6.应用安全评估及加固服务报告

应用安全评估及加固服务报告

文档信息

分发控制

版本控制

1项目概述

1.1 评估范围

本次对xx运营中心业务系统进行风险评估，xx业务系统资产列表清单如下：.

应用清单统计如表1-1所示：

表1-1 应用风险数量

1.2 评估方法

1.2.1漏洞扫描

弱点网络扫描评估指的是使用基于网络的安全弱点扫描工具，根据其内置的弱点测试方法、扫描策略，从网络侧对扫描对象进行系列的设置检查，从而发现弱点。

使用弱点评估工具可以实现远程自动化扫描，显著降低安全评估的工作量，自动化程度高，并能根据需求输出评估结果或者报表。以下为弱点风险级别说明：

在对xx网络设备进行安全评估时，使用了启明星辰的网络安全扫描器天镜及第三方扫描工具NESSUS。

1.2.2配置评估

收集各设备（包括其上所安装的各关键软件）可能存在的技术脆弱性信息，以便在分析阶段进行详细分析，手工评估提取的相关信息如下：

➢用户与密码策略安全漏洞

➢远程登陆安全漏洞

➢系统版本信息

➢系统自身漏洞威胁

➢后门及远程控制威胁

➢未知进程威胁

➢协议安全弱点威胁

➢配置不当信息泄漏威胁

➢定时任务威胁

➢第三方软件威胁

➢安全策略配置弱点

➢端口开放威胁

查看分析配置文件内容，使用命令行、抓取控制台操作界面最终分析。

1.2.3综合分析

综合分析所获得的所有相关信息以发现被评估对象所存在的安全缺陷和风险。评估人员分析和整理通过上述评估过程所收集的各项信息，查找系统及相关的评估对象之间的相互关联、相互配合中所存在的缺陷和安全风险，并与系统管理人员核实所收集的信息是否真实的反映了系统的真实情况，确认有缺失、有疑问的信息。

1.2.4评估报告

列出相关的已有控制措施，面临的风险和存在的问题，以及应采取的改进措施；创建评估报告，根据综合分析结果创建评估报告。

2 实施内容

2.1 实施时间 2.2 实施人员名单

2.3 风险分布统计

通过漏洞扫描发现xx 共有3243个风险点，其中在156台应用主机中极高风险应用主机有34台、高风险有26台、中风险69台、低风险27台。

27%

33%

18%

0%

22%

Tomcat

Apache

Oracle

SQL Server

MY SQL

2.3.1应用主机漏洞TOP10

2.3.2加固内容

Apache mod_deflate模块远程拒绝服务漏洞

Oracle MySQL 5.1.52之前版本多个拒绝服务漏洞

Apache APR-util 程序"xml/apr_xml.c" 拒绝服务漏洞

Apache Tomcat AJP协议安全绕过漏洞

Apache HTTP Server Scoreboard本地安全限制绕过漏洞

Oracle数据库远程CoreRDBMS组件未明漏洞

Oracle数据库服务器Core RDBMS组件安全漏洞

MYSQL中CREATE FUNCTION功能注入任意函数漏洞

可以获取Apache服务器的配置信息