风险评价报告v

风风险险评评估估报报告告 v v HUA system office room 【HUA16H-TTMS2A-HUAS8Q8-HUAH1688】 资资金金管管理理系系统统风风险险评评估估报报告告 20102010 年年 1212 月月 天融信公司天融信公司 安全服务事业部安全服务事业部 文档信息文档信息 项目名称项目名称 文档编号文档编号 版本版本日期日期 号号 V1.020101231 PICC 安全服务项目 更新说明更新说明参与人参与人 员员 王冲、 胡浩 分发控制分发控制 编号编号读者读者 PICC 文档权文档权 限限 与文档的主要关系与文档的主要关系 版权说明版权说明 本文件中出现的全部内容，除另有特别注明，版权均属北京天融信公司所 有。任何个人、机构未经北京天融信公司的书面授权许可，不得以任何方式复 制或引用文件的任何片断。北京天融信公司安全服务事业部负责对本文档的解 释。 保密申明保密申明 本文件包含了来自北京天融信的可靠、权威的信息，接受这份文件表示同 意对其内容保密并且未经北京天融信公司书面请求和书面认可，不得复制，泄 露或散布这份文件。如果你不是有意接受者，请注意对这份文件内容的任何形 式的泄露、复制或散布都是被禁止的。 目目 录录 1简介.5 1.1 1.2 1.3 1.4 2 目的.5 范围.6 评估方法.6 评估工具选择.6 资产安全评估总结.7 2.1 2.2 2.3 资产评估对象及方法.7 漏洞严重级别定义.7 网络安全风险评估.8 2.3.1 2.3.2 2.3.3 2.3.4 网络拓扑结构说明.8 网络拓扑结构风险分析.9 网络与安全设备资产安全概述.9 网络与安全设备资产安全风险漏洞.10 2.3.4.1外网防火墙－主（10.1.251.193）10 2.3.4.2外网防火墙－备（10.1.251.193）18 2.3.4.3内网防火墙－主（10.1.251.129）18 2.3.4.4内网防火墙－备（10.1.251.129）26 2.3.4.5 SSLVPN（10.1.251.4）风险漏洞详细描述26 2.3.4.6安全认证交换机.26 2.3.4.7服务器区交换机.27 2.3.4.8服务器区交换机配置.27 2.3.4.9服务器区交换机风险漏洞详细描述.27 主机系统安全综合分析.272.4 2.4.1Web服务器（10.1.251.68）28 2.4.1.1 Web服务器（10.1.251.68）安全现状28 2.4.1.2 Web服务器（10.1.251.68）风险漏洞详细描述 31 2.4.2Web服务器（10.1.251.69）32 2.4.2.1 Web服务器（10.1.251.69）安全现状32 2.4.2.2 Web服务器（10.1.251.69）风险漏洞详细描述 35 2.4.3Web服务器（10.1.251.70）36 2.4.3.1 Web服务器（10.1.251.70）安全现状36 2.4.3.2 Web服务器（10.1.251.70）风险漏洞详细描述 39 2.4.4Web服务器（10.1.251.71）41 2.4.4.1 Web服务器（10.1.251.71）安全现状41 2.4.4.2 Web服务器（10.1.251.71）风险漏洞详细描述 43 2.4.5Web服务器（10.1.251.72）45 2.4.5.1 Web服务器（10.1.251.72）安全现状45 2.4.5.2 Web服务器（10.1.251.72）风险漏洞详细描述 48 应用服务器（10.1.251.132）49 2.4.6.1应用服务器（10.1.251.132）安全现状 49 2.4.6.2应用服务器（10.1.251.132）风险漏洞详细描述 52 2.4.7数据库服务器（10.1.251.166）53 2.4.7.1数据库服务器（10.1.251.166）安全现状 53 2.4.7.2数据库服务器（10.1.251.166）风险漏洞详细描述 54 2.4.8数据库服务器（10.1.251.167）55 2.4.8.1数据库服务器（10.1.251.166）安全现状 55 2.4.8.2数据库服务器（10.1.251.166）风险漏洞详细描述 56 2.5应用安全综合分析.57 2.6数据库安全综合分析.58 2.4.6 2.6.1Oracle数据库（10.1.251.166）风险漏洞详细描述.58 2.6.2Oracle数据库（10.1.251.167）风险漏洞详细描述.58 2.7数据传输安全综合分析.58 1 1 简介简介 企业对信息技术和服务的依赖意味着自身更容易受到安全威胁的攻击。为 保证企业富有竞争力，保持现金流顺畅和赢利，以及维护企业的良好商业形 象，信息安全的三要素保密性、完整性和可用性都是至关重要的。 对于一个特定的网络，为了实现其网络安全的目标，就是要在网络安全风 险评估的基础上，明确系统中所存在的各种安全风险，并制订相应的安全策 略，通过网络安全管理和各种网络安全技术的实施，从而达到网络安全的目 标。 安全评估是网络安全防御中的一项重要技术，其原理是根据已知的安全漏 洞知识库，对目标可能存在的安全隐患进行逐项检查。目标可以包括工作站、 服务器、交换机、路由器、数据库等各种网络对象和应用对象。然后根据扫描 结果向系统管理员提供周密可靠的安全性分析报告，为提高网络安全整体水平 产生重要依据。在网络安全体系的建设中，安全扫描工具花费低、效果好、见 效快、与网络的运行相对独立、安装运行简单，可以大规模减少安全管理员的 手工劳动，有利于保持全网安全政策的统一和稳定。 为了充分了解客户当前的网络安全威胁状况，需要利用一些常用的扫描工 具、应用软件以及人工分析的等方式获得客户中重要服务器的各类数据。在扫 描之后，将扫描系统获得的报告汇集成为一个当前系统漏洞评估报告，同时根 据漏洞情况提供加强网络安全的建议。 1.11.1 目的目的 本期安全服务项目，包括安全评估，将在技术层上进行评估，以实现以下 安全评估目标： ➢识别被评估系统存在的操作系统远程安全漏洞 ➢识别被评估系统存在的应用系统安全漏洞 评估完成后，将进行加固，保障系统安全。 1.21.2 范围范围 本次安全评估范围如下： ✓6 台 Windows主机 ✓2 台 linux 主机 ✓2 台数据库 ✓2 台网络设备 ✓6 台安全设备 1.31.3 评估方法评估方法 利用网络扫描工具、安全评估工具和人工评估工具，检查资产的弱点，从 而识别能被入侵者用来非法进入网络的漏洞。生成网络扫描评估报告，提交检 测到的漏洞信息，包括位置和详细描述。这样就允许管理员侦测和管理安全风 险信息。 扫描内容包括： ➢系统开放的端口号； ➢系统中存在的安全漏洞； ➢是否存在弱口令； 1.41.4 评估工具选择评估工具选择 1. 漏洞扫描工具 NessusNessus 安全扫描软件安全扫描软件 Nessus 是一个功能强大而又易于使用的远程安全扫描器，它不仅免费而且 更新极快。安全扫描器的功能是对指定网络进行安全检查，找出该网络是否存 在有导致对手攻击的安全漏洞。该系统被设计为 client/seve