風(fēng)險評估報告-V10

資金管理系統(tǒng)風(fēng)險評估報告2010年12月天融信公司安全服務(wù)事業(yè)部

文檔信息項目名稱PICC安全服務(wù)項目文檔編號版本號日期參與人員更新說明V1.020101231王沖、胡浩分發(fā)控制讀者與文檔的主要關(guān)系PICC版權(quán)說明本文件中出現(xiàn)的全部內(nèi)容，除另有特別注明，版權(quán)均屬北京天融信公司所有。任何個人、機構(gòu)未經(jīng)北京天融信公司的書面授權(quán)許可，不得以任何方式復(fù)制或引用文件的任何片斷。北京天融信公司安全服務(wù)事業(yè)部負(fù)責(zé)對本文檔的解釋。保密申明本文件包含了來自北京天融信的可靠、權(quán)威的信息，接受這份文件表示同意對其內(nèi)容保密并且未經(jīng)北京天融信公司書面請求和書面認(rèn)可，不得復(fù)制，泄露或散布這份文件。如果你不是有意接受者，請注意對這份文件內(nèi)容的任何形式的泄露、復(fù)制或散布都是被禁止的。目錄TOC\o"1-5"\h\z1簡介5目的5范圍6評估方法6評估工具選擇62資產(chǎn)安全評估總結(jié)7資產(chǎn)評估對象及方法7漏洞嚴(yán)重級別定義7網(wǎng)絡(luò)安全風(fēng)險評估8網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)說明8網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)風(fēng)險分析8網(wǎng)絡(luò)與安全設(shè)備資產(chǎn)安全概述8網(wǎng)絡(luò)與安全設(shè)備資產(chǎn)安全風(fēng)險漏洞錯誤!未定義書簽。外網(wǎng)防火墻－主(93)9外網(wǎng)防火墻－備(93)17內(nèi)網(wǎng)防火墻－主(29)17內(nèi)網(wǎng)防火墻－備(29)25SSLVPN()風(fēng)險漏洞詳細(xì)描述25安全認(rèn)證交換機27服務(wù)器區(qū)交換機29服務(wù)器區(qū)交換機配置29服務(wù)器區(qū)交換機風(fēng)險漏洞詳細(xì)描述29主機系統(tǒng)安全綜合分析29Web服務(wù)器(8)30Web服務(wù)器(8)安全現(xiàn)狀30Web服務(wù)器(8)風(fēng)險漏洞詳細(xì)描述33Web服務(wù)器(9)34Web服務(wù)器(9)安全現(xiàn)狀34Web服務(wù)器(9)風(fēng)險漏洞詳細(xì)描述37Web服務(wù)器(0)39Web服務(wù)器(0)安全現(xiàn)狀39Web服務(wù)器(0)風(fēng)險漏洞詳細(xì)描述42Web服務(wù)器(1)43Web服務(wù)器(1)安全現(xiàn)狀43Web服務(wù)器(1)風(fēng)險漏洞詳細(xì)描述46Web服務(wù)器(2)47Web服務(wù)器(2)安全現(xiàn)狀47Web服務(wù)器(2)風(fēng)險漏洞詳細(xì)描述50應(yīng)用服務(wù)器(32)52應(yīng)用服務(wù)器(32)安全現(xiàn)狀52應(yīng)用服務(wù)器(32)風(fēng)險漏洞詳細(xì)描述55數(shù)據(jù)庫服務(wù)器(66)56數(shù)據(jù)庫服務(wù)器(66)安全現(xiàn)狀56數(shù)據(jù)庫服務(wù)器(66)風(fēng)險漏洞詳細(xì)描述57數(shù)據(jù)庫服務(wù)器(67)58數(shù)據(jù)庫服務(wù)器(66)安全現(xiàn)狀58數(shù)據(jù)庫服務(wù)器(66)風(fēng)險漏洞詳細(xì)描述59應(yīng)用安全綜合分析60數(shù)據(jù)庫安全綜合分析60Oracle數(shù)據(jù)庫(66)風(fēng)險漏洞詳細(xì)描述60Oracle數(shù)據(jù)庫(67)風(fēng)險漏洞詳細(xì)描述61數(shù)據(jù)傳輸安全綜合分析611簡介企業(yè)對信息技術(shù)和服務(wù)的依賴意味著自身更容易受到安全威脅的攻擊。為保證企業(yè)富有競爭力，保持現(xiàn)金流順暢和贏利，以及維護(hù)企業(yè)的良好商業(yè)形象，信息安全的三要素保密性、完整性和可用性都是至關(guān)重要的。對于一個特定的網(wǎng)絡(luò)，為了實現(xiàn)其網(wǎng)絡(luò)安全的目標(biāo)，就是要在網(wǎng)絡(luò)安全風(fēng)險評估的基礎(chǔ)上，明確系統(tǒng)中所存在的各種安全風(fēng)險，并制訂相應(yīng)的安全策略，通過網(wǎng)絡(luò)安全管理和各種網(wǎng)絡(luò)安全技術(shù)的實施，從而達(dá)到網(wǎng)絡(luò)安全的目標(biāo)。安全評估是網(wǎng)絡(luò)安全防御中的一項重要技術(shù)，其原理是根據(jù)已知的安全漏洞知識庫，對目標(biāo)可能存在的安全隱患進(jìn)行逐項檢查。目標(biāo)可以包括工作站、服務(wù)器、交換機、路由器、數(shù)據(jù)庫等各種網(wǎng)絡(luò)對象和應(yīng)用對象。然后根據(jù)掃描結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報告，為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。在網(wǎng)絡(luò)安全體系的建設(shè)中，安全掃描工具花費低、效果好、見效快、與網(wǎng)絡(luò)的運行相對獨立、安裝運行簡單，可以大規(guī)模減少安全管理員的手工勞動，有利于保持全網(wǎng)安全政策的統(tǒng)一和穩(wěn)定。為了充分了解客戶當(dāng)前的網(wǎng)絡(luò)安全威脅狀況，需要利用一些常用的掃描工具、應(yīng)用軟件以及人工分析的等方式獲得客戶中重要服務(wù)器的各類數(shù)據(jù)。在掃描之后，將掃描系統(tǒng)獲得的報告匯集成為一個當(dāng)前系統(tǒng)漏洞評估報告，同時根據(jù)漏洞情況提供加強網(wǎng)絡(luò)安全的建議。1.1目的本期安全服務(wù)項目，包括安全評估，將在技術(shù)層上進(jìn)行評估，以實現(xiàn)以下安全評估目標(biāo)：＞識別被評估系統(tǒng)存在的操作系統(tǒng)遠(yuǎn)程安全漏洞＞識別被評估系統(tǒng)存在的應(yīng)用系統(tǒng)安全漏洞評估完成后，將進(jìn)行加固，保障系統(tǒng)安全。1.2范圍本次安全評估范圍如下：?6臺Windows主機?2臺linux主機?2臺數(shù)據(jù)庫?2臺網(wǎng)絡(luò)設(shè)備?6臺安全設(shè)備1.3評估方法利用網(wǎng)絡(luò)掃描工具、安全評估工具和人工評估工具，檢查資產(chǎn)的弱點，從而識別能被入侵者用來非法進(jìn)入網(wǎng)絡(luò)的漏洞。生成網(wǎng)絡(luò)掃描評估報告，提交檢測到的漏洞信息，包括位置和詳細(xì)描述。這樣就允許管理員偵測和管理安全風(fēng)險信息。掃描內(nèi)容包括：＞系統(tǒng)開放的端口號；＞系統(tǒng)中存在的安全漏洞；＞是否存在弱口令；1.4評估工具選擇漏洞掃描工具Nessus安全掃描軟件Nessus是一個功能強大而又易于使用的遠(yuǎn)程安全掃描器，它不僅免費而且更新極快。安全掃描器的功能是對指定網(wǎng)絡(luò)進(jìn)行安全檢查，找出該網(wǎng)絡(luò)是否存在有導(dǎo)致對手攻擊的安全漏洞。該系統(tǒng)被設(shè)計為client/sever模式，服務(wù)器端負(fù)責(zé)進(jìn)行安全檢查，客戶端用來配置管理服務(wù)器端。在服務(wù)端還采用了plug-in的體系，允許用戶加入執(zhí)行特定功能的插件，這插件可以進(jìn)行更快速和更復(fù)雜的安全檢查。在Nessus中還采用了一個共享的信息接口，稱之知識庫，其中保存了前面進(jìn)行檢查的結(jié)果。檢查的結(jié)果可以HTML、純文本、LaTeX等幾種格式保存。2.人工檢查Checklist集合天融信多年的安全服務(wù)經(jīng)驗，依據(jù)等級保護(hù)、sox、PCI法案以及各種安全基線制訂的checklist進(jìn)行安全檢查。2資產(chǎn)安全評估總結(jié)2.1資產(chǎn)評估對象及方法2.2漏洞嚴(yán)重級別定義本文檔將根據(jù)安全掃描評估結(jié)果進(jìn)行統(tǒng)計，本項目中，我們對涉及到的風(fēng)險漏洞級別做如下定義：高風(fēng)險漏洞漏洞能夠使攻擊者直接獲得系統(tǒng)控制權(quán)限，或者繞過防火墻。中風(fēng)險漏洞漏洞會泄露使攻擊者獲得系統(tǒng)訪問權(quán)的信息。低風(fēng)險漏洞系統(tǒng)泄露的信息會使系統(tǒng)遭到攻擊。網(wǎng)絡(luò)安全風(fēng)險評估網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)說明資金管理系統(tǒng)網(wǎng)絡(luò)邊界部署有2臺天融信NGFW4000防火墻，通過配置嚴(yán)格的訪問控制策略實現(xiàn)邊界防護(hù)，外網(wǎng)防火墻采取主－備模式實現(xiàn)設(shè)備的冗余部署，有效防止了單點故障。該系統(tǒng)服務(wù)器部署在應(yīng)用安全區(qū)和數(shù)據(jù)庫安全區(qū)中，服務(wù)器區(qū)交換機劃分兩個VLAN,VLAN351和VLAN352，分別連接應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器。資金管理系統(tǒng)使用數(shù)字證書作為用戶身份的唯一標(biāo)識，用戶在登陸該系統(tǒng)時必須使用usbkey進(jìn)行登陸，實現(xiàn)了該系統(tǒng)的強身份認(rèn)證，同時服務(wù)器區(qū)防火墻設(shè)置安全策略，禁止用戶直接訪問資金管理系統(tǒng)，用戶需要通過SSLVPN的認(rèn)證，認(rèn)證通過后才能訪問該系統(tǒng)。圖1資金管理系統(tǒng)拓?fù)鋱D網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)風(fēng)險分析資金管理系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)清晰，各個安全域劃分明確，網(wǎng)絡(luò)安全設(shè)備均采取雙機熱備方式進(jìn)行冗余。但是該系統(tǒng)的安全認(rèn)證交換機、服務(wù)器區(qū)交換機無備件，存在單點故障危險，一旦上述設(shè)備出現(xiàn)故障將會影響資金管理系統(tǒng)的正常運行。網(wǎng)絡(luò)與安全設(shè)備安全綜合分析資產(chǎn)風(fēng)險合計主機咼風(fēng)險中風(fēng)險低風(fēng)險合計外網(wǎng)防火墻-主(93)0022外網(wǎng)防火墻-備(93)0022內(nèi)網(wǎng)防火墻-主(29)0022內(nèi)網(wǎng)防火墻-備(29)0022SSLVPN-主()0022

SSLVPN-備()0022安全認(rèn)證交換機0112服務(wù)器區(qū)交換機0213外網(wǎng)防火墻－主(93).1外網(wǎng)防火墻－主(93)配置分類具體配置備注網(wǎng)口信息networkinterfaceeth0ipaddmask52ha-staticnetworkinterfaceethlipaddmask52networkinterfaceeth2ipadd93mask92networkinterfaceeth3ipaddmask92路由信息networkrouteadddst4/26gw53metric1id101networkrouteadddst28/26gw53metrie1id102networkrouteadddst/0gwmetric1id100對象ID8002defineareaaddnamearea_eth0attribute'eth0'accessonvsid0ID8033defineareaaddname接中信國安attribute'eth1'accessonvsid0ID8034defineareaaddname接資金系統(tǒng)統(tǒng)attribute'eth2'accessonvsid0ID8041defineareaaddnamevlan350attribute'eth：'accessonvsid0ID8045definehostaddnameweb1ipaddr'8'vsid0ID8046definehostaddnameweb2ipaddr'9'vsid0ID8047definehostaddnameweb3ipaddr'0'vsid0ID8048definehostaddnameweb4ipaddr'1'vsid0

ID8049definehostaddnameweb5ipaddr'2'vsid0ID8050definehostaddnameweb6ipaddr'3'vsid0ID8051definehostaddname0M_APP1ipaddr'32'vsid0ID8052definehostaddnameOM_APP2ipaddr'33'vsid0ID8053definehostaddnameOM_APP3ipaddr'34'vsid0ID8054definehostaddnameOM_APP4ipaddr'35'vsid0ID8055definehostaddnameOM_APP5ipaddr'36'vsid0ID8056definehostaddnameOM_Task1ipaddr'56'vsid0ID8057definehostaddnameOM_Task2ipaddr'57'vsid0ID8058definehostaddnameOM_Reportipaddr'42'vsid0ID8059definehostaddname建行服務(wù)器2ipaddr'9'vsid0ID8060definehostaddname建行服務(wù)器3ipaddr'0'vsid0ID8061definehostaddname工行服務(wù)器ipaddr''vsid0ID8062definehostaddname農(nóng)行服務(wù)器ipaddr'0'vsid0ID8063definehostaddname中行服務(wù)器ipaddr'9'vsid0ID8064definehostaddname建行服務(wù)器1ipaddr'8'vsid0ID8068definehostaddname工行轉(zhuǎn)換地址ipaddr'0'vsid0ID8069definehostaddname農(nóng)行轉(zhuǎn)換地址ipaddr'2'vsid0ID8070definehostaddname中行轉(zhuǎn)換地址ipaddr'3'vsid0ID8071definehostaddname建行轉(zhuǎn)換地址ipaddr'1'vsid0ID8083definehostaddnameVPNipaddr''vsid0ID8084definehostaddnameRA服務(wù)器ipaddr'8'vsid0

ID8085definehostaddnameCA服務(wù)器ipaddr'1'vsid0ID8093definehostaddname郵件服務(wù)器ipaddr'5'vsid0ID8095definehostaddname建行前置機1ipaddr'26'vsid0ID8096definehostaddname建行前置機2ipaddr'27'vsid0ID8100definehostaddnameDSP1ipaddr'96'vsid0ID8101definehostaddname06ipaddr'06'vsid0ID8103definehostaddname數(shù)據(jù)庫服務(wù)器1ipaddr'66'vsid0ID8104definehostaddname數(shù)據(jù)庫服務(wù)器2ipaddr'68'vsid0ID8105definehostaddname數(shù)據(jù)庫虛地址ipaddr'68'vsid0ID8111definehostaddname防火墻ipaddr'53'vsid0ID8113definehostaddname日志服務(wù)器ipaddr'0'vsid0ID8119definehostaddname工行前置機1ipaddr'06'vsid0ID8120definehostaddname工行前置機2ipaddr'07'vsid0ID8121definehostaddname工行前置機3ipaddr'08'vsid0ID8122definehostaddname工行前置機4ipaddr'09'vsid0ID8123definehostaddname工行前置機5ipaddr'10'vsid0ID8124definehostaddname工行前置機6ipaddr'11'vsid0ID8125definehostaddname工行前置機7ipaddr'12'vsid0ID8126definehostaddname工行前置機8ipaddr'13'vsid0ID8127definehostaddname農(nóng)行前置機1ipaddr'16'vsid0ID8128definehostaddname農(nóng)行前置機2ipaddr'17'vsid0ID8129definehostaddname農(nóng)行前置機3ipaddr'18'vsid0

ID8130definehostaddname農(nóng)行前置機4ipaddr'19'vsid0ID8131definehostaddname中行前置機1ipaddr'38'vsid0ID8132definehostaddname中行前置機2ipaddr'39'vsid0ID8140definehostaddname測試服務(wù)器ipaddr'1'vsid0ID8141definehostaddname測試服務(wù)器2ipaddr'2'vsid0ID8143definehostaddname6-47ipaddr'67'vsid0ID8146definehostaddnameRAipaddr'8'vsid0ID8147definehostaddnameVPN1ipaddr'9'vsid0ID8150definehostaddname4ipaddr'4'vsid0ID8151definehostaddname3ipaddr'5'vsid0ID8154definehostaddnameDSP1-4ipaddr'96979899'vsid0ID8155definehostaddname3ipaddr'3'vsid0ID8156definehostaddname91ipaddr'91'vsid0ID8161definehostaddname2ipaddr'2'vsid0ID8163definehostaddname1ipaddr'1'vsid0ID8164definehostaddname0ipaddr'0'vsid0ID8167definehostaddnameipaddr''vsid0ID8173definehostaddnameipaddr''vsid0ID8181definehostaddnameDSP198-199ipaddr'9899'vsid0ID8090definesubnetaddnameipaddrmaskvsid0ID8091definesubnetaddnameipaddrmaskvsid0

ID8116definesubnetaddname3.*ipaddrmaskvsid0ID8166definesubnetaddnamesichuanipaddrmaskvsid0ID8179definesubnetaddnameipaddrmaskvsid0ID8180definesubnetaddnameipaddrmaskvsid0ID8001definerangeaddnameanyipip255vsid0ID8072defineserviceaddnameTCP446protocol6port446vsid0ID8074defineserviceaddnameTCP14029protocol6port14029vsid0ID8075defineserviceaddnameTCP14030protocol6port14030vsid0ID8078defineserviceaddnameTCP8721protocol6port8721vsid0ID8079defineserviceaddnameTCP12020protocol6port12020vsid0ID8080defineserviceaddnameTCP12500protocol6port12500vsid0ID8087defineserviceaddnameTCP5656protocol6port5656vsid0ID8088defineserviceaddnameTCP5462protocol6port5462vsid0ID8089defineserviceaddnameTCP5501protocol6port5501vsid0ID8097defineserviceaddnameTCP6800protocol6port6800vsid0ID8115defineserviceaddnametcp443protocol6port443vsid0ID8117defineserviceaddnametcp8088protocol6port8088vsid0ID8133defineserviceaddnametcp8080protocol6port8080vsid0ID8142defineserviceaddnameTCP14031protocol6port14031vsid0ID8157defineserviceaddnameTCP10001protocol6port10001vsid0ID8158defineserviceaddnameTCP1522protocol6port1522vsid0

ID8174defineserviceaddnameTCP8800protocol6port8800vsid0網(wǎng)絡(luò)地址轉(zhuǎn)換ID8139natpolicyaddorig_src'農(nóng)行前置機1農(nóng)行前置機2農(nóng)行前置機3農(nóng)行前置機4'orig_dst'農(nóng)行服務(wù)器'trans_src農(nóng)行轉(zhuǎn)換地址vsid0ID8136natpolicyaddorig_src'工行前置機1工行前置機2工行前置機3工行前置機4工行前置機5工行前置機6工行前置機7工行前置機8'orig_dst'工行服務(wù)器’trans_src工行轉(zhuǎn)換地址vsid0ID8137natpolicyaddorig_src'建行前置機1建行前置機2'orig_dst'建行服務(wù)器2建行服務(wù)器3建行服務(wù)器1'trans_src建行轉(zhuǎn)換地址vsid0ID8138natpolicyaddorig_src'中行前置機1中行前置機2'orig_dst'中行服務(wù)器’trans_src中行轉(zhuǎn)換地址vsid0訪問控制ID8162firewallpolicyaddactionacceptsrc'2'dst'3'group_name臨時vsid0ID8169firewallpolicyaddactionacceptsrc'VPN1VPN'dst'any'group_name臨時vsid0ID8152firewallpolicyaddactionacceptsrc'3'dst'4'group_name臨時vsid0ID8153firewallpolicyaddactionacceptsrc'4'dst'3'group_name臨時vsid0ID8144firewallpolicyaddactionacceptdstarea'vlan350接資金系統(tǒng)統(tǒng)'src'6-47'group_name臨時vsid0comment'安全評估掃描'ID8106firewallpolicyaddactionacceptsrc''dst'數(shù)據(jù)庫服務(wù)器1數(shù)據(jù)庫服務(wù)器2數(shù)據(jù)庫虛地址'service'TELNETEPMAP(TCP)MICROSOFT-DS(TCP)SQLNet_1521MSTerminalDNS_Transfer'group_name臨時vsid0ID8102firewallpolicyaddactionacceptsrc''dst'web1OM_APP1DSP06'service'EPMAP(TCP)MICROSOFT-DS(TCP)MICROSOFT-DS(UDP)EPMAP(UDP)MSTerminal'group_name臨時vsid0ID8114firewallpolicyaddactionacceptsrc''dst'日志服務(wù)器測試服務(wù)器測

試服務(wù)器2'group_name臨時vsid0ID8082firewallpolicyaddactionacceptsrc'any'dst'VPNRAVPN1'service'HTTPSPINGSSHtcp8080TELNET'group_name臨時vsid0ID8112firewallpolicyaddactionacceptsrc''dst'防火墻'service'PINGSSHHTTPS'group_name臨時vsid0ID8073firewallpolicyaddactionacceptsrc'工行前置機1工行前置機2工行前置機3工行前置機4工行前置機5工行前置機6工行前置機7工行前置機8'dst'工行服務(wù)器'service'TCP446PING'vsid0ID8076firewallpolicyaddactionacceptsrc'農(nóng)行前置機1農(nóng)行前置機2農(nóng)行前置機3農(nóng)行前置機4'dst'農(nóng)行服務(wù)器'service'TCP14029TCP14031PING'vsid0ID8077firewallpolicyaddactionacceptsrc'中行前置機1中行前置機2'dst'中行服務(wù)器’service'HTTPSPING'vsid0ID8081firewallpolicyaddactionacceptsrc'建行前置機1建行前置機2'dst'建行服務(wù)器2建行服務(wù)器3建行服務(wù)器1'service'TCP8721TCP12020TCP12500PING'vsid0ID8086firewallpolicyaddactionacceptsrc'RA服務(wù)器'dst'CA服務(wù)器'service'HTTPHTTPSMySQLTCP5656TCP5462TCP5501'vsid0ID8092firewallpolicyaddactionacceptsrc''dst'RA服務(wù)器'service'HTTPHTTPSMySQLTCP5656TCP5462TCP5501PING'vsid0ID8094firewallpolicyaddactionacceptsrc'OM_APP1OM_APP2OM_APP3OM_APP4OM_APP5OM_Task1OM_Task2OM_Report'dst'郵件服務(wù)器'service'SMTPPOP3'vsid0ID8098firewallpolicyaddactionacceptsrc'建行服務(wù)器2建行服務(wù)器3建行服務(wù)器1'dst'建行前置機1建行前置機2'service'TCP6800'vsid0ID8118firewallpolicyaddactionacceptsrc'VPN'dst'web1web2web3web4web5'service'tcp8088'vsid0ID8165firewallpolicyaddactionacceptsrc'02'dst'any'vsid0ID8176firewallpolicyaddactionacceptsrc'any'dst'02'vsid0

ID8178firewallpolicyaddactionacceptsrc'DSP1-4'dst'any'vsid0ID8182firewallpolicyaddactionacceptsrc''dst'DSP198-199工行前置機7農(nóng)行前置機3'vsid0ID8110firewallpolicyaddactiondenyvsid0開放服務(wù)ID8010pfserviceaddnameguiareaarea_eth0addressnameanyID8011pfserviceaddnamesshareaarea_eth0addressnameanyID8012pfserviceaddnameupdateareaarea_eth0addressnameanyID8013pfserviceaddnamepingareaarea_eth0addressnameanyID8029pfserviceaddnamewebuiareaarea_eth0addressnameanyID8030pfserviceaddnametelnetareaarea_eth0addressnameanyID8035pfserviceaddnamewebuiarea接中信國安addressnameanyID8037pfserviceaddnamepingarea接中信國安addressnameanyID8038pfserviceaddnamepingarea接資金系統(tǒng)統(tǒng)addressnameanyID8042pfserviceaddnamepingareavlan350addressnameanyID8043pfserviceaddnamessharea接中信國安addressnameanyID8145pfserviceaddnametelnetarea接中信國安addressnameany雙機熱備hamodeashaas-vrid11hagratuitous-arp90halocalhapeer.2外網(wǎng)防火墻－主(93)風(fēng)險漏洞詳細(xì)描述本次安全評估針對網(wǎng)絡(luò)與安全設(shè)備主要采取人工檢查等方式對該設(shè)備安全狀況進(jìn)行了現(xiàn)狀調(diào)查，通過對該設(shè)備配置的分析，該設(shè)備的安全基本情況如下所示：1.該設(shè)備可以通過Telnet、SSH、HTTPS等多種方式進(jìn)行遠(yuǎn)程管理，但是telnet作為一種不安全的管理方式，在網(wǎng)絡(luò)中明文傳輸帳戶、密碼以及設(shè)備配置，存在較大的安全風(fēng)險。該設(shè)備的遠(yuǎn)程IP地址未作嚴(yán)格限定，允許任何IP地址進(jìn)行遠(yuǎn)程管理，存在一定的安全隱患。外網(wǎng)防火墻－備(93)參見內(nèi)網(wǎng)防火墻－主(29).1內(nèi)網(wǎng)防火墻－主(29)配置分類具體配置備注網(wǎng)口信息networkinterfaceethOipaddmask52ha-staticlabel0networkinterfaceethlipadd53mask92label0networkinterfaceeth2ipadd29mask92label0networkinterfaceeth3ipadd5mask92label0路由信息networkrouteadddst/0gw93metric1id100對象ID8002defineareaaddnamearea_eth0attribute'eth0'accessonvsid0ID8029defineareaaddname上連attribute'eth1'accessonvsid0ID8032defineareaaddnameVLAN351attribute'eth：'accessonvsid0

ID8069defineareaaddnameVLAN352attribute'eth：'accessonvsid0ID8170defineareaaddnameHAattribute'eth4'accessonvsid0ID8037definehostaddname建行前置機3ipaddr'82'vsid0ID8038definehostaddname工行前置機9ipaddr'58'vsid0ID8039definehostaddname中行前置機3ipaddr'97'vsid0ID8040definehostaddname農(nóng)行前置機5ipaddr'65'vsid0ID8041definehostaddname工行轉(zhuǎn)換地址ipaddr'0'vsid0ID8042definehostaddname農(nóng)行轉(zhuǎn)換地址ipaddr'2'vsid0ID8043definehostaddname中行轉(zhuǎn)換地址ipaddr'3'vsid0ID8044definehostaddname建行轉(zhuǎn)換地址ipaddr'1'vsid0ID8051definehostaddname工行前置機1ipaddr'50'vsid0ID8052definehostaddname工行前置機2ipaddr'51'vsid0ID8053definehostaddname工行前置機3ipaddr'52'vsid0ID8054definehostaddname工行前置機4ipaddr'53'vsid0ID8055definehostaddname工行前置機5ipaddr'54'vsid0ID8056definehostaddname工行前置機6ipaddr'55'vsid0ID8057definehostaddname工行前置機7ipaddr'56'vsid0ID8058definehostaddname工行前置機8ipaddr'57'vsid0ID8059definehostaddname農(nóng)行前置機1ipaddr'61'vsid0ID8060definehostaddname農(nóng)行前置機2ipaddr'62'vsid0ID8061definehostaddname農(nóng)行前置機3ipaddr'63'vsid0ID8062definehostaddname農(nóng)行前置機4ipaddr1

'64'vsid0ID8063definehostaddname建行前置機1ipaddr'80'vsid0ID8064definehostaddname建行前置機2ipaddr'81'vsid0ID8065definehostaddname中行前置機1ipaddr'95'vsid0ID8066definehostaddname中行前置機2ipaddr'96'vsid0ID8077definehostaddnameweb1ipaddr'8'vsid0ID8078definehostaddnameweb2ipaddr'9'vsid0ID8079definehostaddnameweb3ipaddr'0'vsid0ID8080definehostaddnameweb4ipaddr'1'vsid0ID8081definehostaddnameweb5ipaddr'2'vsid0ID8082definehostaddnameweb6ipaddr'3'vsid0ID8083definehostaddname0M_APP1ipaddr'32'vsid0ID8084definehostaddnameOM_APP2ipaddr'33'vsid0ID8085definehostaddnameOM_APP3ipaddr'34'vsid0ID8086definehostaddnameOM_APP4ipaddr'35'vsid0ID8087definehostaddnameOM_APP5ipaddr'36'vsid0ID8088definehostaddnameOM_Task1ipaddr'56'vsid0ID8089definehostaddnameOM_Task2ipaddr'57'vsid0ID8090definehostaddnameOM_Reportipaddr'42'vsid0ID8132definehostaddname郵件服務(wù)器ipaddr'5'vsid0ID8134definehostaddnameDSP1ipaddr'96'vsid0ID8135definehostaddnameDSP2ipaddr'97'vsid0ID8136definehostaddnameDSP3ipaddr'98

'vsid0ID8137definehostaddnameDSP4ipaddr'99'vsid0ID8140definehostaddnameVPNipaddr''vsid0ID8142definehostaddname數(shù)據(jù)庫服務(wù)器1ipaddr'66'vsid0ID8143definehostaddname數(shù)據(jù)庫服務(wù)器2ipaddr'67'vsid0ID8144definehostaddname數(shù)據(jù)庫虛地地址ipaddr'68'vsid0ID8146definehostaddname建行服務(wù)器1ipaddr'8'vsid0ID8147definehostaddname建行服務(wù)器2ipaddr'9'vsid0ID8148definehostaddname建行服務(wù)器3ipaddr'0'vsid0ID8149definehostaddname工行服務(wù)器ipaddr''vsid0ID8150definehostaddname農(nóng)行前置機ipaddr'2'vsid0ID8151definehostaddname農(nóng)行服務(wù)器ipaddr'0'vsid0ID8152definehostaddname中行服務(wù)器1ipaddr'0'vsid0ID8153definehostaddname中行服務(wù)器2ipaddr'1'vsid0ID8156definehostaddname06ipaddr'06'vsid0ID8168definehostaddname6-47ipaddr'67'vsid0ID8155definesubnetaddnameipaddrmaskvsid0ID8001definerangeaddnameanyipip255vsid0ID8091defineserviceaddnametcp8166protocol6portvsid0ID8092defineserviceaddnametcp8167protocol6portvsid0ID8093defineserviceaddnametcp8731protocol6port8731vsid0

ID8094defineserviceaddnametcp8168protocol6portvsid0ID8095defineserviceaddnametcp8169protocol6portvsid0ID8096defineserviceaddnametcp8170protocol6portvsid0ID8097defineserviceaddnametcp8277protocol6portvsid0ID8098defineserviceaddnametcp8278protocol6portvsid0ID8099defineserviceaddnametcp8388protocol6port8388vsid0ID8100defineserviceaddnametcp9166protocol6portvsid0ID8101defineserviceaddnametcp9167protocol6portvsid0ID8102defineserviceaddnametcp9731protocol6port9731vsid0ID8103defineserviceaddnametcp9168protocol6portvsid0ID8104defineserviceaddnametcp9169protocol6portvsid0ID8105defineserviceaddnametcp9170protocol6portvsid0ID8106defineserviceaddnametcp9277protocol6portvsid0ID8107defineserviceaddnametcp9278protocol6portvsid0ID8108defineserviceaddnametcp9388protocol6port9388vsid0ID8109defineserviceaddnametcp6060protocol6port6060vsid0ID8110defineserviceaddnametcp6070protocol6port6070vsid0ID8111defineserviceaddnametcp6080protocol6port6080vsid0ID8112defineserviceaddnametcp6090protocol6port6090vsid0ID8113defineserviceaddnametcp448protocol6portvsid0ID8114defineserviceaddnametcp449protocol6portvsid0ID8115defineserviceaddnametcp8080protocol6port8080vsid0

ID8116defineserviceaddnametcp9000protocol6port9000vsid0ID8117defineserviceaddname建行加密機TCP6800protocol6port6800vsid0ID8118defineserviceaddname工行服務(wù)器端口TCP46protocol6port46vsid0ID8119defineserviceaddname建行服務(wù)器端口TCP8721protocol6port8721vsid0ID8120defineserviceaddname建行服務(wù)器端口TCP12020protocol6port12020vsid0ID8121defineserviceaddname建行服務(wù)器端口TCP12500protocol6port12500vsid0ID8122defineserviceaddname農(nóng)行服務(wù)器端口TCP14031protocol6port14031vsid0ID8123defineserviceaddname農(nóng)行服務(wù)器端口TCP14029protocol6port14029vsid0ID8141defineserviceaddnametcp8088protocol6port8088vsid0網(wǎng)絡(luò)地址轉(zhuǎn)換ID8167natpolicyaddorig_src'0M_APP10M_APP20M_APP3OM_APP4OM_APP5OM_Task1OM_Task2OM_Reportweb1web2web3web4web5web6'orig_dst'DSP1DSP2DSP3DSP4工行前置機1工行前置機2工行前置機3工行前置機4工行前置機5工行前置機6工行前置機7工行前置機8農(nóng)行前置機1農(nóng)行前置機2農(nóng)行前置機3農(nóng)行前置機4建行前置機1建行前置機2中行前置機1中行前置機2'transsrceth1vsid0訪問控制ID8169firewallpolicyaddactionacceptdstarea'VLAN351VLAN352'src'6-47'group_name臨時vsid0ID8154firewallpolicyaddactionacceptsrc'VPN'dst'web1web2web3web4web5'service'tcp8088'group_name臨時vsid0ID8157firewallpolicyaddactionacceptsrc''dst'web1OM_APP1DSP06'service'EPMAP(TCP)MICROSOFT-DS(TCP)MSTerminal'group_name臨時vsid0ID8159firewallpolicyaddactionacceptsrc''dst'數(shù)據(jù)庫服務(wù)器1數(shù)據(jù)庫服務(wù)器2數(shù)據(jù)庫虛地地址'service'TELNETDNS_TransferEPMAP(TCP)MICROSOFT-DS(TCP)MSTerminal'group_name臨時vsid0ID8049firewallpolicyaddactionacceptvsid0ID8128firewallpolicyaddactionacceptsrc'web1web2web3web4web5web6'dst'OMAPP5'service

'tcp8731tcp8170'vsid0ID8127firewallpolicyaddactionacceptsrc'weblweb2web3web4web5web6'dst'0M_APP4'service'tcp8731tcp8169'vsid0ID8126firewallpolicyaddactionacceptsrc'web1web2web3web4web5web6'dst'OM_APP3'service'tcp8731tcp8168'vsid0ID8125firewallpolicyaddactionacceptsrc'web1web2web3web4web5web6'dst'OM_APP2'service'tcp8731tcp9167'vsid0ID8124firewallpolicyaddactionacceptsrc'web1web2web3web4web5web6'dst'OM_APP1'service'tcp8166tcp8731'vsid0ID8131firewallpolicyaddactionacceptsrc'web1web2web3web4web5web6'dst'0M_Task2'service'tcp8278'vsid0ID8129firewallpolicyaddactionacceptsrc'web1web2web3web4web5web6'dst'0M_Task1'service'tcp8277'vsid0ID8130firewallpolicyaddactionacceptsrc'web1web2web3web4web5web6'dst'0M_Report'service'tcp8388'vsid0ID8133firewallpolicyaddactionacceptsrc'OM_APP1OM_APP2OM_APP3OM_APP4OM_APP5OM_Task1OM_Task2OM_Report'dst'郵件服務(wù)器’vsid0ID8138firewallpolicyaddactionacceptsrc'OM_APP1OM_APP2OM_APP3OM_APP4OM_APP5OM_Task1OM_Task2OM_Report'dst'DSP1DSP2DSP3DSP4'service'tcp6060tcp6070tcp6080tcp6090PING'vsid0ID8145firewallpolicyaddactionacceptsrc'DSP4'dst'數(shù)據(jù)庫服務(wù)器1數(shù)據(jù)庫服務(wù)器2數(shù)據(jù)庫虛地地址’service'SQLNet_1521DNS_QueryDNS_Transfer'vsid0ID8160firewallpolicyaddactiondenyvsid0開放服務(wù)ID8010pfserviceaddnameguiareaarea_eth0addressnameanyID8011pfserviceaddnamesshareaarea_eth0addressnameanyID8012pfserviceaddnameupdateareaarea_eth0addressnameanyID8013pfserviceaddnamepingareaarea_eth0addressnameanyID8014pfserviceaddnamewebuiareaareaeth0

addressnameanyID8030pfserviceaddnamewebuiarea上連addressnameanyID8031pfserviceaddnamepingarea上連addressnameanyID8033pfserviceaddnamepingareaVLAN351addressnameanyID8034pfserviceaddnamewebuiareaVLAN351addressnameanyID8035pfserviceaddnametelnetarea上連addressnameanyID8036pfserviceaddnametelnetareaVLAN351addressnameanyID8076pfserviceaddnamessharea上連addressnameanyID8161pfserviceaddnamewebuiareaVLAN352addressnameanyID8162pfserviceaddnametelnetareaVLAN352addressnameanyID8163pfserviceaddnamepingareaVLAN352addressnameanyID8171pfserviceaddnametelnetareaHAaddressnameanyID8174pfserviceaddnamesshareaVLAN351addressnameany雙機熱備hamodeashaas-vrid12hagratuitous-arp90halocalhapeer.2內(nèi)網(wǎng)防火墻－主(29)風(fēng)險漏洞詳細(xì)描述本次安全評估針對網(wǎng)絡(luò)與安全設(shè)備主要采取人工檢查等方式對該設(shè)備安全狀況進(jìn)行了現(xiàn)狀調(diào)查，通過對該設(shè)備配置的分析，該設(shè)備的安全基本情況如下所示：1.該設(shè)備可以通過Telnet、SSH、HTTPS等多種方式進(jìn)行遠(yuǎn)程管理，但是telnet作為一種不安全的管理方式，在網(wǎng)絡(luò)中明文傳輸帳戶、密碼以及設(shè)備配置，存在較大的安全風(fēng)險。2.該設(shè)備的遠(yuǎn)程IP地址未作嚴(yán)格限定，允許任何IP地址進(jìn)行遠(yuǎn)程管理,存在一定的安全隱患。內(nèi)網(wǎng)防火墻－備(29)該設(shè)備的風(fēng)險漏洞參見2?3?3?5SSLVPN-主()2?3?3?5?1SSLVPN-主()配置分類具體配置備注網(wǎng)口信息networkinterfaceethlipaddmask92label0路由信息networkrouteadddst/0gwmetric1id100probeid0weight1對象ID8002defineareaaddnamearea_eth0attribute'eth0eth1'accessonID8030defineareaaddnamee1attribute'eth1'accessonID8037definehostaddnameipaddr'ID8001definerangeaddnameanyipip255SSLVPNsslvpnportalmodifyid0stylestyle1portal-logoinitplugin-switchyespf-switchyesna-switchnowf-switchnofs-switchnoplugin-installautoshow-certlinknourl-usbkeyNULLiconyescompany-portal-switchyescompany-portal-addresslogin_ssocompany-portal-closenoauth-passwordonauth-certonauth-twofactoroffgidnocustom-authswitchofftwofactor-hide-switchoffloginswitchoffportalswitchoffsslvpnresourceaddname'資金系統(tǒng)管理’modulepfauto_opennoshowyesipurl'/vone/qysso3/:8088/turl==/time.xml/ssourl==/VpnAdmin.aspx'port'80,8088'protocoltcp-customsso_switchnoaddress_hide_switchnosslvpnresourceaddname'資金系統(tǒng)’modulepfauto_opennoshowyesipurl':8088/'port

'80,8088'protocoltcp-httpsso_switchnoaddress_hide_switchnosslvpnresourceaddname'login_sso'modulepfauto_opennoshownoipurl'/vone/qysso3/:8088/turl==/time.xml/ssourl==/default.aspx'port'8088,80'protocoltcp-customsso_switchnoaddress_hide_switchnosslvpnresourceaddname'picc_logout'modulepfauto_opennoshownoipurl'/vone/qysso4/:8088/turl==/time.xml/ssourl==/ats/zh-cn/login.aspx?LogOut二Y'port'8088'protocoltcp-customsso_switchnoaddress_hide_switchnosslvpnresourceaddname'管理資金系統(tǒng)’modulepfauto_opennoshownoipurl':8088/VpnAdmin.aspx'port'8088'protocoltcp-httpsso_switchnoaddress_hide_switchnosslvpnacldefault-actionsetdenysslvpnaclinfoaddres_id0name'資金系統(tǒng)管理acl'week1234567start_time00:00:00end_time23:59:59methodallactionpermitsslvpnaclinfoaddres_id1name'ZIJXT'week123456start_time00:00:00end_time23:59:59methodallactionpermitsslvpnaclinfoaddres_id2name'acl_login'week1234567start_time00:00:00end_time23:59:59actionpermitsslvpnaclinfoaddres_id4name'adminaclshow'week1234567start_time00:00:00end_time23:59:59methodallactionpermitsslvpnpolicyinfoaddname'zj'typeroleacl_id1sslvpnpolicyinfoaddname'zj'typeroleacl_id2sslvpnpolicyinfoaddname'admin'typeroleacl_idsslvpnpolicyinfoaddname'ad