布的互联网应用系统；梳理互联网出口及出口所使用的设备和安全措施；梳理网络结构（网络拓扑）；梳理重要的或需要重点保护的信息系统、应用系统各服务器之间的拓扑结构；梳理网络安全设备及网络防护情况；梳理sslvpn和ipsecvpn接入情况。4.1.2风险评估。安全保障专家结合信息化资产梳理结果进行安全风险评估。安全保障专家可使用调研问卷、人员访谈和安全技术（渗透测试、漏洞扫描、基线核查等）等方式，通过安全工具或人工方式从网络安全风险、应用安全风险、主机安全风险、终端安全风险和数据安全风险等维度进行安全风险评估，各部分内容可参考如下。（1）网络安全风险评估网络架构风险评估，利用人工和工具等方式从技术、策略和管理等角度更深层次挖掘出当前网络中存在的威胁和风险。安全漏洞和安全基线风险评估，利用扫描工具对网络设备进行扫描和全面检查。弱口令风险评估，严格禁止所有账号的弱口令、空口令情况。账号、权限风险评估，检查管理员账号和权限，关闭不必要的账号，取消不合理的账号权限；保证密码强度符合安全基线要求。远程登录白名单风险评估，严格限制可以远程管理的ip地址，禁用tel进行远程管理。配置备份风险评估，所有网络设备全部要做好配置备份，确认备份有效可以恢复。（2）应用安全风险评估身份鉴别风险评估，评估应用系统的身份标识与鉴别功能设置和使用配置情况，应用系统对用户登录各种情况的处理，如登录失败、登录连接超时等。访问控制风险评估，评估应用系统的访问控制功能设置情况，如访问控制的策略、权限设置情况等。安全审计风险评估，评估应用系统的安全审计配置情况，如覆盖范围、记录的项目和内容等。资产暴露面风险评估，模拟黑客进行信息收集，获取资产详细信息（程序名称、版本）、开放的危险端口、业务管理后台等。应用漏洞风险评估，包括eb服务，如ache、ecat、iis等，其他ssh、ftp等程序的缺失补丁或版本漏洞检测。渗透测试，采用适当测试手段，发现测试目标在信息系统认证及授权、代码审查等方面存在的安全漏洞，并再现利用该漏洞可能造成的损失，避免或防范此类威胁、风险或漏洞的具体改进或加固措施。（3）主机安全风险评估ebshell风险评估，对eb服务的系统进行ebshell后门排查，验证服务器的安全性，确保清除曾经可能被入侵遗留下的后门。恶意文件风险评估，利用专业僵尸木马蠕虫检测工具对操作系统进行恶意文件排查，并针对恶意文件进行行为分析，确认病毒家族及其危害。弱口令风险评估，严格禁止所有账号的弱口令、空口令情况。端口及服务风险评估，服务器只开放自身服务相关端口，关闭不必要的端口和对外服务。服务器防火墙风险评估，默认禁止所有主动对外访问行为，如有需要，需严格制定访问控制策略，实行服务器对外访问白名单。系统漏洞扫描风险评估，对操作系统、数据库及常见应用、协议进行漏洞扫描。（4）终端安全风险评估安全基线风险评估，对终端的操作系统进行安全配置基线检查，保证终端设备安全。弱口令风险评估，严格禁止所有账号的弱口令、空口令情况。防病毒软件风险评估，检查终端是否安装防病毒软件，安全策略是否开启。非法外联风险评估，检查终端是否配置了双网卡，是否开放或连接热点。补丁更新风险评估，检查补丁更新情况。（5）数据安全风险评估安全基线风险评估，对数据库的操作系统进行安全配置基线检查，保证数据库系统安全。数据访问控制风险评估，对数据的访问、权限设置进行评估。数据备份风险评估，检查数据备份策略、灾备情况。4.1.3安全加固。通过评估与检查的方式，分析信息化资产及重要信息系统的安全漏洞与风险，并有针对性地进行安全加固。网络设备、安全设