1 信息系统脆弱性调研报告 2 目录 目录 ......................................................................................................................................................................................... 2 1 脆弱性调研概述 ............................................................................................................................................................ 3 2 资产脆弱性识别 ............................................................................................................................................................ 3 2.1 基础环境脆弱性识别 .......................................................................................................................................... 3 2.2 技术脆弱性识别 .................................................................................................................................................. 5 2.2.1 远程脆弱性识别.............................................................................................................................................. 6 2.2.1.1 网络设备类 ............................................................................................................................................................. 6 2.2.1.2 主机系统及核心应用类.......................................................................................................................................... 7
3 脆弱性分析 .................................................................................................................................................................. 14 3.1 资产脆弱性的调研方法 .................................................................................................................................... 14 3.2 综合脆弱性分析 .................................................................................................................................................. 1 3.2.1 基础环境综合脆弱性分析 .............................................................................................................................. 1 3.2.2 技术综合脆弱性分析 ...................................................................................................................................... 1
4 调研结果分析 ................................................................................................................................................................ 1 3
1 脆弱性调研概述 脆弱性是指资产或资产组中能被威胁所利用的弱点,它包括物理环境、组织机构、业务流程、人员、管理、硬件、软件及通讯设施等各个方面,这些都可能被各种安全威胁利用来侵害一个组织机构内的有关资产及这些资产所支持的业务系统。这些表现出来的各种安全薄弱环节自身并不会造成什么危害,它们只有在被各种安全威胁利用后才可能造成相应的危害。某些目前看来不会导致安全威胁的弱点可理解为是可以容忍接受的,但它们必须被记录下来并持续改进,以确保当环境、条件发生变化时,这些弱点所导致的安全威胁不会被忽视,并能够控制在可以承受的范围内。需要注意的是不正确的、起不到应有作用的或没有正确实施的安全保护措施本身就可能是一个安全薄弱环节。 在这一阶段,将针对每一项需要保护的信息资产,找出每一种威胁所能利用的脆弱性,并对脆弱性的严重程度进行调研,换句话说,就是对脆弱性被威胁利用的可能性进行调研,最终为其赋予相对的等级值。在进行脆弱性调研时,提供的数据应该来自于这些资产的拥有者或使用者,以及来自于相关业务领域的专家以及软硬件信息系统方面的专业人员。 在本次调研中,将从基础环境、技术两个方面进行脆弱性调研。其中在技术方面主要是通过远程和本地两种方式进行工具扫描、手工检查、渗透测试等方式进行调研,以保证脆弱性调研的全面性和有效性。
2 资产脆弱性识别 在此次调研中,从基础环境脆弱性、技术脆弱性两个方面进行了脆弱性识别检查。 2.1 基础环境脆弱性识别 基础环境脆弱性主要是对信息系统所处的物理环境即机房、线路、客户端的支撑设施等进行脆弱性识别,为后续脆弱性分析及综合风险分析提供参考数据。查看的情况如下: 编号 查看内容 描述 判定结果 1 物理位置:机房和办公场地选择在具有防震、防风和防雨等能力的建筑内。 机房和办公场地的环境条件能够满足信息系统业务需求和安全管理需求,具有8级防震、防风和防肯定 4
雨等能力; 2 物理访问控制: a) 机房出入口安排专人值守,鉴别进入的人员身份并登记在案; b) 需进入机房的来访人员经过申请和审批流程,并限制和监控其活动范围。 a) 控制机房进出口有专人负责,有门禁系统; b) 机房值守人员认真执行有关机房出入的管理制度,对进入机房的人员记录在案,不存在专人值守之外的其他出入口; c) 机房安全管理制度悬挂在墙面,对机房出入方面有详细规定; 肯定
3 防盗窃和防破坏: a) 将主要设备放置在物理受限的范围内; b) 对设备或主要部件进行固定,并设置明显的不易除去的标记; c) 将通信线缆铺设在隐蔽处,如铺设在地下或管道中等; d) 主机房安装必要的防盗报警设施,以防进入机房的盗窃和破坏行为。 a) 主要设备放置位置安全可控,设备或主要部件进行了固定和标记,通信线缆铺设在隐蔽处;对机房安装的防盗报警设施进行定期维护检查; b) 机房防盗报警设施正常运行,有运行和报警记录; 肯定
防雷击: a) 机房建筑设置避雷装置; b) 机房设置交流电源地线。 a) 机房建筑设置了避雷装置,通过验收或国家有关部门的技术检测;机房计算机供电系统有交流电源地线; b) 机房计算机系统接地(符合GB50174-93《电子计算机机房设计规范》的要求;
肯定
防火:机房设置灭火设备和火灾自动报警系统,并保持灭火设备和火灾自动报警系统的良好状态。 机房设置了灭火设备,设置了火灾自动报警系统,有人负责维护该系统的运行,制订了有关机房消防的管理制度和消防预案,进行了消防
肯定 5
培训; 防静电:关键设备采用必要的接地防静电措施。 a) 关键设备采用必要的接地防静电措施; b) 机房不存在静电问题; c) 关键设备是有安全接地,机房不存在明显的静电现象。
肯定
温湿度控制:机房设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 a) 机房配备了温湿度自动调节设施,保证温湿度能够满足计算机设备运行的要求,在机房管理制度中规定了温湿度控制的要求, b) 温湿度自动调节设施能够正常运行。
肯定
电力供应: a) 在机房供电线路上设置稳压器和过电压防护设备; b) 提供短期的备用电力供应(如:UPS设备),至少满足关键设备在断电情况下的正常运行要求。 计算机系统供电线路上设置了稳压器和过电压防护设备;设置了短期备用电源设备如UPS,供电时间满足系统关键设备最低电力供应需求;
肯定
备注 物理基础环境调研,各方面措施规范完备。 2.2 技术脆弱性识别 在此次调研中,主要采用安全扫描、手工检查、问卷调查、人工问询等方式对调研工作范围内的网络设备、主机系统及核心应用进行系统脆弱性识别。 通过识别小组和协调小组成员在现场的安全扫描、手工检查、问卷调查、人工问询识别出了当前的技术脆弱性如下: