2022年关于人民币银行计算账号核准影响管理系统风险评估报告.pdf

《2022年关于人民币银行计算账号核准影响管理系统风险评估报告.pdf》由会员分享，可在线阅读，更多相关《2022年关于人民币银行计算账号核准影响管理系统风险评估报告.pdf（24页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第1页 共 24 页人民币银行计算账号核准影响管理系统风险评估报告【最新资料， WORD 文档，可编辑修改】精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 1 页，共 24 页 - - - - - - - - - - 第2页 共 24 页目录1、风险评估项目概述. 11.1 工程项目概况. 11.1.1 建设项目基本信息 . 11.1.2 建设单位基本信息 . 11.1.3承建单位基本信息 . 21.2 风险评估实施单位基本情况 . 22、风险评估活动概述. 42.1 风险评估工作组织管理. 42.2 风

2、险评估工作过程. 52.3 依据的技术标准及相关法规文件 . 62.4 保障与限制条件. 73、评估对象 . 83.1 评估对象构成与定级. 83.1.1 网络结构 . 83.1.2 业务应用 . 93.2 评估对象等级保护措施. 104、资产识别与分析. 124.1 资产类型与赋值. 124.2 关键资产说明. 125、威胁识别与分析. 136、脆弱性识别与分析. 167、风险分析 . 111精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 2 页，共 24 页 - - - - - - - - - - 第

3、3页 共 24 页7.1 关键资产的风险计算结果 . 1117.2 关键资产的风险等级. 167.2.1 风险等级列表 . 167.2.2 风险等级统计 . 1127.2.3 基于脆弱性的风险排名 . 1127.2.4 风险结果分析 . 188、综合分析与评价. 189、整改意见 . 20附件 1：管理措施表 . . 21附件 2：技术措施表 . . 23附件 3：资产类型与赋值表. 25附件 4：脆弱性赋值表 . . 27精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 3 页，共 24 页 - - -

4、- - - - - - - 11、风险评估项目概述1.1 工程项目概况1.1.1 建设项目基本信息工程项目名称人民币银行结算账户远程核准影像管理系统工程项目批复的建设内容非涉密信息系统部分的建设内容在不改变现有账户管理系统操作流程的前提下，通过对纸质开户资料进行扫描、传输、审核、比对、存贮、查阅和管理，实现远程核准银行结算账户和账户资料档案影像化管理。相应的信息安全保护系统建设内容以 WIN2003 Server 做为服务器平台； 数据库使用MYSQL 网络数据库；以人行省会中支网间互联平台为基础；与人民币银行结算账户管理系统共享客户端硬件资源。项目完成时间2011 年 8 月 3 日项目试运

5、行时间2011 年 8 月 8 日1.1.2 建设单位基本信息工程建设牵头部门部门名称中国人民银行工程责任人通信地址联系电话电子邮件工程建设参与部门部门名称工程责任人通信地址联系电话电子邮件精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 4 页，共 24 页 - - - - - - - - - - 2工程建设参与部门部门名称工程责任人通信地址联系电话电子邮件1.1.3承建单位基本信息单位名称单位性质法人代表通信地址联系电话电子邮件1.2 风险评估实施单位基本情况评估单位名称法人代表通信地址联系电话电子邮件

6、二、风险评估活动概述2.1 风险评估工作组织管理1建立评估领导小组领导小组的工作职责是：在中支计算机信息安全工作领导小组的领导下，确定评估的范精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 5 页，共 24 页 - - - - - - - - - - 3围和目的、 组织结构和任务分工，并对最终评估结果进行评审。信息安全评估领导小组人员组成及分工如下：办公室的主要职责是：编写评估方案，组织宣传培训，围绕关键业务威胁、风险的技术分析，评估各阶段的具体实施工作，及时向领导小组反馈问题，提交最终评估报告。2、原则

7、（1）保密原则在风险评估过程中，将严格遵循保密原则，对评估过程中涉及到的任何信息未允许不向其他任何第三方泄露。（2）互动原则在整个风险评估过程中，将强调员工的互动参与，进而更好地进行风险评估工作。（3）最小影响原则风险评估工作应尽可能小地影响系统和网络的正常运行，不能对业务的正常运行产生明显的影响，如无法避免，则应做出说明。（4）规范性原则信息安全风险评估的实施必须依照规范的操作流程进行，对操作过程和结果要有相应的记录。（5）质量保障原则在整个风险评估过程中，将特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行，并由评估领导小组从中监督，控制项目的进度和质量。精品资料 - - -

8、 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 6 页，共 24 页 - - - - - - - - - - 42.2 风险评估工作过程本次评估的重点范围是：制度建设和管理情况、设备和人员的单点运行风险、冗余备份设备与数据的可用性、设备运行的可靠性、运行监控和安全审计系统的有效性、安全防护设施的有效性、系统配置的合理性与安全性。检查评估的具体内容：1、管理脆弱性。检查制度、操作规程、岗位设置与职责分工、执行监督等。2、技术脆弱性。检查通信网络的线路、设备备份有效性，网络设备配置参数、子网划分以及子网间访问控制措施的合理性与安

9、全性；检查机房基础设施的安全性，有效性； 检查生产系统资源冗余度， 进行业务系统压力测试；对服务器进行健康检查 （包括补丁更新情况） ；检查运行维护监控系统的有效性；检查安全防护设施的有效性；检查不必要端口的关闭情况。本次信息安全评估以自评估的方式进行，按照风险评估的组织方式、内容和流程， 评估管理脆弱性与技术脆弱性。1、管理脆弱性评估：以现场调查为主，综合评估检查组织体系、制度体系和管理体系方面存在的问题。2、技术脆弱性评估：以查看设备配置、验证性测试和检测为主，把局部风险与系统性风险评估检查相结合，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性。2.3 依据的技术标准及相关法规文件风

10、险评估参照了以下办法和标准实施：中国人民银行突发事件应急预案管理办法（银发 2005 196 号）中国人民银行IT 系统应急预案指引 （银办发 2006154 号）精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 7 页，共 24 页 - - - - - - - - - - 5中国人民银行信息安全管理规定（银办发 2005211 号）中国人民银行计算机机房规范化工作指引（银办发 2006154 号）计算机信息系统安全保护等级划分准则GB 178591999 信息安全风险评估规范（GB/T20984-2007

11、 ）2.4 保障与限制条件1、现场查看了以下文档：系统的用户手册、管理员手册、操作维护手册。操作系统的用户手册、管理员手册。所用的网络设备如路由器、交换机等管理员手册。所用的安全设备、系统、软件的管理员手册。系统的安全日志、试运行维护日志等各种日志记录。2、人员准备确定了配合现场评估工作的技术人员：系统的运行维护人员、网络管理员； 安全员；应用系统的操作人员，这些人员都能操作每个关键测试点的系统或配置界面。3、评估对象3.1 评估对象构成与定级本次评估范围为人民币银行结算账户远程核准影像管理系统。该系统是一个基于 B/S 架构的办公自动化系统，主要对象是网络结构、业务应用和系统等级保护措施。3

12、.1.1 网络结构为保证安全，服务器放置在人民银行省级数据中心业务网防火墙的DMZ 区，人民银行精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 8 页，共 24 页 - - - - - - - - - - 6用户通过系统对内映射IP（11.84.17.2）访问系统，商业银行用户通过系统对外映射IP（9.168.45.17）访问系统，同时，通过配置相应的访问规则及限定访问端口以进一步保障系统的访问及使用安全。网络连接拓扑图如下所示：3.1.2 业务应用该系统在不改变现有账户管理系统操作流程的前提下，通过对纸

13、质开户资料进行扫描、传输、审核、比对、存贮、查阅和管理，实现远程核准银行结算账户和账户资料档案影像化管理，极大方便了农村地区和牧区银行机构和存款人开立、注销和变更银行结算账户等业务，同时也解决了纸质账户资料保管、查询和调阅困难的问题。账户影像系统的建设，构建起了快捷、高效、优质的城乡一体化的银行结算账户网上核准业务处理模式。目前主要取得五方面成效：一简化开户流程，提升金融服务水平，二是节约开户成本，提高社会经济效益，三是提高账户普及率，助推农村经济发展，四是规范账户资料，实现账户档案电子化，五是改善结算环境，提高支付结算业务量3.2 系统等级保护措施本系统由于刚建成，正处于试运行阶段，所以还没

14、有进行系统等级定级，我们参照人民银行的有关规定和做法，暂时按三级保护的级别加以保护，采取的保护措施如下：1、管理措施：我们按照国家有关规定，建立、健全了计算机信息系统安全管理制度，成立有中支计算机系统信息安全领导小组，确定安全管理责任人，负责计算机信息系统的安全保护工作。 按照规定定期对计算机信息系统开展安全状况、安全管理制度及措施的落实情况进行自查。 制定了计算机信息系统重大安全事件报告制度，制定了系统应急预案。建立并精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 9 页，共 24 页 - - - -

15、- - - - - - 7执行中支计算机机房安全管理制度、安全责任制度、系统运行维护制度、设备、介质管理制度及数据备份制度；2、安全技术措施：我们采取了下列安全保护技术措施：（一）服务器选用惠普388G7，主频为 2.13GHz 的双 CPU，内存为8GB，双电源，采用 RAID0+1 磁盘阵列技术；采用总行统一下发的诺顿计算机病毒防治系统；（二）安装补丁、扫描病毒，关闭不必要的服务和端口，删除来历不明的程序。删除非法用户，检查并恢复系统正常的权限设置。修改系统配置，提高安全防御能力，系统运行和用户使用日志记录保存一年以上。（三）网络系统采用双线路、双机热备份处理、故障自动切换模式。电信2M

16、线路与联通线路互备， Huawei Quidway2840 与 Huawei Quidway4640 路由器互为备份，2 台 Cisco Catalyst4506 互为交换机备份，应用系统服务器部署在省级数据中心的DMZ 区。见下图：人民币银行结算账户核准影像管理系统的等级保护管理措施情况见附表一。人民币银行结算账户核准影像管理系统的等级保护技术措施情况见附表二。4、资产识别与分析4.1 资产类型与赋值见附件 3资产类型与赋值表。4.2 关键资产说明在分析被评估系统的资产基础上，列出对评估单位十分重要的资产，作为风险评估的重精品资料 - - - 欢迎下载 - - - - - - - - - -

17、 - 欢迎下载 名师归纳 - - - - - - - - - -第 10 页，共 24 页 - - - - - - - - - - 8点对象，并以清单形式列出如下：关键资产列表资产编号资产名称应用资产权重Zhhzyx_1 服务器 G7 是本系统的载体，是运行合管理的平台4 Zhhzyx_8 账户影像系统1.0本系统的程序指令3 Zhhzyx_9 系统操作及维护手册是本系统安装、运行、维护和操作的指南2 Zhhzyx_10 账户影像数据是本系统运行的最终结果4 Zhhzyx_12系统运行维护制度是本系统安全稳定运行的保证。4 5、威胁识别与分析威胁来源名称影响资产影响值软硬件故障主机、网络设备、

18、安全设备、通讯线路、保障设备、应用系统、数据4 物理环境主机、网络设备、安全设备、通讯线路、保障设备4 无作为或操作失误主机、网络设备、安全设备、通讯线路、保障设备、应用系统、数据、文档资料、人员3 管理不到位主机、网络设备、安全设备、通讯线路、保障设备、应用系统、数据、文档资料、人员4 恶意代码和病毒主机、网络设备、安全设备、通讯线路、应用系统、数据3 越权或滥用主机、网络设备、安全设备、通讯线路、保障设备、应用系统、数据、文档资料3 网络攻击主机、网络设备、安全设备、通讯线路、应用系统3 精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - -

19、 - - - - - - - -第 11 页，共 24 页 - - - - - - - - - - 9物理攻击主机、网络设备、安全设备、通讯线路、保障设备、应用系统、数据、3 泄密主机、网络设备、应用系统、数据、文档资料3 篡改数据、文档资料、应用系统3 抵赖数据、文档资料、应用系统3 粗心、好奇或培训不足的员工主机、网络设备、安全设备、通讯线路、保障设备、应用系统、数据、文档资料、人员3 内部人员犯罪主机、网络设备、安全设备、通讯线路、保障设备、应用系统、数据、文档资料、人员3 恶意第三方主机、网络设备、安全设备、通讯线路、保障设备、应用系统、数据、文档资料、人员2 外部计算机犯罪主机、网络

20、设备、安全设备、通讯线路、保障设备、应用系统、数据、文档资料、人员2 外部黑客主机、网络设备、安全设备、通讯线路、应用系统、数据、文档资料、人员2 不可抗力主机、网络设备、安全设备、通讯线路、保障设备、应用系统、数据、文档资料、人员1 恐怖分子主机、网络设备、安全设备、通讯线路、保障设备、应用系统、数据、文档资料、人员1 社会工程主机、网络设备、安全设备、通讯线路、保障设备、应用系统、数据、文档资料、人员1 威胁影响性赋值精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 12 页，共 24 页 - - -

21、- - - - - - - 10威胁来源名称威胁可能性威胁影响威胁值软硬件故障4 4 4 物理环境2 4 2 恶意代码和病毒4 3 3 无作为或操作失误2 3 2 管理不到位4 4 4 越权或滥用2 3 2 网络攻击2 3 2 物理攻击2 3 2 泄密2 3 2 篡改2 3 2 抵赖2 3 2 粗心、好奇或培训不足的雇员2 3 2 内部人员犯罪2 3 2 恶意第三方2 2 1 外部计算机犯罪1 2 1 外部黑客1 2 1 精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 13 页，共 24 页 - - -

22、- - - - - - - 11竞争对手1 1 1 恐怖分子1 1 1 社会工程1 1 1 经过对上面章节的安全威胁进行分析，可发现，对于本系统来说， 最严重的威胁来源是：管理不到位、计算机病毒及恶意软件和设备故障因素。六、脆弱性识别与分析见附件 5：脆弱性分析赋值表七、风险分析7.1 关键资产的风险计算结果资产编号资产风险值资产名称Zhhzyx_124 系统运行维护制度Zhhzyx_1 4 服务器 G7 Zhhzyx_10 4 账户影像数据Zhhzyx_8 3 账户影像系统1.0Zhhzyx_9 2 系统操作及维护手册7.2 关键资产的风险等级7.2.1 风险等级列表资产风险等级表资产编号资

23、产风险值资产名称资产风险等级Zhhzyx_124 系统运行维护制度3 Zhhzyx_1 4 服务器 G7 3 精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 14 页，共 24 页 - - - - - - - - - - 12Zhhzyx_10 4 账户影像数据3 Zhhzyx_8 3 账户影像系统1.02 Zhhzyx_9 2 系统操作及维护手册1 7.2.2 风险等级统计资产风险等级统计表风险等级资产数量所占比例3 3 60% 2 1 20% 1 1 20% 7.2.3 基于脆弱性的风险排名基于脆弱性

24、的风险排名表脆弱性风险值所占比例运行维护管理脆弱性2 37.5% 3 25% 灾备与应急响应脆弱性2 25% 3 12.5% 7.2.4 风险结果分析该系统资产类型主要由硬件、软件、文档、系统所产生的数据和管理制度组成。在硬件设备中，网络设备是共用设备，其风险已经加固；软件系统中，对Windows Server 2003和 MYSLQ我们已经严格按照有关技术规定和指引进行了配置，安装了防病毒系统等安全系统，其应用系统在真实的生产环境中已经得到检验；各类文档都有备份并按规定妥善保存。在排除以上情况后，从该系统资产类型分析，能够产生该系统风险的资产就只有用于该系统运行的服务器、系统运行所产生的数据

25、和运行管理制度的制定和执行情况。从风险等级统计得知，服务器、系统运行所产生的数据和运行管理制度的制定和执行情况的风险等级为3 的占比达60%；从脆弱性的风险排名可以看出，运行维护管理制度的风险占比达62.5%，因此，该系统主要风险集中于该系统运行维护管理制度的制定和执行情精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 15 页，共 24 页 - - - - - - - - - - 13况。八、综合分析与评价本次评估的人民币银行结算账户远程核准影像管理系统，从人民银行昕州市中支引进，以 WIN2003 Se

26、rver 做为服务器平台；使用MYSQL 网络数据库，账户影像系统的代码以二进制方式运行，与人民币银行结算账户管理系统共享客户端、网络系统、机房等硬件资源，以现有的网络架构为基础，依托人行西宁中支网间互联平台搭建完成。从硬件上来看，服务器选用惠普388G7，主频为2.13GHz 的双 CPU，内存为8GB，双电源，采用RAID0+1 磁盘阵列技术，网络设备共享现有的设备，经过了长时间的检验，并且实现了实时热备份功能。从安全防护上来看， 按照了总行统一下发的诺顿计算机病毒防治系统，安装了操作系统、 数据库和防病毒补丁， 严格按照总行关于 系统配置指引 的要求，关闭了不必要的服务和端口， 删除非必

27、须的用户， 配置了权限。设置了系统密码，提高了安全防御能力。从网络架构上来看，网络系统采用双线路、双机热备份处理、故障自动切换模式。电信 2M 线路与联通线路互备， Huawei Quidway2840 与 Huawei Quidway4640 路由器互为备份，2 台 Cisco Catalyst4506 互为交换机备份，应用系统服务器部署在省级中心机房的DMZ 区。从该系统运行的环境来看，由于该系统部署在省级中心机房，防静电、防雷、防火、防水、温度、湿度等指标达到了标准要求，双路供电，所以该系统的运行环境优良。从该系统的运行维护管理方面来看，我们制订有一系列关于计算机系统的运行、维护及安全制

28、度，但由于服务器部署在省级中心机房，海西中支科技部门派人员前去做运行维护的工作显然不现实，虽然上级部门也指定人员管理，但就承担运行过程中出现的诸如日常维护、数据备份等责任问题没有明确，缺乏制度层面的约束性。精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 16 页，共 24 页 - - - - - - - - - - 14从该系统的应急管理来看，由于缺乏相应的管理制度，对运行过程中出现的运维流程不是很明确，所以没有制订出该系统的应急预案，更谈不上进行应急演练工作。结论：该系统的硬件设施、网络配置、安全防护和

29、运行环境方面都达到了优良，但由于缺乏运行维护制度，责任不明确，同时，缺乏相应的应急预案，所以，该系统存在运行维护管理和应急方面的风险。九、整改意见鉴于该系统存在的实际风险问题，建议领导尽快协商，达成共识，将该系统纳入到 人民币银行结算账户管理系统的管理体系中， 把该系统做为 人民币银行结算账户管理系统的一个子系统进行管理， ，并按照人民币银行结算账户管理系统的管理办法制定处该系统的应急预案。精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 17 页，共 24 页 - - - - - - - - - - 15

30、附件 1：管理措施表序号层面 /方面安全控制 /措施落实部分落实没有落实不适用1 安全管理制度管理制度2 制定和发布3 评审和修订4 安全管理机构岗位设置5 人员配备6 授权和审批7 审核和检查8 人员安全管理人员离岗9 人员考核10 安全意识教育和培训11 外部人员访问管理12 系统建设管理系统定级13 安全方案设计14 产品采购15 自行软件开发16 外包软件开发17 工程实施18 测试验收19 系统交付20 系统备案21 系统运维管理环境管理22 资产管理23 介质管理24 设备管理25 监控管理精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归

31、纳 - - - - - - - - - -第 18 页，共 24 页 - - - - - - - - - - 16序号层面 /方面安全控制 /措施落实部分落实没有落实不适用26 网络安全管理27 系统安全管理28 恶意代码防范管理29 密码管理30 变更管理31 备份与恢复管理32 安全事件处置33 应急预案管理小计33 29 1 0 3 附件 2：技术措施表序号层面 /方面安全控制 /措施落实部分落实没有落实不适用1 物理安全物理位置的选择2 物理访问控制3 防盗窃和防破坏4 防雷击5 防火6 防水和防潮7 防静电8 温湿度控制9 电力供应10 电磁防护11 网络安全网络结构安全12 网络访

32、问控制13 网络安全审计14 边界完整性检查精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 19 页，共 24 页 - - - - - - - - - - 1715 网络入侵防范16 恶意代码防范17 网络设备防护18 主机安全身份鉴别19 访问控制20 安全审计21 入侵防范22 恶意代码防范23 资源控制24 应用安全身份鉴别25 访问控制26 安全审计27 通信完整性28 抗抵赖29 软件容错30 数据安全及备份与恢复数据完整性31 数据保密性32 备份和恢复小计31 0 0 1 精品资料 - -

33、- 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 20 页，共 24 页 - - - - - - - - - - 第 18 页 共 24 页附件 3：资产类型与赋值表类别资产编号资产名称资产权重赋值说明硬件资产Zhhzyx_1 服务器 G7 4 重要，其安全属性破坏后可能对中支造失Zhhzyx_2 Huawei Quidway2840 4 重要，其安全属性破坏后可能对中支造失Zhhzyx_3 Huawei Quidway4640 4 重要，其安全属性破坏后可能对中支造失Zhhzyx_4 Cisco Catalyst4506

34、4 重要，其安全属性破坏后可能对中支造失Zhhzyx_5 PC 用户终端2 不太重要，其安全属性破坏后可能对中失软件资产Zhhzyx_6 Windos server2003 3 比较重要，其安全属性破坏后可能对该度的损失Zhhzyx_7 MYSQL5.0 3 比较重要，其安全属性破坏后可能对该度的损失Zhhzyx_8 账户影像系统1.03 比较重要，其安全属性破坏后可能对该度的损失文档和数据资产Zhhzyx_9 系统操作及维护手册2 不太重要，其安全属性破坏后可能对中失Zhhzyx_10 账户影像数据4 重要，其安全属性破坏后可能对中支造失制度资产Zhhzyx_11 计算机系统信息安全管理制度

35、4 重要，其安全属性破坏后可能对中支造失Zhhzyx_12 系统运行维护制度4 重要，其安全属性破坏后可能对中支造失Zhhzyx_13 机房安全管理制度4 重要，其安全属性破坏后可能对中支造失Zhhzyx_14 账户影像资料管理系统业务处理实施细则4 重要，其安全属性破坏后可能对中支造失附件 4：脆弱性分析赋值表检测项检测子项脆弱性赋值潜在影响运行维护管理脆弱性制度该系统运行维护制度没有明确3 系统一旦发生故障,可能出现责任不清的问题日常维护服务器在西宁， 日常维护要依赖科技处2 日志不能及时分析，服务器运行状态了解不及时，系统就可能瘫痪等。精品资料 - - - 欢迎下载 - - - - -

36、- - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 21 页，共 24 页 - - - - - - - - - - 第 19 页 共 24 页系统漏洞补丁操作系统及数据库安全补丁可能不及时升级2 使系统暴露在病毒感染、黑客入侵、拒绝服务攻击以及其它可能的风险面前。病毒库升级计算机病毒库可能升级不及时2 系统轻则资源耗尽、重则感染病毒、被插木马、客户资料尽泄甚至会产生经济上的损失。硬件故障硬盘故障、 电源故障、 芯片主板故障3 硬件会造成死机，蓝屏，无法开机，等很多问题。灾备与应急响应脆弱性应急预案应急预案不完整， 缺乏与上级的沟通机制和有关责任、义务。2 对各

37、类事故应急救援中对潜在事故的负责部门和支持部门、任务要求、应急准备和操作程序等不够明确。应急演练没有进行该系统的应急演练2 应急预案流程是否可行，操作是否合理没有经过实践验证。数据备份数据备份在本机硬盘上3 一旦遇到天灾人祸出现无法恢复的硬件故障，数据将全部丢失。精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 22 页，共 24 页 - - - - - - - - - - 第 20 页 共 24 页精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 23 页，共 24 页 - - - - - - - - - - 第 21 页 共 24 页精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 24 页，共 24 页 - - - - - - - - - -