安全审计报告文档密级：机密文档编号：ENB-MS-SEC-ACT-1.0.1文档版本号：1.0发布新昆仑支付有限公司二○一二年九月文档信息分发控制目录第一章概述 (4)1.1.项目背景 (4)1.2.评估范围 (4)第二章风险评估概况 (5)2.1.风险评估时间 (5)2.2.风险评估地点 (5)2.3.风险评估任务 (5)2.4.风险评估参与人员 (5)第三章风险评估步骤 (6)第四章评估结果分析 (7)4.1.物理安全 (7)4.2.管理安全 (9)4.3.系统安全 (9)4.4.脆弱性评估概况 (9)4.4.1.操作系统平台统计 (10)4.4.2.安全等级统计 (10)4.4.3.扫描结果建议 (11)4.5.脆弱性评估详细结果 (12)第五章风险评估总结 (26)第一章概述1.1.项目背景根据相关行业主管部门的要求，当单位信息系统投入正式生产之前，或是发生重大改动的时候需要对新信息系统进行全方位的风险评估，并根据风险评估结果采取适当的防护措施以降低信息系统安全风险，保证新信息系统的实施不会导致原有信息系统的安全水平降低。

上海亚太信息技术有限公司NPSS小组承担了新昆仑支付有限公司互联网支付平台系统的风险评估工作。

1.2.评估范围本次风险评估的范围明确确定为与新昆仑支付有限公司互联网支付平台相关的服务器及网络设备，其它信息系统不做评估。

第二章风险评估概况2.1.风险评估时间2012.09.24~2012.09.262.2.风险评估地点上海市荣华东道79弄2号3052.3.风险评估任务填写安全评估调查表；安全漏洞扫描；服务器手工检查2.4.风险评估参与人员第三章风险评估步骤上海亚太计算机信息系统有限公司安全服务工安全服务工作小组负责执行本次项目的风险评估任务。

经过与新昆仑支付有限公司安全负责人员商讨与确认，按照下面的步骤执行信息安全风险评估：1、填写安全评估调查表；2、确定目标信息；3、对目标服务器进行网络漏洞扫描和测试；4、在各个服务器的内部，进行安全检查和分析。

第四章评估结果分析本次风险评估的目标主要是新昆仑支付有限公司新昆仑支付平台中的 3台Windows2008服务器、2台Redhat Linux服务器和2台Oracle服务器，这些设备分别位于办公内网、DMZ及DB三个区域，各服务器的IP 地址分配和操作系统如下：风险评估，我们分别从物理安全、管理安全和系统安全三个方面得出如下几点结论。

4.1.物理安全1机房的访问控制不够严密，缺乏进入机房进行登记的措施。

2机关视频会议室与计算机机房位于同一个区域，由于混合区域的门禁卡与进入机房的门禁卡是同一张，没有进行相应权限上的严格划分，这样非管理人员就很容易从物理上接触到服务器，而在现有服务器的访问控制下，只要能从物理上接触到服务器，就完全控制了别台服务器。

3机房没有针对无线网络及通信线缆防窃听的防护措施。

4.2.管理安全1.没有针对对关键信息资产的保密措施2. 没有采用异地备份机制，在重大灾难发生后，无法恢复业务运行。

3. 没有有效的漏斗修补及安全维护机制4. 没有文档化的风险管理和风险消除计划5.关键业务系统及重要硬件设备没有制定规范的操作流程4.3.系统安全由于已经在第一次风险评估的基础上对相关服务器采取了安全加固措施，在本次风险评估中发现信息系统的安全风险已经大大降低，对于仍然存在的安全隐患通过与系统建设方进行充分沟通，主要分两种情况通过两种方式进行处理：1.服务器管理员口令的威胁。

信息系统目前仍然处于开发调试阶段，并没有正式上线运行，为了便于系统调试服务器设置了简单口令，系统建设方已经承诺在系统正式上线之前严格按照管理规定重新设置，消除简单口令和弱口方带来的系统风险。

2. Oracle tnslsnr漏洞。

由于此服务和系统应用紧密相关，无法进行修补，只有采取接受风险。

4.4.脆弱性评估概况本次脆弱性评估涉及对象是7台服务器，下面分别从操作系统平台及安全等级进行了统计。

4.4.1.操作系统平台统计4.4.2.安全等级统计4.4.3.扫描结果建议需要立即处理的主机列表4.5.脆弱性评估详细结果192.168.31.119主机安全综述主机信息端口信息如�图所�：该主��有12个漏洞�中：紧急漏洞有0个��漏I P地址192.168.31.119主机名SHGLC0工作组WORKGROUP操作系统Microsoft Windows 2008 Server R2Mac地址00-14-5E-3F-62-E0端口类型服务名称服务描述返回值80 TCPht t p Wor l dWide webHTTP一个web服正在该端口上运行;这是它的banner : ;HTTP/ 1. 1 200 OK ; Cont ent -Lengt h: 1193 ; Cont ent-Type: t ext / ht ml ; Cont ent -Locat i on: ht t p: / /192.168.31.119/ i i sst ar t . ht m ; Last -Modi f i ed: Fr i ,21 Feb 2003 12: 15: 52 GMT ; Accept -Ranges: byt es ;ETag: " 0ce1f 9a2d9c21: 3f 3" ; Ser ver :漏洞详细信息Mi cr osof t -I I S/ 6. 0 ; Dat e:M on , 21 May 2007 04: 54: 25 GMT ; Connect i on:cl ose ; ; <html > ;; <head> ; <met aHTTP-EQUI V=" Cont ent -Type" Cont ent =" t ext / ht ml ;char set =gb2312" >; ; ; <t i t l eI D=t i t l et ext >建设中 </ t i t l e> ; </ head> ; ; <body bgcol or =whi t e> ; <t abl e;192.168.35.141主机安全综述主机信息端口信息如�图所�：该主��有35个漏洞�中：紧急漏洞有0个��漏洞有0个��漏洞有2个��漏洞有12个信息漏洞有21个CVSS��：4. 87 ��等��比较危�I P地址192.168.35.141主机名称SHGLC1工作组WORKGROUP操作系统Microsoft Windows 2008 Server R2Mac地址00-14-5E-BD-C5-D8端口类型服务名称服务描述返回值7TCPecho 一个echo服务正在该端口上运行;9TCPdiscar d sink nul l " di scard"服务可能在该端口上运行. ; ;13 TCPdaytime" dayt i me"服务可可能在该端口上运行. ; ;这是它的banner : ; 31 32 3a 35 38 3a 33 35 20 32 30 30 37 2d 352d 12: 58: 35 2007-5-; 32 31 0a 21 ;17 TCPqotd Quot e of t heDay" qot d"服务可能在该端口上运行. ; ;这是它的banner : ;22 4d 79 20 73 70 65 6c 6c 69 6e 67 20 69 73 20 " Myspel l i ng i s ; 57 6f 62 62 6c 79 2e 20 20 49 74信息192.168.35.142主机安全综述主机信息如右图所示：该主机共有38个漏洞�中：紧急漏洞有0个高级漏洞有0个中级漏洞有2个�级漏洞有13个信息漏洞有23个CVSS��：4. 87安全等级：比较危险I P地址192.168.35.142主机名称SHGLC2工作组WORKGROUP操作系统Microsoft Windows 2008 Server R2 Mac地址00-14-5E-BD-C4-D4端口信Array息漏洞详细信息192.168.31.121主机安全综述如右图所示：该主机共有27个漏洞�中：紧急漏洞有0个高级漏洞有0个中级漏洞有1个�级漏洞有8个信息漏洞有18个CVSS��：4. 87安全等级：比较危险主机信息端口信息漏洞详细信息、192.168.31.122主机安全综述漏洞�号 26059CVSS 分值 0漏洞名称 获取ssh 服务信息 危险级别 NPVL-E(信息) 应用类别 其它 相关端口号 22/ t cpCVE 号 Bugt r aq 号 CVSS 是否认证CVSS_访问位置CVSS 利用难度CVSS 确认情况 无 返回信息不能登陆远程主机漏洞描述 本策略检测出主机ssh 服务的信息，请检查返回信息的结果即为ssh 服务信息。

解决办法可以有针对性的隐藏ssh 服返回信息如�图所�：该主机�有3个漏洞 �中：紧急漏洞有0个高级漏洞有0个中级漏洞有0个 �级漏洞有1个信息漏洞有2个 CVSS ��：0安全等级：比较安全主机信息端口信息漏洞详细信息192.168.31.116主机安全综述主机信息端口信息如�图所�：该主��有16个漏洞�中：紧急漏洞有0个��漏洞有3个��漏洞有1个��漏洞有1个信息漏洞有11个CVSS��：8. 7 ��等���度危�I P�址192.168.31.116主机名称SHGLGLC02工作组WORKGROUP操作系统Linux 5.6Mac地址00-14-5E-19-F4-BA漏洞详细信息192.168.31.117 主机安全综述主机信息端口信息如�图所�：该主��有11个漏洞�中：紧急漏洞有0个��漏洞有1个��漏洞有0个��漏洞有2个信息漏洞有8个CVSS��：1. 14 ��等��临界��I P�址192.168.31.117主机名称SHGLGLC02工作组WORKGROUP操作系统Linux 5.6Mac地址00-14-5E-19-F4-BA漏洞详细信息第五章风险评估总结此次对新昆仑支付有限公司的风险评估，我们收集到了大量的信息，通过对这些资料的分析，我们得出结论是：通过实施安全加固措施新昆仑支付有限公司新昆仑支付平台的信息安全状况有了相当大的改进，属于中低风险信息系统。

新昆仑支付有限公司新昆仑支付平台的信息安全达到了一可以控制和维护的程度，将风险降低到了可以接受的程度。