安全评估报告(绿盟漏扫、安全配置情况)

1、安全评估报告（绿盟漏扫、安全配置情况）业务流程信息化管理平台入网安评报告上海博阳精讯信息科技有限公司2014-12-51测试结论上海博阳精讯信息科技有限公司研发部受广西电网公司信息中心委托，于2014年12月5日至2014年12月8日对上海博阳精讯信息科技有限公司开发的“广西电网公司业务流程信息化管理平台进行了入网安评测试，并于2014年12月8日进行了回归测试。最终测试结果如下：1、主机系统安全方面：WINDOWS主机服务器通过用户名结合密码的方式进行身份鉴别，启用较强的密码复杂度策略并严格限制用户登录失败次数。系统访问控制策略配置合理，关闭了操作系统默认共享路径，对重要文件设置了相应的访问

2、权限并关闭了多余服务。主机开启了日志审计功能，对系统运行事件实时记录。WINDOWS主机己部署防病毒软件，并更新相应的系统漏洞补丁。漏洞扫描没有发现高、中风险漏洞。2、数据库安全方面：ORACLE数据库己启用口令复杂度验证函数，用户密码复杂度策略满足长度至少8位，由数字、字母、特殊符号中的两种组合的要求，数据库开启了用户非法登录失败锁定功能；数据库关闭7XDB多余服务，并开启日志审计功能。数据库不存在多余DBA权限账户。数据库暂未开启归档模式，建议系统投运后启用数据库归档模式。数据库版本为123.0,并己更新相关版本补丁为patch30。经数据库漏洞扫描工具扫描未发现高、中风险漏洞。3、中间件

3、安全方面：WEBLOGIC中间件釆用用户名结合密码的身份鉴别方式，中间件用户密码满足复杂度要求，不存在多余的账户。中间件已开启日志审计功能，审计日志按照时间长度存储。中间件己修改默认的后台管理端口，并通过防火墙策略限制登录源访问P。己配置中间件会话超时退出时间，并自定义WEBLOGIC中间件错误页面重定向处理。4、应用系统安全方面：应用系统釆用用户名和密码身份鉴别机制,缺乏用户口令复杂度限制机制,但本系统的所有系统用户和密码均从集中验证平台同步导入,符合复杂度要求。系统权限配置功能完善,用户权限分配合理。系统对用户登陆信息、重要操作进行审计,审计内容详细。系统对用户输入的特殊字符进行过滤对上传

4、文件釆用白名单限制，有效降低上传文件漏洞风险。漏洞扫描未发现高、中风险漏洞。5、数据安全方面：数据备份策略完整,且数据库关键敏感字段密文存储,有效保证用户数据存储的安全性本次入网安评测试内容包主机、数据库、中间件、应用系统与数据安全。在测试过程中共发现73个风险,其中高风险10个、中风险16个、低风险47个。经过整改并回归测试确认,高风险修复率100%,中风险修复率100%。符合入网安评准出要求。建议进一步跟踪修复低风险漏洞。2测试目的为了保障系统上线后的系统安全运行,确保最终软件系统满足产品需求并且遵循系统设计,并提供有效的信息系统安全依据,上海博阳精讯信息科技有限公司,严格按照测试规范对广

5、西电网公司业务流程信息化管理平台开展安全评测。3引用标准及参考资料信息技术信息系统安全等级保护基本要求GBT22239-2008IT主流设备安全基线技术规范Q/CSG11804-2010广西电网公司信息系统入网安全测评管理办法Q/CSG-GPG218006-20124测试范围针对本项目的测试范围包括系统主机、数据库、中间件、应用系统以及数据等方面进行测试。重点测试被测系统业务实现对设计需求的满足程度。5测评结果总结信息化评测实验室于2014年12月1日至2014年12月21日对上海博阳精讯信息科技有限公司开发的“广西电网公司业务流程信息化管理平台系统VL”进行了入网安评测试，并于2014年9月

6、5日进行了回归测试，修复高风险10个和中风险漏洞16个，高风险修复率100%，中风险修复率100%。圈评井项轨计情爼风险总敛731*中凤险16471.vyiitduws操作系统高风险9中凤险Q30DrM甌据库Z中凤险5U二Weblfjc中间井*中凤险4t应用乘统高虬险S中悅险*已榜負it中轨险低凤淮09中凤险0476入网安评检测结修宣率果髙100.00%中風险10.00%W%6.1Windows操作系统初次测试发现30个问题，其中高风险问题个，中风险问题个，低风险问题30个，经整改后回归测试，Windows操作系统共修复高风险0个，修复中风险问题9个，修复低风险10个。具体问题描述见下表：表6

7、.1-1Windows操作系统问题汇总表测试系统问题标识问题描述问题等级问题状态广西电网公司业务流程信息化管理平台漏洞扫描使用极光最新版扫描工具扫描发现30个低风险漏洞，详情请见主机扫描报告。低未修复测试阶段高风险中风险低风险合计初测003030复测003030缺陷修复情况统计初次测试发现18个问题，其中高风险问题2个，中风险问题5个，低风险问题11个，经整改后回归测试，Oracle数据库共修复高风险2个，修复中风险问题5个，修复低风险个。具体问题描述见下表。表6.2-1Oracle数据库问题汇总表测试系统问题标识问题描述问题等级问题状态广西电网公司业务流程协同管理系统身份鉴别数据库没有启用口

8、令策略函数PASSWORDVERIFYFUNCTION。局己修复身份鉴另Oracle没有配置登陆失败处理功能。中已修复访问控制Oracle没有禁用多余的XDB服务。中已修复访问控制数据库存在多余的dba权限账号ebpmbp。尚己修复入侵防范Oracle数据库没有及时更新安全补丁。中己修复监听器防Oracle没有设置监听器口令。中已修复监听器防护Oracle没有设置监听服务空闲连接超时时间。中已修复漏洞扫描使用安信通数据库扫描工具扫描发现低风险漏洞11个，详情请看数据库扫描报低未修复0依1匸数如车问题汇总表测试阶段高凤险中凤险低凤险合计初测511复测01111Oracle数掘阵安企性漏洞统计6.

9、3岛g険叫除阳強合计初测55复测0Wchlogic中谢T间赵汇总表泄试阶段高风险中风险Weblogic中间件安全性洲洞统计图5-3-1WAIogic中间件安全悝谕洞统计Weblogic中间件初割7HJ初次测试发现5个问题，其中高风险问题个，中风险问题5个，低风险问题个，经整改后回归测试，Weblogic中间件共修复高风险0个，修复中风险问题5个，修复低风险个。具体问题描述见下表。表6.3-1Weblogic中间件问题汇总表测试系统问题标识问题描述问题等级问题状广西电网公司业务流程协同管理系统安全审计中间件日志记录按大小保存，文件大小为5k,建议日志记录应按时间保存。中己修复通信保密性weblo

10、gic没有开启SSL安全协议进行通信。中已修复入侵防护weblogic没有修改管理控制台的默认端口7001。中己修复入侵防护未限制应用服务器Socket数量。中已修复入侵防护weblogic管理控制台没有没有重命名控制台CONSOLE路径。中己修复6.4应用系统初次测试发现20个问题，其中高风险问题8个，中风险问题6个，低风险问题6个，经整改后回归测试，应用系统共修复高风险8个，修复中风险问题6个，修复低风险个。具体问题描述见下表。7系统测试环境7.1服务器配置7.2网络拓扑图应用;服务器睡件配置型号设矗旅号3.|OPO-Olffi014-OOM89CPC翅16310JG网卡鹿那卡操作亲竦由岡件WcbLog；c11G茸它IP1015174.31教fir.务器-型号虚16机设备据号CPU廢内存1昭30