信息系统脆弱性评估报告v10Word下载.docx
《信息系统脆弱性评估报告v10Word下载.docx》由会员分享,可在线阅读,更多相关《信息系统脆弱性评估报告v10Word下载.docx(21页珍藏版)》请在冰点文库上搜索。
审阅日期
审阅意见
文档修订信息
修订章节
修订日期
作者
修订记录
所有
起草
版权说明
本文件中出现的全部内容,除另有特别注明,版权均属农银汇理基金管理有限公司所有。
任何个人、机构未经农银汇理基金管理有限公司的书面授权许可,不得以任何方式复制或引用文件的任何片断。
保密申明
本文件包含了来自上海XXX网络安全技术有限公司的可靠、权威的信息,以及农银汇理基金管理有限公司信息系统的敏感信息,接受这份文件表示同意对其内容保密并且未经上海XXX网络安全技术有限公司和农银汇理基金管理有限公司书面请求和书面认可,不得复制,泄露或散布这份文件。
如果你不是有意接受者,请注意对这份文件内容的任何形式的泄露、复制或散布都是被禁止的。
1评估摘要
上海XXX网络安全技术有限公司使用XXX网络卫士脆弱性扫描与管理系统对农银汇理基金管理有限公司的网站和网上交易相关的主机和网络设备进行了技术脆弱性评估。
本次对农银汇理基金管理有限公司评估范围内的多个网段的存活设备进行评估,共评估16台有效主机,,其中有8台主机的的安全风险值较高,具体网络风险分布见下图。
2评估综述
2.1评估背景
企业对信息技术和服务的依赖意味着自身更容易受到安全威胁的攻击。
为保证企业富有竞争力,保持现金流顺畅和赢利,以及维护企业的良好商业形象,信息安全的三要素:
保密性、完整性和可用性都是至关重要的。
对于一个特定的网络,为了实现其网络安全的目标,就是要在网络安全风险评估的基础上,明确系统中所存在的各种安全风险,并制订相应的安全策略,通过网络安全管理和各种网络安全技术的实施,实现网络安全的目标。
安全评估是网络安全防御中的一项重要技术,其原理是根据已知的安全漏洞知识库,通过评估工具模拟黑客真实的攻击步骤以本地扫描的方式评估对目标可能存在的安全隐患进行逐项检查,评估目标可以包括服务器、交换机、路由器、数据库等各种网络对象和应用服务对象。
通过安全评估及时发现当前主机、网络设备中存在的漏洞,检测和发现网络系统中的薄弱环节,根据安全评估结果向系统管理员提供周密可靠的安全性分析报告,为提高整体信息安全水平提供重要依据。
为了充分了解农银汇理基金管理有限公司信息安全现状,上海XXX网络安全技术有限公司安全顾问使用XXX网络卫士脆弱性扫描与管理系统对农银汇理基金管理有限公司的主机和网络设备提供技术脆弱性评估。
2.2评估方法
本次对农银汇理基金管理有限公司主机和网络设备进行的安全评估,将利用网络扫描工具和安全评估工具,检查主机的技术脆弱性,从而识别能被入侵者用来非法进入网络的漏洞。
根据评估结果生成技术脆弱性评估报告,提交评估发现的漏洞信息,包括漏洞存在的位置和详细描述,便于管理员评估和控制信息安全风险。
2.3评估工具
此次评估所使用的软件及程序主要为:
XXX网络卫士脆弱性扫描与管理系统
网络卫士脆弱性扫描与管理系统是依据GB/T20278-2006设计研发的。
它集成了已知的信息收集和探测技术,对主机和网络设备可以进行网络扫描,利用网络协议,模拟攻击过程,向主机发送数据,从返回结果得到主机的脆弱性,进而实现对主机和网络设备的漏洞分析、修补等多种管理功能。
系统在结合CVSS(通用脆弱性评级体系)和等级保护方法的理论下,最终将科学的给出相应的安全分析和可操作的修补处理建议,做到防患于未然。
2.4评估内容
本次技术脆弱性评估工作需要完成以下工作:
⏹执行网络扫描识别扫描范围中的所有系统、服务。
⏹对扫描范围内的系统、服务进行信息收集。
⏹对扫描范围内的系统、服务已知的漏洞进行测试来判断遭受攻击的可能性。
⏹提供安全漏洞修补建议。
⏹提供安全扫描报告。
2.5评估对象
本次农银汇理基金管理有限公司信息技术脆弱性评估对象包括以下设备地址。
检查项
主机IP
网站系统
XXX
网上交易系统
路由器、F5、ASA设备
Xxx
3评估结果
3.1总体评价
本次对农银汇理基金管理有限公司评估范围内的16台主机和网络设备进行评估,其中有8台主机存在较大的安全隐患。
上海XXX网络安全技术有限公司评价农银汇理基金管理有限公司当前信息系统总体的信息安全风险值较高。
分别从如下几个方面进行分类统计。
3.1.1高危风险漏洞列表
漏洞名称
风险等级
出现次数
风险分值
应用类别
Oracle2007年4月更新修复多个安全漏洞
紧急
2
10
数据库
Oracle2010年1月更新修复多个安全漏洞
OpenSSH版本低于4.4存在多个安全漏洞
高级
6
9.3
通用
Oracle2007年1月更新修复多个安全漏洞
9
Oracle2007年10月更新修复多个安全漏洞
Oracle2009年7月更新修复多个安全漏洞
Oracle2012年4月更新修复多个安全漏洞
Oracle2008年4月更新修复多个安全漏洞
8.5
Oracle2009年4月紧急补丁更新修复多个漏洞
Oracle数据库连接远程缓冲区溢出漏洞
ApachehttpdWeb服务器拒绝服务漏洞
7.8
拒绝服务
SNMP代理默认团体名称检测
7.5
SNMP服务相关
Oracle2010年4月紧急补丁更新修复多个漏洞
7.1
通过上面高中风险漏洞列表可以看出,在被评估对象中,很多主机和数据库未能及时安装厂商最新补丁,存在高中风险漏洞。
如果这些漏洞被恶意攻击者利用,攻击者将可以远程获得管理员权限,就对主机可用性造成很大的破坏,从而严重破坏被扫描信息系统的机密性、完整性。
3.1.2主机风险程度列表
IP地址
操作系统
高风险
中风险
低风险
风险值
192.168.207.178
MicrosoftWindowsServer2008R2Standard
相对安全
2.5
192.168.207.201
MicrosoftWindowsServer2003ServicePack2
3
高度危险
192.168.207.247
FreeBSD7.3
4
78
192.168.207.250
LinuxKernel
1
比较危险
5
192.168.207.253
MicrosoftWindowsServer2003ServicePack2
192.168.209.254
LinuxKernel
172.21.3.1
LinuxKernel2.6
172.21.3.2
172.21.3.3
172.21.3.4
172.21.201.15
CISCOIOS12.4
172.21.201.16
172.21.201.18
172.21.201.34
172.21.201.35
172.21.201.7
172.21.201.8
通过上面风险程度列表可以看出,农银汇理基金管理有限公司当前信息系统中部分主机风险值较高。
一旦这些漏洞被攻击者或者蠕虫所利用,很有可能导致业务数据失窃、被篡改,影响网络正常通讯。
上海XXX网络安全技术有限公司建议农银汇理基金管理有限公司对这些网主机立即进行漏洞修补、安全加固,以避免不必要的损失。
3.1.3操作系统分布
通过上面系统分布图可以看出,农银汇理基金管理有限公司当前信息系统中Linux主机、Windows主机和Cisco网络设备受漏洞影响较多,上海XXX网络安全技术有限公司建议农银汇理基金管理有限公司对存在高危漏洞的信息系统进行漏洞修补、安全增强。
3.1.4应用类别分布
通过上面高风险应用类别分布图可以看出,农银汇理基金管理有限公司当前信息系统中基于通用应用和服务探测应用较多。
上海XXX网络安全技术有限公司建议农银汇理基金管理有限公司根据应用软件供应商提供的意见对这些网主机立即进行漏洞修补、安全加固,以避免不必要的损失。
3.2高危漏洞详细分析
通过上面风险程度列表可以看出,农银汇理基金管理有限公司当前信息系统中主机存在14种高危漏洞,如果这些漏洞被恶意攻击者利用,就对主机可用性造成很大的破坏,从而严重破坏被扫描信息系统的机密性、完整性。
上海XXX网络安全技术有限公司建议农银汇理基金管理有限公司对存在高危漏洞的信息系统进行漏洞修补、安全增强。
详细高危漏洞信息如下:
项目
详细内容
受影响IP地址
172.21.201.35172.21.201.34
漏洞号
23938
Cisco设备默认密码检测
相关服务
Services/telnet
思科产品
危险分值
CVE号
CVE-1999-0508
危险等级
Bugtraq号
相关端口号
23
漏洞描述
远程的路由器设置了默认的出厂密码,攻击者可以利用该漏洞获取网络信息,如果'
enable'
密码也没有设置或者也是出厂密码,那么攻击者就可以利用该漏洞关闭路由器。
解决办法
为该路由器设置一个安全的密码。
192.168.207.201192.168.207.247
901203
Services/www
CVE-2011-3192
49303
80
目标主机上正在运行的Apachehttpdweb服务器在处理某些请求的过程中存在错误可被攻击者利用导致该服务器的停止响应。
Apache2的所有版本以及Apache1.3的所有版本受到此漏洞影响。
根据应用供应商评估意见,确定是否需要进行补丁程序修补工作。
执行补丁修补前应进行数据备份,制定回退措施,且需先在测试环境下充分测试后才能执行正式执行补丁修补工作。
900842
Apache'
mod_proxy_ftp'
模块命令注入漏洞(Linux)
CVE-2009-3095
36254
目标主机上正在运行的Apache存在一个命令注入漏洞。
Apache服务器的mod_proxy_ftp模块中存在远程命令注入漏洞,在反向代理配置中,远程攻击者可以利用这个漏洞通过创建特制的HTTP认证头绕过预期的访问限制,向FTP服务器发送任意命令。
版本早于Apache2.2.14受到该漏洞影响。
根据应用供应商评估意见,确定是否需要将Apache升级至更高稳定版本。
执行升级前应进行数据备份,制定回退措施,且需先在测试环境下充分测试后才能执行正式升级工作。
800837
mod_deflate'
拒绝服务漏洞-July09
CVE-2009-1891
35623
目标主机上正在运行的ApacheHTTP服务器存在拒绝服务漏洞。
Apache的mod_deflate模块中存在错误,如果使用该模块下载文件并在下载结束之前中断了连接,mod_deflate会消耗100%的CPU资源来压缩文件。
如果同时打开多个文件请求并很快中断连接,则几十MB大小的文件就会导致Apache锁死。
ApacheHTTP服务器版本2.2.11及其之前版本受到该漏洞影响。
800827
mod_proxy_http.c'
拒绝服务漏洞
CVE-2009-1890
35565
目标主机上正在运行的ApacheHTTP服务器存在一个拒绝服务漏洞。
如果配置了反向代理,在ApacheHTTP服务器的mod_proxy模块中,mod_proxy_http.c的stream_reqbody_cl函数没有正确地处理数量超过了Content-Length值的流数据。
远程攻击者可以通过向受影响的代理进程发送特制的请求导致耗尽CPU资源。
ApacheHTTP服务器2.3.3之前的版本受到该漏洞影响。
902413
HP系统管理主页存在多个漏洞
web应用程序滥用
CVE-2011-1540,CVE-2011-1541
47507,47512
2301
目标主机上正在运行的HP系统管理主页受到多个细节未知的漏洞的影响,可被远程攻击者利用在目标系统上执行任意代码或引起拒绝服务状况的发生。
HP系统管理主页(SMH)版本低于6.3存在以上漏洞。
根据应用供应商评估意见,确定是否需要将
HPSMH升级至更高稳定版本。
10264
CVE-1999-0186,CVE-1999-0254,CVE-1999-0516,CVE-1999-0517,
CVE-2004-0311,CVE-2004-1474
11237,10576,177,2112,6825,7081,7212,7317,9681,986
远程SNMP服务器使用了默认的团体名称。
简单网络管理协议(SNMP)是一个可以远程管理计算机和网络设备的协议,有两种典型的远程监控模式,它们可以粗略地分为"
读"
和"
写"
(或者是PUBLIC和PRIVATE)。
如果攻击者能猜出一个PUBLIC团体串值,那么他就可以从远程设备读取SNMP数据。
这个信息可能包括:
系统时间、IP地址、接口、运行着的进程等。
如果攻击者猜出一个PRIVATE团体串值(写入或"
完全控制"
),他就有更改远程机器上信息的能力,这会是一个极大的安全漏洞,能让攻击者成功地破坏网络运行的进程。
如果不需要请禁用远程主机上的SNMP服务,过滤该端口进入的UDP包或者修改默认团体字符串值。
执行前应进行数据备份,制定回退措施,且需先在测试环境下充分测试后才能执行正式工作。
100668
OpenSSL加密消息语法内存破坏漏洞
CVE-2010-0742
40502
443
根据旗标信息得知,目标主机上应用有版本低于0.9.8o/1.0.0a的OpenSSL,其由于没有正确地处理加密消息句法(CMS)结构而存在内存破坏漏洞。
成功利用此漏洞允许攻击者执行任意代码,失败的攻击尝试也将导致该应用的拒绝服务。
OpenSSL0.9.h到0.9.8n以及OpenSSL1.0.x版本早于1.0.0a受到此漏洞影响。
根据应用供应商评估意见,确定是否需要将OpenSSL升级至更高稳定版本。
172.21.3.3172.21.3.2172.21.3.1172.21.3.4
22466
Services/ssh
CVE-2006-4924,CVE-2006-4925,CVE-2006-5051,CVE-2006-5052,CVE-2006-5229,
CVE-2007-3102,CVE-2008-4109
20216,20241,20245
22
目标主机中运行的OpenSSH存在多个安全漏洞:
(1)OpenSSH在处理ssh报文中多个完全一样的块时存在拒绝服务漏洞,如果启用了ssh协议1的话,则远程攻击者就可以通过发送特制的ssh报文耗尽CPU资源。
(CVE-2006-4924)
(2)OpenSSH的ssh中的packet.c,远程攻击者可以通过发送在NEWKEYS前有USERAUTH_SUCCESS的无效协议序列,导致newkeys[mode]成为NULL,从而使系统拒绝服务(崩溃)。
(CVE-2006-4925)(3)OpenSSH4.2及以下版本的SCP工具实现上存在漏洞,本地攻击者可能利用此漏洞在主机以高权限执行任意命令,从而提升自己的权限。
SCP工具在使用system()调用执行外部程序时没有对用户提交的参数做充分的检查,本地可以通过提交精心构造的输入数据以高权限执行任意命令。
(CVE-2006-5051和CVE-2008-4109)(4)在可移植的OpenSSH上,远程攻击者可以通过终止GSSAPI认证来判断用户名是否有效。
(CVE-2006-5052)(5)OpenSSHportable4.1onSUSELinux及可能的其他平台和版本,并可能在有限的配置下。
远程攻击者通过计时差异确定有效的用户名(有效用户名比无效用户名的响应时间长)。
(CVE-2006-5229)(6)OpenSSH4.3p2版本的linux_audit_record_event函数中存在未明漏洞,当在FedoraCore6以及其他可能的系统中运行时,远程攻击者可以借助一个特制的用户名,向一个审计登录日志写入任意字符。
(CVE-2007-3102)
根据应用供应商评估意见,确定是否需要将OpenSSH升级至更高稳定版本。
4安全建议
4.1评估总结
通过本次对农银汇理基金管理有限公司信息系统主机实施技术脆弱性评估,我们发现农银汇理基金管理有限公司信息系统主机主要存在如下几个方面的技术脆弱性。
一、信息系统主机操作系统存在多个高中风险漏洞,造成这些漏洞的主要原因是这些主机的操作系统版本太低且没有及时安装厂商发布的安全补丁;
二、信息系统网络设备存在脆弱账号和口令,造成这些漏洞的主要原因是没有执行严格的账号密码管理策略,而且部分操作系统采用了默认出厂配置。
针对农银汇理基金管理有限公司信息系统主机存在的技术脆弱性,建议采取如下安全建议进行弥补,提高农银汇理基金管理有限公司信息系统的安全性。
4.2安全建议
一、根据应用软件供应商的评估意见,确定是否将存在严重安全漏洞的信息系统主机操作系统升级到最新版本,并且应用安装厂商最新发布的安全补丁;
二、对存在有严重的安全漏洞的信息系统主机进行手工检查,综合手工检查内容和应用软件供应商意见确定是否进行安全加固工作,加强信息系统主机管理,使用强壮的口令以保护这些主机不让非法攻击者访问;
三、采用远程安全评估系