安全評(píng)估報(bào)告(綠盟漏掃、安全配置情況)_第1頁(yè)
安全評(píng)估報(bào)告(綠盟漏掃、安全配置情況)_第2頁(yè)
安全評(píng)估報(bào)告(綠盟漏掃、安全配置情況)_第3頁(yè)
安全評(píng)估報(bào)告(綠盟漏掃、安全配置情況)_第4頁(yè)
安全評(píng)估報(bào)告(綠盟漏掃、安全配置情況)_第5頁(yè)
已閱讀5頁(yè),還剩6頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、安全評(píng)估報(bào)告(綠盟漏掃、安全配置情況)業(yè)務(wù)流程信息化管理平臺(tái)入網(wǎng)安評(píng)報(bào)告上海博陽(yáng)精訊信息科技有限公司2014-12-51測(cè)試結(jié)論上海博陽(yáng)精訊信息科技有限公司研發(fā)部受廣西電網(wǎng)公司信息中心委托,于2014年12月5日至2014年12月8日對(duì)上海博陽(yáng)精訊信息科技有限公司開發(fā)的“廣西電網(wǎng)公司業(yè)務(wù)流程信息化管理平臺(tái)進(jìn)行了入網(wǎng)安評(píng)測(cè)試,并于2014年12月8日進(jìn)行了回歸測(cè)試。最終測(cè)試結(jié)果如下:1、主機(jī)系統(tǒng)安全方面:WINDOWS主機(jī)服務(wù)器通過(guò)用戶名結(jié)合密碼的方式進(jìn)行身份鑒別,啟用較強(qiáng)的密碼復(fù)雜度策略并嚴(yán)格限制用戶登錄失敗次數(shù)。系統(tǒng)訪問(wèn)控制策略配置合理,關(guān)閉了操作系統(tǒng)默認(rèn)共享路徑,對(duì)重要文件設(shè)置了相應(yīng)的訪問(wèn)

2、權(quán)限并關(guān)閉了多余服務(wù)。主機(jī)開啟了日志審計(jì)功能,對(duì)系統(tǒng)運(yùn)行事件實(shí)時(shí)記錄。WINDOWS主機(jī)己部署防病毒軟件,并更新相應(yīng)的系統(tǒng)漏洞補(bǔ)丁。漏洞掃描沒(méi)有發(fā)現(xiàn)高、中風(fēng)險(xiǎn)漏洞。2、數(shù)據(jù)庫(kù)安全方面:ORACLE數(shù)據(jù)庫(kù)己?jiǎn)⒂每诹顝?fù)雜度驗(yàn)證函數(shù),用戶密碼復(fù)雜度策略滿足長(zhǎng)度至少8位,由數(shù)字、字母、特殊符號(hào)中的兩種組合的要求,數(shù)據(jù)庫(kù)開啟了用戶非法登錄失敗鎖定功能;數(shù)據(jù)庫(kù)關(guān)閉7XDB多余服務(wù),并開啟日志審計(jì)功能。數(shù)據(jù)庫(kù)不存在多余DBA權(quán)限賬戶。數(shù)據(jù)庫(kù)暫未開啟歸檔模式,建議系統(tǒng)投運(yùn)后啟用數(shù)據(jù)庫(kù)歸檔模式。數(shù)據(jù)庫(kù)版本為123.0,并己更新相關(guān)版本補(bǔ)丁為patch30。經(jīng)數(shù)據(jù)庫(kù)漏洞掃描工具掃描未發(fā)現(xiàn)高、中風(fēng)險(xiǎn)漏洞。3、中間件

3、安全方面:WEBLOGIC中間件釆用用戶名結(jié)合密碼的身份鑒別方式,中間件用戶密碼滿足復(fù)雜度要求,不存在多余的賬戶。中間件已開啟日志審計(jì)功能,審計(jì)日志按照時(shí)間長(zhǎng)度存儲(chǔ)。中間件己修改默認(rèn)的后臺(tái)管理端口,并通過(guò)防火墻策略限制登錄源訪問(wèn)P。己配置中間件會(huì)話超時(shí)退出時(shí)間,并自定義WEBLOGIC中間件錯(cuò)誤頁(yè)面重定向處理。4、應(yīng)用系統(tǒng)安全方面:應(yīng)用系統(tǒng)釆用用戶名和密碼身份鑒別機(jī)制,缺乏用戶口令復(fù)雜度限制機(jī)制,但本系統(tǒng)的所有系統(tǒng)用戶和密碼均從集中驗(yàn)證平臺(tái)同步導(dǎo)入,符合復(fù)雜度要求。系統(tǒng)權(quán)限配置功能完善,用戶權(quán)限分配合理。系統(tǒng)對(duì)用戶登陸信息、重要操作進(jìn)行審計(jì),審計(jì)內(nèi)容詳細(xì)。系統(tǒng)對(duì)用戶輸入的特殊字符進(jìn)行過(guò)濾對(duì)上傳

4、文件釆用白名單限制,有效降低上傳文件漏洞風(fēng)險(xiǎn)。漏洞掃描未發(fā)現(xiàn)高、中風(fēng)險(xiǎn)漏洞。5、數(shù)據(jù)安全方面:數(shù)據(jù)備份策略完整,且數(shù)據(jù)庫(kù)關(guān)鍵敏感字段密文存儲(chǔ),有效保證用戶數(shù)據(jù)存儲(chǔ)的安全性本次入網(wǎng)安評(píng)測(cè)試內(nèi)容包主機(jī)、數(shù)據(jù)庫(kù)、中間件、應(yīng)用系統(tǒng)與數(shù)據(jù)安全。在測(cè)試過(guò)程中共發(fā)現(xiàn)73個(gè)風(fēng)險(xiǎn),其中高風(fēng)險(xiǎn)10個(gè)、中風(fēng)險(xiǎn)16個(gè)、低風(fēng)險(xiǎn)47個(gè)。經(jīng)過(guò)整改并回歸測(cè)試確認(rèn),高風(fēng)險(xiǎn)修復(fù)率100%,中風(fēng)險(xiǎn)修復(fù)率100%。符合入網(wǎng)安評(píng)準(zhǔn)出要求。建議進(jìn)一步跟蹤修復(fù)低風(fēng)險(xiǎn)漏洞。2測(cè)試目的為了保障系統(tǒng)上線后的系統(tǒng)安全運(yùn)行,確保最終軟件系統(tǒng)滿足產(chǎn)品需求并且遵循系統(tǒng)設(shè)計(jì),并提供有效的信息系統(tǒng)安全依據(jù),上海博陽(yáng)精訊信息科技有限公司,嚴(yán)格按照測(cè)試規(guī)范對(duì)廣

5、西電網(wǎng)公司業(yè)務(wù)流程信息化管理平臺(tái)開展安全評(píng)測(cè)。3引用標(biāo)準(zhǔn)及參考資料信息技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求GBT22239-2008IT主流設(shè)備安全基線技術(shù)規(guī)范Q/CSG11804-2010廣西電網(wǎng)公司信息系統(tǒng)入網(wǎng)安全測(cè)評(píng)管理辦法Q/CSG-GPG218006-20124測(cè)試范圍針對(duì)本項(xiàng)目的測(cè)試范圍包括系統(tǒng)主機(jī)、數(shù)據(jù)庫(kù)、中間件、應(yīng)用系統(tǒng)以及數(shù)據(jù)等方面進(jìn)行測(cè)試。重點(diǎn)測(cè)試被測(cè)系統(tǒng)業(yè)務(wù)實(shí)現(xiàn)對(duì)設(shè)計(jì)需求的滿足程度。5測(cè)評(píng)結(jié)果總結(jié)信息化評(píng)測(cè)實(shí)驗(yàn)室于2014年12月1日至2014年12月21日對(duì)上海博陽(yáng)精訊信息科技有限公司開發(fā)的“廣西電網(wǎng)公司業(yè)務(wù)流程信息化管理平臺(tái)系統(tǒng)VL”進(jìn)行了入網(wǎng)安評(píng)測(cè)試,并于2014年9月

6、5日進(jìn)行了回歸測(cè)試,修復(fù)高風(fēng)險(xiǎn)10個(gè)和中風(fēng)險(xiǎn)漏洞16個(gè),高風(fēng)險(xiǎn)修復(fù)率100%,中風(fēng)險(xiǎn)修復(fù)率100%。圈評(píng)井項(xiàng)軌計(jì)情爼風(fēng)險(xiǎn)總斂731*中鳳險(xiǎn)16471.vyiitduws操作系統(tǒng)高風(fēng)險(xiǎn)9中鳳險(xiǎn)Q30DrM甌據(jù)庫(kù)Z中鳳險(xiǎn)5U二Weblfjc中間井*中鳳險(xiǎn)4t應(yīng)用乘統(tǒng)高虬險(xiǎn)S中悅險(xiǎn)*已榜負(fù)it中軌險(xiǎn)低鳳淮09中鳳險(xiǎn)0476入網(wǎng)安評(píng)檢測(cè)結(jié)修宣率果髙100.00%中風(fēng)險(xiǎn)10.00%W%6.1Windows操作系統(tǒng)初次測(cè)試發(fā)現(xiàn)30個(gè)問(wèn)題,其中高風(fēng)險(xiǎn)問(wèn)題個(gè),中風(fēng)險(xiǎn)問(wèn)題個(gè),低風(fēng)險(xiǎn)問(wèn)題30個(gè),經(jīng)整改后回歸測(cè)試,Windows操作系統(tǒng)共修復(fù)高風(fēng)險(xiǎn)0個(gè),修復(fù)中風(fēng)險(xiǎn)問(wèn)題9個(gè),修復(fù)低風(fēng)險(xiǎn)10個(gè)。具體問(wèn)題描述見(jiàn)下表:表6

7、.1-1Windows操作系統(tǒng)問(wèn)題匯總表測(cè)試系統(tǒng)問(wèn)題標(biāo)識(shí)問(wèn)題描述問(wèn)題等級(jí)問(wèn)題狀態(tài)廣西電網(wǎng)公司業(yè)務(wù)流程信息化管理平臺(tái)漏洞掃描使用極光最新版掃描工具掃描發(fā)現(xiàn)30個(gè)低風(fēng)險(xiǎn)漏洞,詳情請(qǐng)見(jiàn)主機(jī)掃描報(bào)告。低未修復(fù)測(cè)試階段高風(fēng)險(xiǎn)中風(fēng)險(xiǎn)低風(fēng)險(xiǎn)合計(jì)初測(cè)003030復(fù)測(cè)003030缺陷修復(fù)情況統(tǒng)計(jì)初次測(cè)試發(fā)現(xiàn)18個(gè)問(wèn)題,其中高風(fēng)險(xiǎn)問(wèn)題2個(gè),中風(fēng)險(xiǎn)問(wèn)題5個(gè),低風(fēng)險(xiǎn)問(wèn)題11個(gè),經(jīng)整改后回歸測(cè)試,Oracle數(shù)據(jù)庫(kù)共修復(fù)高風(fēng)險(xiǎn)2個(gè),修復(fù)中風(fēng)險(xiǎn)問(wèn)題5個(gè),修復(fù)低風(fēng)險(xiǎn)個(gè)。具體問(wèn)題描述見(jiàn)下表。表6.2-1Oracle數(shù)據(jù)庫(kù)問(wèn)題匯總表測(cè)試系統(tǒng)問(wèn)題標(biāo)識(shí)問(wèn)題描述問(wèn)題等級(jí)問(wèn)題狀態(tài)廣西電網(wǎng)公司業(yè)務(wù)流程協(xié)同管理系統(tǒng)身份鑒別數(shù)據(jù)庫(kù)沒(méi)有啟用口

8、令策略函數(shù)PASSWORDVERIFYFUNCTION。局己修復(fù)身份鑒另Oracle沒(méi)有配置登陸失敗處理功能。中已修復(fù)訪問(wèn)控制Oracle沒(méi)有禁用多余的XDB服務(wù)。中已修復(fù)訪問(wèn)控制數(shù)據(jù)庫(kù)存在多余的dba權(quán)限賬號(hào)ebpmbp。尚己修復(fù)入侵防范Oracle數(shù)據(jù)庫(kù)沒(méi)有及時(shí)更新安全補(bǔ)丁。中己修復(fù)監(jiān)聽(tīng)器防Oracle沒(méi)有設(shè)置監(jiān)聽(tīng)器口令。中已修復(fù)監(jiān)聽(tīng)器防護(hù)Oracle沒(méi)有設(shè)置監(jiān)聽(tīng)服務(wù)空閑連接超時(shí)時(shí)間。中已修復(fù)漏洞掃描使用安信通數(shù)據(jù)庫(kù)掃描工具掃描發(fā)現(xiàn)低風(fēng)險(xiǎn)漏洞11個(gè),詳情請(qǐng)看數(shù)據(jù)庫(kù)掃描報(bào)低未修復(fù)0依1匸數(shù)如車問(wèn)題匯總表測(cè)試階段高鳳險(xiǎn)中鳳險(xiǎn)低鳳險(xiǎn)合計(jì)初測(cè)511復(fù)測(cè)01111Oracle數(shù)掘陣安企性漏洞統(tǒng)計(jì)6.

9、3島g険叫除陽(yáng)強(qiáng)合計(jì)初測(cè)55復(fù)測(cè)0Wchlogic中謝T間趙匯總表泄試階段高風(fēng)險(xiǎn)中風(fēng)險(xiǎn)Weblogic中間件安全性洲洞統(tǒng)計(jì)圖5-3-1WAIogic中間件安全悝諭洞統(tǒng)計(jì)Weblogic中間件初割7HJ初次測(cè)試發(fā)現(xiàn)5個(gè)問(wèn)題,其中高風(fēng)險(xiǎn)問(wèn)題個(gè),中風(fēng)險(xiǎn)問(wèn)題5個(gè),低風(fēng)險(xiǎn)問(wèn)題個(gè),經(jīng)整改后回歸測(cè)試,Weblogic中間件共修復(fù)高風(fēng)險(xiǎn)0個(gè),修復(fù)中風(fēng)險(xiǎn)問(wèn)題5個(gè),修復(fù)低風(fēng)險(xiǎn)個(gè)。具體問(wèn)題描述見(jiàn)下表。表6.3-1Weblogic中間件問(wèn)題匯總表測(cè)試系統(tǒng)問(wèn)題標(biāo)識(shí)問(wèn)題描述問(wèn)題等級(jí)問(wèn)題狀廣西電網(wǎng)公司業(yè)務(wù)流程協(xié)同管理系統(tǒng)安全審計(jì)中間件日志記錄按大小保存,文件大小為5k,建議日志記錄應(yīng)按時(shí)間保存。中己修復(fù)通信保密性weblo

10、gic沒(méi)有開啟SSL安全協(xié)議進(jìn)行通信。中已修復(fù)入侵防護(hù)weblogic沒(méi)有修改管理控制臺(tái)的默認(rèn)端口7001。中己修復(fù)入侵防護(hù)未限制應(yīng)用服務(wù)器Socket數(shù)量。中已修復(fù)入侵防護(hù)weblogic管理控制臺(tái)沒(méi)有沒(méi)有重命名控制臺(tái)CONSOLE路徑。中己修復(fù)6.4應(yīng)用系統(tǒng)初次測(cè)試發(fā)現(xiàn)20個(gè)問(wèn)題,其中高風(fēng)險(xiǎn)問(wèn)題8個(gè),中風(fēng)險(xiǎn)問(wèn)題6個(gè),低風(fēng)險(xiǎn)問(wèn)題6個(gè),經(jīng)整改后回歸測(cè)試,應(yīng)用系統(tǒng)共修復(fù)高風(fēng)險(xiǎn)8個(gè),修復(fù)中風(fēng)險(xiǎn)問(wèn)題6個(gè),修復(fù)低風(fēng)險(xiǎn)個(gè)。具體問(wèn)題描述見(jiàn)下表。7系統(tǒng)測(cè)試環(huán)境7.1服務(wù)器配置7.2網(wǎng)絡(luò)拓?fù)鋱D應(yīng)用;服務(wù)器睡件配置型號(hào)設(shè)矗旅號(hào)3.|OPO-Olffi014-OOM89CPC翅16310JG網(wǎng)卡鹿那卡操作親竦由岡件WcbLog;c11G茸它IP1015174.31教fir.務(wù)器-型號(hào)虛16機(jī)設(shè)備據(jù)號(hào)CPU廢內(nèi)存1昭30

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論