《脆弱性评估报告模板.docx》由会员分享,可在线阅读,更多相关《脆弱性评估报告模板.docx(22页珍藏版)》请在课桌文档上搜索。
1、上海观安信息技术股份有限公司脆弱性评估报告模版TSC-RA-4-06本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属上海观安信息技术股份有限公司和客户公司所有,受到有关产权及版权法保护。任何个人、机构未经上海观安信息技术股份有限公司和客户公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。修订历史记录版木号拟制人/修改人拟制/修改日期审批人更改原因主要更改内容(写要点即可)VI.O陈芳2019-10-26李俊定稿目录文档信息错误!未定义书签。适用范围错误!未定义书签。版权信息错误!未定义书签。目录31 脆弱性评估概述42 脆弱性识别42.1
2、 技术脆弱性识别42.1.1 物理环境脆弱性识别42.1.2 网络环境脆弱性识别51. 1.2.1外网DMZ交换机52. 1.2.2内网汇聚交换机62.1.3 主机系统脆弱性识别61. 1.3.1远程脆弱性识别62. 1.3.2本地脆弱性识别72.1.4 数据库系统脆弱性识别82.1.5 应用中间件系统脆弱性识别92.2安全管理脆弱性识别10系统建设管理H3 脆弱性评估分析143.1 脆弱性的评估方法143.2 技术脆弱性分析163.2.1 物理环境脆弱性分析163.2.2 网络环境脆弱性分析163.2.3 主机系统脆弱性分析173.2.4 数据库系统脆弱性分析173.2.5 应用中间件系统脆
3、弱性分析183.3 安全管理综合脆弱性分析184 评估综合结果分析201脆弱性评估概述脆弱性是指资产或资产组中能被威胁所利用的弱点,它包括物理环境、组织机构、业务流程、人员、管理、硬件、软件及通讯设施等各个方面,这些都可能被各种安全威胁利用来侵害一个组织机构内的有关资产及这些资产所支持的业务系统。这些表现出来的各种安全薄弱环节自身并不会造成什么危害,它们只有在被各种安全威胁利用后才可能造成相应的危害。某些目前看来不会导致安全威胁的弱点可理解为是可以容忍接受的,但它们必须被记录下来并持续改进,以确保当环境、条件发生变化时,这些弱点所导致的安全威胁不会被忽视,并能够控制在可以承受的范围内。需要注意
4、的是,不正确的、起不到应有作用的或没有正确实施的安全保护措施本身就可能是一个安全薄弱环节。在这一阶段,将针对每一项需要保护的信息资产,找出每一种威胁所能利用的脆弱性,并对脆弱性的严重程度进行评估,换句话说,就是对脆弱性被威胁利用的可能性进行评估,最终为其赋予相对的等级值。在进行脆弱性评估时,提供的数据应该来自于这些资产的拥有者或使用者,以及来自于相关业务领域的专家以及软硬件信息系统方面的专业人员。在本次评估中,将从技术、管理两方面脆弱性进行脆弱性评估,其中技术方面包括物理环境、网络环境、主机系统、中间件系统和应用系统五个层次。技术方面主要是通过远程和本地两种方式进行手工检查、工具扫描等方式进行
5、评估,以保证脆弱性评估的全面性和有效性;管理脆弱性评估方面主要是按照等级保护的安全管理要求对现有的安全管理制度的制定和执行情况进行检查,发现其中的管理漏洞和不足。2脆弱性识别在此次评估中,从技术、管理两方面脆弱性进行脆弱性识别,其中技术方面包括物理环境、网络环境、主机系统、中间件系统和应用系统五个层次。2.1 技术脆弱性识别在此次评估中,主要采用手工检查、安全扫描(含抽样)、问卷调查、人工问询等方式对评估工作范围内的主机系统及应用系统进行系统脆弱性评估。具体主要包含:安全管理、审计、服务、系统漏洞、拒绝服务等各方面的脆弱性。同时为后续脆弱性分析及综合风险分析提供参考数据。通过识别小组和协调小组
6、成员在现场的安全扫描、手工检查、问卷调查、人工问询识别出了当前的技术脆弱性如下:2.1.1 物理环境脆弱性识别物理环境脆弱性主要是对信息系统所处的物理环境即机房、线路、客户端的支撑设施等进行脆弱性识别,为后续脆弱性分析及综合风险分析提供参考数据。通过识别小组和协调小组在现场的问卷调查和查看,识别出当前物理环境脆弱性如下:信息系统物理环境腌弱性列表编号地点物理环境脆弱性描述涉及的资产安全隐患JCOl信息中心机房缺乏电子门禁设施全部资产无法对进出机房的行为进行有效控制和记录JC02信息中心机房一些线缆暴露在外,未铺设在地下或管道中网络线路有可能被损坏JC02备注2.1.2网络环境脆弱性识别网络环境
7、脆弱性识别主要是对信息系统的网络结构设计、边界保护、网络设备安全配置等方面进行识别,通过识别小组和协调小组在现场的问卷调查和查看,识别出当前网络环境脆弱性如下:网络环境脆弱性列表编号网络环境脆弱性描述涉及的资产安全隐患WLOl外网防火墙存在单点故障外网防火墙冗余恢复能力不足WL02交换机ISO很长时间没有进行更新外网DMZ交换机内网汇聚交换机不能规避新发现的交换机漏洞WL03交换机未对telnet会话实行超时限制外网DMZ交换机内网汇聚交换机交换机被非法操作,导致服务中断WL04没有配置警告和禁止信息的登陆标志外网DMZ交换机内网汇聚交换机不能警告非授权用户非法登录WL05交换机审计功能不足外
8、网DMZ交换机内网汇聚交换机记录内容不足,没有自动记录的日志主机,应该记录更多内容以便于追踪入侵者备注附:网络设备检查结果2.1.2.1外网DMZ交换机脆弱点:编号脆弱性名称严重程度1.交换机ISO很长时间没有进行更新中2.TELNET远程访问交换机时未采用访问列表严格控制访问的地址,对无人值守的控制台或端口未实行超时限制中3.没有配置NTP全网同步时钟中4.没有配置警告和禁止信息的登陆标志,警告非授权用户中5.2.1.22内网汇聚交换机脆弱点编号脆弱性名称严重程度1.交换机ISO很长时间没有施行更新中2.TELNET远程访问交换机时未采用访问列表严格控制访问的地址,对无人值守的控制台或端口未
9、实行超时限制中3.没有配置警告和禁止信息的登陆标志,警告非授权用户中4.2.1.3主机系统脆弱性识别2.L3.1远程脆弱性识别通过使用远程漏洞扫描工具对主机系统的检查分析,目前主机系统存在的脆弱性主要是由操作系统的安全配置缺陷,以及软件系统自身的设计缺陷(软件存在的漏洞等)所引起的。对系统安全配置缺陷导致的脆弱性需要及时调整系统的安全配置策略;对软件设计缺陷导致的脆弱性需要及时更新补丁程序,如果无法更新补丁程序,可以通过其他安全措施进行保护以减少系统的脆弱性。远程漏洞扫描输出的数据结果,将作为本地手工检查的补充数据,为分析主机系统技术脆弱性提供参考。在实际分析中,远程漏洞扫描输出的结果和本地手
10、工检查获取的结果基本一致。因此,在后续进行的主机系统技术综合脆弱性描述中,将不再重复体现。通过对关键业务资产的分析,系统远程脆弱性扫描范围如下:服务器名称漏洞数量统计内网网站服务器XX.XX.XX.XX高风险漏洞:14个中风险漏洞:13个低风险漏洞:0个XXX服务器XX.XX.XX.XX高风险漏洞:Ill个中风险漏洞:44个低风险漏洞:8个XXX服务器XX.XX.XX.XX高风险漏洞:158个中风险漏洞:49个低风险漏洞:13个备注:以上详细内容请参看XXX(客户名称)信息系统脆弱性扫描统计分析报告服务器漏洞分布形式:2.1.3.2本地脆弱性识别2.1.3.2.1内网网站服务器服务器信息表设备
11、用途XXX服务器设备编号设备位置XXXX机房应用描述XXX系统11S发布、XXX系统SQL2000数据库主机名XXX外部IP地址内部IP地址默认网关XX.XX.XX.XX域名服务器操作系统MicrosoftWindows2000Server版本号XXX脆弱点分布:脆弱点很高V高IV中等III低II很低I数量246127比例X%XX%XX%XX%X%脆弱点内容:脆弱性名称等级严重程度1.未安装最新的HOTFIXV很高2.病毒库很长时间没有更新V很高3.未配置密码策略IV高4.未配置审核策略TV高5.未关闭不必要的服务TV高6.系统开放c$、C1$、e$加访$默认共享III中7.日志配置策略不完善
12、III中8.2.1.3.2.2XXX服务器2.1.4数据库系统脆弱性识别2.1.4.1.1内网网站数据库数据库信息表名称XXX数据库资产编号版本SqlServer2005用途为XXX信息系统提供数据服务承载主机XXX服务器IP地址XX.XX.XX.XX操作系统Windows2003sp2版本号脆弱点分布:脆弱点很高V高IV中等III低II很低I数量12200比例X%XX%XX%XX%X%脆弱点内容:脆弱性名称等级严重程度1.未安装sp3V很高2.仅集成Windows验证方式IV高3.未禁止guest用户访问数据库III中4.未停用SQL2005邮件功能III中5.2.1.4.1.2XXX系统数
13、据库2.1.5应用中间件系统脆弱性识别2.1.5.1.1XXX系统应用中间件系统信息名称Xxx系统应用中间件资产编号版本XXXX用途外网网站发布承载主机XXX服务器内部IP地址XX.XX.XX.XX操作系统Windows2003sp2版本号脆弱点分布:脆弱点很高V高IV中等III低II很低I数量01223比例X%XX%XX%XX%X%脆弱点内容:脆弱性名称等级严重程度1.未删除不用的脚本映射TV高2.网站目录下存在无关的文件、代码或备份程序III中3.未删除调试用、测试用文件IIl中4.2.1 .5.1.2XXX系统应用中间件2.2 安全管理脆弱性识别在此次评估中,主要从以下几方面识别信息系统
14、的安全管理脆弱性:策略、组织架构、企业人员、安全控制、资产分类与控制、系统接入控制、网络与系统管理、业务可持续性发展计划、应用开发与维护及可适应性。同时为后续脆弱性分析及综合风险分析提供参考数据。通过识别小组和协调小组成员在现场的大量问卷调查及问询工作,识别出当前安全管理脆弱性如下:基本要求现状安全管理制度管理制度(G)a)应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等;是,但未成文b)应对安全管理活动中重要的管理内容建立安全管理制度;是,但未成文c)应对安全管理人员或操作人员执行的重要管理操作建立操作规程是制定和发布(G)a)应指定或授权专门的部门
15、或人员负责安全管理制度的制定;否b)应组织相关人员对制定的安全管理制度进行论证和审定;否c)应将安全管理制度以某种方式发布到相关人员手中否评审和修订(G)应定期对安全管理制度进行评审,对存在不足或需要改进的安全管理制度进行修订否安全管理机构岗位设置(G)a)应设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;否b)应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责是人员配备(G)a)应配备一定数量的系统管理员、网络管理员、安全管理员等;否b)安全管理员不能兼任网络管理员、系统管理员、数据库管理员等否授权和审批(G)a)应根据各个部门和岗位的职责明确授权审批
16、部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批;是b)应针对关键活动建立审批流程,并由批准人签字确认是沟通和合作(G)a)应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通;是b)应加强与兄弟单位、公安机关、电信公司的合作与沟通是审核和检查(G)安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况是人员安人员录用(G)a)应指定或授权专门的部门或人员负责人员录用;是全管理b)应规范人员录用过程,对被录用人员的身份、背景和专业资格等进行审查,对其所具有的技术技能进行考核;是c)应与从事关键岗位的人员签署保密协
17、议是人员离岗(G)a)应规范人员离岗过程,及时终止离岗员工的所有访问权限;是b)应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备;是c)应办理严格的调离手续是人员考核(G)a)应定期对各个岗位的人员进行安全技能及安全认知的考核否安全意识教育和培训(G)a)应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训;是,但培训内容不全面b)应告知人员相关的安全责任和惩戒措施,并对违反违背安全策略和规定的人员进行惩戒;是c)应制定安全教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训否外部人员访问管理(G)a)应确保在外部人员访问受控区域前得到授权或审批,批准后由专人全程陪同或监
18、督,并登记备案是系统建设管理系统定级(G)a)应明确信息系统的边界和安全保护等级;是b)应以书面的形式说明信息系统确定为某个安全保护等级的方法和理由;是,对信息系统进行了定级c)应确保信息系统的定级结果经过相关部门的批准是安全方案设计(G)a)应根据系统的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施;是,见风险控制规划b)应以书面的形式描述对系统的安全保护要求和策略、安全措施等内容,形成系统的安全方案;是,见风险控制规划c)应对安全方案进行细化,形成能指导安全系统建设、安全产品采购和使用的详细设计方案是,见风险控制规划d)应组织相关部门和有关安全技术专家对安全设计方案的合
19、理性和正确性进行论证和审定,并且经过批准后,才能正式实施是产品采购和使用(G)a)应确保安全产品采购和使用符合国家的有关规定是b)应确保密码产品采购和使用符合国家密码主管部门的要求;是c)应指定或授权专门的部门负责产品的采购是自行软件开发(G)a)应确保开发环境与实际运行环境物理分开;是b)应确保提供软件设计的相关文档和使用指南,并由专人负责保管是c)应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则;是外包软件开发(G)a)应根据开发要求检测软件质量;是b)应在软件安装之前检测软件包中可能存在的恶意代码;是c)应确保提供软件设计的相关文档和使用指南是d)应要求开发单位提供软件源
20、代码,并审查软件中可能存在的后门是工程实施(G)a)应指定或授权专门的部门或人员负责工程实施过程的管理是b)应制定详细的工程实施方案,控制工程实施过程是测试验收(G)a)应对系统进行安全性测试验收;是b)在测试验收前应根据设计方案或合同要求等制订测试验收方案,在测试验收过程中应详细记录测试验收结果,并形成测试验收报告是c)应组织相关部门和相关人员对系统测试验收报告进行审定,并签字确认是系统交付(G)a)应制定系统交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点;是b)应对负责系统运行维护的技术人员进行相应的技能培训;是c)应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文
21、档是系统备案(G)/等级测评(G)/安全服务商选择(G)a)应确保安全服务商的选择符合国家的有关规定;是b)应与选定的安全服务商签订与安全相关的协议,明确约定相关责任是c)应确保选定的安全服务商提供技术支持和服务承诺,必要的与其签订服务合同是系统运维管理环境管理(G)a)应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理;是b)应配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管理;是c)应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定是d)应加强对办公环境的保密性管理,包括工作人员调离办公室应立即交还该办
22、公室钥匙和不在办公区接待来访人员等是资产管理(G)a)应编制与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容否b)应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为否介质管理(G)b)应确保介质存放在安全的环境中,对各类介质进行控制和保护,并实行存储环境专人管理:否c)应对介质归档和查询等过程进行记录,并根据存档介质的目录清单定期盘点否d)应对需要送出维修或销毁的介质,首先清除其中的敏感数据,防止信息的非法泄漏;否f)应根据所承载数据和软件的重要程度对介质进行分类和标识管理否设备管理(G)a)应对信息系统相关的各种设备(包括备份和冗
23、余设备)、线路等指定专门的部门或人员定期进行维护管理;是b)应建立基于申报、审批和专人负责的设备安全管理制度,对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理否d)应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理,按操作规程实否现关键设备(包括备份和冗余设备)的启动/停止、加电/断电等操作;e)应确保信息处理设备必须经过审批才能带离机房或办公地点是监控管理和安全管理中心(G)/网络安全管理(G)a)应指定人员对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作;是b)应建立网络安全管理制度,对网络安全配置、日志保存时间、安
24、全策略、升级与打补丁、口令更新周期等方面作出规定;否c)应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份;否d)应定期进行网络系统漏洞扫描,对发现的网络系统安全漏洞进行及时的修补是e)应对网络设备的配置文件进行定期备份;否f)应保证所有与外部系统的连接均得到授权和批准是系统安全管理(G)a)应根据业务需求和系统安全分析确定系统的访问控制策略;是b)应定期进行漏洞扫描,对发现的系统安全漏洞进行及时的修补;是c)应安装系统的最新补丁程序,在安装系统补丁前,应首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装;是,但补丁未进行测试d)应建立
25、系统安全管理制度,对系统安全策略、安全配置、日志管理和日常操作流程等方面作出规定;否f)应依据操作手册对系统进行维护,详细记录操作日志,包括重要的日常操作、运行维护记录、参数的设置和修改等内容,严禁进行未经授权的操作;是g)应定期对运行日志和审计数据进行分析,以便及时发现异常行为否恶意代码防范管理(G)a)应提高所有用户的防病毒意识,告知及时升级防病毒软件,在读取移动存储设备上的数据以及网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也应进行病毒检查是b)应指定专人对网络和主机进行恶意代码检测并保存检测记录;是c)应对防恶意代码软件的授权使用、恶意代码库升级、定
26、期汇报等作出明确规定是密码管理(G)应使用符合国家密码管理规定的密码技术和产品是变更管理(G)a)应确认系统中要发生的重要变更,并制定相应的变更方案;是b)系统发生重要变更前,应向主管领导申请,审批后方可实施变更,并在实施后向相关人员通告是备份与恢复管理(G)a)应识别需要定期备份的重要业务信息、系统数据及软件系统等;是b)应规定备份信息的备份方式、备份频度、存储介质、保存期等是c)应根据数据的重要性及其对系统运行的影响,制定数据的备份策略和恢复策略,备份策略指明备份数据的放置场所、文件命名规则、介质替换频率和数据否离站运输方法安全事件处置(G)a)应报告所发现的安全弱点和可疑事件,但任何情况
27、下用户均不应尝试验证弱点;否b)应制定安全事件报告和处置管理制度,明确安全事件类型,规定安全事件的现场处理、事件报告和后期恢复的管理职责;否c)应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响,对本系统计算机安全事件进行等级划分;否e)应记录并保存所有报告的安全弱点和可疑事件,分析事件原因,监督事态发展,采取措施避免安全事件发生否应急预案管理(G)a)应在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容;是c)应对系统相关的人员进行应急预案培训,应急预案的培训应至少每年举办一次否3脆
28、弱性评估分析在脆弱性识别的基础上,进一步分析信息系统及其关键资产所存在的各方面脆弱性,即物理环境脆弱性、安全管理脆弱性、技术脆弱性。并依据其脆弱性被利用的难易程度和被成功利用后所产生的影响进行赋值量化。并为最后综合风险分析提供参考数据。3.1 脆弱性的评估方法资产脆弱性评估,主要是根据在这阶段进行的资产脆弱性调查结果进行。在资产脆弱性调查中,首先进行了管理脆弱性问卷的调查,发现整个系统在管理方面的弱点;然后对评估的应用系统主机进行了手工检查和漏洞扫描,对各资产的系统漏洞和安全策略缺陷进行了调查。最后对收集到的各资产的管理、技术脆弱性数据进行综合分析。根据赋值准则,我们对资产组脆弱性使用严重程度
29、来衡量。脆弱性严重程度可以进行等级化处理,不同的等级分别代表资产脆弱性严重程度的高低。等级数值越大,脆弱性严重程度越高。参考如下:等级标识定义5很高如果被威胁利用,将对资产造成完全损害。4高如果被威胁利用,将对资产造成重大损害。3中如果被威胁利用,将对资产造成一般损害。2低如果被威胁利用,将对资产造成较小损害。1很低如果被威胁利用,将对资产造成的损害可以忽略。3.2 技术脆弱性分析3.2.1物理环境脆弱性分析脆弱点涉及资产安全隐患严重等级标识1缺乏电子门禁设施机房内所有资产无法对进出机房的行为进行有效控制和记录4高2一些线缆暴露在外,未铺设在地下或管道中目前系统相关路有可能被损坏2低综合脆弱性
30、权值3(中)综合脆弱性描述如果被威胁利用,将对资产造成般损害3.2.2网络环境脆弱性分析脆弱点涉及的资产安全隐患严重等级标识1.外网防火墙存在单点故障外网防火墙冗余恢复能力不足3中2.交换机ISO很长时间没有进行更新外网DMZ交换机内网汇聚交换机不能规避新发现的交换机漏洞3中3.交换机未对telnet会话实行超时限制外网DMZ交换机内网汇聚交换机交换机被非法操作,导致服务中断2低4.没有配置警告和禁止信息的登陆标志外网DMZ交换机内网汇聚交换机不能警告非授权用户非法登录2低5.交换机审计功能不足外网DMZ交换机内网汇聚交换机记录内容不足,没有自动记录的日志主机,应该记录更多内容以便于追踪入侵者
31、3中6.综合脆弱性权值2.6(中)综合脆弱性描述如果被威胁利用,将对资产造成一般损害3.2.3主机系统脆弱性分析脆弱点涉及的资产安全隐患严重等级标识1.未安装最新的HOTElXXXX服务器、XXX服务器、XXX服务器不能规避新发现的系统漏洞5很高2.病毒库很长时间没有更新XXX服务器、XXX服务器不能防范新出现的病毒5很高3.未配置密码策略XXX服务器暴力破解4高4.未配置审核策略XXX服务器、XXX服务器、XXX服务器缺乏事件追踪能力4高5.未关闭不必要的服务XXX服务器、XXX服务器未关闭的服务可能带来相关风险4高6.系统开放c$、C1$、e$admin$默认共享XXX服务器被攻击者利用取
32、得服务器权限3中7.日志配置策略不完善XXX服务器、XXX服务器、XXX服务器缺乏事件追踪能力3中8.存在高风险安全漏洞XXX服务器、XXX服务器、XXX服务器被攻击者利用取得服务器权限5很高9.存在中风险安全漏洞XXX服务器、XXX服务器、XXX服务器被攻击者利用取得服务器权限4高10.综合脆弱性权值4.1(高)综合脆弱性描述如果被威胁利用,将对资产造成重大损害3.2.4 数据库系统脆弱性分析脆弱点涉及的资产安全隐患严重等级标识1.未安装sp3XXX数据库不能规避新发现的系统漏洞5很高2.仅集成Windows验证方式XXX数据库、XXX数据库暴力破解4高3.未禁止guest用户访问数据库XX
33、X数据库、XXX数据库暴力破解3中4.未停用SQL2005邮件功能XXX数据库被攻击者利用取得服务器权限3中5.综合脆弱性权值3.8(高)综合脆弱性描述如果被威胁利用,将对资产造成重大损害3.2.5 应用中间件系统脆弱性分析脆弱点涉及的资产安全隐患严重等级标识1.未删除不用的脚本映射Xxx系统应用中间件、Xxx系统应用中间件暴力破解4高2.网站目录下存在无关的文件、代码或备份程序XXX系统应用中间件被攻击者利用取得服务器权限3中3.未删除调试用、测试用文件Xxx系统应用中间件、Xxx系统应用中间件被攻击者利用取得服务器权限3中4.综合脆弱性权值3.3(中)综合脆弱性描述如果被威胁利用,将对资产
34、造成一般损害3.3安全管理综合脆弱性分析类别脆弱性描述严重等级标识安全管理制度没有成文的经过专门的部门或人员制定、由核、发布的安全管理方针、策略和相关的管理制度2低安全管理机构没有设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责2低人员安全管理映乏对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训,人员安全意识和技术能力依然需要提高2低系统运维管理-资产管理资产管理方面没有编制与信息系统相关的资产清单,建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,没有对各类介质进行控制和保护,并实行存储环境专人管理2低系统运维管理-网络安全管理缺乏系统安全管理、网络安
35、全管理方面的制度;没有建立对系统、网络方面的审计制度,定期对运行日志和审计数据进行分析3中系统运维管理-备份与恢复管理没有根据数据的重要性及其对系统运行的影响,制定数据的备份策略和恢复策略;没有关于安全响应和恢兔方面的业务可持续性计划3中系统运维管理-安全事件处置没有制定安全事件报告和处置管理制度2低综合脆弱性权值2.3(低)综合脆弱性描述如果被威胁利用,将对资产造成较小损害4评估综合结果分析4.1 信息系统综合脆弱性分析物理环境综合脆弱性权值网络环境综合脆弱性权值主机系统综合脆弱性权值数据库系统综合脆弱性权值应用中间件系统综合脆弱性权值信息系统综合脆弱性分析严重等级标识32.64.13.83
36、.33.4中综合脆5国性描述如果被威胁利用,将对资产造成一般损害4.2 信息系统脆弱性汇总经过本次评估,XXX(客户名称)信息系统整体存在的脆弱性可以概要归纳为以下几点:脆弱性涉及资产影响严重等级标识技术脆弱性缺乏电子门禁设施全部资产无法对进出机房的行为进行有效控制和记录4高一些线缆暴露在外,未铺设在地下或管道中网络线路有可能被损坏2低外网防火墙存在单点故障外网防火墙冗余恢复能力不足3中交换机ISO很长时间没有进行更新外网DMZ交换机内网汇聚交换机不能规避新发现的交换机漏洞3中交换机未对telnet会话实行超时限制外网DMZ交换机内网汇聚交换机交换机被非法操作,导致服务中断2低没有配置警告和禁
37、止信息的登陆标志外网DMZ交换机内网汇聚交换机不能警告非授权用户非法登录2低交换机审计功能不足外网DMZ交换机内网汇聚交换机记录内容不足,没有自动记录的日志主机,应该记录更多内容以便于追踪入侵者3中未安装最新的HOTFIXXXX月艮务器、XXX服务器、XXX服务器不能规避新发现的系统漏洞5很高病毒库很长时间没有更新XXX服务器、XXX服务器不能防范新出现的病毒5很高未配置密码策略XXX服务器暴力破解4高未配置审核策略XXX服务器、XXX服务器、XXX服务器缺乏事件追踪能力4高未关闭不必要的服务XXX服务器、XXX服务器未关闭的服务可能带来相关风险4高系统开放C$、d$、e$、admin$默认共
38、享XXX服务器被攻击者利用取得服务器权限3中日志配置策略不完善XXX服务器、XXX服务器、XXX服务器缺乏事件追踪能力3中存在高风险安全漏洞XXX服务器、XXX服务器、XXX服务器被攻击者利用取得服务器权限5很高未安装sp3XXX数据库不能规避新发现的系统漏洞5很高仅集成Windows验证方式XXX数据库、XXX数据库暴力破解4高未禁止guest用户访问数据库XXX数据库、XXX数据库暴力破解3中未停用SQL2005邮件功能XXX数据库被攻击者利用取得服务器权限3中未删除不用的脚本映射Xxx系统应用中间件、XXX系统应用中间件暴力破解4高网站目录下存在无关的文件、代码或备份程序Xxx系统应用中
39、间件被攻击者利用取得服务器权限3中未删除调试用、测试用文件Xxx系统应用中间件、Xxx系统应用中间件被攻击者利用取得服务器权限3中管理脆弱性没有成文的经过专门的部门或人员制定、审核、发布的安全管理方针、策略和相关的管理制度全部信息系统各方面的威胁可能利用管理上的漏洞对信息系统造成损害22没有设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责全部信息系统各方面的威胁可能利用管理上的漏洞对信息系统造成损害22缺乏对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训,人员安全意识和技术能力依然需要全部信息系统各方面的威胁可能利用管理上的漏洞对信息系统造成损害22提高资产管理方面没
40、有编制与信息系统相关的资产清单,建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,没有对各类介质进行控制和保护,并实行存储环境专人管理全部信息系统各方面的威胁可能利用管理上的漏洞对信息系统造成损害22缺乏系统安全管理、网络安全管理方面的制度;没有建立对系统、网络方面的审计制度,定期对运行日志和审计数据进行分析全部信息系统各方面的威胁可能利用管理上的漏洞对信息系统造成损害33没有根据数据的重要性及其对系统运行的影响,制定数据的备份策略和恢复策略;没有关于安全响应和恢复方面的业务可持续性计划全部信息系统各方面的威胁可能利用管理上的漏洞对信息系统造成损害33没有制定安全事件报告和处置管理制度全部信息系统各方面的威胁可能利用管理上的漏洞对信息系统造成损害22