收藏
下载资源

信息安全审计报告

上传人:豆浆 文档编号:3606490 上传时间:2017-08-09 格式:DOC 页数:26 大小:455.14KB
返回 下载 相关 举报
信息安全审计报告_第1页
第1页 / 共26页
信息安全审计报告_第2页
第2页 / 共26页
信息安全审计报告_第3页
第3页 / 共26页
信息安全审计报告_第4页
第4页 / 共26页
信息安全审计报告_第5页
第5页 / 共26页
点击查看更多>>
资源描述

《信息安全审计报告》由会员分享,可在线阅读,更多相关《信息安全审计报告(26页珍藏版)》请在金锄头文库上搜索。

1、安全审计报告文档密级:机密文档编号:ENB-MS-SEC-ACT-1.0.1文档版本号:1.0 发布新昆仑支付有限公司二一二年九月文档信息版本控制分发控制文档名称 新昆仑支付有限公司风险评估报告作者 何秉递类别 风险评估文件名称 安全审计报告.doc摘要 新昆仑支付有限公司新昆仑支付平台风险评估版本号 日期 修改人 审阅人 摘 要 1.0 9/26/2012 何秉递 初始版本 编号 读者 文档权限 与文档的主要关系 001 何秉递 创建、修改、读取 文档创建者 目录第一章概述 .41.1.项目背景 .41.2.评估范围 .4第二章风险评估概况 .52.1.风险评估时间 .52.2.风险评估地点

2、 .52.3.风险评估任务 .52.4.风险评估参与人员 .5第三章风险评估步骤 .6第四章评估结果分析 .74.1.物理安全 .74.2.管理安全 .94.3.系统安全 .94.4.脆弱性评估概况 .94.4.1.操作系统平台统计 .104.4.2.安全等级统计 .104.4.3.扫描结果建议 .104.5.脆弱性评估详细结果 .12第五章风险评估总结 .27第一章概述 1.1.项目背景根据相关行业主管部门的要求,当单位信息系统投入正式生产之前,或是发生重大改动的时候需要对新信息系统进行全方位的风险评估,并根据风险评估结果采取适当的防护措施以降低信息系统安全风险,保证新信息系统的实施不会导致

3、原有信息系统的安全水平降低。上海亚太信息技术有限公司 NPSS小组承担了新昆仑支付有限公司互联网支付平台系统的风险评估工作。 1.2.评估范围本次风险评估的范围明确确定为与新昆仑支付有限公司互联网支付平台相关的服务器及网络设备,其它信息系统不做评估。第二章风险评估概况2.1.风险评估时间 2012.09.24 2012.09.262.2.风险评估地点上海市荣华东道79弄2号3052.3.风险评估任务填写安全评估调查表;安全漏洞扫描;服务器手工检查2.4.风险评估参与人员姓名 联系电话 职务/职称 E-mai l第三章风险评估步骤上海亚太计算机信息系统有限公司安全服务工安全服务工作小组负责执行本

4、次项目的风险评估任务。经过与新昆仑支付有限公司安全负责人员商讨与确认,按照下面的步骤执行信息安全风险评估: 1、 填写安全评估 调查表;2、 确定目标信息; 3、 对目标服务器进行网络漏洞扫描和测试; 4、在各个服务器的内部,进行安全检查和分析。第四章评估结果分析本次风险评估的目标主要是新昆仑支付有限公司新昆仑支付平台中的 3台 Windows2008服务器、2台 Redhat Linux服务器和 2台 Oracle服务器,这些设备分别位于办公内网、 DMZ及 DB三个区域,各服务器的 IP 地址分配和操作系统如下:通过风险评估,我们分别从物理安全、管理安全和系统安全三个方面得出如下几点结论。

5、 4.1.物理安全 编号 用途 I P地址 OS+Pat ch 001 Oracle服务器 192.168.31.121 RedHat Linux 5.6 002 Oracle服务器 192.168.31.122 RedHat Linux 5.6 003 前置服务器 192.168.31.116 RedHat Linux 5.6004 前置服务器 192.168.31.117 RedHat Linux 5.6005 应用服务器 192.168.31.119 Windows2008R2+SP1 006 应用服务器 192.168.35.141 Windows2008R2+SP1007 应用服务器

6、 192.168.35.142 Windows2008R2+SP11 机房的访问控制不够严密,缺乏进入机房进行登记的措施。 2 机关视频会议室与计算机机房位于同一个区域,由于混合区域的门禁卡与进入机房的门禁卡是同一张,没有进行相应权限上的严格划分,这样非管理人员就很容易从物理上接触到服务器,而在现有服务器的访问控制下,只要能从物理上接触到服务器,就完全控制了别台服务器。 3 机房没有针对无线网络及通信线缆防窃听的防护措施。4.2.管理安全 1.没有针对对关键信息资产的保密措施 2. 没有采用异地备份机制,在重大灾难发生后,无法恢复业务运行。3. 没有有效的漏斗修补及安全维护机制 4. 没有文档

7、化的风险管理和风险消除计划 5.关键业务系统及重要硬件设备没有制定规范的操作流程 4.3.系统安全 由于已经在第一次风险评估的基础上对相关服务器采取了安全加固措施,在本次风险评估中发现信息系统的安全风险已经大大降低,对于仍然存在的安全隐患通过与系统建设方进行充分沟通,主要分两种情况通过两种方式进行处理: 1.服务器管理员口令的威胁。信息系统目前仍然处于开发调试阶段,并没有正式上线运行,为了便于系统调试服务器设置了简单口令,系统建设方已经承诺在系统正式上线之前严格按照管理规定重新设置,消除简单口令和弱口方带来的系统风险。 2. Oracle tnslsnr漏洞。由于此服务和系统应用紧密相关,无法

8、进行修补,只有采取接受风险。 4.4.脆弱性评估概况本次脆弱性评估涉及对象是 7台服务器,下面分别从操作系统平台及安全等级进行了统计。4.4.1.操作系统平台统计 4.4.2.安全等级统计 4.4.3.扫描结果建议需要立即处理的主机列表 I P地址 主机名 需要立即处理漏洞数 192.168.31.119 SHGLGLC00 2192.168.35.141 SHGLGLC01 2192.168.35.142 SHGLGLC02 2192.168.31.121 SHGLGLC03 2192.168.31.122 SHGLGLC04 2192.168.31.116 SHGLGLC05 1192.168.31.117 SHGLGLC06 1n

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号