風(fēng)險評估報告v

1、 報告險系統(tǒng)風(fēng)評估理金資管 12年月2010 天融信公司安全服務(wù)事業(yè)部 文檔信息 項目名稱PICC安全服務(wù)項目 文檔編號 版本號 日期 參與人員 更新說明 V1.0 20101231 王沖、胡 浩 分發(fā)控制 編號 讀者 文檔權(quán)限 與文檔的主要關(guān)系 PICC 版權(quán)說明 本文件中出現(xiàn)的全部內(nèi)容，除另有特別注明，版權(quán)均屬北京天融信公司所有。任何個人、機構(gòu)未經(jīng)北京天融信公司的書面授權(quán)許可，不得以任何方式復(fù)制或引用文件的任何片斷。北京天融信公司安全服務(wù)事業(yè)部負責(zé)對本文檔的解釋。 保密申明 本文件包含了來自北京天融信的可靠、權(quán)威的信息，接受這份文件表示同意對其內(nèi)容保密并且未經(jīng)北京天融信公司書面請求和書面認

2、可，不得復(fù)制，泄露或散布這份文件。如果你不是有意接受者，請注意對這份文件內(nèi)容的任何形式的泄露、復(fù)制或散布都是被禁止的。 目 錄 1 簡介. 5 1.1 目的 . 5 范圍 . 6 1.2 評估方法 . 61.3 評估工具選擇 . 61.4 資產(chǎn)安全評估總結(jié) . 2 7 2.1 資產(chǎn)評估對象及方法 . 7 漏洞嚴重級別定義 . 72.2 網(wǎng)絡(luò)安全風(fēng)險評估 . 2.3 8 2.3.1 網(wǎng)絡(luò)拓撲結(jié)構(gòu)說明 . 8 2.3.2 網(wǎng)絡(luò)拓撲結(jié)構(gòu)風(fēng)險分析 . 8 2.3.3 網(wǎng)絡(luò)與安全設(shè)備資產(chǎn)安全概述 . 8 2.3.4 網(wǎng)絡(luò)與安全設(shè)備資產(chǎn)安全風(fēng)險漏洞 . 錯誤!未定義書簽。 外網(wǎng)防火墻主（1

3、93） . 9 外網(wǎng)防火墻備（93） . 17 內(nèi)網(wǎng)防火墻主（29） . 17 內(nèi)網(wǎng)防火墻備（29） . 25 SSLVPN（）風(fēng)險漏洞詳細描述. 25 安全認證交換機 . 27 服務(wù)器區(qū)交換機 . 29 服務(wù)器區(qū)交換機配置 . 29 服務(wù)器區(qū)交換機風(fēng)險漏洞詳細描述 . 29 2.4 主機系統(tǒng)安全綜合分析 . 29 2.4.1 Web服務(wù)器（8） .

4、30 Web服務(wù)器（8）安全現(xiàn)狀 . 30 Web服務(wù)器（8）風(fēng)險漏洞詳細描述 . 33 2.4.2 Web服務(wù)器（9） . 34 Web服務(wù)器（9）安全現(xiàn)狀 . 34 Web服務(wù)器（9）風(fēng)險漏洞詳細描述 . 37 2.4.3 Web服務(wù)器（0） . 39 Web服務(wù)器（0）安全現(xiàn)狀 . 39 Web服務(wù)器（0）風(fēng)險漏洞詳細描述 . 42 2

5、.4.4 Web服務(wù)器（1） . 43 Web服務(wù)器（1）安全現(xiàn)狀 . 43 Web服務(wù)器（1）風(fēng)險漏洞詳細描述 . 46 2.4.5 Web服務(wù)器（2） . 47 Web服務(wù)器（2）安全現(xiàn)狀 . 47 Web服務(wù)器（2）風(fēng)險漏洞詳細描述 . 50 2.4.6 應(yīng)用服務(wù)器（32） . 51 應(yīng)用服務(wù)器（32）安全現(xiàn)狀 . 51 應(yīng)用服務(wù)器（1

6、32）風(fēng)險漏洞詳細描述 . 54 2.4.7 數(shù)據(jù)庫服務(wù)器（66） . 56 數(shù)據(jù)庫服務(wù)器（66）安全現(xiàn)狀 . 56 數(shù)據(jù)庫服務(wù)器（66）風(fēng)險漏洞詳細描述 . 57 2.4.8 數(shù)據(jù)庫服務(wù)器（67） . 58 數(shù)據(jù)庫服務(wù)器（66）安全現(xiàn)狀 . 58 數(shù)據(jù)庫服務(wù)器（66）風(fēng)險漏洞詳細描述 . 59 2.5 應(yīng)用安全綜合分析 . 59 2.6 數(shù)據(jù)庫安全綜合分析 . 60 2.6.1 Oracle數(shù)

7、據(jù)庫（66）風(fēng)險漏洞詳細描述 . 60 2.6.2 Oracle數(shù)據(jù)庫（67）風(fēng)險漏洞詳細描述 . 60 2.7 數(shù)據(jù)傳輸安全綜合分析 . 61 1 簡介 企業(yè)對信息技術(shù)和服務(wù)的依賴意味著自身更容易受到安全威脅的攻擊。為保證企業(yè)富有競爭力，保持現(xiàn)金流順暢和贏利，以及維護企業(yè)的良好商業(yè)形象，信息安全的三要素保密性、完整性和可用性都是至關(guān)重要的。 對于一個特定的網(wǎng)絡(luò)，為了實現(xiàn)其網(wǎng)絡(luò)安全的目標，就是要在網(wǎng)絡(luò)安全風(fēng)險評估的基礎(chǔ)上，明確系統(tǒng)中所存在的各種安全風(fēng)險，并制訂相應(yīng)的安全策略，通過網(wǎng)絡(luò)安全管理和各種網(wǎng)絡(luò)安全技術(shù)的實施，從而達到網(wǎng)絡(luò)安全的目標。 安全評估是網(wǎng)

8、絡(luò)安全防御中的一項重要技術(shù)，其原理是根據(jù)已知的安全漏洞知識庫，對目標可能存在的安全隱患進行逐項檢查。目標可以包括工作站、服務(wù)器、交換機、路由器、數(shù)據(jù)庫等各種網(wǎng)絡(luò)對象和應(yīng)用對象。然后根據(jù)掃描結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報告，為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。在網(wǎng)絡(luò)安全體系的建設(shè)中，安全掃描工具花費低、效果好、見效快、與網(wǎng)絡(luò)的運行相對獨立、安裝運行簡單，可以大規(guī)模減少安全管理員的手工勞動，有利于保持全網(wǎng)安全政策的統(tǒng)一和穩(wěn)定。 為了充分了解客戶當前的網(wǎng)絡(luò)安全威脅狀況，需要利用一些常用的掃描工具、應(yīng)用軟件以及人工分析的等方式獲得客戶中重要服務(wù)器的各類數(shù)據(jù)。在掃描之后，將掃描系統(tǒng)獲得的報告

9、匯集成為一個當前系統(tǒng)漏洞評估報告，同時根據(jù)漏洞情況提供加強網(wǎng)絡(luò)安全的建議。 1.1 目的 本期安全服務(wù)項目，包括安全評估，將在技術(shù)層上進行評估，以實現(xiàn)以下安全評估目標： ? 識別被評估系統(tǒng)存在的操作系統(tǒng)遠程安全漏洞 ? 識別被評估系統(tǒng)存在的應(yīng)用系統(tǒng)安全漏洞 評估完成后，將進行加固，保障系統(tǒng)安全。 1.2 范圍 本次安全評估范圍如下： ? 6臺Windows主機 ? 2臺linux主機 ? 2臺數(shù)據(jù)庫 ? 2臺網(wǎng)絡(luò)設(shè)備 ? 6臺安全設(shè)備 1.3 評估方法 利用網(wǎng)絡(luò)掃描工具、安全評估工具和人工評估工具，檢查資產(chǎn)的弱點，從而識別能被入侵者用來非法進入網(wǎng)絡(luò)的漏洞。生成網(wǎng)絡(luò)掃描評估報告，提交檢測到的漏洞

10、信息，包括位置和詳細描述。這樣就允許管理員偵測和管理安全風(fēng)險信息。 掃描內(nèi)容包括： ? 系統(tǒng)開放的端口號； ? 系統(tǒng)中存在的安全漏洞； ? 是否存在弱口令； 1.4 評估工具選擇 1. 漏洞掃描工具 Nessus安全掃描軟件 Nessus是一個功能強大而又易于使用的遠程安全掃描器，它不僅免費而且更新極快。安全掃描器的功能是對指定網(wǎng)絡(luò)進行安全檢查，找出該網(wǎng)絡(luò)是否存在有導(dǎo)致對手攻擊的安全漏洞。該系統(tǒng)被設(shè)計為client/sever模式，服務(wù)器端負責(zé)進行安全檢查，客戶端用來配置管理服務(wù)器端。在服務(wù)端還采用了plug-in的體系，允許用戶加入執(zhí)行特定功能的插件，這插件可以進行更快速和更復(fù)雜的安全檢查。

11、在Nessus中還采用了一個共享的信息接口，稱之知識庫，其中保存了前面進行檢查的結(jié)果。檢查的結(jié)果可以HTML、純文本、LaTeX等幾種格式保存。 2. 人工檢查 Checklist 集合天融信多年的安全服務(wù)經(jīng)驗，依據(jù)等級保護、SOX、PCI法案以及各種安全基線制訂的checklist進行安全檢查。 2 資產(chǎn)安全評估總結(jié) 2.1 資產(chǎn)評估對象及方法 PICC資金管理系統(tǒng)的資產(chǎn)安全評估采用安全掃描工具評估掃描與人工本地安全評估相結(jié)合的方式進行，評估的對象范圍如下： 序號 資產(chǎn)名稱資產(chǎn)類型 IP 資產(chǎn)信息 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 2.

12、2 漏洞嚴重級別定義 本文檔將根據(jù)安全掃描評估結(jié)果進行統(tǒng)計，本項目中，我們對涉及到的風(fēng)險漏洞級別做如下定義： 等級說明 高風(fēng)險漏洞 漏洞能夠使攻擊者直接獲得系統(tǒng)控制權(quán)限，或者繞過防火墻。 中風(fēng)險漏洞 漏洞會泄露使攻擊者獲得系統(tǒng)訪問權(quán)的信息。 低風(fēng)險漏洞 系統(tǒng)泄露的信息會使系統(tǒng)遭到攻擊。 估險評網(wǎng)絡(luò)安全風(fēng)2.3 明構(gòu)說網(wǎng)絡(luò)拓撲結(jié)2.3.1 防火墻，通過配置嚴格NGFW40002臺天融信資金管理系統(tǒng)網(wǎng)絡(luò)邊界部署有的訪問控制策略實現(xiàn)邊界防護，外網(wǎng)防火墻采取主備模式實現(xiàn)設(shè)備的冗余部署，有效防止了單點故障。該系統(tǒng)服務(wù)器部署在應(yīng)用安全區(qū)和數(shù)據(jù)庫安全區(qū)中，分別連接應(yīng)用服務(wù)器和數(shù)和VLAN352VLAN351

13、服務(wù)器區(qū)交換機劃分兩個VLAN， 據(jù)庫服務(wù)器。用戶在登陸該系統(tǒng)時資金管理系統(tǒng)使用數(shù)字證書作為用戶身份的唯一標識，進行登陸，實現(xiàn)了該系統(tǒng)的強身份認證，同時服務(wù)器區(qū)防火墻必須使用usbkey的認證，用戶需要通過SSLVPN設(shè)置安全策略，禁止用戶直接訪問資金管理系統(tǒng)， 認證通過后才能訪問該系統(tǒng)。 圖資金管理系統(tǒng)拓撲圖 分析構(gòu)風(fēng)險2.3.2 網(wǎng)絡(luò)拓撲結(jié)網(wǎng)絡(luò)安全設(shè)備均采取各個安全域劃分明確，資金管理系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)清晰，服務(wù)器區(qū)交換機無備件，但是該系統(tǒng)的安全認證交換機、雙機熱備方式進行冗余。 存在單點故障危險，一旦上述設(shè)備出現(xiàn)故障將會影響資金管理系統(tǒng)的正常運行。 析合分備全設(shè)安全綜2.3.3 網(wǎng)絡(luò)與安 資

14、產(chǎn)風(fēng)險合計主機 高風(fēng)險中風(fēng)險 低風(fēng)險 合計 ） 93外網(wǎng)防火墻-主（0 0 2 2 -外網(wǎng)防火墻備（93）0 0 2 2 29-內(nèi)網(wǎng)防火墻主（）0 0 2 2 29-內(nèi)網(wǎng)防火墻備（）0 0 2 2 主（SSLVPN- ）0 0 2 2 ）備（SSLVPN- 0 0 2 2 安全認證交換機0 1 1 2 服務(wù)器區(qū)交換機 0 2 1 3 93） 外網(wǎng)防火墻主（ 93）配置.1 外網(wǎng)防火墻主（分類 具體配置 備注

15、網(wǎng)口信息network interface eth0 ip add mask 52 ha-static network interface eth1 ip add mask 52 network interface eth2 ip add 93 mask 92 network interface eth3 ip add mask 92 路由信息 53 add dst 4/2

16、6 gw network route metric 1 id 101 network route add dst 28/26 gw 53 metric 1 id 102 network route add dst /0 gw metric 1 id 100 對象 eth0 attribute define area add name area_eth0 ID 8002 access on vsid 0 attribute 接中信國安ID 8033 define area add name eth1 access on

17、vsid 0 attribute ID 8034 define area add name 接資金系統(tǒng)統(tǒng)eth2 access on vsid 0 ID 8041 define area add name vlan350 attribute eth3 access on vsid 0 8 8045 define host add name web1 ipaddr ID vsid 0 9 name add web2 ipaddr 8046 ID define host vsid 0 0 ipaddr host ID 8047 defin

18、e add name web3 vsid 0 1 name add web4 ipaddr host 8048 ID define vsid 0 2 8049 ID define name add host web5 ipaddr vsid 0 3 ipaddr name web6 ID 8050 define host add vsid 0 ID 8051 define host add name OM_APP1 ipaddr 32 vsid 0 ID 8052 define host add name OM_A

19、PP2 ipaddr 33 vsid 0 ID 8053 define host add name OM_APP3 ipaddr 34 vsid 0 ID 8054 define host add name OM_APP4 ipaddr 35 vsid 0 ID 8055 define host add name OM_APP5 ipaddr 36 vsid 0 ID 8056 define host add name OM_Task1 ipaddr 56 vsid 0 ID 8057 defi

20、ne host add name OM_Task2 ipaddr 57 vsid 0 ID 8058 define host add name OM_Report ipaddr 42 vsid 0 2 ipaddr ID 8059 define host add name 建行服務(wù)器9 vsid 0 3 ipaddr 建行服務(wù)器ID 8060 define host add name 0 vsid 0 ipaddr 工行服務(wù)器ID 8061 define host add name vsid

21、0 ipaddr 農(nóng)行服務(wù)器ID 8062 define host add name 0 vsid 0 ipaddr 中行服務(wù)器ID 8063 define host add name 9 vsid 0 1 ipaddr ID 8064 define host add name 建行服務(wù)器8 vsid 0 ipaddr ID 8068 define host add name 工行轉(zhuǎn)換地址0 vsid 0 ipaddr 農(nóng)行轉(zhuǎn)換地址ID 8069 define host add name 2 vsi

22、d 0 ipaddr 中行轉(zhuǎn)換地址ID 8070 define host add name 3 vsid 0 ipaddr ID 8071 define host add name 建行轉(zhuǎn)換地址1 vsid 0 ID 8083 define host add name VPN ipaddr vsid 0 ipaddr ID 8084 define host add name RA服務(wù)器8 vsid 0 ipaddr ID 8085 define host add name CA服務(wù)器 1 vsi

23、d 0 ipaddr 郵件服務(wù)器ID 8093 define host add name 5 vsid 0 1 ipaddr 建行前置機ID 8095 define host add name 26 vsid 0 2 ipaddr 建行前置機ID 8096 define host add name 27 vsid 0 96 ipaddr name DSP1 ID 8100 define host add vsid 0 ID 8101 define host add name 06 ipaddr

24、06 vsid 0 1 ipaddr 數(shù)據(jù)庫服務(wù)器ID 8103 define host add name 66 vsid 0 2 ipaddr ID 8104 define host add name 數(shù)據(jù)庫服務(wù)器68 vsid 0 ipaddr ID 8105 define host add name 數(shù)據(jù)庫虛地址68 vsid 0 ipaddr ID 8111 define host add name 防火墻53 vsid 0 ipaddr ID 8113 define host add

25、name 日志服務(wù)器0 vsid 0 1 ipaddr 工行前置機ID 8119 define host add name 06 vsid 0 2 ipaddr 工行前置機ID 8120 define host add name 07 vsid 0 3 ipaddr 工行前置機ID 8121 define host add name 08 vsid 0 4 ipaddr 工行前置機ID 8122 define host add name 09 vsid 0 5 ipaddr ID 8123 de

26、fine host add name 工行前置機10 vsid 0 6 ipaddr ID 8124 define host add name 工行前置機11 vsid 0 7 ipaddr 工行前置機ID 8125 define host add name 12 vsid 0 8 ipaddr 工行前置機ID 8126 define host add name 13 vsid 0 1 ipaddr ID 8127 define host add name 農(nóng)行前置機16 vsid 0 2 ip

27、addr 農(nóng)行前置機ID 8128 define host add name 17 vsid 0 3 ipaddr ID 8129 define host add name 農(nóng)行前置機18 vsid 0 4 ipaddr ID 8130 define host add name 農(nóng)行前置機 19 vsid 0 1 ipaddr 中行前置機ID 8131 define host add name 38 vsid 0 2 ipaddr 中行前置機ID 8132 define host add name 10.1.251

28、.239 vsid 0 ipaddr ID 8140 define host add name 測試服務(wù)器1 vsid 0 2 ipaddr ID 8141 define host add name 測試服務(wù)器2 vsid 0 ID 8143 define host add name 6-47 ipaddr 6 7 vsid 0 ID 8146 define host add name RA ipaddr 8 vsid 0 9 ipaddr add host n

29、ame VPN1 ID 8147 define vsid 0 ID 8150 define host add name 4 ipaddr 4 vsid 0 ID 8151 define host add name 3 ipaddr 5 vsid 0 ID 8154 define host add name DSP1-4 ipaddr 99 98 96 97 vsid 0 ID 8155 define host add name

30、3 ipaddr 3 vsid 0 ID 8156 define host add name 91 ipaddr 91 vsid 0 ID 8161 define host add name 2 ipaddr 2 vsid 0 ID 8163 define host add name 1 ipaddr 1 vsid 0 ID 8164 define host add name 0 ipaddr 10.1.

31、251.60 vsid 0 ID 8167 define host add name ipaddr vsid 0 ID 8173 define host add name ipaddr vsid 0 ID 8181 define host add name DSP198-199 ipaddr 98 99 vsid 0 ID 8090 define subnet add name ipaddr mask vsid 0

32、ID 8091 define subnet add name ipaddr mask vsid 0 mask ipaddr name subnet 8116 ID define add 3.* vsid 0 ipaddr name sichuan ID 8166 define subnet add mask vsid 0 ID 8179 define subnet add name ipaddr mask 255.255.

33、255.0 vsid 0 ID 8180 define subnet add name ipaddr mask vsid 0 ID 8001 define range add name any ip1 ip2 55 vsid 0 port protocol 6 name define service add TCP446 ID 8072 446 vsid 0 ID 8074 define service add name TCP14029 protocol 6 port 14029 v

34、sid 0 ID 8075 define service add name TCP14030 protocol 6 port 14030 vsid 0 port protocol 6 service add name TCP8721 ID 8078 define 8721 vsid 0 ID 8079 define service add name TCP12020 protocol 6 port 12020 vsid 0 ID 8080 define service add name TCP12500 protocol 6 port 12500 vsid 0 port 6 protocol

35、add name TCP5656 ID 8087 define service 5656 vsid 0 port 6 name TCP5462 protocol ID 8088 define service add 5462 vsid 0 port 6 TCP5501 protocol 8089 ID define service add name 5501 vsid 0 port protocol 6 TCP6800 define service add name ID 8097 6800 vsid 0 port protocol 6 add name tcp443 service ID 8

36、115 define 443 vsid 0 port 6 name tcp8088 protocol ID 8117 define service add 8088 vsid 0 port protocol 6 name define service add tcp8080 8133 ID 8080 vsid 0 ID 8142 define service add name TCP14031 protocol 6 port 14031 vsid 0 ID 8157 define service add name TCP10001 protocol 6 port 10001 vsid 0 po

37、rt protocol 6 TCP1522 define ID 8158 service add name 1522 vsid 0 port protocol name service 8174 ID define add TCP8800 6 8800 vsid 0 網(wǎng)絡(luò)地址 轉(zhuǎn)換農(nóng)行前1 ID 8139 nat policy add orig_src 農(nóng)行前置機農(nóng)行服務(wù)4 orig_dst 3 農(nóng)行前置機置機2 農(nóng)行前置機 vsid 0 trans_src 農(nóng)行轉(zhuǎn)換地址器工行前工行前置機1 ID 8136 nat policy add orig_src 工行前置工行前置機5 工行前置機3 工

38、行前置機4 置機2 工行服務(wù)器8 orig_dst 機6 工行前置機7 工行前置機 vsid 0 trans_src 工行轉(zhuǎn)換地址建行前ID 8137 nat policy add orig_src 建行前置機1 建行服務(wù)置機2 orig_dst 建行服務(wù)器2 建行服務(wù)器3 vsid 0 器1 trans_src 建行轉(zhuǎn)換地址中行前ID 8138 nat policy add orig_src 中行前置機1 中行轉(zhuǎn)換地 trans_src 置機2 orig_dst 中行服務(wù)器 vsid 0 址 訪問控制ID 8162 firewall policy add action accept src

39、臨時2 dst 3 group_name vsid 0 ID 8169 firewall policy add action accept src VPN1 vsid 0 VPN dst any group_name 臨時ID 8152 firewall policy add action accept src 3 dst 4 group_name 臨時vsid 0 ID 8153 firewall policy add action accept src 4 dst 10.1.25

40、1.63 group_name 臨時vsid 0 ID 8144 firewall policy add action accept dstarea src 6-47 接資金系統(tǒng)統(tǒng)vlan350 安全評估掃描group_name 臨時 vsid 0 comment ID 8106 firewall policy add action accept src 數(shù)據(jù)庫2 數(shù)據(jù)庫服務(wù)器 dst 數(shù)據(jù)庫服務(wù)器1 service TELNET EPMAP(TCP) 虛地址MICROSOFT-DS(TCP) SQLNet_1521 MSTerminal vsid 0 臨時D

41、NS_Transfer group_name ID 8102 firewall policy add action accept src dst web1 OM_APP1 DSP1 06 service EPMAP(TCP) MICROSOFT-DS(TCP) group_name MSTerminal MICROSOFT-DS(UDP) EPMAP(UDP) vsid 0 臨時ID 8114 firewall policy add action accept src 測測試服務(wù)器 dst 日志服務(wù)器 vsid 0 試服

42、務(wù)器2 group_name 臨時 ID 8082 firewall policy add action accept src any dst VPN RA VPN1 service HTTPS PING SSH tcp8080 vsid 0 臨時TELNET group_name ID 8112 firewall policy add action accept src service PING SSH dst 防火墻 vsid 0 HTTPS group_name 臨時工行ID 8073 firewall policy add action accept

43、 src 工行前工行前置機4 工行前置機2 工行前置機3 前置機1 工工行前置機8 dst 6 工行前置機7 置機5 工行前置機 service TCP446 PING vsid 0 行服務(wù)器農(nóng)行ID 8076 firewall policy add action accept src 4 dst 農(nóng)行前置機2 農(nóng)行前置機3 1 前置機農(nóng)行前置機 vsid service TCP14029 TCP14031 PING 農(nóng)行服務(wù)器0 中行ID 8077 firewall policy add action accept src service 中行服務(wù)器1 中行前置機2 dst 前置機HTTPS PING vsid 0 建行ID 8081 firewall policy add action accept src 3 建行服務(wù)器建行服務(wù)器2 前置機1 建行前置機2 dst PING TCP12020 TCP12500