安全評估報告(綠盟漏掃、安全配置情況)

1、安全評估報告（綠盟漏掃、安全配置情況）業(yè)務(wù)流程信息化管理平臺入網(wǎng)安評報告上海博陽精訊信息科技有限公司2014-12-51測試結(jié)論上海博陽精訊信息科技有限公司研發(fā)部受廣西電網(wǎng)公司信息中心委托，于2014年12月5日至2014年12月8日對上海博陽精訊信息科技有限公司開發(fā)的“廣西電網(wǎng)公司業(yè)務(wù)流程信息化管理平臺進(jìn)行了入網(wǎng)安評測試，并于2014年12月8日進(jìn)行了回歸測試。最終測試結(jié)果如下：1、主機(jī)系統(tǒng)安全方面：WINDOWS主機(jī)服務(wù)器通過用戶名結(jié)合密碼的方式進(jìn)行身份鑒別，啟用較強(qiáng)的密碼復(fù)雜度策略并嚴(yán)格限制用戶登錄失敗次數(shù)。系統(tǒng)訪問控制策略配置合理，關(guān)閉了操作系統(tǒng)默認(rèn)共享路徑，對重要文件設(shè)置了相應(yīng)的訪問

2、權(quán)限并關(guān)閉了多余服務(wù)。主機(jī)開啟了日志審計功能，對系統(tǒng)運(yùn)行事件實(shí)時記錄。WINDOWS主機(jī)己部署防病毒軟件，并更新相應(yīng)的系統(tǒng)漏洞補(bǔ)丁。漏洞掃描沒有發(fā)現(xiàn)高、中風(fēng)險漏洞。2、數(shù)據(jù)庫安全方面：ORACLE數(shù)據(jù)庫己啟用口令復(fù)雜度驗(yàn)證函數(shù)，用戶密碼復(fù)雜度策略滿足長度至少8位，由數(shù)字、字母、特殊符號中的兩種組合的要求，數(shù)據(jù)庫開啟了用戶非法登錄失敗鎖定功能；數(shù)據(jù)庫關(guān)閉7XDB多余服務(wù)，并開啟日志審計功能。數(shù)據(jù)庫不存在多余DBA權(quán)限賬戶。數(shù)據(jù)庫暫未開啟歸檔模式，建議系統(tǒng)投運(yùn)后啟用數(shù)據(jù)庫歸檔模式。數(shù)據(jù)庫版本為123.0,并己更新相關(guān)版本補(bǔ)丁為patch30。經(jīng)數(shù)據(jù)庫漏洞掃描工具掃描未發(fā)現(xiàn)高、中風(fēng)險漏洞。3、中間件

3、安全方面：WEBLOGIC中間件釆用用戶名結(jié)合密碼的身份鑒別方式，中間件用戶密碼滿足復(fù)雜度要求，不存在多余的賬戶。中間件已開啟日志審計功能，審計日志按照時間長度存儲。中間件己修改默認(rèn)的后臺管理端口，并通過防火墻策略限制登錄源訪問P。己配置中間件會話超時退出時間，并自定義WEBLOGIC中間件錯誤頁面重定向處理。4、應(yīng)用系統(tǒng)安全方面：應(yīng)用系統(tǒng)釆用用戶名和密碼身份鑒別機(jī)制,缺乏用戶口令復(fù)雜度限制機(jī)制,但本系統(tǒng)的所有系統(tǒng)用戶和密碼均從集中驗(yàn)證平臺同步導(dǎo)入,符合復(fù)雜度要求。系統(tǒng)權(quán)限配置功能完善,用戶權(quán)限分配合理。系統(tǒng)對用戶登陸信息、重要操作進(jìn)行審計,審計內(nèi)容詳細(xì)。系統(tǒng)對用戶輸入的特殊字符進(jìn)行過濾對上傳

4、文件釆用白名單限制，有效降低上傳文件漏洞風(fēng)險。漏洞掃描未發(fā)現(xiàn)高、中風(fēng)險漏洞。5、數(shù)據(jù)安全方面：數(shù)據(jù)備份策略完整,且數(shù)據(jù)庫關(guān)鍵敏感字段密文存儲,有效保證用戶數(shù)據(jù)存儲的安全性本次入網(wǎng)安評測試內(nèi)容包主機(jī)、數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)與數(shù)據(jù)安全。在測試過程中共發(fā)現(xiàn)73個風(fēng)險,其中高風(fēng)險10個、中風(fēng)險16個、低風(fēng)險47個。經(jīng)過整改并回歸測試確認(rèn),高風(fēng)險修復(fù)率100%,中風(fēng)險修復(fù)率100%。符合入網(wǎng)安評準(zhǔn)出要求。建議進(jìn)一步跟蹤修復(fù)低風(fēng)險漏洞。2測試目的為了保障系統(tǒng)上線后的系統(tǒng)安全運(yùn)行,確保最終軟件系統(tǒng)滿足產(chǎn)品需求并且遵循系統(tǒng)設(shè)計,并提供有效的信息系統(tǒng)安全依據(jù),上海博陽精訊信息科技有限公司,嚴(yán)格按照測試規(guī)范對廣

5、西電網(wǎng)公司業(yè)務(wù)流程信息化管理平臺開展安全評測。3引用標(biāo)準(zhǔn)及參考資料信息技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求GBT22239-2008IT主流設(shè)備安全基線技術(shù)規(guī)范Q/CSG11804-2010廣西電網(wǎng)公司信息系統(tǒng)入網(wǎng)安全測評管理辦法Q/CSG-GPG218006-20124測試范圍針對本項(xiàng)目的測試范圍包括系統(tǒng)主機(jī)、數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)以及數(shù)據(jù)等方面進(jìn)行測試。重點(diǎn)測試被測系統(tǒng)業(yè)務(wù)實(shí)現(xiàn)對設(shè)計需求的滿足程度。5測評結(jié)果總結(jié)信息化評測實(shí)驗(yàn)室于2014年12月1日至2014年12月21日對上海博陽精訊信息科技有限公司開發(fā)的“廣西電網(wǎng)公司業(yè)務(wù)流程信息化管理平臺系統(tǒng)VL”進(jìn)行了入網(wǎng)安評測試，并于2014年9月

6、5日進(jìn)行了回歸測試，修復(fù)高風(fēng)險10個和中風(fēng)險漏洞16個，高風(fēng)險修復(fù)率100%，中風(fēng)險修復(fù)率100%。圈評井項(xiàng)軌計情爼風(fēng)險總斂731*中鳳險16471.vyiitduws操作系統(tǒng)高風(fēng)險9中鳳險Q30DrM甌據(jù)庫Z中鳳險5U二Weblfjc中間井*中鳳險4t應(yīng)用乘統(tǒng)高虬險S中悅險*已榜負(fù)it中軌險低鳳淮09中鳳險0476入網(wǎng)安評檢測結(jié)修宣率果髙100.00%中風(fēng)險10.00%W%6.1Windows操作系統(tǒng)初次測試發(fā)現(xiàn)30個問題，其中高風(fēng)險問題個，中風(fēng)險問題個，低風(fēng)險問題30個，經(jīng)整改后回歸測試，Windows操作系統(tǒng)共修復(fù)高風(fēng)險0個，修復(fù)中風(fēng)險問題9個，修復(fù)低風(fēng)險10個。具體問題描述見下表：表6

7、.1-1Windows操作系統(tǒng)問題匯總表測試系統(tǒng)問題標(biāo)識問題描述問題等級問題狀態(tài)廣西電網(wǎng)公司業(yè)務(wù)流程信息化管理平臺漏洞掃描使用極光最新版掃描工具掃描發(fā)現(xiàn)30個低風(fēng)險漏洞，詳情請見主機(jī)掃描報告。低未修復(fù)測試階段高風(fēng)險中風(fēng)險低風(fēng)險合計初測003030復(fù)測003030缺陷修復(fù)情況統(tǒng)計初次測試發(fā)現(xiàn)18個問題，其中高風(fēng)險問題2個，中風(fēng)險問題5個，低風(fēng)險問題11個，經(jīng)整改后回歸測試，Oracle數(shù)據(jù)庫共修復(fù)高風(fēng)險2個，修復(fù)中風(fēng)險問題5個，修復(fù)低風(fēng)險個。具體問題描述見下表。表6.2-1Oracle數(shù)據(jù)庫問題匯總表測試系統(tǒng)問題標(biāo)識問題描述問題等級問題狀態(tài)廣西電網(wǎng)公司業(yè)務(wù)流程協(xié)同管理系統(tǒng)身份鑒別數(shù)據(jù)庫沒有啟用口

8、令策略函數(shù)PASSWORDVERIFYFUNCTION。局己修復(fù)身份鑒另Oracle沒有配置登陸失敗處理功能。中已修復(fù)訪問控制Oracle沒有禁用多余的XDB服務(wù)。中已修復(fù)訪問控制數(shù)據(jù)庫存在多余的dba權(quán)限賬號ebpmbp。尚己修復(fù)入侵防范Oracle數(shù)據(jù)庫沒有及時更新安全補(bǔ)丁。中己修復(fù)監(jiān)聽器防Oracle沒有設(shè)置監(jiān)聽器口令。中已修復(fù)監(jiān)聽器防護(hù)Oracle沒有設(shè)置監(jiān)聽服務(wù)空閑連接超時時間。中已修復(fù)漏洞掃描使用安信通數(shù)據(jù)庫掃描工具掃描發(fā)現(xiàn)低風(fēng)險漏洞11個，詳情請看數(shù)據(jù)庫掃描報低未修復(fù)0依1匸數(shù)如車問題匯總表測試階段高鳳險中鳳險低鳳險合計初測511復(fù)測01111Oracle數(shù)掘陣安企性漏洞統(tǒng)計6.

9、3島g険叫除陽強(qiáng)合計初測55復(fù)測0Wchlogic中謝T間趙匯總表泄試階段高風(fēng)險中風(fēng)險Weblogic中間件安全性洲洞統(tǒng)計圖5-3-1WAIogic中間件安全悝諭洞統(tǒng)計Weblogic中間件初割7HJ初次測試發(fā)現(xiàn)5個問題，其中高風(fēng)險問題個，中風(fēng)險問題5個，低風(fēng)險問題個，經(jīng)整改后回歸測試，Weblogic中間件共修復(fù)高風(fēng)險0個，修復(fù)中風(fēng)險問題5個，修復(fù)低風(fēng)險個。具體問題描述見下表。表6.3-1Weblogic中間件問題匯總表測試系統(tǒng)問題標(biāo)識問題描述問題等級問題狀廣西電網(wǎng)公司業(yè)務(wù)流程協(xié)同管理系統(tǒng)安全審計中間件日志記錄按大小保存，文件大小為5k,建議日志記錄應(yīng)按時間保存。中己修復(fù)通信保密性weblo

10、gic沒有開啟SSL安全協(xié)議進(jìn)行通信。中已修復(fù)入侵防護(hù)weblogic沒有修改管理控制臺的默認(rèn)端口7001。中己修復(fù)入侵防護(hù)未限制應(yīng)用服務(wù)器Socket數(shù)量。中已修復(fù)入侵防護(hù)weblogic管理控制臺沒有沒有重命名控制臺CONSOLE路徑。中己修復(fù)6.4應(yīng)用系統(tǒng)初次測試發(fā)現(xiàn)20個問題，其中高風(fēng)險問題8個，中風(fēng)險問題6個，低風(fēng)險問題6個，經(jīng)整改后回歸測試，應(yīng)用系統(tǒng)共修復(fù)高風(fēng)險8個，修復(fù)中風(fēng)險問題6個，修復(fù)低風(fēng)險個。具體問題描述見下表。7系統(tǒng)測試環(huán)境7.1服務(wù)器配置7.2網(wǎng)絡(luò)拓?fù)鋱D應(yīng)用;服務(wù)器睡件配置型號設(shè)矗旅號3.|OPO-Olffi014-OOM89CPC翅16310JG網(wǎng)卡鹿那卡操作親竦由岡件WcbLog；c11G茸它IP1015174.31教fir.務(wù)器-型號虛16機(jī)設(shè)備據(jù)號CPU廢內(nèi)存1昭30