信息安全审计报告

安全审计报告 文档密级：机密 文档编号：ENB-MS-SEC-ACT-1.0.1 文档版本号：1.0 发布 新昆仑支付有限公司 二一二年九月 文档信息 版本控制 分发控制 文档名称 新昆仑支付有限公司风险评估报告 作者 何秉递 类别 风险评估 文件名称 安全审计报告.doc 摘要 新昆仑支付有限公司新昆仑支付平台风险评估 版本号 日期 修改人 审阅人 摘 要 1.0 9/26/2012 何秉递 初始版本 编号 读者 文档权限 与文档的主要关系 001 何秉递 创建、修改、读取 文档创建者 目录 第一章概述 4 1.1.项目背景 4 1.2.评估范围 4 第二章风险评估概况 5 2.1.风险评估时间 5 2.2.风险评估地点 5 2.3.风险评估任务 5 2.4.风险评估参与人员 5 第三章风险评估步骤 6 第四章评估结果分析 7 4.1.物理安全 7 4.2.管理安全 9 4.3.系统安全 9 4.4.脆弱性评估概况 9 4.4.1.操作系统平台统计 10 4.4.2.安全等级统计 10 4.4.3.扫描结果建议 10 4.5.脆弱性评估详细结果 .12 第五章风险评估总结 27 第一章概述 1.1.项目背景 根据相关行业主管部门的要求，当单位信息系统投入正式生产之前，或是发生重大改动的时候需要对 新信息系统进行全方位的风险评估，并根据风险评估结果采取适当的防护措施以降低信息系统安全风险， 保证新信息系统的实施不会导致原有信息系统的安全水平降低。 上海亚太信息技术有限公司 NPSS小组承担了新昆仑支付有限公司互联网支付平台系统的风险评估工 作。 1.2.评估范围 本次风险评估的范围明确确定为与新昆仑支付有限公司互联网支付平台相关的服务器及网络设备，其 它信息系统不做评估。 第二章风险评估概况 2.1.风险评估时间 2012.09.24 2012.09.26 2.2.风险评估地点 上海市荣华东道79弄2号305 2.3.风险评估任务 填写安全评估调查表；安全漏洞扫描；服务器手工检查 2.4.风险评估参与人员 姓名 联系电话 职务/职称 E-mai l 第三章风险评估步骤 上海亚太计算机信息系统有限公司安全服务工安全服务工作小组负责执行本次项目的风险评估任务。 经过与新昆仑支付有限公司安全负责人员商讨与确认，按照下面的步骤执行信息安全风险评估： 1、 填写安全评估 调查表； 2、 确定目标信息； 3、 对目标服务器进行网络漏洞扫描和测试； 4、在各个服务器的内部，进行安全检查和分析。 第四章评估结果分析 本次风险评估的目标主要是新昆仑支付有限公司新昆仑支付平台中的 3台 Windows2008服务器、2台 Redhat Linux服务器和 2台 Oracle服务器，这些设备分别位于办公内网、 DMZ及 DB三个区域，各服务 器的 IP 地址分配 和操作系 统如下： 通过 风险 评估， 我们 分别从物理安全、管理安全和系统安全三个方面得出如下几点结论。 4.1.物理安全 编号 用途 I P地址 OS+Pat ch 001 Oracle服务器 21 RedHat Linux 5.6 002 Oracle服务器 22 RedHat Linux 5.6 003 前置服务器 16 RedHat Linux 5.6 004 前置服务器 17 RedHat Linux 5.6 005 应用服务器 19 Windows2008R2+SP1 006 应用服务器 41 Windows2008R2+SP1 007 应用服务器 42 Windows2008R2+SP1 1 机房的访问控制不够严密，缺乏进入机房进行登记的措施。 2 机关视频会议室与计算机机房位于同一个区域，由于混合区域的门禁卡与进入机房的门禁卡是同 一张，没有进行相应权限上的严格划分，这样非管理人员就很容易从物理上接触到服务器，而在现有服务 器的访问控制下，只要能从物理上接触到服务器，就完全控制了别台服务器。 3 机房没有针对无线网络及通信线缆防窃听的防护措施。 4.2.管理安全 1.没有针对对关键信息资产的保密措施 2. 没有采用异地备份机制，在重大灾难发生后，无法恢复业务运行。 3. 没有有效的漏斗修补及安全维护机制 4. 没有文档化的风险管理和风险消除计划 5.关键业务系统及重要硬件设备没有制定规范的操作流程 4.3.系统安全 由于已经在第一次风险评估的基础上对相关服务器采取了安全加固措施，在本次风险评估中发现信息 系统的安全风险已经大大降低，对于仍然存在的安全隐患通过与系统建设方进行充分沟通，主要分两种情 况通过两种方式进行处理： 1.服务器管理员口令的威胁。信息系统目前仍然处于开发调试阶段，并没有正式上线运行，为了便于系统 调试服务器设置了简单口令，系统建设方已经承诺在系统正式上线之前严格按照管理规定重新设置，消除 简单口令和弱口方带来的系统风险。 2. Oracle tnslsnr漏洞。由于此服务和系统应用紧密相关，无法进行修补，只有采取接受风险。 4.4.脆弱性评估概况 本次脆弱性评估涉及对象是 7台服务器，下面分别从操作系统平台及安全等级进行了统计。 4.4.1.操作系统平台统计 4.4.2.安全等级统计 4.4.3.扫描结果建议 需要立即处理的主机列表 I P地址 主机名 需要立即处理漏洞数 19 SHGLGLC00 2 41 SHGLGLC01 2 42 SHGLGLC02 2 21 SHGLGLC03 2 22 SHGLGLC04 2 16 SHGLGLC05 1 17 SHGLGLC06 1 4.5.脆弱性评估详细结果 19 主机安 全综述 主机信 息 端口信息 如图所 ：该主 有 12个漏洞 中： 紧急漏洞有0个 漏洞有0个 漏洞 有1 个 漏洞有1 个信息漏洞有10个 CVSS ：4. 87 等 比较危 I P地址 19 主机名 SHGLC0 工作组 WORKGROUP 操作系统 Microsoft Windows 2008 Server R2 Mac地址 00-14-5E-3F-62-E0 端 口 类 型 服务名 称 服务描述 返回值 80 TC P ht t p Wor l d Wide web HTTP 一个 web服正在该端口上运行 ;这是它的 banner : ; HTTP/ 1. 1 200 OK ; Cont ent -Lengt h: 1193 ; Cont ent - Type: t ext / ht ml ; Cont ent -Locat i on: ht t p: / / 19/ i i sst ar t . ht m ; Last -Modi f i ed: Fr i , 21 Feb 2003 12: 15: 52 GMT ; Accept -Ranges: byt es ; ETag: “ 0ce1f 9a2d9c21: 3f 3“ ; Ser ver : 漏洞详细信息 Mi cr osof t -I I S/ 6. 0 ; Dat e: Mon, 21 May 2007 04: 54: 25 GMT ; Connect i on: cl ose ; ; ; ; ; ; ; ; 建设中 ; ; ; ; t abl e; 号 23575 CVSS分值 4. 87 漏洞名称 使用Net BIOS探测Windows 主机信息 危险级这 NPVL-E(信息) 应用类别 文件共享 相关端口号 137/ udp CVE号 CVE-1999-0621 Bugt r aq号 应用类别 不需要 CVSS_访问位置 远程 CVSS利用难 度 低 CVSS确认情况 非官方确认 返回信息 收集到以下 4 Net BIOS 名称 : SHGLC0 = Comput er name WORKGROUP = Wor kgr oup / Domai n name SHGLC0 = Fi l e Ser ver Ser vi ce WORKGROUP = Br owser Ser vi ce El ect i ons 远程主机网卡的 MAC地址: 00: 14: 5e: 3f : 62: e0 漏洞描述 如果Net BI OS端口( UDP: 137)已经打开，一个远程攻击者可以利用这个漏洞获取主机的 敏 感信息 解决办法 参考：ht t p: / / oval . mi t r e. or g/ oval / def i ni t i ons/ dat a/ oval 1024. ht ml 漏洞号 37685 CVSS分值 0 漏洞名称 HTTP信息获取 危险级别 NPVL-E(信息) 应用类别 webser ver s 相关端口号 80/ t cp CVE号 Bugt r aq号 CVSS是否认 证 不需要 CVSS_访问位置 远程 CVSS利用难 度 低 CVSS确认情况 返回信息 HTTP/ 1. 1 SSL : no Pi pel i ni ng : yes Keep-Al i ve : no Opt i ons al l owed : OPTI ONS, TRACE, GET, HEAD, POST Header s : Cont ent -Lengt h: 1193 Cont ent -Type: t ext / ht ml Cont ent -Locat i on: ht t p: / / 172. 16. 0. 200/ i i sst ar t . ht m Last -Modi f i ed: Fr i , 21 Feb 2003 12: 15: 52 GMT Accept -Ranges: byt es ETag: “ 0ce1f 9a2d9c21: 406“ Ser ver : Mi cr osof t -I I S/ 6. 0 Dat e: Wed, 06 Jun 2007 05: 50: 44 GMT 漏洞描述 检测远程主机使用的HTTP的版本、是否启用了 Keep-Al i ve等信息，具体请参考脚本返回结 果。 解决办法 请尽量修改配置，隐藏更多的信息。 41 主机安全综述 主机信息 端口信息 如图所 ：该主 有35个漏洞 中：紧 急漏洞有0个 漏 洞有0个 漏洞有2 个 漏洞有12个信 息漏洞有21个 CVSS：4. 87 等 比较危 I P地址 41 主机名称 SHGLC1 工作组 WORKGROUP 操作系统 Microsoft Windows 2008 Server R2 Mac地址 00-14-5E-BD-C5-D8 端 口 类 型 服务名 称 服务描述 返回值 7 TCP echo 一个 echo服务正在该端口上运行; 9 TCP discar d sink nul l “ di scard“服务可能在该端口上运行 . ; ; 13 TC P dayt ime “ dayt i me“服务可 可能在该端口上运行 . ; ;这是 它的 banner : ; 31 32 3a 35 38 3a 33 35 20 32 30 30 37 2d 35 2d 12: 58: 35 2007-5-; 32 31 0a 21 ; 17 TC P qotd Quot e of t he Day “ qot d“服务可能在该端口上运行 . ; ;这是它的banner : ; 22 4d 79 20 73 70 65 6c 6c 69 6e 67 20 69 73 20 “ My spel l i ng i s ; 57 6f 62 62 6c 79 2e 20 20 49 74 漏洞 详细 信息 27 73 20 67 6f Wobbl y. I t s go; 6f 64 20 73 70 65 6c 6c 69 6e 67 20 62 75 74 20 od spel l i ng but ; 69 74 20 57 6f 62 62 6c 65 73 2c 20 61 6e 64 20 i t Wobbl es, and ; 74 68 65 20 6c 65 74 74 65 72 73 0d 0a 20 67 65 t he l et t er s ge; 74 20 69 6e 20 74 68 65 20 77 72 6f 6e 67 20 70 t i n t he wr ong p; 6c 61 63 65 73 2e 22 20 41 2e 20 41 2e 20 4d 69 l aces. “ A. A. Mi ; 6c 6e 65 20 28 31 38 38 32 2d 31 39 35 38 29 0d l ne ( 1882-1958) ; 0a ; 19 TC P char gen t t yt st sour ce Char act er Gener at or Char gen正在该端口上运行; 21 TC P f t p Fi l e Tr ansf er Cont r ol 一个FTP 服务正在该端口上运行 . ;这是它的banner : ; 220 Mi cr osof t FTP Ser vi ce ; 25 TC P smt p Si mpl e Mai l Tr ansf er 一个SMTP服务正在该端口上运行;这是它的banner : ; 220 shgl c1 Mi cr osof t ESMTP MAI L Ser vi ce, Ver si on: 6. 0. 3790. 3959 r eady at Mon, 21 May 2007 12: 58: 35 +0800 500 5. 3. 3 Unr ecogni zed command ; 漏洞号 24427 CVSS分值 0 漏洞名称 DNS服务器检测 危险级这 NPVL-D(低级) 应用类别 dns 相关端口号 53/ udp CVE号 Bugt r aq号 CVSS是否认证 CVSS_访问位置 CVSS使用难度 CVSS确认情况 无 返回信息 漏洞描述 DNS服务器在这个端口运行. 解决办法 如果不使用， 禁用他 号 23575 CVSS分值 4. 87 漏洞名称 使用Net BIOS探测Windows 主机信息 危险级这 NPVL-E(信息) 应用类别 文件共享 相关端口号 137/ udp CVE号 CVE-1999-0621 Bugt r aq号 应用类别 不需要 CVSS_访问位置 远程 CVSS利用难 度 低 CVSS确认情况 非官方确认 返回信息 收集到以下 4 Net BIOS 名称 : SHGLC0 = Comput er name WORKGROUP = Wor kgr oup / Domai n name SHGLC0 = Fi l e Ser ver Ser vi ce WORKGROUP = Br owser Ser vi ce El ect i ons 远程主机网卡的 MAC地址: 00: 14: 5e: 3f : 62: e0 漏洞描述 如果Net BI OS端口( UDP: 137)已经打开，一个远程攻击者可以利用这个漏洞获取主机的 敏 感信息 解决办法 参考：ht t p: / / oval . mi t r e. or g/ oval / def i ni t i ons/ dat a/ oval 1024. ht ml 42 主机安全综述 主机信息 如右图所示：该主机 共有38个漏洞 中： 紧急漏洞有0个高级漏 洞有0个中级漏洞有2 个 级漏洞有 13个信 息漏洞有23个 CVSS：4. 87安全 等级：比较危险 I P地址 42 主机名称 SHGLC2 工作组 WORKGROUP 操作系统 Microsoft Windows 2008 Server R2 Mac地址 00-14-5E-BD-C4-D4 端口信 息 漏洞详细信息 端 口 类 型 服务名 称 服务描述 返回值 7 TCP echo 一个 echo服务正在该端口上运行; 9 TCP di scar d si nk nul l “ di scard“服务可能在该端口上运行 . ; ; 13 TC P dayt i me “ dayt i me“服务可 可能在该端口上运行 . ; ;这是 它的 banner : ; 31 32 3a 35 38 3a 33 35 20 32 30 30 37 2d 35 2d 12: 58: 35 2007-5-; 32 31 0a 21 ; 17 TC P qot d Quot e of t he Day “ qot d“服务可能在该端口上运行. ; ;这 是它的banner : ; 22 4d 79 20 73 70 65 6c 6c 69 6e 67 20 69 73 20 “ My spel l i ng i s ; 57 6f 62 62 6c 79 2e 20 20 49 74 27 73 20 67 6f Wobbl y. I t s go; 6f 64 20 73 70 65 6c 6c 69 6e 67 20 62 75 74 20 od spel l i ng but ; 69 74 20 57 6f 62 62 6c 65 73 2c 20 61 6e 64 20 i t Wobbl es, and ; 74 68 65 20 6c 65 74 74 65 72 73 0d 0a 20 67 65 t he l et t er s ge; 74 20 69 6e 20 74 68 65 20 77 72 6f 6e 67 20 70 t i n t he wr ong p; 6c 61 63 65 73 2e 22 20 41 2e 20 41 2e 20 4d 69 l aces. “ A. A. Mi ; 6c 6e 65 20 28 31 38 38 32 2d 31 39 35 38 29 0d l ne ( 1882-1958) ; 0a ; 19 TC P char gen t t yt st sour ce Char act er Gener at or Char gen正在该端口上运行; 21 TC P f t p Fi l e Tr ansf er Cont r ol 一个FTP 服务正在该端口上运行 . ;这是它的banner : ; 220 Mi cr osof t FTP Ser vi ce ; 25 TC P smt p Si mpl e Mai l Tr ansf er 一个SMTP服务正在该端口上运行;这是它的banner : ; 220 shgl c1 Mi cr osof t ESMTP MAI L Ser vi ce, Ver si on: 6. 0. 3790. 3959 r eady at Mon, 21 May 2007 12: 58: 35 +0800 500 5. 3. 3 Unr ecogni zed command ; 漏洞号 24427 CVSS分值 0 漏洞名称 DNS服务器检测 危险级这 NPVL-D(低级) 应用类别 dns 相关端口号 53/ udp CVE号 Bugt r aq号 CVSS是否认证 CVSS_访问位置 CVSS使用难度 CVSS确认情况 无 返回信息 漏洞描述 DNS服务器在这个端口运行. 解决办法 如果不使用， 禁用他 号 23575 CVSS分值 4. 87 漏洞名称 使用Net BIOS探测Windows 主机信息 危险级这 NPVL-E(信息) 应用类别 文件共享 相关端口号 137/ udp CVE号 CVE-1999-0621 Bugt r aq号 应用类别 不需要 CVSS_访问位置 远程 CVSS利用难 度 低 CVSS确认情况 非官方确认 返回信息 收集到以下 4 Net BIOS 名称 : SHGLC0 = Comput er name WORKGROUP = Wor kgr oup / Domai n name SHGLC0 = Fi l e Ser ver Ser vi ce WORKGROUP = Br owser Ser vi ce El ect i ons 远程主机网卡的 MAC地址: 00: 14: 5e: 3f : 62: e0 漏洞描述 如果Net BI OS端口( UDP: 137)已经打开，一个远程攻击者可以利用这个漏洞获取主机的 敏 感信息 解决办法 参考：ht t p: / / oval . mi t r e. or g/ oval / def i ni t i ons/ dat a/ oval 1024. ht ml 21 主机安全综述 如右图所示：该主机 共有27个漏洞 中： 紧急漏洞有0个高级漏 洞有0个中级漏洞有1 个 级漏洞有 8个信 息漏洞有18个 CVSS：4. 87安全 等级：比较危险 主机信息 端口信息 漏洞详细信息 I P址 21 主机名称 SHGLC3 工作组 WORKGROUP 操作系统 Linux 5.6 Mac地址 00-14-5E-BD-19-10 端 口 类 型 服务名 称 服务描述 返回值 22 TC P ssh Secur e Shel l Logi n 一个 ssh 服务正在该端口上运行; 111 TC P r pcbi nd por t mapper , r pcbi nd “ sunr pc“服务可能正在该端口上运行 . ; ; 600 0 TC P X11 X Window server 一个未知服务正在该端口上运行 666 6 TC P Irc- server mySQL 一个未知服务正在该端口上运行 号 23648 CVSS分值 1. 14 漏洞名称 RPC portmapper 危险级别 NPVL-D( 低级) 应用类别 rpc 相关端口号 111/ t cp CVE号 CVE-1999-0497 Bugt r aq号 205 CVSS是否认 证 不需要 CVSS_访问位 置 远程 CVSS利用难 度 中 CVSS默认情况 未经确认 返回信息 漏洞描述 RPC portmapper正在该端口上运行，攻击者可以利用这个列举RPC服务列表 解决办法 我们建议你过滤经过该端口的流量 、 22 主机安全综述 漏洞号 26059 CVSS分值 0 漏洞名称 获取ssh 服务信息 危险级别 NPVL-E(信息) 应用类别 其它 相关端口号 22/ t cp CVE号 Bugt r aq号 CVSS是否认证 CVSS_访问位置 CVSS利用难度 CVSS确认情况 无 返回信息 不能登陆远程主机 漏洞描述 本策略检测出主机ssh服务的信息，请检查返回信息的结果即为ssh服务信息。 解决办法 可以有针对性的隐藏ssh服返回信息 如图所 ：该主机 有3 个漏洞 中：紧 急漏洞有0个高级漏洞 有0 个中级漏洞有0 个 级漏洞有 1个信息漏 洞有2个 CVSS： 0安全等级：比较安全 主机信息 端口信息 漏洞详细信息 I P址 22 主机名称 SHGLGLC02 工作组 WORKGROUP 操作系统 Linux 5.6 Mac地址 00-14-5E-19-F4-BA 端 口 类 型 服务名 称 服务描述 返回值 22 TC P ssh Secur e Shel l Logi n 一个 ssh 服务正在该端口上运行; 111 TC P r pcbi nd por t mapper , r pcbi nd “ sunr pc“服务可能正在该端口上运行 . ; ; 600 0 TC P X11 X Window server 一个未知服务正在该端口上运行 666 6 TC P Irc- server mySQL 一个未知服务正在该端口上运行 号 23648 CVSS分值 1. 14 漏洞名称 RPC portmapper 危险级别 NPVL-D( 低级) 应用类别 rpc 相关端口号 111/ t cp CVE号 CVE-1999-0497 Bugt r aq号 205 CVSS是否认 证 不需要 CVSS_访问位 置 远程 CVSS利用难 度 中 CVSS默认情况 未经确认 返回信息 漏洞描述 RPC portmapper正在该端口上运行，攻击者可以利用这个列举RPC服务列表 解决办法 我们建议你过滤经过该端口的流量 漏洞号 26059 CVSS分值 0 漏洞名称 获取ssh 服务信息 危险级别 NPVL-E(信息) 应用类别 其它 相关端口号 22/ t cp CVE号 Bugt r aq号 CVSS是否认证 CVSS_访问位置 CVSS利用难度 CVSS确认情况 无 返回信息 不能登陆远程主机 漏洞描述 本策略检测出主机ssh服务的信息，请检查返回信息的结果即为ssh服务信息。 解决办法 可以有针对性的隐藏ssh服返回信息 16 主机安全综述 主机信息 端口信息 如图所 ：该主 有16个漏洞 中：紧 急漏洞有0个 漏 洞有3个 漏洞有1 个 漏洞有1个信 息漏洞有11个 CVSS：8. 7 等 度危 I P址 16 主机名称 SHGLGLC02 工作组 WORKGROUP 操作系统 Linux 5.6 Mac地址 00-14-5E-19-F4-BA 漏洞详细信息 端 口 类 型 服务名 称 服务描述 返回值 22 TC P ssh Secur e Shel l Logi n 一个 ssh 服务正在该端口上运行; 111 TC P r pcbi nd por t mapper , r pcbi nd “ sunr pc“服务可能正在该端口上运行 . ; ; 600 0 TC P X11 X Window server 一个未知服务正在该端口上运