漏洞评估报告.docVIP

漏洞评估报告 北京启明星辰信息技术有限公司 Beijing Venus Information Technology Inc.  目 录 1. 概述 4 1.1. 定义 4 1.1.1. 漏洞的定义 4 1.1.2. 漏洞评估的定义 4 1.1.3. 漏洞级别的划分 4 1.2. 漏洞评估的目的 6 1.3. 漏洞评估的内容 6 1.3.1. 技术漏洞的评估 6 1.3.2. 非技术漏洞的评估 6 1.4. 漏洞评估的方式 7 1.4.1. 调查与问卷评估 7 1.4.2. 系统评估 7 2. 技术性漏洞抽样统计 8 3. 非技术性漏洞统计分析 12 3.1. 安全策略 12 3.1.1. 概念和范围 12 3.1.2. 安全现状 12 3.1.3. 存在的不足 12 3.2. 物理和环境安全 12 3.2.1. 概念和范围 12 3.2.2. 安全现状 13 3.2.3. 存在的不足 13 3.3. 人事安全 14 3.3.1. 概念 14 3.3.2. 内部人员威胁概述 14 3.3.3. 安全现状 14 3.3.4. 存在的不足 15 3.4. 访问控制 15 3.4.1. 概念和范围 15 3.4.2. 安全现状 15 3.4.3. 存在的不足 15 3.5. 组织安全 16 3.5.1. 概念和范围 16 3.5.2. 安全现状 16 3.5.3. 存在的不足 16 3.6. 运行安全 16 3.6.1. 概念和范围 16 3.6.2. 安全现状 16 3.7. 开发与维护 17 3.7.1. 概念和范围 17 3.8. 业务连续性管理 18 3.8.1. 概念和范围 18 3.8.2. 安全现状 18 3.8.3. 存在的不足 18 3.9. 遵循性 18 3.9.1. 概念和范围 18 3.9.2. 安全现状 19 4. 综合分析 19 4.1. 已知漏洞的跟踪能力 19 4.2. 未知漏洞的防御能力 20 概述 定义 漏洞的定义 漏洞是存在于系统安全措施，设计，实现，内部管理等方面的缺点或弱点。这种缺点或弱点能够被使用（偶然触发或有意利用）并危害系统安全策略。 技术性漏洞主要是指操作系统和业务应用系统等方面存在的设计和实现缺陷。 非技术性漏洞主要是指系统的安全策略、物理和环境安全、人事安全、访问控制、组织安全、运行安全、系统开发和维护、业务连续性管理、遵循性等方面存在的不足或者缺陷。 漏洞评估的定义 对系统的技术和非技术弱点进行完整的、全面的评估。从而为计算资产面临的威胁提供真实可用的资料源。 漏洞评估是进行威胁评估和风险评估的第一步过程。 技术性漏洞评估主要针对操作系统和业务应用系统等方面存在的设计和实现缺陷进行统计和归纳。 非技术性漏洞评估主要针对系统的安全策略、物理和环境安全、人事安全、访问控制、组织安全、运行安全、系统开发和维护、业务连续性管理、遵循性等方面存在的不足或者缺陷进行统计和归纳。 漏洞级别的划分 级别 描述符 说明 1 无关紧要的 如果一个漏洞虽然存在，但是它并不能提供给攻击者任何与系统相关的信息，也不能增加攻击者任何远程或者本地系统权限，那么这个漏洞是无关紧要的。 2 较小 如果一个漏洞只能向本地攻击者提供有限的系统信息，或者给予本地攻击者有限的系统权限，同时该系统信息或者系统权限并不能对系统或者资料造成任何危害，那么这个漏洞是较小的。 3 中等的 如果一个漏洞可以向本地攻击者提供有限的系统信息，或者给予远程攻击者有限的系统权限，但是该系统信息或者系统权限并不能对系统或者资料造成任何危害，那么这个漏洞是中等的。 4 严重的 如果一个漏洞能够使得本地攻击者对系统或者资料造成较大的危害，那么这个漏洞是较严重的。 5 灾难性的 如果一个漏洞能够被攻击者利用，获得目标系统较高权限，从而使得攻击者能够破坏或者获取系统的重要资料，那么这个漏洞就是灾难性的。 一次事件概率： 在本报告中指由一个特定的漏洞引发的一次性攻击事件的概率。遵照AS/NZS 4360:1999标准，结合xx证券的业务特征，对一次事件的概率度量值说明如下： 概率 描述 详细说明 0.99 几乎必然的 一个具有真实IP的节点，在没有任何保护措施的情况下，暴露于internet上，实践表明，它的特定漏洞使它遭受攻击的概率是几乎必然的 0.9 很可能的 一个具有真实IP的节点，如果它的一个特定漏洞，可以配合其它条件被攻击者加以直接利用，或者该漏洞的利用有一定的难度，那么这个漏洞导致该节点被攻击的概率为很可能的。 0.5 可能的 一个具有真实IP的节点，如果它的一个特定漏洞，对于攻击者来说，该漏洞无法被直接利用（需要其它条件配合）或者利用的难度较高，那么这个漏洞导致该节点受攻击的概率是可能的 0.1 不太可