风险评估报告-V10.docx

资金管理系统风险评估报告2010年12月天融信公司 安全服务事业部安全和管理服务系统总体设计方案Prepare by zhoutao文档信息项目名称PICC安全服务项目文档编号版本号日期参与人员更新说明V1.020101231王冲、胡浩分发控制编号读者文档权限与文档的主要关系PICC版权说明本文件中出现的全部内容，除另有特别注明，版权均属北京天融信公司所有。任何个人、机构未经北京天融信公司的书面授权许可，不得以任何方式复制或引用文件的任何片断。北京天融信公司安全服务事业部负责对本文档的解释。保密申明本文件包含了来自北京天融信的可靠、权威的信息，接受这份文件表示同意对其内容保密并且未经北京天融信公司书面请求和书面认可，不得复制，泄露或散布这份文件。如果你不是有意接受者，请注意对这份文件内容的任何形式的泄露、复制或散布都是被禁止的。目 录1简介51.1目的51.2范围61.3评估方法61.4评估工具选择62资产安全评估总结72.1资产评估对象及方法72.2漏洞严重级别定义72.3网络安全风险评估82.3.1网络拓扑结构说明82.3.2网络拓扑结构风险分析92.3.3网络与安全设备资产安全概述92.3.4网络与安全设备资产安全风险漏洞102.3.4.1外网防火墙主（10.1.251.193）102.3.4.2外网防火墙备（10.1.251.193）182.3.4.3内网防火墙主（10.1.251.129）182.3.4.4内网防火墙备（10.1.251.129）262.3.4.5SSLVPN（10.1.251.4）风险漏洞详细描述262.3.4.6安全认证交换机262.3.4.7服务器区交换机272.3.4.8服务器区交换机配置272.3.4.9服务器区交换机风险漏洞详细描述272.4主机系统安全综合分析272.4.1Web服务器（10.1.251.68）282.4.1.1Web服务器（10.1.251.68）安全现状282.4.1.2Web服务器（10.1.251.68）风险漏洞详细描述312.4.2Web服务器（10.1.251.69）322.4.2.1Web服务器（10.1.251.69）安全现状322.4.2.2Web服务器（10.1.251.69）风险漏洞详细描述352.4.3Web服务器（10.1.251.70）362.4.3.1Web服务器（10.1.251.70）安全现状362.4.3.2Web服务器（10.1.251.70）风险漏洞详细描述392.4.4Web服务器（10.1.251.71）412.4.4.1Web服务器（10.1.251.71）安全现状412.4.4.2Web服务器（10.1.251.71）风险漏洞详细描述432.4.5Web服务器（10.1.251.72）452.4.5.1Web服务器（10.1.251.72）安全现状452.4.5.2Web服务器（10.1.251.72）风险漏洞详细描述482.4.6应用服务器（10.1.251.132）492.4.6.1应用服务器（10.1.251.132）安全现状492.4.6.2应用服务器（10.1.251.132）风险漏洞详细描述522.4.7数据库服务器（10.1.251.166）532.4.7.1数据库服务器（10.1.251.166）安全现状532.4.7.2数据库服务器（10.1.251.166）风险漏洞详细描述542.4.8数据库服务器（10.1.251.167）552.4.8.1数据库服务器（10.1.251.166）安全现状552.4.8.2数据库服务器（10.1.251.166）风险漏洞详细描述562.5应用安全综合分析572.6数据库安全综合分析582.6.1Oracle数据库（10.1.251.166）风险漏洞详细描述582.6.2Oracle数据库（10.1.251.167）风险漏洞详细描述582.7数据传输安全综合分析58 4 / 641 简介企业对信息技术和服务的依赖意味着自身更容易受到安全威胁的攻击。为保证企业富有竞争力，保持现金流顺畅和赢利，以及维护企业的良好商业形象，信息安全的三要素保密性、完整性和可用性都是至关重要的。 对于一个特定的网络，为了实现其网络安全的目标，就是要在网络安全风险评估的基础上，明确系统中所存在的各种安全风险，并制订相应的安全策略，通过网络安全管理和各种网络安全技术的实施，从而达到网络安全的目标。安全评估是网络安全防御中的一项重要技术，其原理是根据已知的安全漏洞知识库，对目标可能存在的安全隐患进行逐项检查。目标可以包括工作站、服务器、交换机、路由器、数据库等各种网络对象和应用对象。然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。在网络安全体系的建设中，安全扫描工具花费低、效果好、见效快、与网络的运行相对独立、安装运行简单，可以大规模减少安全管理员的手工劳动，有利于保持全网安全政策的统一和稳定。为了充分了解客户当前的网络安全威胁状况，需要利用一些常用的扫描工具、应用软件以及人工分析的等方式获得客户中重要服务器的各类数据。在扫描之后，将扫描系统获得的报告汇集成为一个当前系统漏洞评估报告，同时根据漏洞情况提供加强网络安全的建议。1.1 目的本期安全服务项目，包括安全评估，将在技术层上进行评估，以实现以下安全评估目标：Ø 识别被评估系统存在的操作系统远程安全漏洞Ø 识别被评估系统存在的应用系统安全漏洞评估完成后，将进行加固，保障系统安全。1.2 范围本次安全评估范围如下：ü 6台Windows主机ü 2台linux主机ü 2台数据库ü 2台网络设备ü 6台安全设备1.3 评估方法利用网络扫描工具、安全评估工具和人工评估工具，检查资产的弱点，从而识别能被入侵者用来非法进入网络的漏洞。生成网络扫描评估报告，提交检测到的漏洞信息，包括位置和详细描述。这样就允许管理员侦测和管理安全风险信息。扫描内容包括：Ø 系统开放的端口号；Ø 系统中存在的安全漏洞；Ø 是否存在弱口令；1.4 评估工具选择1.漏洞扫描工具Nessus安全扫描软件Nessus是一个功能强大而又易于使用的远程安全扫描器，它不仅免费而且更新极快。安全扫描器的功能是对指定网络进行安全检查，找出该网络是否存在有导致对手攻击的安全漏洞。该系统被设计为client/sever模式，服务器端负责进行安全检查，客户端用来配置管理服务器端。在服务端还采用了plug-in的体系，允许用户加入执行特定功能的插件，这插件可以进行更快速和更复杂的安全检查。在Nessus中还采用了一个共享的信息接口，称之知识库，其中保存了前面进行检查的结果。检查的结果可以HTML、纯文本、LaTeX等几种格式保存。2.人工检查Checklist集合天融信多年的安全服务经验，依据等级保护、SOX、PCI法案以及各种安全基线制订的checklist进行安全检查。2 资产安全评估总结2.1 资产评估对象及方法PICC资金管理系统的资产安全评估采用安全扫描工具评估扫描与人工本地安全评估相结合的方式进行，评估的对象范围如下：序号资产名称资产类型IP资产信息1234567891011121314151617182.2 漏洞严重级别定义本文档将根据安全扫描评估结果进行统计，本项目中，我们对涉及到的风险漏洞级别做如下定义：等级说明高风险漏洞漏洞能够使攻击者直接获得系统控制权限，或者绕过防火墙。中风险漏洞漏洞会泄露使攻击者获得系统访问权的信息。低风险漏洞系统泄露的信息会使系统遭到攻击。2.3 网络安全风险评估2.3.1 网络拓扑结构说明资金管理系统网络边界部署有2台天融信NGFW4000防火墙，通过配置严格的访问控制策略实现边界防护，外网防火墙采取主备模式实现设备的冗余部署，有效防止了单点故障。该系统服务器部署在应用安全区和数据库安全区中，服务器区交换机划分两个VLAN，VLAN351和VLAN352，分别连接应用服务器和数据库服务器。资金管理系统使用数字证书作为用户身份的唯一标识，用户在登陆该系统时必须使用usbkey进行登陆，实现了该系统的强身份认证，同时服务器区防火墙设置安全策略，禁止用户直接访问资金管理系统，用户需要通过SSLVPN的认证，认证通过后才能访问该系统。图资金管理系统拓扑图2.3.2 网络拓扑结构风险分析资金管理系统的网络结构清晰，各个安全域划分明确，网络安全设备均采取双机热备方式进行冗余。但是该系统的安全认证交换机、服务器区交换机无备件，存在单点故障危险，一旦上述设备出现故障将会影响资金管理系统的正常运行。2.3.3 网络与安全设备安全综合分析资产风险合计主机高风险中风险低风险合计外网防火墙-主（10.1.251.193）0022外网防火墙-备（10.1.251.193）0022内网防火墙-主（10.1.251.129）0022内网防火墙-备（10.1.251.129）0022SSLVPN-主（10.1.251.4）0022SSLVPN-备（10.1.251.4）0022安全认证交换机0112服务器区交换机02132.3.3.1 外网防火墙主（10.1.251.193）2.3.3.1.1 外网防火墙主（10.1.251.193）配置分类具体配置备注网口信息network interface eth0 ip add 5.5.5.2 mask 255.255.255.252 ha-static network interface eth1 ip add 10.1.252.2 mask 255.255.255.252 network interface eth2 ip add 10.1.251.193 mask 255.255.255.192 network interface eth3 ip add 10.1.251.1 mask 255.255.255.192 路由信息network route add dst 10.1.251.64/26 gw 10.1.251.253 metric 1 id 101network route add dst 10.1.251.128/26 gw 10.1.251.253 metric 1 id 102network route add dst 0.0.0.0/0 gw 10.1.252.1 metric 1 id 100对象ID 8002 define area add name area_eth0 attribute 'eth0 ' access on vsid 0 ID 8033 define area add name 接中信国安 attribute 'eth1 ' access on vsid 0 ID 8034 define area add name 接资金系统统 attribute 'eth2 ' access on vsid 0 ID 8041 define area add name vlan350 attribute 'eth3 ' access on vsid 0 ID 8045 define host add name web1 ipaddr '10.1.251.68 ' vsid 0 ID 8046 define host add name web2 ipaddr '10.1.251.69 ' vsid 0 ID 8047 define host add name web3 ipaddr '10.1.251.70 ' vsid 0 ID 8048 define host add name web4 ipaddr '10.1.251.71 ' vsid 0 ID 8049 define host add name web5 ipaddr '10.1.251.72 ' vsid 0 ID 8050 define host add name web6 ipaddr '10.1.251.73 ' vsid 0 ID 8051 define host add name OM_APP1 ipaddr '10.1.251.132 ' vsid 0 ID 8052 define host add name OM_APP2 ipaddr '10.1.251.133 ' vsid 0 ID 8053 define host add name OM_APP3 ipaddr '10.1.251.134 ' vsid 0 ID 8054 define host add name OM_APP4 ipaddr '10.1.251.135 ' vsid 0 ID 8055 define host add name OM_APP5 ipaddr '10.1.251.136 ' vsid 0 ID 8056 define host add name OM_Task1 ipaddr '10.1.251.156 ' vsid 0 ID 8057 define host add name OM_Task2 ipaddr '10.1.251.157 ' vsid 0 ID 8058 define host add name OM_Report ipaddr '10.1.251.142 ' vsid 0 ID 8059 define host add name 建行服务器2 ipaddr '15.12.6.19 ' vsid 0 ID 8060 define host add name 建行服务器3 ipaddr '15.12.6.20 ' vsid 0 ID 8061 define host add name 工行服务器 ipaddr '10.240.162.1 ' vsid 0 ID 8062 define host add name 农行服务器 ipaddr '128.2.15.20 ' vsid 0 ID 8063 define host add name 中行服务器 ipaddr '10.16.253.79 ' vsid 0 ID 8064 define host add name 建行服务器1 ipaddr '15.12.6.18 ' vsid 0 ID 8068 define host add name 工行转换地址 ipaddr '10.1.14.10 ' vsid 0 ID 8069 define host add name 农行转换地址 ipaddr '10.1.14.12 ' vsid 0 ID 8070 define host add name 中行转换地址 ipaddr '10.1.14.13 ' vsid 0 ID 8071 define host add name 建行转换地址 ipaddr '10.1.14.11 ' vsid 0 ID 8083 define host add name VPN ipaddr '10.1.251.4 ' vsid 0 ID 8084 define host add name RA服务器 ipaddr '10.1.251.58 ' vsid 0 ID 8085 define host add name CA服务器 ipaddr '11.137.76.11 ' vsid 0 ID 8093 define host add name 邮件服务器 ipaddr '11.201.0.95 ' vsid 0 ID 8095 define host add name 建行前置机1 ipaddr '10.1.251.226 ' vsid 0 ID 8096 define host add name 建行前置机2 ipaddr '10.1.251.227 ' vsid 0 ID 8100 define host add name DSP1 ipaddr '10.1.251.196 ' vsid 0 ID 8101 define host add name 10.1.251.206 ipaddr '10.1.251.206 ' vsid 0 ID 8103 define host add name 数据库服务器1 ipaddr '10.1.251.166 ' vsid 0 ID 8104 define host add name 数据库服务器2 ipaddr '10.1.251.168 ' vsid 0 ID 8105 define host add name 数据库虚地址 ipaddr '10.1.251.168 ' vsid 0 ID 8111 define host add name 防火墙 ipaddr '10.1.251.253 ' vsid 0 ID 8113 define host add name 日志服务器 ipaddr '10.1.251.60 ' vsid 0 ID 8119 define host add name 工行前置机1 ipaddr '10.1.251.206 ' vsid 0 ID 8120 define host add name 工行前置机2 ipaddr '10.1.251.207 ' vsid 0 ID 8121 define host add name 工行前置机3 ipaddr '10.1.251.208 ' vsid 0 ID 8122 define host add name 工行前置机4 ipaddr '10.1.251.209 ' vsid 0 ID 8123 define host add name 工行前置机5 ipaddr '10.1.251.210 ' vsid 0 ID 8124 define host add name 工行前置机6 ipaddr '10.1.251.211 ' vsid 0 ID 8125 define host add name 工行前置机7 ipaddr '10.1.251.212 ' vsid 0 ID 8126 define host add name 工行前置机8 ipaddr '10.1.251.213 ' vsid 0 ID 8127 define host add name 农行前置机1 ipaddr '10.1.251.216 ' vsid 0 ID 8128 define host add name 农行前置机2 ipaddr '10.1.251.217 ' vsid 0 ID 8129 define host add name 农行前置机3 ipaddr '10.1.251.218 ' vsid 0 ID 8130 define host add name 农行前置机4 ipaddr '10.1.251.219 ' vsid 0 ID 8131 define host add name 中行前置机1 ipaddr '10.1.251.238 ' vsid 0 ID 8132 define host add name 中行前置机2 ipaddr '10.1.251.239 ' vsid 0 ID 8140 define host add name 测试服务器 ipaddr '10.1.251.61 ' vsid 0 ID 8141 define host add name 测试服务器2 ipaddr '10.1.251.62 ' vsid 0 ID 8143 define host add name 10.1.19.46-47 ipaddr '10.1.19.46 10.1.19.47 ' vsid 0 ID 8146 define host add name RA ipaddr '10.1.251.58 ' vsid 0 ID 8147 define host add name VPN1 ipaddr '10.1.251.49 ' vsid 0 ID 8150 define host add name 172.16.251.54 ipaddr '172.16.251.54 ' vsid 0 ID 8151 define host add name 10.1.251.63 ipaddr '10.1.251.55 ' vsid 0 ID 8154 define host add name DSP1-4 ipaddr '10.1.251.196 10.1.251.197 10.1.251.198 10.1.251.199 ' vsid 0 ID 8155 define host add name 11.137.127.63 ipaddr '11.137.127.63 ' vsid 0 ID 8156 define host add name 11.137.76.191 ipaddr '11.137.76.191 ' vsid 0 ID 8161 define host add name 10.1.251.62 ipaddr '10.1.251.62 ' vsid 0 ID 8163 define host add name 10.1.251.61 ipaddr '10.1.251.61 ' vsid 0 ID 8164 define host add name 10.1.251.60 ipaddr '10.1.251.60 ' vsid 0 ID 8167 define host add name 10.1.251.4 ipaddr '10.1.251.4 ' vsid 0 ID 8173 define host add name 78.1.32.4 ipaddr '78.1.32.4 ' vsid 0 ID 8181 define host add name DSP198-199 ipaddr '10.1.251.198 10.1.251.199 ' vsid 0 ID 8090 define subnet add name 10.0.0.0 ipaddr 10.0.0.0 mask 255.0.0.0 vsid 0 ID 8091 define subnet add name 11.0.0.0 ipaddr 11.0.0.0 mask 255.0.0.0 vsid 0 ID 8116 define subnet add name 3.* ipaddr 3.0.0.0 mask 255.0.0.0 vsid 0 ID 8166 define subnet add name sichuan ipaddr 64.0.0.0 mask 255.0.0.0 vsid 0 ID 8179 define subnet add name 10.1.251.0 ipaddr 10.1.251.0 mask 255.255.255.0 vsid 0 ID 8180 define subnet add name 10.1.42.0 ipaddr 10.1.42.0 mask 255.255.255.0 vsid 0 ID 8001 define range add name any ip1 0.0.0.0 ip2 255.255.255.255 vsid 0 ID 8072 define service add name TCP446 protocol 6 port 446 vsid 0 ID 8074 define service add name TCP14029 protocol 6 port 14029 vsid 0 ID 8075 define service add name TCP14030 protocol 6 port 14030 vsid 0 ID 8078 define service add name TCP8721 protocol 6 port 8721 vsid 0 ID 8079 define service add name TCP12020 protocol 6 port 12020 vsid 0 ID 8080 define service add name TCP12500 protocol 6 port 12500 vsid 0 ID 8087 define service add name TCP5656 protocol 6 port 5656 vsid 0 ID 8088 define service add name TCP5462 protocol 6 port 5462 vsid 0 ID 8089 define service add name TCP5501 protocol 6 port 5501 vsid 0 ID 8097 define service add name TCP6800 protocol 6 port 6800 vsid 0 ID 8115 define service add name tcp443 protocol 6 port 443 vsid 0 ID 8117 define service add name tcp8088 protocol 6 port 8088 vsid 0 ID 8133 define service add name tcp8080 protocol 6 port 8080 vsid 0 ID 8142 define service add name TCP14031 protocol 6 port 14031 vsid 0 ID 8157 define service add name TCP10001 protocol 6 port 10001 vsid 0 ID 8158 define service add name TCP1522 protocol 6 port 1522 vsid 0 ID 8174 define service add name TCP8800 protocol 6 port 8800 vsid 0网络地址转换ID 8139 nat policy add orig_src '农行前置机1 农行前置机2 农行前置机3 农行前置机4 ' orig_dst '农行服务器 ' trans_src 农行转换地址 vsid 0 ID 8136 nat policy add orig_src '工行前置机1 工行前置机2 工行前置机3 工行前置机4 工行前置机5 工行前置机6 工行前置机7 工行前置机8 ' orig_dst '工行服务器 ' trans_src 工行转换地址 vsid 0 ID 8137 nat policy add orig_src '建行前置机1 建行前置机2 ' orig_dst '建行服务器2 建行服务器3 建行服务器1 ' trans_src 建行转换地址 vsid 0 ID 8138 nat policy add orig_src '中行前置机1 中行前置机2 ' orig_dst '中行服务器 ' trans_src 中行转换地址 vsid 0 访问控制ID 8162 firewall policy add action accept src '10.1.251.62 ' dst '11.137.127.63 ' group_name 临时 vsid 0 ID 8169 firewall policy add action accept src 'VPN1 VPN ' dst 'any ' group_name 临时 vsid 0 ID 8152 firewall policy add action accept src '10.1.251.63 ' dst '172.16.251.54 ' group_name 临时 vsid 0 ID 8153 firewall policy add action accept src '172.16.251.54 ' dst '10.1.251.63 ' group_name 临时 vsid 0 ID 8144 firewall policy add action accept dstarea 'vlan350 接资金系统统 ' src '10.1.19.46-47 ' group_name 临时 vsid 0 comment '安全评估扫描' ID 8106 firewall policy add action accept src '10.0.0.0 ' dst '数据库服务器1 数据库服务器2 数据库虚地址 ' service 'TELNET EPMAP(TCP) MICROSOFT-DS(TCP) SQLNet_1521 MSTerminal DNS_Transfer ' group_name 临时 vsid 0 ID 8102 firewall policy add action accept src '10.0.0.0 ' dst 'web1 OM_APP1 DSP1 10.1.251.206 ' service 'EPMAP(TCP) MICROSOFT-DS(TCP) MICROSOFT-DS(UDP) EPMAP(UDP) MSTerminal ' group_name 临时 vsid 0 ID 8114 firewall policy add action accept src '10.0.0.0 11.0.0.0 ' dst '日志服务器 测试服务器 测试服务器2 ' group_name 临时 vsid 0 ID 8082 firewall policy add action accept src 'any ' dst 'VPN RA VPN1 ' service 'HTTPS PING SSH tcp8080 TELNET ' group_name 临时 vsid 0 ID 8112 firewall policy add action accept src '10.0.0.0 11.0.0.0 ' dst '防火墙 ' service 'PING SSH HTTPS ' group_name 临时 vsid 0 ID 8073 firewall policy add action accept src '工行前置机1 工行前置机2 工行前置机3 工行前置机4 工行前置机5 工行前置机6 工行前置机7 工行前置机8 ' dst '工行服务器 ' service 'TCP446 PING ' vsid 0 ID 8076 firewall policy add action accept src '农行前置机1 农行前置机2 农行前置机3 农行前置机4 ' dst '农行服务器 ' service 'TCP14029 TCP14031 PING ' vsid 0 ID 8077 firewall policy add action accept src '中行前置机1 中行前置机2 ' dst '中行服务器 ' service 'HTTPS PING ' vsid 0 ID 8081 firewall policy add action accept src '建行前置机1 建行前置机2 ' dst '建行服务器2 建行服务器3 建行服务器1 ' service 'TCP8721 TCP12020 TCP12500 PING ' vsid 0 ID 8086 firewall policy add action accept src 'RA服务器 ' dst 'CA服务器 ' service 'HTTP HTTPS MySQL TCP5656 TCP5462 TCP5501 ' vsid 0 ID 8092 firewall policy add action accept src '10.0.0.0 11.0.0.0 ' dst 'RA服务器 ' service 'HTTP HTTPS MySQL TCP5656 TCP5462 TCP5501 PING ' vsid 0 ID 8094 firewall policy add action accept src 'OM_APP1 OM_APP2 OM_APP3 OM_APP4 OM_APP5 OM_Task1 OM_Task2 OM_Report ' dst '邮件服务器 ' service 'SMTP POP3 ' vsid 0 ID 8098 firewall policy add action accept src '建行服务器2 建行服务器3 建行服务器1 ' dst '建行前置机1 建行前置机2 ' service 'TCP6800 ' vsid 0 ID 8118 firewall policy add action accept src 'VPN ' dst 'web1 web2 web3 web4 web5 ' service 'tcp8088 ' vsid 0 ID 8165 firewall policy add action accept src '10.1.251.60 10.1.251.61 10.1.251.62 ' dst 'any ' vsid 0 ID 8176 firewall policy add action accept src 'any ' dst '10.1.251.60 10.