基金管理有限公司信息系统脆弱性评估报告基金管理有限公司信息系统脆弱性评估报告上海XXX网络安全技术有限公司第3页共28页文档基本信息项目名称农银汇理基金管理有限公司网站及网上交易安全测试项目文档名称农银汇理基金管理有限公司——信息系统脆弱性评估报告文档版本v1.0正式交付是创建日期7/19/2013审批要求批准扩散范围农银汇理基金管理有限公司、上海XXX网络安全技术有限公司文档批准信息批准人所属单位批准日期批准意见农银汇理基金管理有限公司7/21/2013提交7/21/2013提交文档审阅信息审阅所属单位审阅日审阅意见上海XXX网络安全技术有限公司第4页共28页人期7/21/2013提交文档修订信息文档版本修订章节修订日期作者修订记录v1.0所有7/21/2013起草版权说明本文件中出现的全部内容,除另有特别注明,版权均属农银汇理基金管理有限公司所有。任何个人、机构未经农银汇理基金管理有限公司的书面授权许可,不得以任何方式复制或引用文件的任何片断。保密申明本文件包含了来自上海XXX网络安全技术有限公司的可靠、权威的信息,以及农银汇理基金管理有限公司信息系统的敏感信息,接受这份文件表示同意对其内容保密并且未经上海XXX网上海XXX网络安全技术有限公司第5页共28页络安全技术有限公司和农银汇理基金管理有限公司书面请求和书面认可,不得复制,泄露或散布这份文件。如果你不是有意接受者,请注意对这份文件内容的任何形式的泄露、复制或散布都是被禁止的。上海XXX网络安全技术有限公司第6页共28页目录1评估摘要.............................82评估综述.............................82.1评估背景82.2评估方法102.3评估工具102.4评估内容112.5评估对象113评估结果............................123.1总体评价123.1.1常见高危风险漏洞列表..............................123.1.2主机风险程度列表..............................13上海XXX网络安全技术有限公司第7页共28页3.1.3操作系统分布..............................153.1.4应用类别分布..............................163.2高危漏洞详细分析164评估总结与安全建议..................234.1评估总结234.2安全建议24附录Ⅰ原始评估数据...................26附录Ⅱ漏洞危险等级评定标准...........27附录Ⅲ主机风险等级评定标准...........28第8页共28页1评估摘要上海XXX网络安全技术有限公司使用XXX网络卫士脆弱性扫描与管理系统对农银汇理基金管理有限公司的网站和网上交易相关的主机和网络设备进行了技术脆弱性评估。本次对农银汇理基金管理有限公司评估范围内的多个网段的存活设备进行评估,共评估16台有效主机,,其中有8台主机的的安全风险值较高,具体网络风险分布见下图。2评估综述2.1评估背景企业对信息技术和服务的依赖意味着自身更容易受到安全威胁的攻击。为保证企业富有竞第9页共28页争力,保持现金流顺畅和赢利,以及维护企业的良好商业形象,信息安全的三要素:保密性、完整性和可用性都是至关重要的。对于一个特定的网络,为了实现其网络安全的目标,就是要在网络安全风险评估的基础上,明确系统中所存在的各种安全风险,并制订相应的安全策略,通过网络安全管理和各种网络安全技术的实施,实现网络安全的目标。安全评估是网络安全防御中的一项重要技术,其原理是根据已知的安全漏洞知识库,通过评估工具模拟黑客真实的攻击步骤以本地扫描的方式评估对目标可能存在的安全隐患进行逐项检查,评估目标可以包括服务器、交换机、路由器、数据库等各种网络对象和应用服务对象。通过安全评估及时发现当前主机、网络设备中存在的漏洞,检测和发现网络系统中的薄弱环节,根据安全评估结果向系统管理员提供周密可靠的安全性分析报告,为提高整体信息安全水平提供重要依据。为了充分了解农银汇理基金管理有限公司信息安全现状,上海XXX网络安全技术有限公司安全顾问使用XXX网络卫士脆弱性扫描与管理第10页共28页系统对农银汇理基金管理有限公司的主机和网络设备提供技术脆弱性评估。2.2评估方法本次对农银汇理基金管理有限公司主机和网络设备进行的安全评估,将利用网络扫描工具和安全评估工具,检查主机的技术脆弱性,从而识别能被入侵者用来非法进入网络的漏洞。根据评估结果生成技术脆弱性评估报告,提交评估发现的漏洞信息,包括漏洞存在的位置和详细描述,便于管理员评估和控制信息安全风险。2.3评估工具此次评估所使用的软件及程序主要为:XXX网络卫士脆弱性扫描与管理系统网络卫士脆弱性扫描与管理系统是依据GB/T20278-2006设计研发的。它集成了已知的信息收集和探测技术,对主机和网络设备可以进行网络扫描,利用网络协议,模拟攻击过程,向主机发送数据,从返回结果得到主机的脆弱性,进而实现对主机和网络设备的漏洞分析、修补等多种管理功能。系统在结合CVSS(通用脆弱性评级体系)和等级保护方法的理论下,最终将科第11页共28页学的给出相应的安全分析和可操作的修补处理建议,做到防患于未然。2.4评估内容本次技术脆弱性评估工作需要完成以下工作:执行网络扫描识别扫描范围中的所有系统、服务。对扫描范围内的系统、服务进行信息收集。对扫描范围内的系统、服务已知的漏洞进行测试来判断遭受攻击的可能性。提供安全漏洞修补建议。提供安全扫描报告。2.5评估对象本次农银汇理基金管理有限公司信息技术脆弱性评估对象包括以下设备地址。检查项主机IP网站系统XXX网上交易系统XXX路由器、F5、ASA设备Xxx第12页共28页3评估结果3.1总体评价本次对农银汇理基金管理有限公司评估范围内的16台主机和网络设备进行评估,其中有8台主机存在较大的安全隐患。上海XXX网络安全技术有限公司评价农银汇理基金管理有限公司当前信息系统总体的信息安全风险值较高。分别从如下几个方面进行分类统计。3.1.1高危风险漏洞列表漏洞名称风险等级出现次数风险分值应用类别Oracle2007年4月更新修复多个安全漏洞紧急210数据库Oracle2010年1月更新修复多个安全漏洞紧急210数据库OpenSSH版本低于4.4存在多个安全漏洞高级69.3通用Oracle2007年1月更新修复多个安全漏洞高级29数据库Oracle2007年10月更新修复多个安全漏洞高级29数据库Oracle2009年7月更新修复多个安全漏洞高级29数据库Oracle2012年4月更新修复多个安全漏洞高级29数据库Oracle2008年4月更新修复多个安全漏洞高级28.5数据库Oracle2009年4月紧急补丁更新修复多个漏洞高级28.5数据库第13页共28页Oracle数据库连接远程缓冲区溢出漏洞高级28.5数据库ApachehttpdWeb服务器拒绝服务漏洞高级27.8拒绝服务SNMP代理默认团体名称检测高级27.5SNMP服务相关Oracle2010年4月紧急补丁更新修复多个漏洞高级27.1数据库通过上面高中风险漏洞列表可以看出,在被评估对象中,很多主机和数据库未能及时安装厂商最新补丁,存在高中风险漏洞。如果这些漏洞被恶意攻击者利用,攻击者将可以远程获得管理员权限,就对主机可用性造成很大的破坏,从而严重破坏被扫描信息系统的机密性、完整性。3.1.2主机风险程度列表IP地址操作系统高风险中风险低风险风险等级风险值192.168.207.178MicrosoftWindowsServer2008R2Standard006相对安全2.5192.168.207.201MicrosoftWindowsServer2003ServicePack2223高度危险7.8192.168.207.247FreeBSD7.34102高度危险78192.168.207.250LinuxKernel010比较危险5192.168.207.253MicrosoftWindowsServer2003ServicePack2352高度危险9192.168.209.254LinuxKernel140高度危险7.5172.21.3.1LinuxKernel2.6130高度危险9.3172.21.3.2LinuxKernel2.6130高度危9.3第14页共28页险172.21.3.3LinuxKernel2.6130高度危险9.3172.21.3.4LinuxKernel2.6131高度危险9.3172.21.201.15CISCOIOS12.4020比较危险5172.21.201.16CISCOIOS12.4020比较危险5172.21.201.18CISCOIOS12.4030比较危险5172.21.201.34CISCOIOS12.4120比较危险5172.21.201.35CISCOIOS12.4120比较危险5172.21.201.7CISCOIOS12.4020比较危险5172.21.201.8CISCOIOS12.4020比较危险5通过上面风险程度列表可以看出,农银汇理基金管理有限公司当前信息系统中部分主机风险值较高。一旦这些漏洞被攻击者或者蠕虫所利用,很有可能导致业务数据失窃、被篡改,影响网络正常通讯。上海XXX网络安全技术有限公司建议农银汇理基金管理有限公司对这些网主机立即进行漏洞修补、安全加固,以避免不必要的损失。第15页共28页3.1.3操作系统分布通过上面系统分布图可以看出,农银汇理基金管理有限公司当前信息系统中Linux主机、Windows主机和Cisco网络设备受漏洞影响较多,上海XXX网络安全技术有限公司建议农银汇理基金管理有限公司对存在高危漏洞的信息系统进行漏洞修补、安全增强。第16页共28页3.1.4应用类别分布通过上面高风险应用类别分布图可以看出,农银汇理基金管理有限公司当前信息系统中基于通用应用和服务探测应用较多。一旦这些漏洞被攻击者或者蠕虫所利用,很有可能导致业务数据失窃、被篡改,影响网络正常通讯。上海XXX网络安全技术有限公司建议农银汇理基金管理有限公司根据应用软件供应商提供的意见对这些网主机立即进行漏洞修补、安全加固,以避免不必要的损失。3.2高危漏洞详细分析通过上面风险程度列表可以看出,农银汇理基金管理有限公司当前信息系统中主机存在14种高危漏洞,如果这些漏洞被恶意攻击者利用,第17页共28页就对主机可用性造成很大的破坏,从而严重破坏被扫描信息系统的机密性、完整性。上海XXX网络安全技术有限公司建议农银汇理基金管理有限公司对存在高危漏洞的信息系统进行漏洞修补、安全增强。详细高危漏洞信息如下:项目详细内容受影响IP地址172.21.201.35172.21.201.34漏洞号23938漏洞名称Cisco设备默认密码检测相关服务Services/telnet应用类别思科产品危险分值10CVE号CVE-1999-0508危险等级紧急Bugtraq号相关端口号23漏洞描述远程的路由器设置了默认的出厂密码,攻击者可以利用该漏洞获取网络信息,如果'enable'密码也没有设置或者也是出厂密码,那么攻击者就可以利用该漏洞关闭路由器。解决办法为该路由器设置一个安全的密码。项目详细内容受影响IP地址192.168.207.201192.168.207.247漏洞号901203漏洞名称ApachehttpdWeb服务器拒绝服务漏洞相关服务Services/服务器在处理某些请求的过程中存在错误可被攻击者利用导致该服务器的停止响应。Apache2的所有版本以及Apache1.3的所有版本受到