风险应对策略方案V10.doc

XXX业务运维 信息系统风险评估报告 文档控制 提交方 提交日期 版本信息 日期 版本 撰写者 审核者 描述 所有权声明 文档里的资料版权归江苏开拓信息系统有限公司（以下简称“江苏开拓”）所有。未经江苏开拓事先书面允许，不得复制或散发任何部分的内容。任何团体或个人未经批准，擅自观看方案将被认为获取了江苏开拓的私有信息而遭受法律的制裁。目 录 1. 评估项目概述 6 1.1. 评估目的和目标 6 1.2. 被评估系统概述 6 1.2.1. 系统概况 6 2. 风险综述 6 2.1. 风险摘要 6 2.1.1. 风险统计与分析 6 2.1.2. 极高风险摘要 10 2.1.3. 高风险摘要 10 2.1.4. 中风险摘要 11 2.1.5. 低风险摘要 12 2.2. 风险综述 13 3. 风险分析 17 3.1. 网络通信 17 3.1.1. VLAN间未做访问控制 17 3.1.2. 内网设计中存在单点故障风险 18 3.1.3. 外网设计中存在单点故障风险 19 3.1.4. 无专业审计系统 20 3.1.5. SSG520防火墙配置策略不当 20 3.1.6. 网络边界未做访问控制 22 3.2. 安装部署 23 3.2.1. Windows系统未安装必威体育精装版补丁 23 3.2.2. Windows系统开放了不需要的服务 24 3.2.3. Windows系统开放了默认共享 25 3.2.4. Windows系统存在权限控制不当的共享 26 3.2.5. Windows系统过多的管理员账号 28 3.2.6. Windows系统账户策略配置不当 29 3.2.7. Windows系统审核策略配置不当 31 3.2.8. Windows系统事件日志策略配置不当 32 3.2.9. Windows系统终端服务开放在常规端口 33 3.2.10. Windows系统未禁用Guest账号 34 3.2.11. Windows系统没有重命名管理员账号 36 3.2.12. Windows系统管理员账号弱口令 37 3.2.13. Windows系统允许匿名FTP访问 38 3.2.14. Windows系统IIS允许父路径 39 3.2.15. Windoiws系统存在IIS示例程序 40 3.2.16. Windoiws系统存在IIS目录权限设置不当 41 3.2.17. Windoiws系统IIS脚本默认映射 43 3.2.18. Windoiws系统SNMP默认团体字 44 3.2.19. BBS数据库文件未改名 45 3.2.20. SQL Server数据库未安装必威体育精装版补丁 47 3.2.21. SQL Server数据库审核级别设置不当 48 3.2.22. SQL Server数据库服务运行在特权账号下 49 3.2.23. SQL Server数据库存在存在xp_cmdshell等扩展存储过程 50 3.2.24. SQL Server数据库管理员账户使用弱口令 51 3.2.25. 未限制可登录Cisco交换机的IP地址 53 3.2.26. Cisco交换机开放过多不需要的SNMP服务 54 3.2.27. 使用弱密码管理Cisco交换机 56 3.2.28. cisco交换机的SNMP只读及读写存在弱密码 56 3.2.29. SSG520的SNMP只读及读写存在弱密码 58 3.2.30. SUN Solaris 未安装必威体育精装版安全补丁 59 3.2.31. SUN Solaris存在弱口令帐户 60 3.2.32. SUN Solaris使用明文协议维护主机 61 3.2.33. SUN Solaris ftp服务允许匿名用户访问 62 3.2.34. SUN Solaris存在极危险的.rhosts文件 63 3.2.35. 系统存在有安全漏洞的HTTP服务器 64 3.2.36. SUN Solaris启用了多个不需要的服务 66 3.2.37. Oracle监听器安全配置不当 67 3.2.38. Oracle 数据库调度程序漏洞 68 3.2.39. Oracle 数据库多重目录遍历漏洞 69 3.2.40. SUN Solaris主机系统日志无备份 71 3.3. 认证授权 71 3.3.1. 系统未采用安全的身份鉴别机制 71 3.3.2. 未对数据库连接进行控制 73 3.4. 安全审计 74 3.4.1. 无登录日志和详细日志记录功能 74 3.5. 备份容错 75 3.5.1. 无异地灾备系统 75 3.5.2. 数据备份无异地存储 76 3.5.3. 核心业务系统存在单点故障