【正文】 不符合修改系統(tǒng)時(shí)間（LOCAL SERVICE,Administrators,Power Users）安全選項(xiàng)不顯示上次的用戶名在安全選項(xiàng)設(shè)置中啟用不顯示上次的用戶名不符合不顯示上次的用戶名（未啟用）可遠(yuǎn)程訪問的注冊(cè)表路徑在安全選項(xiàng)設(shè)置刪除可遠(yuǎn)程訪問的注冊(cè)表路徑不符合可遠(yuǎn)程訪問的注冊(cè)表路徑（System\CurrentC…）光驅(qū)的訪問權(quán)限在安全選項(xiàng)設(shè)置中啟用只有本地登陸的用戶才能訪問CDROM不符合只有本地登陸的用戶才能訪問CDROM(未啟用)審核策略審核登錄設(shè)備應(yīng)配置日志功能，對(duì)用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的賬號(hào)，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)，用戶使用的IP地址。符合關(guān)閉系統(tǒng)在本地安全設(shè)置中關(guān)閉系統(tǒng)僅指派給Administrators組。 主機(jī)系統(tǒng)安全綜合分析主機(jī)系統(tǒng)安全評(píng)估的目標(biāo)是找到系統(tǒng)所在主機(jī)操作系統(tǒng)存在的安全弱點(diǎn)，通過安全配置或補(bǔ)丁加載的手段，降低安全風(fēng)險(xiǎn)，提高安全水平。2. 該設(shè)備沒有啟用MAC地址綁定功能，未對(duì)關(guān)鍵設(shè)備進(jìn)行MAC地址綁定。2. 該設(shè)備沒有啟用MAC地址綁定功能，未對(duì)關(guān)鍵設(shè)備進(jìn)行MAC地址綁定。2. 該設(shè)備的遠(yuǎn)程IP地址未作嚴(yán)格限定，允許任何IP地址進(jìn)行遠(yuǎn)程管理，存在一定的安全隱患。admin39。admin39。admin39。zj39。zj39。adminaclshow39。acl_login39。ZIJXT39。資金系統(tǒng)管理acl39。808839。:8088/39。管理資金系統(tǒng)39。808839。/vone/qysso4/:8088/turl==/39。picc_logout39。8088,8039。/vone/qysso3/:8088/turl==/39。login_sso39。80,808839。:8088/39。資金系統(tǒng)39。80,808839。:8088/turl==/39。資金系統(tǒng)管理39。 39。eth1 39。eth0 eth1 39。2. 該設(shè)備的遠(yuǎn)程IP地址未作嚴(yán)格限定，允許任何IP地址進(jìn)行遠(yuǎn)程管理，存在一定的安全隱患。SQLNet_1521 DNS_Query DNS_Transfer 39。數(shù)據(jù)庫服務(wù)器1 數(shù)據(jù)庫服務(wù)器2 數(shù)據(jù)庫虛地地址 39。DSP4 39。tcp6060 tcp6070 tcp6080 tcp6090 PING 39。DSP1 DSP2 DSP3 DSP4 39。OM_APP1 OM_APP2 OM_APP3 OM_APP4 OM_APP5 OM_Task1 OM_Task2 OM_Report 39。郵件服務(wù)器 39。OM_APP1 OM_APP2 OM_APP3 OM_APP4 OM_APP5 OM_Task1 OM_Task2 OM_Report 39。tcp8388 39。OM_Report 39。web1 web2 web3 web4 web5 web6 39。tcp8277 39。OM_Task1 39。web1 web2 web3 web4 web5 web6 39。tcp8278 39。OM_Task2 39。web1 web2 web3 web4 web5 web6 39。tcp8166 tcp8731 39。OM_APP1 39。web1 web2 web3 web4 web5 web6 39。tcp8731 tcp9167 39。OM_APP2 39。web1 web2 web3 web4 web5 web6 39。tcp8731 tcp8168 39。OM_APP3 39。web1 web2 web3 web4 web5 web6 39。tcp8731 tcp8169 39。OM_APP4 39。web1 web2 web3 web4 web5 web6 39。tcp8731 tcp8170 39。OM_APP5 39。web1 web2 web3 web4 web5 web6 39。TELNET DNS_Transfer EPMAP(TCP) MICROSOFTDS(TCP) MSTerminal 39。數(shù)據(jù)庫服務(wù)器1 數(shù)據(jù)庫服務(wù)器2 數(shù)據(jù)庫虛地地址 39。 39。EPMAP(TCP) MICROSOFTDS(TCP) MSTerminal 39。web1 OM_APP1 DSP1 39。 39。tcp8088 39。web1 web2 web3 web4 web5 39。VPN 39。 39。VLAN351 VLAN352 39。DSP1 DSP2 DSP3 DSP4 工行前置機(jī)1 工行前置機(jī)2 工行前置機(jī)3 工行前置機(jī)4 工行前置機(jī)5 工行前置機(jī)6 工行前置機(jī)7 工行前置機(jī)8 農(nóng)行前置機(jī)1 農(nóng)行前置機(jī)2 農(nóng)行前置機(jī)3 農(nóng)行前置機(jī)4 建行前置機(jī)1 建行前置機(jī)2 中行前置機(jī)1 中行前置機(jī)2 39。OM_APP1 OM_APP2 OM_APP3 OM_APP4 OM_APP5 OM_Task1 OM_Task2 OM_Report web1 web2 web3 web4 web5 web6 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。eth4 39。eth2 39。eth3 39。eth1 39。eth0 39。2. 該設(shè)備的遠(yuǎn)程IP地址未作嚴(yán)格限定，允許任何IP地址進(jìn)行遠(yuǎn)程管理，存在一定的安全隱患。DSP198199 工行前置機(jī)7 農(nóng)行前置機(jī)3 39。 39。any 39。DSP14 39。 39。any 39。any 39。 39。tcp8088 39。web1 web2 web3 web4 web5 39。VPN 39。TCP6800 39。建行前置機(jī)1 建行前置機(jī)2 39。建行服務(wù)器2 建行服務(wù)器3 建行服務(wù)器1 39。SMTP POP3 39。郵件服務(wù)器 39。OM_APP1 OM_APP2 OM_APP3 OM_APP4 OM_APP5 OM_Task1 OM_Task2 OM_Report 39。HTTP HTTPS MySQL TCP5656 TCP5462 TCP5501 PING 39。RA服務(wù)器 39。 39。HTTP HTTPS MySQL TCP5656 TCP5462 TCP5501 39。CA服務(wù)器 39。RA服務(wù)器 39。TCP8721 TCP12020 TCP12500 PING 39。建行服務(wù)器2 建行服務(wù)器3 建行服務(wù)器1 39。建行前置機(jī)1 建行前置機(jī)2 39。HTTPS PING 39。中行服務(wù)器 39。中行前置機(jī)1 中行前置機(jī)2 39。TCP14029 TCP14031 PING 39。農(nóng)行服務(wù)器 39。農(nóng)行前置機(jī)1 農(nóng)行前置機(jī)2 農(nóng)行前置機(jī)3 農(nóng)行前置機(jī)4 39。TCP446 PING 39。工行服務(wù)器 39。工行前置機(jī)1 工行前置機(jī)2 工行前置機(jī)3 工行前置機(jī)4 工行前置機(jī)5 工行前置機(jī)6 工行前置機(jī)7 工行前置機(jī)8 39。PING SSH HTTPS 39。防火墻 39。 39。HTTPS PING SSH tcp8080 TELNET 39。VPN RA VPN1 39。any 39。日志服務(wù)器 測(cè)試服務(wù)器 測(cè)試服務(wù)器2 39。 39。EPMAP(TCP) MICROSOFTDS(TCP) MICROSOFTDS(UDP) EPMAP(UDP) MSTerminal 39。web1 OM_APP1 DSP1 39。 39。TELNET EPMAP(TCP) MICROSOFTDS(TCP) SQLNet_1521 MSTerminal DNS_Transfer 39。數(shù)據(jù)庫服務(wù)器1 數(shù)據(jù)庫服務(wù)器2 數(shù)據(jù)庫虛地址 39。 39。安全評(píng)估掃描39。 39。vlan350 接資金系統(tǒng)統(tǒng) 39。 39。 39。 39。 39。any 39。VPN1 VPN 39。 39。 39。中行服務(wù)器 39。中行前置機(jī)1 中行前置機(jī)2 39。建行服務(wù)器2 建行服務(wù)器3 建行服務(wù)器1 39。建行前置機(jī)1 建行前置機(jī)2 39。工行服務(wù)器 39。工行前置機(jī)1 工行前置機(jī)2 工行前置機(jī)3 工行前置機(jī)4 工行前置機(jī)5 工行前置機(jī)6 工行前置機(jī)7 工行前置機(jī)8 39。農(nóng)行服務(wù)器 39。農(nóng)行前置機(jī)1 農(nóng)行前置機(jī)2 農(nóng)行前置機(jī)3 農(nóng)行前置機(jī)4 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。 39。eth3 39。eth2 39。eth1 39。eth0 39。但是該系統(tǒng)的安全認(rèn)證交換機(jī)、服務(wù)器區(qū)交換機(jī)無備件，存在單點(diǎn)故障危險(xiǎn)，一旦上述設(shè)備出現(xiàn)故障將會(huì)影響資金管理系統(tǒng)的正常運(yùn)行。資金管理系統(tǒng)使用數(shù)字證書作為用戶身份的唯一標(biāo)識(shí)，用戶在登陸該系統(tǒng)時(shí)必須使用usbkey進(jìn)行登陸，實(shí)現(xiàn)了該系統(tǒng)的強(qiáng)身份認(rèn)證，同時(shí)服務(wù)器區(qū)防火墻設(shè)置安全策略，禁止用戶直接訪問資金管理系統(tǒng)，用戶需要通過SSLVPN的認(rèn)證，認(rèn)證通過后才能訪問該系統(tǒng)。 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)說明資金管理系統(tǒng)網(wǎng)絡(luò)邊界部署有2臺(tái)天融信NGFW4000防火墻，通過配置嚴(yán)格的訪問控制策略實(shí)現(xiàn)邊界防護(hù)，外網(wǎng)防火墻采取主－備模式實(shí)現(xiàn)設(shè)備的冗余部署，有效防止了單點(diǎn)故障。中風(fēng)險(xiǎn)漏洞漏洞會(huì)泄露使攻擊者獲得系統(tǒng)訪問權(quán)的信息。2. 人工檢查Checklist集合天融信多年的安全服務(wù)經(jīng)驗(yàn)，依據(jù)等級(jí)保護(hù)、SOX、PCI法案以及各種安全基線制訂的checklist進(jìn)行安全檢查。在Nessus中還采用了一個(gè)共享的信息接口，稱之知識(shí)庫，其中保存了前面進(jìn)行檢查的結(jié)果。該系統(tǒng)被設(shè)計(jì)為client/sever模式，服務(wù)器端負(fù)責(zé)進(jìn)行安全檢查，客戶端用來配置管理服務(wù)器端。 是否存在弱口令； 評(píng)估工具選擇1. 漏洞掃描工具Nessus安全掃描軟件Nessus是一個(gè)功能強(qiáng)大而又易于使用的遠(yuǎn)程安全掃描器，它不僅免費(fèi)而且更新極快。 系統(tǒng)開放的端口號(hào)；216。這樣就允許管理員偵測(cè)和管理安全風(fēng)險(xiǎn)信息。 6臺(tái)安全設(shè)備 評(píng)估方法利用網(wǎng)絡(luò)掃描工具、安全評(píng)估工具和人工評(píng)估工具，檢查資產(chǎn)的弱點(diǎn)，從而識(shí)別能被入侵者用來非法進(jìn)入網(wǎng)絡(luò)的漏洞。 2臺(tái)數(shù)據(jù)庫252。 6臺(tái)Windows主機(jī)252。 識(shí)別被評(píng)估系統(tǒng)存在的應(yīng)用系統(tǒng)安全漏洞評(píng)估完成后，將進(jìn)行加固，保障系統(tǒng)安全。 目的本期安全服務(wù)項(xiàng)目，包括安全評(píng)估，將在技術(shù)層上進(jìn)行評(píng)估，以實(shí)現(xiàn)以下安全評(píng)估目標(biāo)：216。為了充分了解客戶當(dāng)前的網(wǎng)絡(luò)安全威脅狀況，需要利用一些常用的掃描工具、應(yīng)用軟件以及人工分析的等方式獲得客戶中重要服務(wù)器的各類數(shù)據(jù)。然后根據(jù)掃描結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報(bào)告，為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。安全評(píng)估是網(wǎng)絡(luò)安全防御中的一項(xiàng)重要技術(shù)，其原理是根據(jù)已知的安全漏洞知識(shí)庫，對(duì)目標(biāo)可能存在的安全隱患進(jìn)行逐項(xiàng)檢查。為保證企業(yè)富有競(jìng)爭(zhēng)力，保持現(xiàn)金流順暢和贏利，以及維護(hù)企業(yè)的良好商業(yè)形象，信息安全的三要素保密性、完整性和可用性都是至關(guān)重要的。如果你不是有意接受者，請(qǐng)注意對(duì)這份文件內(nèi)容的任何形式的泄露、復(fù)制或散布都是被禁止的。北京天融信公司安全服務(wù)事業(yè)部負(fù)責(zé)對(duì)本文檔的解釋。資金管理系統(tǒng)風(fēng)險(xiǎn)評(píng)估報(bào)告2010年12月天融信公司 安全服務(wù)事業(yè)部安全和管理服務(wù)系統(tǒng)總體設(shè)計(jì)方案64 / 64文檔信息項(xiàng)目名稱PICC安全服務(wù)項(xiàng)目文檔編號(hào)版本號(hào)日期參與人員更新說明20101231王沖、胡浩分發(fā)控制編號(hào)讀者文檔權(quán)限與文檔的主要關(guān)系PICC版權(quán)說明本文件中出現(xiàn)的全部?jī)?nèi)容，除另有特別注明，版權(quán)均屬北京天融信公司所有。任何個(gè)人、機(jī)構(gòu)未經(jīng)北京天融信公司的書面授權(quán)許可，不得以任何方式復(fù)制或引用文件的任何片斷。保密申明本文件包含了來自北京天融信的可靠、權(quán)威的信息，接受這份文件表示同意對(duì)其內(nèi)容保密并且未經(jīng)北京天融信公司書面請(qǐng)求和書面認(rèn)可，不得復(fù)制，泄露或散布這份文件。目 錄1 簡(jiǎn)介企業(yè)對(duì)信息技術(shù)和服務(wù)的依賴意味著自身更容易受到安全威脅的攻擊。 對(duì)于一個(gè)特定的網(wǎng)絡(luò)，為了實(shí)現(xiàn)其網(wǎng)絡(luò)安全的目標(biāo)，就是要在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，明確系統(tǒng)中所存在的各種安全風(fēng)險(xiǎn)，并制訂相應(yīng)的安全策略，通過網(wǎng)絡(luò)安全管理和各種網(wǎng)絡(luò)安全技術(shù)的實(shí)施，從而達(dá)到網(wǎng)絡(luò)安全的目標(biāo)。目標(biāo)可以包括工作站、服務(wù)器、交換機(jī)、路由器、數(shù)據(jù)庫等各種網(wǎng)絡(luò)對(duì)象和應(yīng)用對(duì)象。在網(wǎng)絡(luò)安全體系的建設(shè)中，安全掃描工具花費(fèi)低、效果好、見效快、與網(wǎng)絡(luò)的運(yùn)行相對(duì)獨(dú)立、安裝運(yùn)行簡(jiǎn)單，可以大規(guī)模減少安全管理員的手工勞動(dòng)，有利于保持全網(wǎng)安全政策的統(tǒng)一和穩(wěn)定。在掃描之后，將掃描系統(tǒng)獲得的報(bào)告匯集成為一個(gè)當(dāng)前系統(tǒng)漏洞評(píng)估報(bào)告，同時(shí)根據(jù)漏洞情況提供加強(qiáng)網(wǎng)絡(luò)安全的建議。 識(shí)別被評(píng)估系統(tǒng)存在的操作系統(tǒng)遠(yuǎn)程安全漏洞216。 范圍本次安全評(píng)估范圍如下：252。 2臺(tái)linux主機(jī)252。 2臺(tái)網(wǎng)絡(luò)設(shè)備252。生成網(wǎng)絡(luò)掃描評(píng)估報(bào)告，提交檢測(cè)到的漏洞信息，包括位置和詳細(xì)描述。掃描內(nèi)容包括：216。 系統(tǒng)中存在的安全漏洞；216。安全掃描器的功能是對(duì)指定網(wǎng)絡(luò)進(jìn)行安全檢查，找出該網(wǎng)絡(luò)是否存在有導(dǎo)致對(duì)手攻擊的安全漏洞。在服務(wù)端還采用了plugin的體系，允許用戶加入執(zhí)行特定功能的插件，這