《政府外网系统安全测定报告(电子政务外网)》由会员分享,可在线阅读,更多相关《政府外网系统安全测定报告(电子政务外网)(10页珍藏版)》请在金锄头文库上搜索。
1、_人民政府外网系统安全测定报告_文档日期: 2016/09/01文档版本: X 县人民政府信息中心和 算机系统工程有限公司软件事业部所签署的“政府安全方案及协议”保护和限制。在未事先得到 人民政府信息中心和 算机系统工程有限公司软件事业部书面同意之前,本文档全部或部份内容不得用于其他任何用途或交与第三方。目 录1 概述 . 目的 . 范围 . 读者 . 工作方法 . 参考标准 . 文档导读 .洞扫描工具介绍 . 绍 . 特点与优势 . 扫描的可行性分析 . 扫描对系统的影响 .点分析 . 弱点属性 . 弱点识别与描述 . 弱点获取 .描结果综述 .要弱点综述 . 中等级弱点 . . . 低等级
2、弱点 .文传输 .结 .论阶段文档名称 主机系统扫描报告文档版本 否为正式交付件 否文档创建日期 2009/09/01 当前修订日期 2009/06/30文档存放路径 00 文档审批要求 需要确认文档审批信息审阅人 职务 审阅时间 审阅意见文档修订信息版本 修正章节 日期 作者 009龙江 文档建立1 的通过对 人民政府中文网站系统承载主机进行安全工具扫描,发现目前 人民政府系统承载主机系统存在的技术性安全漏洞。围扫描范围识别由 人民政府和 算机系统工程有限公司软件事业部项目组的相关人员双方共同完成,本次安全扫描的主机系统范围见下表:序号 S 承载应用1 者本文档的读者包括 人民政府和 算机系
3、统工程有限公司软件事业部项目组成员,以及 人民政府管理层。作方法采用以下工作方法来达成上述目标: 工具扫描:通过工具扫描,顾问可以高效率地从技术角度发现信息资产存在的安全弱点,并进行风险分析; 安全专家分析:专家经验在安全顾问咨询服务中处于不可替代的关键地位,目前尚没有成型的工具、模型、算法等可以将专家的经验完全体现。考标准以国际信息安全漏洞名称标准 参考标准。一个标准漏洞名称的列表,还有信息安全问题的剖析,的就是使公有的众所周知的安全漏洞和安全事件的剖析标准化。第一部分:概述。说明安全扫描的目的、范围、方法和参考标准;第二部分:漏洞扫描工具的介绍。主要是说明扫描所用的工具括它们的性能、优点等
4、;第三部分:弱点分析。主要描述弱点属性、弱点的识别和描述、弱点的获取方式。第四部分:人民政府网站主机信息安全扫描综述。针对 人民政府网站主机系统范围的扫描,对资产的漏洞做出详细列表;第五部分:总结。对安全扫描评估做总结性说明;2 绍是一款老牌的安全评估软件, 开放免费, 功能强大且更新极快. 用 式, 服务器端负责进行安全检查, 客户端用来配置管理服务器端. 服务端采用了 体系,为了方便用户编写自己的检测插件, 提供了一种叫做 击脚本语言(脚本语言. 检查的结果可以使用 文本、格式保存。特点与优势较之过去的开源系统 列,第三代引擎 第一代高了 256 倍,安全型也有很大改观, 本自身避免了用户
5、错误编写脚本导致的缓冲区溢出等问题。齐全的弱点检测选项,有超过 10000 多的漏洞资料库,并且每天都有新的漏洞资料加入,保证可以检测最新的漏洞。生成的资料可以导出 据库,适合进行事后数据分析。扫描器软件较小(6M) ,易于部署,并且对安装主机硬件设备没有要求,安装后,使用和配置方便。扫描的结果都有针对性的解决方法。从过去的使用效果来看,有导致任何 的情况,而且我们可以通过去除 检测、不使用 描等方法以达到更好的降低风险的要求。描的可行性分析扫描评估主要是根据已有的安全漏洞知识库,模拟黑客的攻击方法,检测网络协议、网络服务、网络设备、应用系统等各种信息资产所存在的安全隐患和漏洞。扫描的方式可以
6、采用网络扫描和主机扫描两种。网络扫描主要依靠带有安全漏洞知识库的网络安全扫描工具对信息资产进行基于网络层面安全扫描,其特点是能对被评估目标进行覆盖面广泛的安全漏洞查找,并且评估环境与被评估对象在线运行的环境完全一致,能较真实地反映主机系统、网络设备、应用系统所存在的网络安全问题和面临的网络安全威胁。描对系统的影响网络扫描评估以网络为基础进行,扫描控制台通过网络对被评估对象进行安全评估,因此这种扫描方式主要消耗一定的网络带宽资源,并对被评估的对象消耗很小一部分的网络连接的资源,对于其他的资源没有特殊的要求。实际的使用情况表明,网络扫描对网络资源和被评估系统的资源占用在 3%间,并且可以通过修改、
7、配置一定的扫描策略来使这些资源消耗降低至最小。3 点属性安全弱点和信息资产紧密相连,它可能被威胁利用、引起资产损失或伤害。弱点存在严重程度和被利用程度双属性。但是,弱点本身不会造成损失,它只是一种条件或环境可能导致被威胁利用而造成资产损失。弱点的出现有各种原因,例如可能是软件开发过程中的质量问题,也可能是系统管理员配置方面的,也可能是管理方面的。但是,它们的共同特性就是给攻击者提供了对信息资产进行攻击的机会。参照国际通行标准,将资产存在的弱点的严重程度分为 4 个等级,分别是高(H) 、中等(M) 、低(L) 、可忽略(N) ,并且从高到低分别赋值3照下表:弱点严重程度赋值参考表赋值 简称 说
8、明3 H 该弱点如果被利用可能造成资产重大或者全部损 失2 M 该弱点如果被利用可能引发中等资产损失1 L 该弱点如果被利用可能造成较小资产损失0 N 点识别与描述弱点识别和描述用于对弱点按照一定的分类方法进行辨识和归类,可以采用定性和定量的方法,也可以采取两者相结合的方法,在对 人民政府网站主机安全弱点分析过程中,我们采取了定性和定量相结合的方法,这样有利于对资产的安全威胁和安全风险的分析和处理。点获取弱点的获取可以有多种方式,例如,扫描工具扫描(、白客测试(、管理规范文件审核、人员面谈审核等。评审员(专家)可以根据具体的评估对象、评估目的选择具体的弱点获取方式。经过研究,本项目采取所有设备
9、扫描的方法来获取资产存在弱点列表,并根据专家经验进行赋值。4 扫描结果综述本次扫描主机共 1 台,机,扫描共发现弱点 2 个,未发现高等级弱点,中等级弱点 1 个,低等级弱点 1 个,相关安全信息 12 个,由于安全信息风险较低这里暂不列出见下图:弱 点 分 布中 等 级 , 1,50%低 等 级 , 1,50% 中 等 级低 等 级5 持该方式的服务器存在跨站脚本漏洞,攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。漏洞发现方式 描漏洞严重程度赋值 2解决建议 禁用该方式(已处理)存在此漏洞的表 文传输漏洞名称 文传输漏洞描述 用了明文传输用户名密码及数据,允许网络用户通过嗅探,或者中间人攻击获取用户名和口令及传输数据。漏洞发现方式 描漏洞严重程度赋值 1解决建议 关闭该服务(已关闭)存在此漏洞的表 结通过扫描测定 人民政府网站服务器系统,以上列出的较低弱点体现了较少的安全问题。这些结果标志着高性能的思科防火墙以及开源跨平台的 台系统在此安全项目中起到的绝对作用,通过定期的对时地进行更新处理,保障了安全工作的延续性。本次测试结果定义为较安全,其安全弱点也反映了 人民政府网站信息系统的主机系统方面的防纂问题和 码传输安全问题,因此这些安全弱点在总体上体现了 人民政府网站主机系统当前的安全状态,总结如下几点: 司网站主机系统 务器存在明文传输弱点。 对外网开放了 议。
