下面是小编为大家整理的资金咨询平台系统评估报告(资金咨询平台系统风险评估报告),供大家参考。
目 录 1 1
系统概要 ................................................................................................................................. 3
2 2
系统运行环境 ......................................................................................................................... 3
3 3
技术安全隐患分析 .................................................................................................................. 3
3.1
漏洞分布情况 ......................................................................................................................... 3
3.2
漏洞类型分析 ......................................................................................................................... 4
3.3
漏洞后果分析 ......................................................................................................................... 5
4 4
风险分析 ................................................................................................................................. 5
1 系统概要 资金咨询平台是供资金研究所的人写报告并向客户发报告之用;基金咨询研究平台则是将每日由中国证券报等机构通过公网邮件发给银河证券资金研究所基金研究中心的数据抄入自己研发的系统得到报表,然后将报表修饰后发给公共媒体。
2 系统运行环境 系统环境如下所示:
序号
P IP 地址
操作系统
用
途
1
Windows 资金咨询平台 WEB 服务器 2
Windows 资金咨询平台数据库 3
Windows WIND 数据库 4
Windows WIND 数据终端更新 5
Windows 研究咨询 WEB 服务器 6
Windows 研究咨询平台数据库(主)
7
Windows 研究员用平台数据库备机 3 技术安全隐患分析 3.1 漏洞分布情况 本系统共有 7 台服务器,漏洞分布情况如下:
3, 43%0, 0%0, 0%4, 57%非常危险比较危险比较安全非常安全 说明:
1)3 台服务器非常危险,占总数的 43%; 2)4 台服务器非常安全,占总数的 57%。
具体如下:
P IP 地址
操作系统
高
中
低
危险程度
用
途
Windows 6 17 63 非常危险 研究咨询平台数据库(主)
Windows 5 19 43 非常危险 研究员用平台数据库备机
Windows 5 19 43 非常危险 资金咨询平台数据库
Windows 0 2 46 非常安全 WIND 数据库
Windows 0 1 44 非常安全 研究咨询 WEB 服务器
Windows 0 2 18 非常安全 WIND 数据终端更新
Windows 0 0 20 非常安全 资金咨询平台 WEB 服务器 3.2 漏洞类型分析 漏洞类型分析如下:
说明:
操作系统
服务器
高风险漏洞
中风险漏洞
低风险漏洞
Windows 7
16
60
277
Linux 0
0
0
0
HP-UX 0
0
0
0
3.3 漏洞后果分析 1)高风险漏洞可能导致后果有:远程执行命令或者代码。
2)中风险漏洞可能导致严重后果有:本地权限提升,远程拒绝服务。
3)低风险漏洞可能导致后果有:远程泄露本机信息。
4 风险分析 对以上结果进行综合风险分析如下:
序号
风险名称
风险描述
风险等级
利用弱点
威胁源
威胁方式
可能影响
现有措施
可能性
影响
等级
1 系统被远程控制 1、等服务器存在 RPC 请求缓冲区溢出漏洞(MS08-067); 2、等服务器 MS SQL Server 默认及易猜测账号存外部恶意人员;内部恶意人员; 利用这些漏洞,可以以管理员权限控制服务器。
控制相关服务器后,不仅影响该服务器的安全,如数据被窃取、被篡改;同时还可以此服务器作为跳板进行非目前已有以下措施来降低风险:
1、通过防火墙做安全防护,可以在网络层面防止外来的非法入侵。
2、部署了 IDS3 3 中
在弱口令 法操作。
系统,可及时发现攻击行为或异常行为 2 系统被拒绝服务 服务器存在Apache 连接阻挡远程拒绝服务攻击漏洞、服务器存在 MS SQL SERVER 7.0及 2000 命名管道远程拒绝服务攻击漏洞等。
外部恶意人员;内部恶意人员; 远程攻击者可能利用此漏洞对服务器执行拒绝服务攻击。
服务器停止正常的服务。
目前已有以下措施来降低风险:
1、通过防火墙做安全防护,可以在网络层面防止外来的非法入侵。
2、部署了 IDS系统,可及时发现攻击行为或异常行为。
1 2 低 3 系统被信息探测 系统中存在较多的可以获取系统信息的漏洞、服务,如允许匿名链接枚举系统帐号等。
外部恶意人员;内部恶意人员; 通过漏洞扫描等工具进行信息探测,获得系统内主机和配置服务信息,进行进一步的攻击。
通常对系统不造成直接影响,但对攻击者是有用信息,可进行进一步的攻击。
1、在防火墙上做访问控制;2、部署了 IDS 系统,可及时发现非法访问; 2 1 低 4 蠕虫病毒传播 利用系统存在的多个高、中、低风险漏洞。
恶意代码 恶意代码利用系统存在的漏洞在网络感染系统,并进行传输。
网络拥塞甚至业务中断 目前已有以下措施来降低风险:
1、防火墙做了访问控制; 2、系统已安装桌面防病毒软件; 1 3 低 5 口令被泄露 个别系统存在弱口令; 个别系统采用默认口令; 外部恶意人员;内部恶意人员; 非授权用户通过泄露的口令非法访问系统。
系统非授权访问,甚至服务器上敏感信息被泄露或被纂改。
针对口令泄露有如下控制措施:
1、有相关口令管理的制度。
2 2 低 6 授权被滥用
大部分系统存在多人共用超级用户管理员进行系统管理的弱点。
内部人员 无恶意内部人员可能由于权利过大,操作失误而导致意外的损失; 恶意内部人员可能登录系导致数据丢失,数据泄露,数据被篡改。
2 4 中
统,进行非法操作。
7 内控失效 操作系统管理员、应用系统管理员职责分离不彻底,每人承担多项任务。
缺少审计机制。
内部恶意人员 利用自己正常的权利,故意修改数据、舞弊或窃取秘密信息从中捞取利益 可能会造成信息泄露,数据也可能会造成被篡改。
2 3 中 针对以上高、中风险,整改建议如下:
1、对存在高风险的漏洞的服务器按照如下建议进行整改:
漏洞
整改建议
相关服务器
Oracle 多个PL/SQL 注入漏洞 建议登陆/检查当前所用 Oracle 版本的补丁情况并更新至最新,以避免潜在的安全威胁。
Oracle TNS Listener 执行 任 意 库调用漏洞 建议 Oracle 9i 9.0.1 安装patchset 4 升级到 9.0.1.4 以上、Oracle 9i 9.2 安装 patchset 2 升级到 9.2.0.2 以上版本或采用更新版本的 Oracle 10g。
Oracle 9i 9.0.1 patchset 4、Oracle 9i 9.2 patchset 2 可从 Oracle metalink 站点下载:
Oracle 数据 库 服 务器 登 录 长用 户 名 缓冲 区 溢 出漏洞 强烈建议您登陆/检查当前所用 Oracle 版本的补丁情况并更新至最新,以避免潜在的安全威胁。
Oracle已经发布补丁号为2620726的补丁,用户可以在Oracle Worldwide Support Services web site 下载补丁:
点击补丁按钮,进入补丁 WEB 页面,输入 BUG 号码 2620726下载。
2、严格按照密码规定设置口令,杜绝弱口令现象的存在。
弱口令
整改建议
相关服务器
Oracle tnslsnr 没有设置口令 建议切换到 oracle 的管理员,执行下列命令 $ORACLE_HOME/bin/lsnrctlLSNRCTL> change_password Old password: <原来的口令> <-- 如果原来没有设置口令就直接回车,否则输入原来的口令 New password: <新口令> Reenter new password: <新口令> Connecting to
(ADDRESS=(PROTOCOL=ipc)(KEY=XXX)) Password changed for LISTENER The command completed successfully
LSNRCTL> set password Password: <输入新口令> LSNRCTL> save_config (此步重要,保存当前设置) Oracle 数据库 8i、9i默认用户存在弱口令 建议为这些用户名设置足够强壮的口令或锁定无用的默认用户。
连接至 Oracle 后使用如下命令修改口令:
ALTER USER username IDENTIFIED BY newpassword 连接至 Oracle 后使用如下命令锁定账号:
ALTER USER username ACCOUNT LOCKh
3、针对授权被滥用风险,应该对不同的管理员赋予不同的管理权限,超级用户管理员权限应该由两个人共同管理。
4、对于内控失效风险,应该进行职责分离,操作系统管理员、应用系统管理员、数据库管理员应该由不同的人担任,并且部署审计系统或者开启系统审核功能以加强审计力度。