信息系统脆弱性评估报告.doc

XX市地税局信息系统脆弱性评估报告 第 PAGE 77 页 共79页 密 级： 内部 文档编号：2007002-010 项目编号：2007002 XX市地税局信息系统 脆弱性评估报告 目 录 TOC \o 1-3 \h \z \u 1 概述 3 2 风险值分布 4 2.1 主机资产 4 2.1.1 工具评估分析布情况 4 2.1.2 人工评估 39 2.1.3 渗透测试 64 2.1.4 管理评估 67 2.1.5 主机资产最终风险值 68 2.2 网络资产 69 2.2.1 工具评估 69 2.2.2 人工评估 70 2.2.3 管理评估 72 2.2.4 网络设备最终风险值 72 2.3 安全资产 73 2.3.1 管理评估 73 2.3.2 安全资产最终风险值 73 2.4 存储资产 74 2.4.1 管理评估 74 2.4.2 存储资产最终风险值 75 2.5 数据资产 75 2.5.1 工具评估 75 2.5.2 管理评估 76 2.5.3 数据资产最终风险值 77 2.6 保障资产 77 2.6.1 管理评估 77 2.6.2 保障资产最终风险值 78 2.7 线路资产 78 2.7.1 管理评估 78 2.7.2 线路资产最终风险值 79 概述 根据《XX省人民政府信息化工作办公室关于印发信息安全风险评估试点工作实施方案的通知》文件精神，XX省信息安全测评中心承担了XX市地税局“征管信息系统”的风险评估工作。我中心以建立符合我省情况的风险评估方法、积累风险评估工作经验、培养队伍、协助XX市地税局更深入地了解其信息系统安全现状为目标，通过文档分析、现场访谈、问卷调查、技术评估等方法，对XX市地税局“征管信息系统”进行了全面的信息安全风险评估。 脆弱性是资产本身存在的，如果没有被相应的威胁利用，单纯的脆弱性本身不会对资产造成损害。而且如果系统足够强健，严重的威胁也不会导致安全事件发生，并造成损失。即，威胁总是要利用资产的脆弱性才可能造成危害。 资产的脆弱性具有隐蔽性，有些脆弱性只有在一定条件和环境下才能显现，这是脆弱性识别中最为困难的部分。不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个脆弱性。 脆弱性识别是风险评估中最重要的一个环节。脆弱性识别可以以资产为核心，针对每一项需要保护的资产,识别可能被威胁利用的弱点，并对脆弱性的严重程度进行评估；也可以从物理、网络、系统、应用等层次进行识别，然后与资产、威胁对应起来。脆弱性识别的依据可以是国际或国家安全标准，也可以是行业规范、应用流程的安全要求。对应用在不同环境中的相同的弱点，其脆弱性严重程度是不同的，评估者应从组织安全策略的角度考虑、判断资产的脆弱性及其严重程度。信息系统所采用的协议、应用流程的完备与否、与其他网络的互联等也应考虑在内。 脆弱性识别时的数据应来自于资产的所有者、使用者，以及相关业务领域和软硬件方面的专业人员等。脆弱性识别所采用的方法主要有：问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。 通过对XX市地税局信息系统的脆弱性分析，可更深入的了解本系统的薄弱环节，为提高系统的安全性打下坚实的基础。 风险值分布 根据国家风险评估估计，把信息资产分为硬件资产、软件资产、数据资产、文档资产、人员资产。 结合资产相关性，我们风险的分布划分成： 主机资产（主机+系统软件+应用软件） 网络资产（网络设备） 安全资产（安全设备+安全软件） 存储资产 数据资产 保障资产 主机资产 工具评估分析布情况 XX.20.225.18 漏洞名称 风险级别 漏洞概要5 相关端口 备注 Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞 4 Microsoft Windows 2000 WebDAV远程缓冲区溢出 80 误报 CodeRed 4 红色代码X版本检测 80 误报 http服务支持TRACE方法 3 http TRACE XSS 攻击 80 应用IIS .IDA ISAPI筛选器 3 测试 IIS .ida ISAPI 过虑器。 80 检测WebDAV是否开启 3 检查是否安装了WebDAV。 80 路由跟踪测试 1 traceroute 0 HTTP服务器类型和版本 1 服务器类型和版本 80 Microsoft .NET 句柄枚举 1 检测.NET framework的版本。 80 WEB服务器目录扫描 1 目录扫描器 80 风险级别 漏洞个数 5 0 4 0