资金管理系统风险评估报告样本(doc 63页).doc

资金管理系统风险评估报告2010年12月天融信公司 安全服务事业部安全和管理服务系统总体设计方案文档信息项目名称PICC安全服务项目文档编号版本号日期参与人员更新说明V1.020101231王冲、胡浩分发控制编号读者文档权限与文档的主要关系PICC版权说明本文件中出现的全部内容，除另有特别注明，版权均属北京天融信公司所有。任何个人、机构未经北京天融信公司的书面授权许可，不得以任何方式复制或引用文件的任何片断。北京天融信公司安全服务事业部负责对本文档的解释。保密申明本文件包含了来自北京天融信的可靠、权威的信息，接受这份文件表示同意对其内容保密并且未经北京天融信公司书面请求和书面认可，不得复制，泄露或散布这份文件。如果你不是有意接受者，请注意对这份文件内容的任何形式的泄露、复制或散布都是被禁止的。目 录1 简介企业对信息技术和服务的依赖意味着自身更容易受到安全威胁的攻击。为保证企业富有竞争力，保持现金流顺畅和赢利，以及维护企业的良好商业形象，信息安全的三要素保密性、完整性和可用性都是至关重要的。 对于一个特定的网络，为了实现其网络安全的目标，就是要在网络安全风险评估的基础上，明确系统中所存在的各种安全风险，并制订相应的安全策略，通过网络安全管理和各种网络安全技术的实施，从而达到网络安全的目标。安全评估是网络安全防御中的一项重要技术，其原理是根据已知的安全漏洞知识库，对目标可能存在的安全隐患进行逐项检查。目标可以包括工作站、服务器、交换机、路由器、数据库等各种网络对象和应用对象。然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。在网络安全体系的建设中，安全扫描工具花费低、效果好、见效快、与网络的运行相对独立、安装运行简单，可以大规模减少安全管理员的手工劳动，有利于保持全网安全政策的统一和稳定。为了充分了解客户当前的网络安全威胁状况，需要利用一些常用的扫描工具、应用软件以及人工分析的等方式获得客户中重要服务器的各类数据。在扫描之后，将扫描系统获得的报告汇集成为一个当前系统漏洞评估报告，同时根据漏洞情况提供加强网络安全的建议。1.1 目的本期安全服务项目，包括安全评估，将在技术层上进行评估，以实现以下安全评估目标： 识别被评估系统存在的操作系统远程安全漏洞 识别被评估系统存在的应用系统安全漏洞评估完成后，将进行加固，保障系统安全。1.2 范围本次安全评估范围如下： 6台Windows主机 2台linux主机 2台数据库 2台网络设备 6台安全设备1.3 评估方法利用网络扫描工具、安全评估工具和人工评估工具，检查资产的弱点，从而识别能被入侵者用来非法进入网络的漏洞。生成网络扫描评估报告，提交检测到的漏洞信息，包括位置和详细描述。这样就允许管理员侦测和管理安全风险信息。扫描内容包括： 系统开放的端口号； 系统中存在的安全漏洞； 是否存在弱口令；1.4 评估工具选择1.漏洞扫描工具Nessus安全扫描软件Nessus是一个功能强大而又易于使用的远程安全扫描器，它不仅免费而且更新极快。安全扫描器的功能是对指定网络进行安全检查，找出该网络是否存在有导致对手攻击的安全漏洞。该系统被设计为client/sever模式，服务器端负责进行安全检查，客户端用来配置管理服务器端。在服务端还采用了plug-in的体系，允许用户加入执行特定功能的插件，这插件可以进行更快速和更复杂的安全检查。在Nessus中还采用了一个共享的信息接口，称之知识库，其中保存了前面进行检查的结果。检查的结果可以HTML、纯文本、LaTeX等几种格式保存。2.人工检查Checklist集合天融信多年的安全服务经验，依据等级保护、SOX、PCI法案以及各种安全基线制订的checklist进行安全检查。2 资产安全评估总结2.1 资产评估对象及方法PICC资金管理系统的资产安全评估采用安全扫描工具评估扫描与人工本地安全评估相结合的方式进行，评估的对象范围如下：序号资产名称资产类型IP资产信息1234567891011121314151617182.2 漏洞严重级别定义本文档将根据安全扫描评估结果进行统计，本项目中，我们对涉及到的风险漏洞级别做如下定义：等级说明高风险漏洞漏洞能够使攻击者直接获得系统控制权限，或者绕过防火墙。中风险漏洞漏洞会泄露使攻击者获得系统访问权的信息。低风险漏洞系统泄露的信息会使系统遭到攻击。2.3 网络安全风险评估2.3.1 网络拓扑结构说明资金管理系统网络边界部署有2台天融信NGFW4000防火墙，通过配置严格的访问控制策略实现边界防护，外网防火墙采取主备模式实现设备的冗余部署，有效防止了单点故障。该系统服务器部署在应用安全区和数据库安全区中，服务器区交换机划分两个VLAN，VLAN351和VLAN352，分别连接应用服务器和数据库服务器。资金管理系统使用数字证书作为用户身份的唯一标识，用户在登陆该系统时必须使用usbkey进行登陆，实现了该系统的强身份认证，同时服务器区防火墙设置安全策略，禁止用户直接访问资金管理系统，用户需要通过SSLVPN的认证，认证通过后才能访问该系统。图资金管理系统拓扑图2.3.2 网络拓扑结构风险分析资金管理系统的网络结构清晰，各个安全域划分明确，网络安全设备均采取双机热备方式进行冗余。但是该系统的安全认证交换机、服务器区交换机无备件，存在单点故障危险，一旦上述设备出现故障将会影响资金管理系统的正常运行。2.3.3 网络与安全设备安全综合分析资产风险合计主机高风险中风险低风险合计外网防火墙-主（93）0022外网防火墙-备（93）0022内网防火墙-主（29）0022内网防火墙-备（29）0022SSLVPN-主（）0022SSLVPN-备（）0022安全认证交换机0112服务器区交换机02 外网防火墙主（93）.1 外网防火墙主（93）配置分类具体配置备注网口信息network interface eth0 ip add mask 52 ha-static network interface eth1 ip add mask 52 network interface eth2 ip add 93 mask 92 network interface eth3 ip add mask 92 路由信息network route add dst 4/26 gw 53 metric 1 id 101network route add dst 28/26 gw 53 metric 1 id 102network route add dst /0 gw metric 1 id 100对象ID 8002 define area add name area_eth0 attribute eth0 access on vsid 0 ID 8033 define area add name 接中信国安 attribute eth1 access on vsid 0 ID 8034 define area add name 接资金系统统 attribute eth2 access on vsid 0 ID 8041 define area add name vlan350 attribute eth3 access on vsid 0 ID 8045 define host add name web1 ipaddr 8 vsid 0 ID 8046 define host add name web2 ipaddr 9 vsid 0 ID 8047 define host add name web3 ipaddr 0 vsid 0 ID 8048 define host add name web4 ipaddr 1 vsid 0 ID 8049 define host add name web5 ipaddr 2 vsid 0 ID 8050 define host add name web6 ipaddr 3 vsid 0 ID 8051 define host add name OM_APP1 ipaddr 32 vsid 0 ID 8052 define host add name OM_APP2 ipaddr 33 vsid 0 ID 8053 define host add name OM_APP3 ipaddr 34 vsid 0 ID 8054 define host add name OM_APP4 ipaddr 35 vsid 0 ID 8055 define host add name OM_APP5 ipaddr 36 vsid 0 ID 8056 define host add name OM_Task1 ipaddr 56 vsid 0 ID 8057 define host add name OM_Task2 ipaddr 57 vsid 0 ID 8058 define host add name OM_Report ipaddr 42 vsid 0 ID 8059 define host add name 建行服务器2 ipaddr 9 vsid 0 ID 8060 define host add name 建行服务器3 ipaddr 0 vsid 0 ID 8061 define host add name 工行服务器 ipaddr vsid 0 ID 8062 define host add name 农行服务器 ipaddr 0 vsid 0 ID 8063 define host add name 中行服务器 ipaddr 9 vsid 0 ID 8064 define host add name 建行服务器1 ipaddr 8 vsid 0 ID 8068 define host add name 工行转换地址 ipaddr 0 vsid 0 ID 8069 define host add name 农行转换地址 ipaddr 2 vsid 0 ID 8070 define host add name 中行转换地址 ipaddr 3 vsid 0 ID 8071 define host add name 建行转换地址 ipaddr 1 vsid 0 ID 8083 define host add name VPN ipaddr vsid 0 ID 8084 define host add name RA服务器 ipaddr 8 vsid 0 ID 8085 define host add name CA服务器 ipaddr 1 vsid 0 ID 8093 define host add name 邮件服务器 ipaddr 5 vsid 0 ID 8095 define host add name 建行前置机1 ipaddr 26 vsid 0 ID 8096 define host add name 建行前置机2 ipaddr 27 vsid 0 ID 8100 define host add name DSP1 ipaddr 96 vsid 0 ID 8101 define host add name 06 ipaddr 06 vsid 0 ID 8103 define host add name 数据库服务器1 ipaddr 66 vsid 0 ID 8104 define host add name 数据库服务器2 ipaddr 68 vsid 0 ID 8105 define host add name 数据库虚地址 ipaddr 68 vsid 0 ID 8111 define host add name 防火墙 ipaddr 53 vsid 0 ID 8113 define host add name 日志服务器 ipaddr 0 vsid 0 ID 8119 define host add name 工行前置机1 ipaddr 06 vsid 0 ID 8120 define host add name 工行前置机2 ipaddr 07 vsid 0 ID 8121 define host add name 工行前置机3 ipaddr 08 vsid 0 ID 8122 define host add name 工行前置机4 ipaddr 09 vsid 0 ID 8123 define host add name 工行前置机5 ipaddr 10 vsid 0 ID 8124 define host add name 工行前置机6 ipaddr 11 vsid 0 ID 8125 define host add name 工行前置机7 ipaddr 12 vsid 0 ID 8126 define host add name 工行前置机8 ipaddr 13 vsid 0 ID 8127 define host add name 农行前置机1 ipaddr 16 vsid 0 ID 8128 define host add name 农行前置机2 ipaddr 17 vsid 0 ID 8129 define host add name 农行前置机3 ipaddr 18 vsid 0 ID 8130 define host add name 农行前置机4 ipaddr 19 vsid 0 ID 8131 define host add name 中行前置机1 ipaddr 38 vsid 0 ID 8132 define host add name 中行前置机2 ipaddr 39 vsid 0 ID 8140 define host add name 测试服务器 ipaddr 1 vsid 0 ID 8141 define host add name 测试服务器2 ipaddr 2 vsid 0 ID 8143 define host add name 6-47 ipaddr 6 7 vsid 0 ID 8146 define host add name RA ipaddr 8 vsid 0 ID 8147 define host add name VPN1 ipaddr 9 vsid 0 ID 8150 define host add name 4 ipaddr 4 vsid 0 ID 8151 define host add name 3 ipaddr 5 vsid 0 ID 8154 define host add name DSP1-4 ipaddr 96 97 98 99 vsid 0 ID 8155 define host add name 3 ipaddr 3 vsid 0 ID 8156 define host add name 91 ipaddr 91 vsid 0 ID 8161 define host add name 2 ipaddr 2 vsid 0 ID 8163 define host add name 1 ipaddr 1 vsid 0 ID 8164 define host add name 0 ipaddr 0 vsid 0 ID 8167 define host add name ipaddr vsid 0 ID 8173 define host add name ipaddr vsid 0 ID 8181 define host add name DSP198-199 ipaddr 98 99 vsid 0 ID 8090 define subnet add name ipaddr mask vsid 0 ID 8091 define subnet add name ipaddr mask vsid 0 ID 8116 define subnet add name 3.* ipaddr mask vsid 0 ID 8166 define subnet add name sichuan ipaddr mask vsid 0 ID 8179 define subnet add name ipaddr mask vsid 0 ID 8180 define subnet add name ipaddr mask vsid 0 ID 8001 define range add name any ip1 ip2 55 vsid 0 ID 8072 define service add name TCP446 protocol 6 port 446 vsid 0 ID 8074 define service add name TCP14029 protocol 6 port 14029 vsid 0 ID 8075 define service add name TCP14030 protocol 6 port 14030 vsid 0 ID 8078 define service add name TCP8721 protocol 6 port 8721 vsid 0 ID 8079 define service add name TCP12020 protocol 6 port 12020 vsid 0 ID 8080 define service add name TCP12500 protocol 6 port 12500 vsid 0 ID 8087 define service add name TCP5656 protocol 6 port 5656 vsid 0 ID 8088 define service add name TCP5462 protocol 6 port 5462 vsid 0 ID 8089 define service add name TCP5501 protocol 6 port 5501 vsid 0 ID 8097 define service add name TCP6800 protocol 6 port 6800 vsid 0 ID 8115 define service add name tcp443 protocol 6 port 443 vsid 0 ID 8117 define service add name tcp8088 protocol 6 port 8088 vsid 0 ID 8133 define service add name tcp8080 protocol 6 port 8080 vsid 0 ID 8142 define service add name TCP14031 protocol 6 port 14031 vsid 0 ID 8157 define service add name TCP10001 protocol 6 port 10001 vsid 0 ID 8158 define service add name TCP1522 protocol 6 port 1522 vsid 0 ID 8174 define service add name TCP8800 protocol 6 port 8800 vsid 0网络地址转换ID 8139 nat policy add orig_src 农行前置机1 农行前置机2 农行前置机3 农行前置机4 orig_dst 农行服务器 trans_src 农行转换地址 vsid 0 ID 8136 nat policy add orig_src 工行前置机1 工行前置机2 工行前置机3 工行前置机4 工行前置机5 工行前置机6 工行前置机7 工行前置机8 orig_dst 工行服务器 trans_src 工行转换地址 vsid 0 ID 8137 nat policy add orig_src 建行前置机1 建行前置机2 orig_dst 建行服务器2 建行服务器3 建行服务器1 trans_src 建行转换地址 vsid 0 ID 8138 nat policy add orig_src 中行前置机1 中行前置机2 orig_dst 中行服务器 trans_src 中行转换地址 vsid 0 访问控制ID 8162 firewall policy add action accept src 2 dst 3 group_name 临时 vsid 0 ID 8169 firewall policy add action accept src VPN1 VPN dst any group_name 临时 vsid 0 ID 8152 firewall policy add action accept src 3 dst 4 group_name 临时 vsid 0 ID 8153 firewall policy add action accept src 4 dst 3 group_name 临时 vsid 0 ID 8144 firewall policy add action accept dstarea vlan350 接资金系统统 src 6-47 group_name 临时 vsid 0 comment 安全评估扫描 ID 8106 firewall policy add action accept src dst 数据库服务器1 数据库服务器2 数据库虚地址 service TELNET EPMAP(TCP) MICROSOFT-DS(TCP) SQLNet_1521 MSTerminal DNS_Transfer group_name 临时 vsid 0 ID 8102 firewall policy add action accept src dst web1 OM_APP1 DSP1 06 service EPMAP(TCP) MICROSOFT-DS(TCP) MICROSOFT-DS(UDP) EPMAP(UDP) MSTerminal group_name 临时 vsid 0 ID 8114 firewall policy add action accept src dst 日志服务器 测试服务器 测试服务器2 group_name 临时 vsid 0 ID 8082 firewall policy add action accept src any dst VPN RA VPN1 service HTTPS PING SSH tcp8080 TELNET group_name 临时 vsid 0 ID 8112 firewall policy add action accept src dst 防火墙 service PING SSH HTTPS group_name 临时 vsid 0 ID 8073 firewall policy add action accept src 工行前置机1 工行前置机2 工行前置机3 工行前置机4 工行前置机5 工行前置机6 工行前置机7 工行前置机8 dst 工行服务器 service TCP446 PING vsid 0 ID 8076 firewall policy add action accept src 农行前置机1 农行前置机2 农行前置机3 农行前置机4 dst 农行服务器 service TCP14029 TCP14031 PING vsid 0 ID 8077 firewall policy add action accept src 中行前置机1 中行前置机2 dst 中行服务器 service HTTPS PING vsid 0 ID 8081 firewall policy add action accept src 建行前置机1 建行前置机2 dst 建行服务器2 建行服务器3 建行服务器1 service TCP8721 TCP12020 TCP12500 PING vsid 0 ID 8086 firewall policy add action accept src RA服务器 dst CA服务器 service HTTP HTTPS MySQL TCP5656 TCP5462 TCP5501 vsid 0 ID 8092 firewall policy add action accept src dst RA服务器 service HTTP HTTPS MySQL TCP5656 TCP5462 TCP5501 PING vsid 0 ID 8094 firewall policy add action accept src OM_APP1 OM_APP2 OM_APP3 OM_APP4 OM_APP5 OM_Task1 OM_Task2 OM_Report dst 邮件服务器 service SMTP POP3 vsid 0 ID 8098 firewall policy add action accept src 建行服务器2 建行服务器3 建行服务器1 dst 建行前置机1 建行前置机2 service TCP6800 vsid 0 ID 8118 firewall policy add action accept src VPN dst web1 web2 web3 web4 web5 service tcp8088 vsid 0 ID 8165 firewall policy add action accept src 0 1 2 dst any vsid 0 ID 8176 firewall policy add action accept src any dst 0 1 2 vsid 0 ID 8178 firewall policy add action accept src DSP1-4 dst any vsid 0 ID 8182 firewall policy add action accept src dst DSP198-199 工行前置机7 农行前置机3 vsid 0 ID 8110 firewall policy add action deny vsid 0 开放服务ID 8010 pf service add name gui area area_eth0 addressname anyID 8011 pf service add name ssh area area_eth0 addressname anyID 8012 pf service add name update area area_eth0 addressname anyID 8013 pf service add name ping area area_eth0 addressname anyID 8029 pf service add name webui area area_eth0 addressname anyID 8030 pf service add name telnet area area_eth0 addressname anyID 8035 pf service add name webui area 接中信国安 addressname anyID 8037 pf service add name ping area 接中信国安 addressname anyID 8038 pf service add name ping area 接资金系统统 addressname anyID 8042 pf service add name ping area vlan350 addressname anyID 8043 pf service add name ssh area 接中信国安 addressname anyID 8145 pf service add name telnet area 接中信国安 addressname any双机热备ha mode asha as-vrid 11ha gratuitous-arp 90ha local ha peer .2 外网防火墙主（93）风险漏洞详细描述本次安全评估针对网络与安全设备主要采取人工检查等方式对该设备安全状况进行了现状调查，通过对该设备配置的分析，该设备的安全基本情况如下所示：1. 该设备可以通过Telnet、SSH、HTTPS等多种方式进行远程管理，但是telnet作为一种不安全的管理方式，在网络中明文传输帐户、密码以及设备配置，存在较大的安全风险。2. 该设备的远程IP地址未作严格限定，允许任何IP地址进行远程管理，存在一定的安全隐患。 外网防火墙备（93）参见 内网防火墙主（29）.1 内网防火墙主（29）配置分类具体配置备注网口信息network interface eth0 ip add mask 52 ha-static label 0network interface eth1 ip add 53 mask 92 label 0network interface eth2 ip add 29 mask 92 label 0network interface eth3 ip add 5 mask 92 label 0 路由信息network route add dst /0 gw 93 metric 1 id 100对象ID 8002 define area add name area_eth0 attribute eth0 access on vsid 0 ID 8029 define area add name 上连 attribute eth1 access on vsid 0 ID 8032 define area add name VLAN351 attribute eth3 access on vsid 0 ID 8069 define area add name VLAN352 attribute eth2 access on vsid 0 ID 8170 define area add name HA attribute eth4 access on vsid 0 ID 8037 define host add name 建行前置机3 ipaddr 82 vsid 0 ID 8038 define host add name 工行前置机9 ipaddr 58 vsid 0 ID 8039 define host add name 中行前置机3 ipaddr 97 vsid 0 ID 8040 define host add name 农行前置机5 ipaddr 65 vsid 0 ID 8041 define host add name 工行转换地址 ipaddr 0 vsid 0 ID 8042 define host add name 农行转换地址 ipaddr 2 vsid 0 ID 8043 define host add name 中行转换地址 ipaddr 3 vsid 0 ID 8044 define host add name 建行转换地址 ipaddr 1 vsid 0 ID 8051 define host add name 工行前置机1 ipaddr 50 vsid 0 ID 8052 define host add name 工行前置机2 ipaddr 51 vsid 0 ID 8053 define host add name 工行前置机3 ipaddr 52 vsid 0 ID 8054 define host add name 工行前置机4 ipaddr 53 vsid 0 ID 8055 define host add name 工行前置机5 ipaddr 54 vsid 0 ID 8056 define host add name 工行前置机6 ipaddr 55 vsid 0 ID 8057 define host add name 工行前置机7 ipaddr 56 vsid 0 ID 8058 define host add name 工行前置机8 ipaddr 57 vsid 0 ID 8059 define host add name 农行前置机1 ipaddr 61 vsid 0 ID 8060 define host add name 农行前置机2 ipaddr 62 vsid 0 ID 8061 define host add name 农行前置机3 ipaddr 63 vsid 0 ID 8062 define host add name 农行前置机4 ipaddr 64 vsid 0 ID 8063 define host add name 建行前置机1 ipaddr 80 vsid 0 ID 8064 define host add name 建行前置机2 ipaddr 81 vsid 0 ID 8065 define host add name 中行前置机1 ipaddr 95 vsid 0 ID 8066 define host add name 中行前置机2 ipaddr 96 vsid 0 ID 8077 define host add name web1 ipaddr 8 vsid 0 ID 8078 define host add name web2 ipaddr 9 vsid 0 ID 8079 define host add name web3 ipaddr 0 vsid 0 ID 8080 define host add name web4 ipaddr 1 vsid 0 ID 8081 define host add name web5 ipaddr 2 vsid 0 ID 8082 define host add name web6 ipaddr 3 vsid 0 ID 8083 define host add name OM_APP1 ipaddr 32 vsid 0 ID 8084 define host add name OM_APP2 ipaddr 33 vsid 0 ID 8085 define hos