收藏
下载资源

风险管理 风险评估报告V

上传人:蜀歌 文档编号:146016353 上传时间:2020-09-25 格式:PDF 页数:70 大小:493.28KB
返回 下载 相关 举报
风险管理 风险评估报告V_第1页
第1页 / 共70页
风险管理 风险评估报告V_第2页
第2页 / 共70页
风险管理 风险评估报告V_第3页
第3页 / 共70页
风险管理 风险评估报告V_第4页
第4页 / 共70页
风险管理 风险评估报告V_第5页
第5页 / 共70页
点击查看更多>>
资源描述

《风险管理 风险评估报告V》由会员分享,可在线阅读,更多相关《风险管理 风险评估报告V(70页珍藏版)》请在金锄头文库上搜索。

1、风险管理 风险评估报告 V风险管理 风险评估报告 V 资金管理系统风险评估报告资金管理系统风险评估报告资金管理系统风险评估报告资金管理系统风险评估报告 2010 年 12 月2010 年 12 月 天融信公司安全服务事业部天融信公司安全服务事业部 文档信息文档信息 项目名称项目名称 PICC 安全服务项目 文档编号文档编号 版本号版本号日期日期参与人员参与人员更新说明更新说明 V1.020101231王冲、胡 浩 分发控制分发控制 编号编号读者读者文档权限文档权限与文档的主要关系与文档的主要关系 PICC 版权说明版权说明 本文件中出现的全部内容, 除另有特别注明, 版权均属北京天融信公司所有

2、。 任何个人、 机构未经北京天融信公司的书面授权许可, 不得以任何方式复制或引用文件的任何片断。 北 京天融信公司安全服务事业部负责对本文档的解释。 保密申明保密申明 本文件包含了来自北京天融信的可靠、 权威的信息, 接受这份文件表示同意对其内容保 密并且未经北京天融信公司书面请求和书面认可,不得复制,泄露或散布这份文件。如果你 不是有意接受者,请注意对这份文件内容的任何形式的泄露、复制或散布都是被禁止的。 目录目录 1 简介 5 1.1 目的 5 1.2 范围 6 1.3 评估方法 6 1.4 评估工具选择 6 2 资产安全评估总结 7 2.1 资产评估对象及方法 7 2.2 漏洞严重级别定

3、义 7 2.3 网络安全风险评估 8 2.3.1 网络拓扑结构说明 8 2.3.2 网络拓扑结构风险分析 9 2.3.3 网络与安全设备资产安全概述 9 2.3.4 网络与安全设备资产安全风险漏洞 10 2.3.4.1 外网防火墙主(10.1.251.193)10 2.3.4.2 外网防火墙备(10.1.251.193)18 2.3.4.3 内网防火墙主(10.1.251.129)18 2.3.4.4 内网防火墙备(10.1.251.129)26 2.3.4.5SSLVPN(10.1.251.4)风险漏洞详细描述 26 2.3.4.6 安全认证交换机 26 2.3.4.7 服务器区交换机 27

4、 2.3.4.8 服务器区交换机配置 27 2.3.4.9 服务器区交换机风险漏洞详细描述 27 2.4 主机系统安全综合分析 27 2.4.1Web 服务器(10.1.251.68)28 2.4.1.1Web 服务器(10.1.251.68)安全现状 28 2.4.1.2Web 服务器(10.1.251.68)风险漏洞详细描述 31 2.4.2Web 服务器(10.1.251.69)32 2.4.2.1Web 服务器(10.1.251.69)安全现状 32 2.4.2.2Web 服务器(10.1.251.69)风险漏洞详细描述 35 2.4.3Web 服务器(10.1.251.70)36 2

5、.4.3.1Web 服务器(10.1.251.70)安全现状 36 2.4.3.2Web 服务器(10.1.251.70)风险漏洞详细描述 39 2.4.4Web 服务器(10.1.251.71)41 2.4.4.1Web 服务器(10.1.251.71)安全现状 41 2.4.4.2Web 服务器(10.1.251.71)风险漏洞详细描述 43 2.4.5Web 服务器(10.1.251.72)45 2.4.5.1Web 服务器(10.1.251.72)安全现状 45 2.4.5.2Web 服务器(10.1.251.72)风险漏洞详细描述 48 2.4.6 应用服务器(10.1.251.13

6、2)49 2.4.6.1 应用服务器(10.1.251.132)安全现状 49 2.4.6.2 应用服务器(10.1.251.132)风险漏洞详细描述 52 2.4.7 数据库服务器(10.1.251.166)53 2.4.7.1 数据库服务器(10.1.251.166)安全现状 53 2.4.7.2 数据库服务器(10.1.251.166)风险漏洞详细描述 54 2.4.8 数据库服务器(10.1.251.167)55 2.4.8.1 数据库服务器(10.1.251.166)安全现状 55 2.4.8.2 数据库服务器(10.1.251.166)风险漏洞详细描述 56 2.5 应用安全综合分

7、析 57 2.6 数据库安全综合分析 58 2.6.1Oracle 数据库(10.1.251.166)风险漏洞详细描述 58 2.6.2Oracle 数据库(10.1.251.167)风险漏洞详细描述 58 2.7 数据传输安全综合分析 58 1 简介1 简介 企业对信息技术和服务的依赖意味着自身更容易受到安全威胁的攻击。 为保 证企业富有竞争力,保持现金流顺畅和赢利,以及维护企业的良好商业形象,信 息安全的三要素保密性、完整性和可用性都是至关重要的。 对于一个特定的网络,为了实现其网络安全的目标,就是要在网络安全风险 评估的基础上,明确系统中所存在的各种安全风险,并制订相应的安全策略,通 过

8、网络安全管理和各种网络安全技术的实施,从而达到网络安全的目标。 安全评估是网络安全防御中的一项重要技术, 其原理是根据已知的安全漏洞 知识库,对目标可能存在的安全隐患进行逐项检查。目标可以包括工作站、服务 器、交换机、路由器、数据库等各种网络对象和应用对象。然后根据扫描结果向 系统管理员提供周密可靠的安全性分析报告, 为提高网络安全整体水平产生重要 依据。在网络安全体系的建设中,安全扫描工具花费低、效果好、见效快、与网 络的运行相对独立、安装运行简单,可以大规模减少安全管理员的手工劳动,有 利于保持全网安全政策的统一和稳定。 为了充分了解客户当前的网络安全威胁状况, 需要利用一些常用的扫描工具

9、、 应用软件以及人工分析的等方式获得客户中重要服务器的各类数据。 在扫描之后, 将扫描系统获得的报告汇集成为一个当前系统漏洞评估报告, 同时根据漏洞情况 提供加强网络安全的建议。 1.1目的1.1目的 本期安全服务项目,包括安全评估,将在技术层上进行评估,以实现以下安 全评估目标: 识别被评估系统存在的操作系统远程安全漏洞 识别被评估系统存在的应用系统安全漏洞 评估完成后,将进行加固,保障系统安全。 1.2范围1.2范围 本次安全评估范围如下: 6 台 Windows 主机 2 台 linux 主机 2 台数据库 2 台网络设备 6 台安全设备 1.3评估方法1.3评估方法 利用网络扫描工具、

10、安全评估工具和人工评估工具,检查资产的弱点,从而 识别能被入侵者用来非法进入网络的漏洞。生成网络扫描评估报告,提交检测到 的漏洞信息, 包括位置和详细描述。 这样就允许管理员侦测和管理安全风险信息。 扫描内容包括: 系统开放的端口号; 系统中存在的安全漏洞; 是否存在弱口令; 1.4评估工具选择1.4评估工具选择 1.漏洞扫描工具 Nessus 安全扫描软件Nessus 安全扫描软件 Nessus 是一个功能强大而又易于使用的远程安全扫描器,它不仅免费而且 更新极快。安全扫描器的功能是对指定网络进行安全检查,找出该网络是否存在 有导致对手攻击的安全漏洞。该系统被设计为 client/sever

11、 模式,服务器端负 责进行安全检查,客户端用来配置管理服务器端。在服务端还采用了 plug-in 的 体系,允许用户加入执行特定功能的插件,这插件可以进行更快速和更复杂的安 全检查。在 Nessus 中还采用了一个共享的信息接口,称之知识库,其中保存了 前面进行检查的结果。检查的结果可以 HTML、纯文本、LaTeX 等几种格式保存。 2.人工检查 ChecklistChecklist 集合天融信多年的安全服务经验,依据等级保护、SOX、PCI 法案以及各种 安全基线制订的 checklist 进行安全检查。 2 资产安全评估总结2 资产安全评估总结 2.1资产评估对象及方法2.1资产评估对象

12、及方法 PICC 资金管理系统的资产安全评估采用安全扫描工具评估扫描与人工本地 安全评估相结合的方式进行,评估的对象范围如下: 序号序号资产名称资产名称资产类型资产类型IPIP资产信息资产信息 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 2.2漏洞严重级别定义2.2漏洞严重级别定义 本文档将根据安全扫描评估结果进行统计,本项目中,我们对涉及到的风险 漏洞级别做如下定义: 等级等级说明说明 高风险漏洞漏洞能够使攻击者直接获得系统控制权限,或者绕过防火墙。 中风险漏洞漏洞会泄露使攻击者获得系统访问权的信息。 低风险漏洞系统泄露的信息会使系统遭到攻击。

13、2.3网络安全风险评估2.3网络安全风险评估 2.3.1网络拓扑结构说明2.3.1网络拓扑结构说明 资金管理系统网络边界部署有 2 台天融信 NGFW4000 防火墙,通过配置严格 的访问控制策略实现边界防护, 外网防火墙采取主备模式实现设备的冗余部署, 有效防止了单点故障。该系统服务器部署在应用安全区和数据库安全区中,服务 器区交换机划分两个 VLAN,VLAN351 和 VLAN352,分别连接应用服务器和数据库 服务器。 资金管理系统使用数字证书作为用户身份的唯一标识, 用户在登陆该系统时 必须使用 usbkey 进行登陆,实现了该系统的强身份认证,同时服务器区防火墙 设置安全策略,禁止

14、用户直接访问资金管理系统,用户需要通过 SSLVPN 的认证, 认证通过后才能访问该系统。 图资金管理系统拓扑图 2.3.2网络拓扑结构风险分析2.3.2网络拓扑结构风险分析 资金管理系统的网络结构清晰,各个安全域划分明确,网络安全设备均采取 双机热备方式进行冗余。 但是该系统的安全认证交换机、 服务器区交换机无备件, 存在单点故障危险,一旦上述设备出现故障将会影响资金管理系统的正常运行。 2.3.3网络与安全设备安全综合分析2.3.3网络与安全设备安全综合分析 资产风险合计资产风险合计 主机主机高风险高风险中风险中风险低风险低风险合计合计 外网防火墙-主(10.1.251.193)0022

15、外网防火墙-备(10.1.251.193)0022 内网防火墙-主(10.1.251.129)0022 内网防火墙-备(10.1.251.129)0022 SSLVPN-主(10.1.251.4)0022 SSLVPN-备(10.1.251.4)0022 安全认证交换机0112 服务器区交换机0213 2.3.3.1外网防火墙主(10.1.251.193)2.3.3.1外网防火墙主(10.1.251.193) 2.3.3.1.1外网防火墙主(10.1.251.193)配置2.3.3.1.1外网防火墙主(10.1.251.193)配置 分 类 分 类 具体配置具体配置 备 注 备 注 网 口 信

16、 息 networkinterfaceeth0ipadd5.5.5.2mask255.255.255.252ha-static networkinterfaceeth1ipadd10.1.252.2mask255.255.255.252 networkinterfaceeth2ipadd10.1.251.193mask255.255.255.192 networkinterfaceeth3ipadd10.1.251.1mask255.255.255.192 路 由 信 息 networkrouteadddst10.1.251.64/26gw10.1.251.253metric1id101 networkrouteadddst10.1.251.128/26gw10.1.251.253metric1id102 networkrouteadddst0.0.0.0/0gw10.1.252.1metric1id100 对 象 ID8002defineareaaddnamearea_eth0attributeeth0accessonvsid0 ID8033definearea

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 经营企划

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号