《脆弱性评估报告模板.docx》由会员分享,可在线阅读,更多相关《脆弱性评估报告模板.docx(22页珍藏版)》请在第一文库网上搜索。
1、上海观安信息技术股份有限公司脆弱性评估报告模版TSC-RA-4-06本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属上海观安信息技术股份有限公司和客户公司所有,受到有关产权及版权法保护。任何个人、机构未经上海观安信息技术股份有限公司和客户公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。修订历史记录版木号拟制人/修改人拟制/修改日期审批人更改原因主要更改内容(写要点即可)VI.O陈芳2019-10-26李俊定稿目录文档信息错误!未定义书签。适用范围错误!未定义书签。版权信息错误!未定义书签。目录31 脆弱性评估概述42 脆弱性识别42.1
2、 技术脆弱性识别42.1.1 物理环境脆弱性识别42.1.2 网络环境脆弱性识别51. 1.2.1外网DMZ交换机52. 1.2.2内网汇聚交换机62.1.3 主机系统脆弱性识别61. 1.3.1远程脆弱性识别62. 1.3.2本地脆弱性识别72.1.4 数据库系统脆弱性识别82.1.5 应用中间件系统脆弱性识别92.2安全管理脆弱性识别10系统建设管理H3 脆弱性评估分析143.1 脆弱性的评估方法143.2 技术脆弱性分析163.2.1 物理环境脆弱性分析163.2.2 网络环境脆弱性分析163.2.3 主机系统脆弱性分析173.2.4 数据库系统脆弱性分析173.2.5 应用中间件系统脆
3、弱性分析183.3 安全管理综合脆弱性分析184 评估综合结果分析201脆弱性评估概述脆弱性是指资产或资产组中能被威胁所利用的弱点,它包括物理环境、组织机构、业务流程、人员、管理、硬件、软件及通讯设施等各个方面,这些都可能被各种安全威胁利用来侵害一个组织机构内的有关资产及这些资产所支持的业务系统。这些表现出来的各种安全薄弱环节自身并不会造成什么危害,它们只有在被各种安全威胁利用后才可能造成相应的危害。某些目前看来不会导致安全威胁的弱点可理解为是可以容忍接受的,但它们必须被记录下来并持续改进,以确保当环境、条件发生变化时,这些弱点所导致的安全威胁不会被忽视,并能够控制在可以承受的范围内。需要注意
4、的是,不正确的、起不到应有作用的或没有正确实施的安全保护措施本身就可能是一个安全薄弱环节。在这一阶段,将针对每一项需要保护的信息资产,找出每一种威胁所能利用的脆弱性,并对脆弱性的严重程度进行评估,换句话说,就是对脆弱性被威胁利用的可能性进行评估,最终为其赋予相对的等级值。在进行脆弱性评估时,提供的数据应该来自于这些资产的拥有者或使用者,以及来自于相关业务领域的专家以及软硬件信息系统方面的专业人员。在本次评估中,将从技术、管理两方面脆弱性进行脆弱性评估,其中技术方面包括物理环境、网络环境、主机系统、中间件系统和应用系统五个层次。技术方面主要是通过远程和本地两种方式进行手工检查、工具扫描等方式进行
5、评估,以保证脆弱性评估的全面性和有效性;管理脆弱性评估方面主要是按照等级保护的安全管理要求对现有的安全管理制度的制定和执行情况进行检查,发现其中的管理漏洞和不足。2脆弱性识别在此次评估中,从技术、管理两方面脆弱性进行脆弱性识别,其中技术方面包括物理环境、网络环境、主机系统、中间件系统和应用系统五个层次。2.1 技术脆弱性识别在此次评估中,主要采用手工检查、安全扫描(含抽样)、问卷调查、人工问询等方式对评估工作范围内的主机系统及应用系统进行系统脆弱性评估。具体主要包含:安全管理、审计、服务、系统漏洞、拒绝服务等各方面的脆弱性。同时为后续脆弱性分析及综合风险分析提供参考数据。通过识别小组和协调小组
6、成员在现场的安全扫描、手工检查、问卷调查、人工问询识别出了当前的技术脆弱性如下:2.1.1 物理环境脆弱性识别物理环境脆弱性主要是对信息系统所处的物理环境即机房、线路、客户端的支撑设施等进行脆弱性识别,为后续脆弱性分析及综合风险分析提供参考数据。通过识别小组和协调小组在现场的问卷调查和查看,识别出当前物理环境脆弱性如下:信息系统物理环境腌弱性列表编号地点物理环境脆弱性描述涉及的资产安全隐患JCO1信息中心机房缺乏电子门禁设施全部资产无法对进出机房的行为进行有效控制和记录JC02信息中心机房一些线缆暴露在外,未铺设在地下或管道中网络线路有可能被损坏JC02备注2.1.2网络环境脆弱性识别网络环境
7、脆弱性识别主要是对信息系统的网络结构设计、边界保护、网络设备安全配置等方面进行识别,通过识别小组和协调小组在现场的问卷调查和查看,识别出当前网络环境脆弱性如下:网络环境脆弱性列表编号网络环境脆弱性描述涉及的资产安全隐患W1O1外网防火墙存在单点故障外网防火墙冗余恢复能力不足W102交换机ISO很长时间没有进行更新外网DMZ交换机内网汇聚交换机不能规避新发现的交换机漏洞W103交换机未对te1net会话实行超时限制外网DMZ交换机内网汇聚交换机交换机被非法操作,导致服务中断W104没有配置警告和禁止信息的登陆标志外网DMZ交换机内网汇聚交换机不能警告非授权用户非法登录W105交换机审计功能不足外
8、网DMZ交换机内网汇聚交换机记录内容不足,没有自动记录的日志主机,应该记录更多内容以便于追踪入侵者备注附:网络设备检查结果2.1.2.1外网DMZ交换机脆弱点:编号脆弱性名称严重程度1.交换机ISO很长时间没有进行更新中2.TE1NET远程访问交换机时未采用访问列表严格控制访问的地址,对无人值守的控制台或端口未实行超时限制中3.没有配置NTP全网同步时钟中4.没有配置警告和禁止信息的登陆标志,警告非授权用户中5.2.1.22内网汇聚交换机脆弱点编号脆弱性名称严重程度1.交换机ISO很长时间没有施行更新中2.TE1NET远程访问交换机时未采用访问列表严格控制访问的地址,对无人值守的控制台或端口未
9、实行超时限制中3.没有配置警告和禁止信息的登陆标志,警告非授权用户中4.2.1.3主机系统脆弱性识别2.13.1远程脆弱性识别通过使用远程漏洞扫描工具对主机系统的检查分析,目前主机系统存在的脆弱性主要是由操作系统的安全配置缺陷,以及软件系统自身的设计缺陷(软件存在的漏洞等)所引起的。对系统安全配置缺陷导致的脆弱性需要及时调整系统的安全配置策略;对软件设计缺陷导致的脆弱性需要及时更新补丁程序,如果无法更新补丁程序,可以通过其他安全措施进行保护以减少系统的脆弱性。远程漏洞扫描输出的数据结果,将作为本地手工检查的补充数据,为分析主机系统技术脆弱性提供参考。在实际分析中,远程漏洞扫描输出的结果和本地手
10、工检查获取的结果基本一致。因此,在后续进行的主机系统技术综合脆弱性描述中,将不再重复体现。通过对关键业务资产的分析,系统远程脆弱性扫描范围如下:服务器名称漏洞数量统计内网网站服务器XX.XX.XX.XX高风险漏洞:14个中风险漏洞:13个低风险漏洞:0个XXX服务器XX.XX.XX.XX高风险漏洞:I11个中风险漏洞:44个低风险漏洞:8个XXX服务器XX.XX.XX.XX高风险漏洞:158个中风险漏洞:49个低风险漏洞:13个备注:以上详细内容请参看XXX(客户名称)信息系统脆弱性扫描统计分析报告服务器漏洞分布形式:2.1.3.2本地脆弱性识别2.1.3.2.1内网网站服务器服务器信息表设备
11、用途XXX服务器设备编号设备位置XXXX机房应用描述XXX系统S发布、XXX系统SQ12000数据库主机名XXX外部IP地址内部IP地址默认网关XX.XX.XX.XX域名服务器操作系统MicrosoftWindows2000Server版本号XXX脆弱点分布:脆弱点很高V高IV中等III低II很低I数量246127比例X%XX%XX%XX%X%脆弱点内容:脆弱性名称等级严重程度1.未安装最新的HOTFIXV很高2.病毒库很长时间没有更新V很高3.未配置密码策略IV高4.未配置审核策略TV高5.未关闭不必要的服务TV高6.系统开放c$、C1$、e$加访$默认共享III中7.日志配置策略不完善II
12、I中8.2.1.3.2.2XXX服务器2.1.4数据库系统脆弱性识别2.1.4.1.1内网网站数据库数据库信息表名称XXX数据库资产编号版本Sq1Server2005用途为XXX信息系统提供数据服务承载主机XXX服务器IP地址XX.XX.XX.XX操作系统Windows2003sp2版本号脆弱点分布:脆弱点很高V高IV中等III低II很低I数量12200比例X%XX%XX%XX%X%脆弱点内容:脆弱性名称等级严重程度1.未安装sp3V很高2.仅集成Windows验证方式IV高3.未禁止guest用户访问数据库III中4.未停用SQ12005邮件功能III中5.2.1.4.1.2XXX系统数据库
13、2.1.5应用中间件系统脆弱性识别2.1.5.1.1XXX系统应用中间件系统信息名称Xxx系统应用中间件资产编号版本XXXX用途外网网站发布承载主机XXX服务器内部IP地址XX.XX.XX.XX操作系统Windows2003sp2版本号脆弱点分布:脆弱点很高V高IV中等III低II很低I数量01223比例X%XX%XX%XX%X%脆弱点内容:脆弱性名称等级严重程度1.未删除不用的脚本映射TV高2.网站目录下存在无关的文件、代码或备份程序III中3.未删除调试用、测试用文件II1中4.2.1 .5.1.2XXX系统应用中间件2.2 安全管理脆弱性识别在此次评估中,主要从以下几方面识别信息系统的安全管理脆弱性:策略、组织架构、企业人员、安全控制、资产分类与控制、系统接入控制、网络与系统管理、业务可持续性发展计划、应用开发与维护及可适应性。同时为后续脆弱性分析及综合风险分析提供参考数据。通过识别小组和协调小组成员在现场的大量问卷调查及问询工作,识别出当前安全管理脆弱性如下:基本要求现状安全管理制度管理制度(G)a)应制定信息安全工作的总体方针和安全策略,说明机构安全工