公終端大局部缺乏單機(jī)防火墻，無(wú)法有效防護(hù)系統(tǒng)級(jí)別2可能性分析描述有可能發(fā)生：在某種狀況下或某個(gè)時(shí)間，可能會(huì)發(fā)生。級(jí)別2影響分析無(wú)法阻擋惡意用戶(hù)或病毒蠕蟲(chóng)對(duì)終端的掃描、嗅探。簡(jiǎn)潔描述泄露系統(tǒng)信息，簡(jiǎn)潔受到蠕蟲(chóng)和木馬病毒攻擊。風(fēng)險(xiǎn)級(jí)別中3-14缺乏單機(jī)防火墻用戶(hù)帳號(hào)治理缺陷PC的帳號(hào)口令安全策略，根本承受默認(rèn)配置，未啟用帳號(hào)鎖定策略、口令簡(jiǎn)單度要求等。同時(shí)局部終端存在多個(gè)治理帳號(hào)，局部終端的帳號(hào)口令過(guò)于簡(jiǎn)潔，帳號(hào)口令全都，或空口令?？梢灾苯釉L(fǎng)問(wèn)系統(tǒng)，甚至獵取系統(tǒng)治理員帳號(hào)和密碼，完全掌握該系統(tǒng)。風(fēng)險(xiǎn)綜述：辦公終端很多存在弱口令，未啟用帳號(hào)安全策略，存在較辦公終端很多存在弱口令，未啟用帳號(hào)安全策略，存在較風(fēng)險(xiǎn)名稱(chēng)大安全隱患級(jí)別4可能性分析格外有可能發(fā)生：在大多數(shù)狀況下，很有可能會(huì)發(fā)生；或描述者可以證明發(fā)生過(guò)。級(jí)別3影響分析可以直接訪(fǎng)問(wèn)系統(tǒng)，甚至獵取系統(tǒng)治理員帳號(hào)和密碼，完描述全掌握該系統(tǒng)風(fēng)險(xiǎn)級(jí)別高3-15用戶(hù)帳號(hào)治理缺陷開(kāi)放有很多不必需且危急的效勞RemoteRegistry、Messenger、TaskScheduler、TerminalServices等。行惡意程序以及可能被遠(yuǎn)程掌握。風(fēng)險(xiǎn)綜述：辦公終端開(kāi)放很多不必需且危急的效勞，存在肯定安全隱辦公終端開(kāi)放很多不必需且危急的效勞，存在肯定安全隱風(fēng)險(xiǎn)名稱(chēng)患級(jí)別3可能性分析描述發(fā)生的可能性較大：在某些狀況下，很可能會(huì)發(fā)生。級(jí)別3影響分析簡(jiǎn)潔造成終端系統(tǒng)被遠(yuǎn)程修改注冊(cè)表、被蠕蟲(chóng)感染，定時(shí)描述執(zhí)行惡意程序以及可能被遠(yuǎn)程掌握。風(fēng)險(xiǎn)級(jí)別中表3-16開(kāi)放有很多不必需且危急的效勞安全策略配置終端系統(tǒng)在文件系統(tǒng)安全、權(quán)限治理、審計(jì)策略等安全策略方面，多數(shù)主機(jī)承受入侵系統(tǒng)。風(fēng)險(xiǎn)綜述：風(fēng)險(xiǎn)名稱(chēng)風(fēng)險(xiǎn)名稱(chēng)辦公終端承受默認(rèn)安全策略配置，安全防護(hù)力量較差級(jí)別2可能性分析描述有可能發(fā)生：在某種狀況下或某個(gè)時(shí)間，可能會(huì)發(fā)生。級(jí)別2影響分析描述用戶(hù)可能通過(guò)信息嗅探、暴力猜測(cè)等措施，入侵系統(tǒng)。風(fēng)險(xiǎn)級(jí)別低3-17安全策略配置風(fēng)險(xiǎn)匯總排序序號(hào)危急程度高高高高高高高高高中中中中中中低低

風(fēng)險(xiǎn)描述網(wǎng)系統(tǒng)。生產(chǎn)效勞器與監(jiān)控維護(hù)終端間缺乏訪(fǎng)問(wèn)掌握措施。存在很大安全隱患。主機(jī)及應(yīng)用系統(tǒng)欠缺較多的補(bǔ)丁，存在較多的高風(fēng)險(xiǎn)漏洞防護(hù)力量較差統(tǒng)，造成影響破壞。患。漏洞。全隱患安全治理維護(hù)工作。網(wǎng)絡(luò)單點(diǎn)故障，簡(jiǎn)潔造成網(wǎng)絡(luò)通訊中斷多數(shù)主機(jī)承受默認(rèn)安全策略配置，安全防護(hù)力量較差辦公終端大局部缺乏單機(jī)防火墻，無(wú)法有效防護(hù)系統(tǒng)辦公終端開(kāi)放很多不必需且危急的效勞，存在肯定安全隱患進(jìn)展安全日志分析。辦公終端承受默認(rèn)安全策略配置，安全防護(hù)力量較差3-18風(fēng)險(xiǎn)匯總表

風(fēng)險(xiǎn)類(lèi)型網(wǎng)絡(luò)風(fēng)險(xiǎn)44章安全解決方案第4章安全解決方案安全解決方案設(shè)計(jì)層的一個(gè)安全體系建設(shè)的投入建議。針對(duì)安全風(fēng)險(xiǎn)列表，相應(yīng)的解決方案概述如下：序號(hào) 風(fēng)險(xiǎn)描述1網(wǎng)系統(tǒng)。2 生產(chǎn)效勞器與監(jiān)控維護(hù)終端間缺乏訪(fǎng)問(wèn)掌握措施

解決方案概述安全域劃分安全設(shè)備部署網(wǎng)絡(luò)及安全設(shè)備3效。存在很大安全隱患。 加固4 主機(jī)及應(yīng)用系統(tǒng)欠缺較多的補(bǔ)丁，存在較多的高風(fēng)險(xiǎn)漏洞5防護(hù)力量較差6統(tǒng)，造成影響破壞。絕大多數(shù)主機(jī)開(kāi)放有危急且不必需的效勞，造成很大安全隱7患。8漏洞。9全隱患10安全治理維護(hù)工作。網(wǎng)絡(luò)單點(diǎn)故障，簡(jiǎn)潔造成網(wǎng)絡(luò)通訊中斷網(wǎng)絡(luò)中缺乏必要的安全防護(hù)設(shè)備，系統(tǒng)的安全防護(hù)力量較低

主機(jī)安全加固設(shè)生產(chǎn)網(wǎng)整合建設(shè)安全設(shè)備部署多數(shù)主機(jī)承受默認(rèn)安全策略配置，安全防護(hù)力量較差辦公終端大局部缺乏單機(jī)防火墻，無(wú)法有效防護(hù)系統(tǒng)辦公終端開(kāi)放很多不必需且危急的效勞，存在肯定安全隱患16進(jìn)展安全日志分析。17 辦公終端承受默認(rèn)安全策略配置，安全防護(hù)力量較差解決方案的總體設(shè)計(jì)，共計(jì)9項(xiàng)主要建設(shè)內(nèi)容：1、生產(chǎn)網(wǎng)的整合建設(shè)2、網(wǎng)絡(luò)安全域的劃分3、網(wǎng)絡(luò)安全設(shè)備部署4、網(wǎng)絡(luò)及安全設(shè)備加固5、主機(jī)安全加固6、病毒防護(hù)體系建設(shè)7、業(yè)務(wù)審計(jì)系統(tǒng)建設(shè)8、終端安全加固9、終端安全治理系統(tǒng)建設(shè)

網(wǎng)絡(luò)安全建設(shè)生產(chǎn)網(wǎng)的整合建設(shè)安全防護(hù)。經(jīng)過(guò)安全域劃分及安全建設(shè)后，網(wǎng)絡(luò)拓?fù)淙缦拢?-2網(wǎng)絡(luò)拓?fù)渖a(chǎn)網(wǎng)整合建設(shè)的內(nèi)容包括：1、網(wǎng)絡(luò)核心區(qū)域C6509+FWSM防火墻模塊，用于連接各車(chē)間部門(mén)、廠級(jí)效勞器區(qū)、治理支撐區(qū)及邊界接入。VLAN間集中的可能。保證現(xiàn)有個(gè)車(chē)間部門(mén)間的按需互通、隔離防護(hù)。2、廠級(jí)效勞器區(qū)整合各車(chē)間部門(mén)現(xiàn)有的生產(chǎn)效勞器系統(tǒng)，建設(shè)廠級(jí)效勞器區(qū)，規(guī)劃部署MES系統(tǒng)等區(qū)域。同樣通過(guò)核心交換機(jī)的FWSM防火墻模塊實(shí)施強(qiáng)化的網(wǎng)絡(luò)訪(fǎng)問(wèn)掌握。3、數(shù)據(jù)交互區(qū)能安全網(wǎng)關(guān)，配置DMZ區(qū)，作為生產(chǎn)網(wǎng)與辦公網(wǎng)數(shù)據(jù)交互緩沖區(qū)。將辦公網(wǎng)需要訊，削減安全風(fēng)險(xiǎn)。多功能安全網(wǎng)關(guān)主要供給防火墻、網(wǎng)關(guān)型病毒防護(hù)、IPS等功能，通過(guò)多重防護(hù)措施，保障生產(chǎn)網(wǎng)與辦公網(wǎng)數(shù)據(jù)交互的安全性。4、各車(chē)間部門(mén)VLANIP地址后，直接接入到核心交換機(jī)上，工業(yè)環(huán)網(wǎng)維持現(xiàn)狀。原有防火墻隔離混用到辦公網(wǎng)中的系統(tǒng)，利舊原有防火墻，用戶(hù)本部門(mén)中生產(chǎn)效勞器與監(jiān)控維護(hù)終端的訪(fǎng)問(wèn)掌握，更大程度的保障生產(chǎn)效勞器的安全。的區(qū)域間訪(fǎng)問(wèn)需求。網(wǎng)絡(luò)設(shè)備和鏈路，提高網(wǎng)絡(luò)可用性和性能。5、辦公區(qū)能削減辦公終端對(duì)生產(chǎn)網(wǎng)的影響。6、治理支撐區(qū)VLAN。網(wǎng)絡(luò)安全域的劃分全域的規(guī)劃設(shè)計(jì)。網(wǎng)絡(luò)安全域的總體構(gòu)架規(guī)劃如下：4-1安全域總體規(guī)劃1、邊界接入域內(nèi)聯(lián)網(wǎng)接入?yún)^(qū)序號(hào)所含單元所含資產(chǎn) 說(shuō)明1數(shù)據(jù)交互區(qū)關(guān)業(yè)務(wù)系統(tǒng)前置機(jī)。到辦公網(wǎng)的接入2 到辦公網(wǎng)的接入2 鏈路內(nèi)部網(wǎng)接入?yún)^(qū)序號(hào)序號(hào)所含單元所含資產(chǎn)說(shuō)明生產(chǎn)部門(mén)1~N生產(chǎn)部門(mén)包括：卷煙一車(chē)間、1 〔各生產(chǎn)部門(mén)獨(dú)立一個(gè)單元〕103103車(chē)間、膨脹絲車(chē)間、物業(yè)公司等4-2內(nèi)部網(wǎng)接入?yún)^(qū)2、計(jì)算環(huán)境域序號(hào)序號(hào)所含單元所含資產(chǎn)說(shuō)明1MES系統(tǒng)MES系統(tǒng)其它廠級(jí)效勞系1~N2 廠級(jí)效勞器系統(tǒng)〔依據(jù)實(shí)際需求劃分〕4-3計(jì)算環(huán)境域3、生產(chǎn)治理支撐域序號(hào)所含單元所含資產(chǎn) 說(shuō)明1治理支撐區(qū)安全治理系統(tǒng)、終端網(wǎng)絡(luò)治理系統(tǒng)、終端業(yè)務(wù)治理系統(tǒng)、終端4-4生產(chǎn)治理支撐域4、網(wǎng)絡(luò)設(shè)施域序號(hào)序號(hào)所含單元所含資產(chǎn)說(shuō)明1核心層C6509E兩臺(tái)+FWSM各建區(qū)域會(huì)聚交換機(jī)2會(huì)聚層各生產(chǎn)部門(mén)原有核心交換機(jī)3接入層各建區(qū)域接入交換機(jī)各生產(chǎn)部門(mén)原有接入交換機(jī)各生產(chǎn)部門(mén)原有接入交換機(jī)4-5網(wǎng)絡(luò)設(shè)施域網(wǎng)絡(luò)安全設(shè)備部署序號(hào)安全設(shè)備部署位置數(shù)量規(guī)格需求概述1FWSM防火墻模塊核心交換機(jī)C65092IPS性能≥500MIPS性能≥500M1000M端口≥43IDS核心交換機(jī)11000M雙端口監(jiān)聽(tīng)4SOC安全運(yùn)營(yíng)中心治理支撐區(qū)1

防火墻性能≥1000M防病毒性能≥500M4-6網(wǎng)絡(luò)安全設(shè)備部署網(wǎng)絡(luò)及安全設(shè)備加固1、運(yùn)行策略安全優(yōu)化實(shí)施網(wǎng)絡(luò)及安全設(shè)備運(yùn)行策略的優(yōu)化。建議的實(shí)施內(nèi)容包括：序號(hào)序號(hào)加固措施分類(lèi)描述檢查防火墻運(yùn)行策略，對(duì)開(kāi)放訪(fǎng)問(wèn)策略的源地址、防火墻運(yùn)行策略?xún)?yōu)目的地址和效勞端口范圍較廣的策略進(jìn)展需求分1化的訪(fǎng)問(wèn)。的訪(fǎng)問(wèn)。保護(hù)無(wú)線(xiàn)客戶(hù)端2WLAN安全優(yōu)化掌握公司網(wǎng)絡(luò)使用審核無(wú)線(xiàn)網(wǎng)絡(luò)活動(dòng)增加無(wú)線(xiàn)規(guī)章4-7運(yùn)行策略?xún)?yōu)化2、自身安全加固提高設(shè)備自身的安全性。建議的安全加固內(nèi)容包括：序號(hào) 加固措施分類(lèi) 描述1 IOS版本升級(jí)更改弱口令及口令加2密

IOS操作系統(tǒng)到較的版本號(hào)，消退程序本身的漏洞。用口令破解軟件進(jìn)展密碼解密后登錄網(wǎng)絡(luò)設(shè)備進(jìn)展破壞。通過(guò)設(shè)置Telnet口令和對(duì)登錄主機(jī)的范圍進(jìn)展3 限制Telnet登錄 限制來(lái)防止某些惡意用戶(hù)登錄網(wǎng)絡(luò)設(shè)備進(jìn)展SNMP默認(rèn)通信4字符串

破壞。SNMP網(wǎng)絡(luò)設(shè)備信息泄漏。阻擋觀察路由器診斷信息。5 關(guān)閉不必要的效勞 阻擋查看到路由器當(dāng)前的用戶(hù)列表。阻擋路由器接收帶源路由標(biāo)記的包，將帶有源路由選項(xiàng)的數(shù)據(jù)流丟棄。路由選項(xiàng)的數(shù)據(jù)流丟棄。效勞。抵擋spoofing(哄騙)類(lèi)攻擊防止病毒傳播4-8自身安全加固主機(jī)安全建設(shè)主機(jī)安全加固和安全風(fēng)險(xiǎn)，提高主機(jī)的安全防護(hù)力量。1、UNIX類(lèi)主機(jī)的安全加固內(nèi)容序號(hào) 加固措施分類(lèi) 描述配置安全的系統(tǒng)訪(fǎng)問(wèn)方式，制定安全的系統(tǒng)訪(fǎng)問(wèn)1系統(tǒng)訪(fǎng)問(wèn)治理策略確保對(duì)系統(tǒng)的訪(fǎng)問(wèn)都是通過(guò)安全加密的方式進(jìn)展依據(jù)制定的方案和系統(tǒng)功能，對(duì)主機(jī)供給的效勞2效勞訪(fǎng)問(wèn)治理設(shè)置訪(fǎng)問(wèn)掌握，以消退未授權(quán)的效勞訪(fǎng)問(wèn)所帶來(lái)安全隱患對(duì)在權(quán)威機(jī)構(gòu)或是操作系統(tǒng)生產(chǎn)產(chǎn)商已公布的安3系統(tǒng)漏洞修補(bǔ)全漏洞通過(guò)打補(bǔ)丁或是升級(jí)操作系統(tǒng)版本的方式進(jìn)展修補(bǔ)。4

對(duì)系統(tǒng)供給的常用效勞，諸如：DNS效勞、FTP效勞、telnet效勞等，檢查軟件本身的安全漏洞，通過(guò)打補(bǔ)丁或是更換服查軟件本身的安全漏洞，通過(guò)打補(bǔ)丁或是更換服依據(jù)制定的方案，兼顧全網(wǎng)原則，配置主機(jī)系統(tǒng)5一次性口令認(rèn)證的一次性口令認(rèn)證機(jī)制，實(shí)現(xiàn)高效安全的口令及用戶(hù)治理。依據(jù)制定的方案和系統(tǒng)功能，配置主機(jī)系統(tǒng)的實(shí)6實(shí)時(shí)入侵檢測(cè)系統(tǒng)時(shí)入侵檢測(cè)系統(tǒng)，從主機(jī)層次對(duì)入侵進(jìn)展檢測(cè)，并記錄日志，分析入侵狀況。7從應(yīng)用層次配置訪(fǎng)問(wèn)掌握系統(tǒng)，供給更高層次的訪(fǎng)問(wèn)掌握系統(tǒng)用戶(hù)訪(fǎng)問(wèn)掌握。檢測(cè)針對(duì)主機(jī)系統(tǒng)的DDoS攻擊，并實(shí)行相應(yīng)措8DDoS攻擊檢測(cè)防護(hù)施進(jìn)展防護(hù)。4-9UNIX主機(jī)加固內(nèi)容具體的加固方案，請(qǐng)參照每臺(tái)主機(jī)的漏洞掃描報(bào)告來(lái)制定。2、Windows主機(jī)的安全加固內(nèi)容序號(hào)序號(hào)加固措施分類(lèi)描述1BUG商供給的“補(bǔ)丁“程序；同時(shí)依據(jù)國(guó)際權(quán)威安全組織的建議準(zhǔn)時(shí)修補(bǔ)已公開(kāi)的安全漏洞嚴(yán)格的認(rèn)證口令2用戶(hù)使用簡(jiǎn)潔口令，并強(qiáng)制用戶(hù)定期修改口令，如策略果可能，使用增加的身份驗(yàn)證產(chǎn)品。賬戶(hù)要盡可能少，盡快刪除已經(jīng)不再使用的賬戶(hù)。3嚴(yán)格的帳戶(hù)策略GuestGuest加一個(gè)簡(jiǎn)單的密碼。4卸載多余的組件不要按默認(rèn)安裝組件，依據(jù)安全原則“最少的效勞務(wù)安裝即可。5停頓多余效勞只保存系統(tǒng)運(yùn)行必需的效勞，關(guān)，停其他的效勞默認(rèn)狀況下，任何用戶(hù)可通過(guò)空連接連上效勞器，6制止建立