风险评估报告-V10.docx
《风险评估报告-V10.docx》由会员分享,可在线阅读,更多相关《风险评估报告-V10.docx(64页珍藏版)》请在三一办公上搜索。
1、资金管理系统风险评估报告2010年12月天融信公司 安全服务事业部安全和管理服务系统总体设计方案Prepare by zhoutao文档信息项目名称PICC安全服务项目文档编号版本号日期参与人员更新说明V1.020101231王冲、胡浩分发控制编号读者文档权限与文档的主要关系PICC版权说明本文件中出现的全部内容,除另有特别注明,版权均属北京天融信公司所有。任何个人、机构未经北京天融信公司的书面授权许可,不得以任何方式复制或引用文件的任何片断。北京天融信公司安全服务事业部负责对本文档的解释。保密申明本文件包含了来自北京天融信的可靠、权威的信息,接受这份文件表示同意对其内容保密并且未经北京天融信
2、公司书面请求和书面认可,不得复制,泄露或散布这份文件。如果你不是有意接受者,请注意对这份文件内容的任何形式的泄露、复制或散布都是被禁止的。目 录1简介51.1目的51.2范围61.3评估方法61.4评估工具选择62资产安全评估总结72.1资产评估对象及方法72.2漏洞严重级别定义72.3网络安全风险评估82.3.1网络拓扑结构说明82.3.2网络拓扑结构风险分析92.3.3网络与安全设备资产安全概述92.3.4网络与安全设备资产安全风险漏洞102.3.4.1外网防火墙主(10.1.251.193)102.3.4.2外网防火墙备(10.1.251.193)182.3.4.3内网防火墙主(10.1
3、.251.129)182.3.4.4内网防火墙备(10.1.251.129)262.3.4.5SSLVPN(10.1.251.4)风险漏洞详细描述262.3.4.6安全认证交换机262.3.4.7服务器区交换机272.3.4.8服务器区交换机配置272.3.4.9服务器区交换机风险漏洞详细描述272.4主机系统安全综合分析272.4.1Web服务器(10.1.251.68)282.4.1.1Web服务器(10.1.251.68)安全现状282.4.1.2Web服务器(10.1.251.68)风险漏洞详细描述312.4.2Web服务器(10.1.251.69)322.4.2.1Web服务器(10
4、.1.251.69)安全现状322.4.2.2Web服务器(10.1.251.69)风险漏洞详细描述352.4.3Web服务器(10.1.251.70)362.4.3.1Web服务器(10.1.251.70)安全现状362.4.3.2Web服务器(10.1.251.70)风险漏洞详细描述392.4.4Web服务器(10.1.251.71)412.4.4.1Web服务器(10.1.251.71)安全现状412.4.4.2Web服务器(10.1.251.71)风险漏洞详细描述432.4.5Web服务器(10.1.251.72)452.4.5.1Web服务器(10.1.251.72)安全现状452.
5、4.5.2Web服务器(10.1.251.72)风险漏洞详细描述482.4.6应用服务器(10.1.251.132)492.4.6.1应用服务器(10.1.251.132)安全现状492.4.6.2应用服务器(10.1.251.132)风险漏洞详细描述522.4.7数据库服务器(10.1.251.166)532.4.7.1数据库服务器(10.1.251.166)安全现状532.4.7.2数据库服务器(10.1.251.166)风险漏洞详细描述542.4.8数据库服务器(10.1.251.167)552.4.8.1数据库服务器(10.1.251.166)安全现状552.4.8.2数据库服务器(1
6、0.1.251.166)风险漏洞详细描述562.5应用安全综合分析572.6数据库安全综合分析582.6.1Oracle数据库(10.1.251.166)风险漏洞详细描述582.6.2Oracle数据库(10.1.251.167)风险漏洞详细描述582.7数据传输安全综合分析58 4 / 641 简介企业对信息技术和服务的依赖意味着自身更容易受到安全威胁的攻击。为保证企业富有竞争力,保持现金流顺畅和赢利,以及维护企业的良好商业形象,信息安全的三要素保密性、完整性和可用性都是至关重要的。 对于一个特定的网络,为了实现其网络安全的目标,就是要在网络安全风险评估的基础上,明确系统中所存在的各种安全风
7、险,并制订相应的安全策略,通过网络安全管理和各种网络安全技术的实施,从而达到网络安全的目标。安全评估是网络安全防御中的一项重要技术,其原理是根据已知的安全漏洞知识库,对目标可能存在的安全隐患进行逐项检查。目标可以包括工作站、服务器、交换机、路由器、数据库等各种网络对象和应用对象。然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告,为提高网络安全整体水平产生重要依据。在网络安全体系的建设中,安全扫描工具花费低、效果好、见效快、与网络的运行相对独立、安装运行简单,可以大规模减少安全管理员的手工劳动,有利于保持全网安全政策的统一和稳定。为了充分了解客户当前的网络安全威胁状况,需要利用一些常用的
8、扫描工具、应用软件以及人工分析的等方式获得客户中重要服务器的各类数据。在扫描之后,将扫描系统获得的报告汇集成为一个当前系统漏洞评估报告,同时根据漏洞情况提供加强网络安全的建议。1.1 目的本期安全服务项目,包括安全评估,将在技术层上进行评估,以实现以下安全评估目标: 识别被评估系统存在的操作系统远程安全漏洞 识别被评估系统存在的应用系统安全漏洞评估完成后,将进行加固,保障系统安全。1.2 范围本次安全评估范围如下: 6台Windows主机 2台linux主机 2台数据库 2台网络设备 6台安全设备1.3 评估方法利用网络扫描工具、安全评估工具和人工评估工具,检查资产的弱点,从而识别能被入侵者用
9、来非法进入网络的漏洞。生成网络扫描评估报告,提交检测到的漏洞信息,包括位置和详细描述。这样就允许管理员侦测和管理安全风险信息。扫描内容包括: 系统开放的端口号; 系统中存在的安全漏洞; 是否存在弱口令;1.4 评估工具选择1.漏洞扫描工具Nessus安全扫描软件Nessus是一个功能强大而又易于使用的远程安全扫描器,它不仅免费而且更新极快。安全扫描器的功能是对指定网络进行安全检查,找出该网络是否存在有导致对手攻击的安全漏洞。该系统被设计为client/sever模式,服务器端负责进行安全检查,客户端用来配置管理服务器端。在服务端还采用了plug-in的体系,允许用户加入执行特定功能的插件,这插
10、件可以进行更快速和更复杂的安全检查。在Nessus中还采用了一个共享的信息接口,称之知识库,其中保存了前面进行检查的结果。检查的结果可以HTML、纯文本、LaTeX等几种格式保存。2.人工检查Checklist集合天融信多年的安全服务经验,依据等级保护、SOX、PCI法案以及各种安全基线制订的checklist进行安全检查。2 资产安全评估总结2.1 资产评估对象及方法PICC资金管理系统的资产安全评估采用安全扫描工具评估扫描与人工本地安全评估相结合的方式进行,评估的对象范围如下:序号资产名称资产类型IP资产信息1234567891011121314151617182.2 漏洞严重级别定义本文
11、档将根据安全扫描评估结果进行统计,本项目中,我们对涉及到的风险漏洞级别做如下定义:等级说明高风险漏洞漏洞能够使攻击者直接获得系统控制权限,或者绕过防火墙。中风险漏洞漏洞会泄露使攻击者获得系统访问权的信息。低风险漏洞系统泄露的信息会使系统遭到攻击。2.3 网络安全风险评估2.3.1 网络拓扑结构说明资金管理系统网络边界部署有2台天融信NGFW4000防火墙,通过配置严格的访问控制策略实现边界防护,外网防火墙采取主备模式实现设备的冗余部署,有效防止了单点故障。该系统服务器部署在应用安全区和数据库安全区中,服务器区交换机划分两个VLAN,VLAN351和VLAN352,分别连接应用服务器和数据库服务
12、器。资金管理系统使用数字证书作为用户身份的唯一标识,用户在登陆该系统时必须使用usbkey进行登陆,实现了该系统的强身份认证,同时服务器区防火墙设置安全策略,禁止用户直接访问资金管理系统,用户需要通过SSLVPN的认证,认证通过后才能访问该系统。图资金管理系统拓扑图2.3.2 网络拓扑结构风险分析资金管理系统的网络结构清晰,各个安全域划分明确,网络安全设备均采取双机热备方式进行冗余。但是该系统的安全认证交换机、服务器区交换机无备件,存在单点故障危险,一旦上述设备出现故障将会影响资金管理系统的正常运行。2.3.3 网络与安全设备安全综合分析资产风险合计主机高风险中风险低风险合计外网防火墙-主(1
13、0.1.251.193)0022外网防火墙-备(10.1.251.193)0022内网防火墙-主(10.1.251.129)0022内网防火墙-备(10.1.251.129)0022SSLVPN-主(10.1.251.4)0022SSLVPN-备(10.1.251.4)0022安全认证交换机0112服务器区交换机02132.3.3.1 外网防火墙主(10.1.251.193)2.3.3.1.1 外网防火墙主(10.1.251.193)配置分类具体配置备注网口信息network interface eth0 ip add 5.5.5.2 mask 255.255.255.252 ha-stati
14、c network interface eth1 ip add 10.1.252.2 mask 255.255.255.252 network interface eth2 ip add 10.1.251.193 mask 255.255.255.192 network interface eth3 ip add 10.1.251.1 mask 255.255.255.192 路由信息network route add dst 10.1.251.64/26 gw 10.1.251.253 metric 1 id 101network route add dst 10.1.251.128/26
15、gw 10.1.251.253 metric 1 id 102network route add dst 0.0.0.0/0 gw 10.1.252.1 metric 1 id 100对象ID 8002 define area add name area_eth0 attribute eth0 access on vsid 0 ID 8033 define area add name 接中信国安 attribute eth1 access on vsid 0 ID 8034 define area add name 接资金系统统 attribute eth2 access on vsid 0
16、ID 8041 define area add name vlan350 attribute eth3 access on vsid 0 ID 8045 define host add name web1 ipaddr 10.1.251.68 vsid 0 ID 8046 define host add name web2 ipaddr 10.1.251.69 vsid 0 ID 8047 define host add name web3 ipaddr 10.1.251.70 vsid 0 ID 8048 define host add name web4 ipaddr 10.1.251.7
17、1 vsid 0 ID 8049 define host add name web5 ipaddr 10.1.251.72 vsid 0 ID 8050 define host add name web6 ipaddr 10.1.251.73 vsid 0 ID 8051 define host add name OM_APP1 ipaddr 10.1.251.132 vsid 0 ID 8052 define host add name OM_APP2 ipaddr 10.1.251.133 vsid 0 ID 8053 define host add name OM_APP3 ipaddr
18、 10.1.251.134 vsid 0 ID 8054 define host add name OM_APP4 ipaddr 10.1.251.135 vsid 0 ID 8055 define host add name OM_APP5 ipaddr 10.1.251.136 vsid 0 ID 8056 define host add name OM_Task1 ipaddr 10.1.251.156 vsid 0 ID 8057 define host add name OM_Task2 ipaddr 10.1.251.157 vsid 0 ID 8058 define host a
19、dd name OM_Report ipaddr 10.1.251.142 vsid 0 ID 8059 define host add name 建行服务器2 ipaddr 15.12.6.19 vsid 0 ID 8060 define host add name 建行服务器3 ipaddr 15.12.6.20 vsid 0 ID 8061 define host add name 工行服务器 ipaddr 10.240.162.1 vsid 0 ID 8062 define host add name 农行服务器 ipaddr 128.2.15.20 vsid 0 ID 8063 de
20、fine host add name 中行服务器 ipaddr 10.16.253.79 vsid 0 ID 8064 define host add name 建行服务器1 ipaddr 15.12.6.18 vsid 0 ID 8068 define host add name 工行转换地址 ipaddr 10.1.14.10 vsid 0 ID 8069 define host add name 农行转换地址 ipaddr 10.1.14.12 vsid 0 ID 8070 define host add name 中行转换地址 ipaddr 10.1.14.13 vsid 0 ID 8
21、071 define host add name 建行转换地址 ipaddr 10.1.14.11 vsid 0 ID 8083 define host add name VPN ipaddr 10.1.251.4 vsid 0 ID 8084 define host add name RA服务器 ipaddr 10.1.251.58 vsid 0 ID 8085 define host add name CA服务器 ipaddr 11.137.76.11 vsid 0 ID 8093 define host add name 邮件服务器 ipaddr 11.201.0.95 vsid 0 I
22、D 8095 define host add name 建行前置机1 ipaddr 10.1.251.226 vsid 0 ID 8096 define host add name 建行前置机2 ipaddr 10.1.251.227 vsid 0 ID 8100 define host add name DSP1 ipaddr 10.1.251.196 vsid 0 ID 8101 define host add name 10.1.251.206 ipaddr 10.1.251.206 vsid 0 ID 8103 define host add name 数据库服务器1 ipaddr 1
![风险评估报告-V10.docx_第1页](https://www.31ppt.com/fileroot1/2022-12/23/0ec199d5-a91b-41ff-8a7c-31c95ff33e94/0ec199d5-a91b-41ff-8a7c-31c95ff33e941.gif)
![风险评估报告-V10.docx_第2页](https://www.31ppt.com/fileroot1/2022-12/23/0ec199d5-a91b-41ff-8a7c-31c95ff33e94/0ec199d5-a91b-41ff-8a7c-31c95ff33e942.gif)
![风险评估报告-V10.docx_第3页](https://www.31ppt.com/fileroot1/2022-12/23/0ec199d5-a91b-41ff-8a7c-31c95ff33e94/0ec199d5-a91b-41ff-8a7c-31c95ff33e943.gif)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 风险 评估 报告 V10
![提示](https://www.31ppt.com/images/bang_tan.gif)
链接地址:https://www.31ppt.com/p-1871608.html