版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)
文檔簡介
1、安全評估報告(綠盟漏掃、安全配置情況)業(yè)務(wù)流程信息化管理平臺入網(wǎng)安評報告上海博陽精訊信息科技有限公司2014-12-51測試結(jié)論上海博陽精訊信息科技有限公司研發(fā)部受廣西電網(wǎng)公司信息中心委托,于2014年12月5日至2014年12月8日對上海博陽精訊信息科技有限公司開發(fā)的“廣西電網(wǎng)公司業(yè)務(wù)流程信息化管理平臺進行了入網(wǎng)安評測試,并于2014年12月8日進行了回歸測試。最終測試結(jié)果如下:1、主機系統(tǒng)安全方面:WINDOWS主機服務(wù)器通過用戶名結(jié)合密碼的方式進行身份鑒別,啟用較強的密碼復(fù)雜度策略并嚴(yán)格限制用戶登錄失敗次數(shù)。系統(tǒng)訪問控制策略配置合理,關(guān)閉了操作系統(tǒng)默認(rèn)共享路徑,對重要文件設(shè)置了相應(yīng)的訪問
2、權(quán)限并關(guān)閉了多余服務(wù)。主機開啟了日志審計功能,對系統(tǒng)運行事件實時記錄。WINDOWS主機己部署防病毒軟件,并更新相應(yīng)的系統(tǒng)漏洞補丁。漏洞掃描沒有發(fā)現(xiàn)高、中風(fēng)險漏洞。2、數(shù)據(jù)庫安全方面:ORACLE數(shù)據(jù)庫己啟用口令復(fù)雜度驗證函數(shù),用戶密碼復(fù)雜度策略滿足長度至少8位,由數(shù)字、字母、特殊符號中的兩種組合的要求,數(shù)據(jù)庫開啟了用戶非法登錄失敗鎖定功能;數(shù)據(jù)庫關(guān)閉7XDB多余服務(wù),并開啟日志審計功能。數(shù)據(jù)庫不存在多余DBA權(quán)限賬戶。數(shù)據(jù)庫暫未開啟歸檔模式,建議系統(tǒng)投運后啟用數(shù)據(jù)庫歸檔模式。數(shù)據(jù)庫版本為123.0,并己更新相關(guān)版本補丁為patch30。經(jīng)數(shù)據(jù)庫漏洞掃描工具掃描未發(fā)現(xiàn)高、中風(fēng)險漏洞。3、中間件
3、安全方面:WEBLOGIC中間件釆用用戶名結(jié)合密碼的身份鑒別方式,中間件用戶密碼滿足復(fù)雜度要求,不存在多余的賬戶。中間件已開啟日志審計功能,審計日志按照時間長度存儲。中間件己修改默認(rèn)的后臺管理端口,并通過防火墻策略限制登錄源訪問P。己配置中間件會話超時退出時間,并自定義WEBLOGIC中間件錯誤頁面重定向處理。4、應(yīng)用系統(tǒng)安全方面:應(yīng)用系統(tǒng)釆用用戶名和密碼身份鑒別機制,缺乏用戶口令復(fù)雜度限制機制,但本系統(tǒng)的所有系統(tǒng)用戶和密碼均從集中驗證平臺同步導(dǎo)入,符合復(fù)雜度要求。系統(tǒng)權(quán)限配置功能完善,用戶權(quán)限分配合理。系統(tǒng)對用戶登陸信息、重要操作進行審計,審計內(nèi)容詳細。系統(tǒng)對用戶輸入的特殊字符進行過濾對上傳
4、文件釆用白名單限制,有效降低上傳文件漏洞風(fēng)險。漏洞掃描未發(fā)現(xiàn)高、中風(fēng)險漏洞。5、數(shù)據(jù)安全方面:數(shù)據(jù)備份策略完整,且數(shù)據(jù)庫關(guān)鍵敏感字段密文存儲,有效保證用戶數(shù)據(jù)存儲的安全性本次入網(wǎng)安評測試內(nèi)容包主機、數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)與數(shù)據(jù)安全。在測試過程中共發(fā)現(xiàn)73個風(fēng)險,其中高風(fēng)險10個、中風(fēng)險16個、低風(fēng)險47個。經(jīng)過整改并回歸測試確認(rèn),高風(fēng)險修復(fù)率100%,中風(fēng)險修復(fù)率100%。符合入網(wǎng)安評準(zhǔn)出要求。建議進一步跟蹤修復(fù)低風(fēng)險漏洞。2測試目的為了保障系統(tǒng)上線后的系統(tǒng)安全運行,確保最終軟件系統(tǒng)滿足產(chǎn)品需求并且遵循系統(tǒng)設(shè)計,并提供有效的信息系統(tǒng)安全依據(jù),上海博陽精訊信息科技有限公司,嚴(yán)格按照測試規(guī)范對廣
5、西電網(wǎng)公司業(yè)務(wù)流程信息化管理平臺開展安全評測。3引用標(biāo)準(zhǔn)及參考資料信息技術(shù)信息系統(tǒng)安全等級保護基本要求GBT22239-2008IT主流設(shè)備安全基線技術(shù)規(guī)范Q/CSG11804-2010廣西電網(wǎng)公司信息系統(tǒng)入網(wǎng)安全測評管理辦法Q/CSG-GPG218006-20124測試范圍針對本項目的測試范圍包括系統(tǒng)主機、數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)以及數(shù)據(jù)等方面進行測試。重點測試被測系統(tǒng)業(yè)務(wù)實現(xiàn)對設(shè)計需求的滿足程度。5測評結(jié)果總結(jié)信息化評測實驗室于2014年12月1日至2014年12月21日對上海博陽精訊信息科技有限公司開發(fā)的“廣西電網(wǎng)公司業(yè)務(wù)流程信息化管理平臺系統(tǒng)VL”進行了入網(wǎng)安評測試,并于2014年9月
6、5日進行了回歸測試,修復(fù)高風(fēng)險10個和中風(fēng)險漏洞16個,高風(fēng)險修復(fù)率100%,中風(fēng)險修復(fù)率100%。圈評井項軌計情爼風(fēng)險總斂731*中鳳險16471.vyiitduws操作系統(tǒng)高風(fēng)險9中鳳險Q30DrM甌據(jù)庫Z中鳳險5U二Weblfjc中間井*中鳳險4t應(yīng)用乘統(tǒng)高虬險S中悅險*已榜負it中軌險低鳳淮09中鳳險0476入網(wǎng)安評檢測結(jié)修宣率果髙100.00%中風(fēng)險10.00%W%6.1Windows操作系統(tǒng)初次測試發(fā)現(xiàn)30個問題,其中高風(fēng)險問題個,中風(fēng)險問題個,低風(fēng)險問題30個,經(jīng)整改后回歸測試,Windows操作系統(tǒng)共修復(fù)高風(fēng)險0個,修復(fù)中風(fēng)險問題9個,修復(fù)低風(fēng)險10個。具體問題描述見下表:表6
7、.1-1Windows操作系統(tǒng)問題匯總表測試系統(tǒng)問題標(biāo)識問題描述問題等級問題狀態(tài)廣西電網(wǎng)公司業(yè)務(wù)流程信息化管理平臺漏洞掃描使用極光最新版掃描工具掃描發(fā)現(xiàn)30個低風(fēng)險漏洞,詳情請見主機掃描報告。低未修復(fù)測試階段高風(fēng)險中風(fēng)險低風(fēng)險合計初測003030復(fù)測003030缺陷修復(fù)情況統(tǒng)計初次測試發(fā)現(xiàn)18個問題,其中高風(fēng)險問題2個,中風(fēng)險問題5個,低風(fēng)險問題11個,經(jīng)整改后回歸測試,Oracle數(shù)據(jù)庫共修復(fù)高風(fēng)險2個,修復(fù)中風(fēng)險問題5個,修復(fù)低風(fēng)險個。具體問題描述見下表。表6.2-1Oracle數(shù)據(jù)庫問題匯總表測試系統(tǒng)問題標(biāo)識問題描述問題等級問題狀態(tài)廣西電網(wǎng)公司業(yè)務(wù)流程協(xié)同管理系統(tǒng)身份鑒別數(shù)據(jù)庫沒有啟用口
8、令策略函數(shù)PASSWORDVERIFYFUNCTION。局己修復(fù)身份鑒另Oracle沒有配置登陸失敗處理功能。中已修復(fù)訪問控制Oracle沒有禁用多余的XDB服務(wù)。中已修復(fù)訪問控制數(shù)據(jù)庫存在多余的dba權(quán)限賬號ebpmbp。尚己修復(fù)入侵防范Oracle數(shù)據(jù)庫沒有及時更新安全補丁。中己修復(fù)監(jiān)聽器防Oracle沒有設(shè)置監(jiān)聽器口令。中已修復(fù)監(jiān)聽器防護Oracle沒有設(shè)置監(jiān)聽服務(wù)空閑連接超時時間。中已修復(fù)漏洞掃描使用安信通數(shù)據(jù)庫掃描工具掃描發(fā)現(xiàn)低風(fēng)險漏洞11個,詳情請看數(shù)據(jù)庫掃描報低未修復(fù)0依1匸數(shù)如車問題匯總表測試階段高鳳險中鳳險低鳳險合計初測511復(fù)測01111Oracle數(shù)掘陣安企性漏洞統(tǒng)計6.
9、3島g険叫除陽強合計初測55復(fù)測0Wchlogic中謝T間趙匯總表泄試階段高風(fēng)險中風(fēng)險Weblogic中間件安全性洲洞統(tǒng)計圖5-3-1WAIogic中間件安全悝諭洞統(tǒng)計Weblogic中間件初割7HJ初次測試發(fā)現(xiàn)5個問題,其中高風(fēng)險問題個,中風(fēng)險問題5個,低風(fēng)險問題個,經(jīng)整改后回歸測試,Weblogic中間件共修復(fù)高風(fēng)險0個,修復(fù)中風(fēng)險問題5個,修復(fù)低風(fēng)險個。具體問題描述見下表。表6.3-1Weblogic中間件問題匯總表測試系統(tǒng)問題標(biāo)識問題描述問題等級問題狀廣西電網(wǎng)公司業(yè)務(wù)流程協(xié)同管理系統(tǒng)安全審計中間件日志記錄按大小保存,文件大小為5k,建議日志記錄應(yīng)按時間保存。中己修復(fù)通信保密性weblo
10、gic沒有開啟SSL安全協(xié)議進行通信。中已修復(fù)入侵防護weblogic沒有修改管理控制臺的默認(rèn)端口7001。中己修復(fù)入侵防護未限制應(yīng)用服務(wù)器Socket數(shù)量。中已修復(fù)入侵防護weblogic管理控制臺沒有沒有重命名控制臺CONSOLE路徑。中己修復(fù)6.4應(yīng)用系統(tǒng)初次測試發(fā)現(xiàn)20個問題,其中高風(fēng)險問題8個,中風(fēng)險問題6個,低風(fēng)險問題6個,經(jīng)整改后回歸測試,應(yīng)用系統(tǒng)共修復(fù)高風(fēng)險8個,修復(fù)中風(fēng)險問題6個,修復(fù)低風(fēng)險個。具體問題描述見下表。7系統(tǒng)測試環(huán)境7.1服務(wù)器配置7.2網(wǎng)絡(luò)拓撲圖應(yīng)用;服務(wù)器睡件配置型號設(shè)矗旅號3.|OPO-Olffi014-OOM89CPC翅16310JG網(wǎng)卡鹿那卡操作親竦由岡件WcbLog;c11G茸它IP1015174.31教fir.務(wù)器-型號虛16機設(shè)備據(jù)號CPU廢內(nèi)存1昭30
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 積木游戲在幼兒園學(xué)習(xí)中的應(yīng)用計劃
- 公司客服工作總結(jié)5篇
- 校園安全管理總結(jié)10篇
- 旅行婚禮策劃方案6篇
- 活動計劃范文錦集六篇
- 2025物業(yè)管理移交合同
- 學(xué)校校本培訓(xùn)活動總結(jié)十篇
- 誠信演講稿模板九篇
- 2024年離婚協(xié)議簽訂中的子女撫養(yǎng)權(quán)爭議處理及注意事項3篇
- 2024年中國亞克力眼鏡展示架市場調(diào)查研究報告
- 當(dāng)前農(nóng)村矛盾糾紛課件
- 社會組織信息公開制度范本
- 四年級上冊心理健康教育教案-多彩的情緒 全國通用
- 管道爬壁機器人設(shè)計說明書
- 二年級安全教育期末測試題
- 2022電大《建筑材料(A)》期末試題及答案
- 團隊合作能力和創(chuàng)新團隊建設(shè)試題100分標(biāo)準(zhǔn)答案
- 22秋中傳媒《傳播學(xué)概論》作業(yè)考核答卷
- 商務(wù)英語視聽說知到章節(jié)答案智慧樹2023年山東外國語職業(yè)技術(shù)大學(xué)
- C++程序設(shè)計智慧樹知到答案章節(jié)測試2023年咸陽師范學(xué)院
- 五年級上冊道德與法治課件-第8課第四課時 影響深遠的漢字人教部編版
評論
0/150
提交評論