版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
1、安全評估報(bào)告(綠盟漏掃、安全配置情況)業(yè)務(wù)流程信息化管理平臺入網(wǎng)安評報(bào)告上海博陽精訊信息科技有限公司2014-12-51測試結(jié)論上海博陽精訊信息科技有限公司研發(fā)部受廣西電網(wǎng)公司信息中心委托,于2014年12月5日至2014年12月8日對上海博陽精訊信息科技有限公司開發(fā)的“廣西電網(wǎng)公司業(yè)務(wù)流程信息化管理平臺進(jìn)行了入網(wǎng)安評測試,并于2014年12月8日進(jìn)行了回歸測試。最終測試結(jié)果如下:1、主機(jī)系統(tǒng)安全方面:WINDOWS主機(jī)服務(wù)器通過用戶名結(jié)合密碼的方式進(jìn)行身份鑒別,啟用較強(qiáng)的密碼復(fù)雜度策略并嚴(yán)格限制用戶登錄失敗次數(shù)。系統(tǒng)訪問控制策略配置合理,關(guān)閉了操作系統(tǒng)默認(rèn)共享路徑,對重要文件設(shè)置了相應(yīng)的訪問
2、權(quán)限并關(guān)閉了多余服務(wù)。主機(jī)開啟了日志審計(jì)功能,對系統(tǒng)運(yùn)行事件實(shí)時(shí)記錄。WINDOWS主機(jī)己部署防病毒軟件,并更新相應(yīng)的系統(tǒng)漏洞補(bǔ)丁。漏洞掃描沒有發(fā)現(xiàn)高、中風(fēng)險(xiǎn)漏洞。2、數(shù)據(jù)庫安全方面:ORACLE數(shù)據(jù)庫己啟用口令復(fù)雜度驗(yàn)證函數(shù),用戶密碼復(fù)雜度策略滿足長度至少8位,由數(shù)字、字母、特殊符號中的兩種組合的要求,數(shù)據(jù)庫開啟了用戶非法登錄失敗鎖定功能;數(shù)據(jù)庫關(guān)閉7XDB多余服務(wù),并開啟日志審計(jì)功能。數(shù)據(jù)庫不存在多余DBA權(quán)限賬戶。數(shù)據(jù)庫暫未開啟歸檔模式,建議系統(tǒng)投運(yùn)后啟用數(shù)據(jù)庫歸檔模式。數(shù)據(jù)庫版本為123.0,并己更新相關(guān)版本補(bǔ)丁為patch30。經(jīng)數(shù)據(jù)庫漏洞掃描工具掃描未發(fā)現(xiàn)高、中風(fēng)險(xiǎn)漏洞。3、中間件
3、安全方面:WEBLOGIC中間件釆用用戶名結(jié)合密碼的身份鑒別方式,中間件用戶密碼滿足復(fù)雜度要求,不存在多余的賬戶。中間件已開啟日志審計(jì)功能,審計(jì)日志按照時(shí)間長度存儲。中間件己修改默認(rèn)的后臺管理端口,并通過防火墻策略限制登錄源訪問P。己配置中間件會話超時(shí)退出時(shí)間,并自定義WEBLOGIC中間件錯(cuò)誤頁面重定向處理。4、應(yīng)用系統(tǒng)安全方面:應(yīng)用系統(tǒng)釆用用戶名和密碼身份鑒別機(jī)制,缺乏用戶口令復(fù)雜度限制機(jī)制,但本系統(tǒng)的所有系統(tǒng)用戶和密碼均從集中驗(yàn)證平臺同步導(dǎo)入,符合復(fù)雜度要求。系統(tǒng)權(quán)限配置功能完善,用戶權(quán)限分配合理。系統(tǒng)對用戶登陸信息、重要操作進(jìn)行審計(jì),審計(jì)內(nèi)容詳細(xì)。系統(tǒng)對用戶輸入的特殊字符進(jìn)行過濾對上傳
4、文件釆用白名單限制,有效降低上傳文件漏洞風(fēng)險(xiǎn)。漏洞掃描未發(fā)現(xiàn)高、中風(fēng)險(xiǎn)漏洞。5、數(shù)據(jù)安全方面:數(shù)據(jù)備份策略完整,且數(shù)據(jù)庫關(guān)鍵敏感字段密文存儲,有效保證用戶數(shù)據(jù)存儲的安全性本次入網(wǎng)安評測試內(nèi)容包主機(jī)、數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)與數(shù)據(jù)安全。在測試過程中共發(fā)現(xiàn)73個(gè)風(fēng)險(xiǎn),其中高風(fēng)險(xiǎn)10個(gè)、中風(fēng)險(xiǎn)16個(gè)、低風(fēng)險(xiǎn)47個(gè)。經(jīng)過整改并回歸測試確認(rèn),高風(fēng)險(xiǎn)修復(fù)率100%,中風(fēng)險(xiǎn)修復(fù)率100%。符合入網(wǎng)安評準(zhǔn)出要求。建議進(jìn)一步跟蹤修復(fù)低風(fēng)險(xiǎn)漏洞。2測試目的為了保障系統(tǒng)上線后的系統(tǒng)安全運(yùn)行,確保最終軟件系統(tǒng)滿足產(chǎn)品需求并且遵循系統(tǒng)設(shè)計(jì),并提供有效的信息系統(tǒng)安全依據(jù),上海博陽精訊信息科技有限公司,嚴(yán)格按照測試規(guī)范對廣
5、西電網(wǎng)公司業(yè)務(wù)流程信息化管理平臺開展安全評測。3引用標(biāo)準(zhǔn)及參考資料信息技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求GBT22239-2008IT主流設(shè)備安全基線技術(shù)規(guī)范Q/CSG11804-2010廣西電網(wǎng)公司信息系統(tǒng)入網(wǎng)安全測評管理辦法Q/CSG-GPG218006-20124測試范圍針對本項(xiàng)目的測試范圍包括系統(tǒng)主機(jī)、數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)以及數(shù)據(jù)等方面進(jìn)行測試。重點(diǎn)測試被測系統(tǒng)業(yè)務(wù)實(shí)現(xiàn)對設(shè)計(jì)需求的滿足程度。5測評結(jié)果總結(jié)信息化評測實(shí)驗(yàn)室于2014年12月1日至2014年12月21日對上海博陽精訊信息科技有限公司開發(fā)的“廣西電網(wǎng)公司業(yè)務(wù)流程信息化管理平臺系統(tǒng)VL”進(jìn)行了入網(wǎng)安評測試,并于2014年9月
6、5日進(jìn)行了回歸測試,修復(fù)高風(fēng)險(xiǎn)10個(gè)和中風(fēng)險(xiǎn)漏洞16個(gè),高風(fēng)險(xiǎn)修復(fù)率100%,中風(fēng)險(xiǎn)修復(fù)率100%。圈評井項(xiàng)軌計(jì)情爼風(fēng)險(xiǎn)總斂731*中鳳險(xiǎn)16471.vyiitduws操作系統(tǒng)高風(fēng)險(xiǎn)9中鳳險(xiǎn)Q30DrM甌據(jù)庫Z中鳳險(xiǎn)5U二Weblfjc中間井*中鳳險(xiǎn)4t應(yīng)用乘統(tǒng)高虬險(xiǎn)S中悅險(xiǎn)*已榜負(fù)it中軌險(xiǎn)低鳳淮09中鳳險(xiǎn)0476入網(wǎng)安評檢測結(jié)修宣率果髙100.00%中風(fēng)險(xiǎn)10.00%W%6.1Windows操作系統(tǒng)初次測試發(fā)現(xiàn)30個(gè)問題,其中高風(fēng)險(xiǎn)問題個(gè),中風(fēng)險(xiǎn)問題個(gè),低風(fēng)險(xiǎn)問題30個(gè),經(jīng)整改后回歸測試,Windows操作系統(tǒng)共修復(fù)高風(fēng)險(xiǎn)0個(gè),修復(fù)中風(fēng)險(xiǎn)問題9個(gè),修復(fù)低風(fēng)險(xiǎn)10個(gè)。具體問題描述見下表:表6
7、.1-1Windows操作系統(tǒng)問題匯總表測試系統(tǒng)問題標(biāo)識問題描述問題等級問題狀態(tài)廣西電網(wǎng)公司業(yè)務(wù)流程信息化管理平臺漏洞掃描使用極光最新版掃描工具掃描發(fā)現(xiàn)30個(gè)低風(fēng)險(xiǎn)漏洞,詳情請見主機(jī)掃描報(bào)告。低未修復(fù)測試階段高風(fēng)險(xiǎn)中風(fēng)險(xiǎn)低風(fēng)險(xiǎn)合計(jì)初測003030復(fù)測003030缺陷修復(fù)情況統(tǒng)計(jì)初次測試發(fā)現(xiàn)18個(gè)問題,其中高風(fēng)險(xiǎn)問題2個(gè),中風(fēng)險(xiǎn)問題5個(gè),低風(fēng)險(xiǎn)問題11個(gè),經(jīng)整改后回歸測試,Oracle數(shù)據(jù)庫共修復(fù)高風(fēng)險(xiǎn)2個(gè),修復(fù)中風(fēng)險(xiǎn)問題5個(gè),修復(fù)低風(fēng)險(xiǎn)個(gè)。具體問題描述見下表。表6.2-1Oracle數(shù)據(jù)庫問題匯總表測試系統(tǒng)問題標(biāo)識問題描述問題等級問題狀態(tài)廣西電網(wǎng)公司業(yè)務(wù)流程協(xié)同管理系統(tǒng)身份鑒別數(shù)據(jù)庫沒有啟用口
8、令策略函數(shù)PASSWORDVERIFYFUNCTION。局己修復(fù)身份鑒另Oracle沒有配置登陸失敗處理功能。中已修復(fù)訪問控制Oracle沒有禁用多余的XDB服務(wù)。中已修復(fù)訪問控制數(shù)據(jù)庫存在多余的dba權(quán)限賬號ebpmbp。尚己修復(fù)入侵防范Oracle數(shù)據(jù)庫沒有及時(shí)更新安全補(bǔ)丁。中己修復(fù)監(jiān)聽器防Oracle沒有設(shè)置監(jiān)聽器口令。中已修復(fù)監(jiān)聽器防護(hù)Oracle沒有設(shè)置監(jiān)聽服務(wù)空閑連接超時(shí)時(shí)間。中已修復(fù)漏洞掃描使用安信通數(shù)據(jù)庫掃描工具掃描發(fā)現(xiàn)低風(fēng)險(xiǎn)漏洞11個(gè),詳情請看數(shù)據(jù)庫掃描報(bào)低未修復(fù)0依1匸數(shù)如車問題匯總表測試階段高鳳險(xiǎn)中鳳險(xiǎn)低鳳險(xiǎn)合計(jì)初測511復(fù)測01111Oracle數(shù)掘陣安企性漏洞統(tǒng)計(jì)6.
9、3島g険叫除陽強(qiáng)合計(jì)初測55復(fù)測0Wchlogic中謝T間趙匯總表泄試階段高風(fēng)險(xiǎn)中風(fēng)險(xiǎn)Weblogic中間件安全性洲洞統(tǒng)計(jì)圖5-3-1WAIogic中間件安全悝諭洞統(tǒng)計(jì)Weblogic中間件初割7HJ初次測試發(fā)現(xiàn)5個(gè)問題,其中高風(fēng)險(xiǎn)問題個(gè),中風(fēng)險(xiǎn)問題5個(gè),低風(fēng)險(xiǎn)問題個(gè),經(jīng)整改后回歸測試,Weblogic中間件共修復(fù)高風(fēng)險(xiǎn)0個(gè),修復(fù)中風(fēng)險(xiǎn)問題5個(gè),修復(fù)低風(fēng)險(xiǎn)個(gè)。具體問題描述見下表。表6.3-1Weblogic中間件問題匯總表測試系統(tǒng)問題標(biāo)識問題描述問題等級問題狀廣西電網(wǎng)公司業(yè)務(wù)流程協(xié)同管理系統(tǒng)安全審計(jì)中間件日志記錄按大小保存,文件大小為5k,建議日志記錄應(yīng)按時(shí)間保存。中己修復(fù)通信保密性weblo
10、gic沒有開啟SSL安全協(xié)議進(jìn)行通信。中已修復(fù)入侵防護(hù)weblogic沒有修改管理控制臺的默認(rèn)端口7001。中己修復(fù)入侵防護(hù)未限制應(yīng)用服務(wù)器Socket數(shù)量。中已修復(fù)入侵防護(hù)weblogic管理控制臺沒有沒有重命名控制臺CONSOLE路徑。中己修復(fù)6.4應(yīng)用系統(tǒng)初次測試發(fā)現(xiàn)20個(gè)問題,其中高風(fēng)險(xiǎn)問題8個(gè),中風(fēng)險(xiǎn)問題6個(gè),低風(fēng)險(xiǎn)問題6個(gè),經(jīng)整改后回歸測試,應(yīng)用系統(tǒng)共修復(fù)高風(fēng)險(xiǎn)8個(gè),修復(fù)中風(fēng)險(xiǎn)問題6個(gè),修復(fù)低風(fēng)險(xiǎn)個(gè)。具體問題描述見下表。7系統(tǒng)測試環(huán)境7.1服務(wù)器配置7.2網(wǎng)絡(luò)拓?fù)鋱D應(yīng)用;服務(wù)器睡件配置型號設(shè)矗旅號3.|OPO-Olffi014-OOM89CPC翅16310JG網(wǎng)卡鹿那卡操作親竦由岡件WcbLog;c11G茸它IP1015174.31教fir.務(wù)器-型號虛16機(jī)設(shè)備據(jù)號CPU廢內(nèi)存1昭30
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2024年教育技術(shù)展望:基于AI的《六國論》課件革新
- 2024年教育創(chuàng)新:《母雞》互動游戲設(shè)計(jì)
- 《晚春》教案設(shè)計(jì)新趨勢與2024教學(xué)策略預(yù)測
- 2023年度淄博市職業(yè)技能大賽競賽方案(網(wǎng)站設(shè)計(jì)與開發(fā))
- 2024年OBD遠(yuǎn)程培訓(xùn)與技術(shù)交流
- 2024城市品牌新風(fēng)貌:《創(chuàng)意美術(shù)字》在公共標(biāo)識中的創(chuàng)新應(yīng)用
- 2024年班主任培訓(xùn)心得:未來教育的新方向
- 描寫楓葉的作文200字
- 《學(xué)前教育科研方法》答案
- 風(fēng)力選煤設(shè)備操作規(guī)程
- 2020年浙江省教學(xué)能力大賽二等獎中職語文教學(xué)實(shí)施報(bào)告現(xiàn)場展示PPT
- 《逍遙游》-完整版課件
- 股權(quán)轉(zhuǎn)讓價(jià)值評估方法與案例討論(39張)課件
- 給地球爺爺?shù)囊环庑诺拈喿x答案
- 部編小學(xué)語文《口語交際》解讀課件
- 漢語言文學(xué)師范專業(yè)導(dǎo)論課程教學(xué)大綱
- 醫(yī)院參觀引導(dǎo)詞
- 污水處理廠日常水質(zhì)監(jiān)測體系
- 大學(xué)生戀愛和性心理教學(xué)案
- 體操技巧組合動作改編教案
- 腳手架工程危險(xiǎn)源辨識及對策措施
評論
0/150
提交評論