picc术前评估内容,贵州PICC安全评估报告,picc的安全维护,picc个人述职报告 韩流MM网 > picc置管前评估 > picc术前评估内容,贵州PICC安全评估报告,picc的安全维护,picc个人述 正文

picc术前评估内容,贵州PICC安全评估报告,picc的安全维护,picc个人述职报告

发布时间:2013-03-14 来源: picc置管前评估

员会负责和报告工作,审计部门的年度经营预算、年度工作安排和季度审计工作 的评价等... 第3章PICC贵州省分公司内部审计制度存在的问题 PICC贵州分公司内部审计制度来源于...

密 级:秘密 文档编号:

项目代号: PICC 贵州分公司 安全评估报告 V 1.0 联想集团有限公司 2007 年 6 月 保密申明 这份说明书涉及到联想的商业机密的信息。

接受这份说明书表示同意对其内容保密, 未经书面请求并得到联想公司的书面认可,不得复制,泄露或散布这份说明书。如果你 不是有意接受者,请注意对这份说明书内容的任何形式的泄露、复制或散布都有可能引 起法律纠纷。 贵州人保安全评估和主机加固项目 文档控制 拟制 审核 标准化 读者 陈浪 王宇 贵州人保、联想项目组成员 版本控制 版本 提交日期 相关组织和人员 版本描述 文档建立 V1.0 2007 年 11 月 贵州人保、联想项目组成员 安全评估报告 Page 2 of 29 贵州人保安全评估和主机加固项目 目录 1 前言 ................................................................................................................................................... 1 1.1 1.2 1.3 1.4 2 背景 ......................................................................................................................................... 1 目的 ......................................................................................................................................... 1 实施概要 ................................................................................................................................. 1 安全标准 ................................................................................................................................. 2 安全现状描述 ................................................................................................................................... 2 2.1 2.1.1 2.1.2 2.2 2.2.1 2.2.2 2.2.3 2.2.4 2.2.5 2.2.6 2.2.7 2.3 2.3.1 2.3.2 2.4 2.4.1 2.4.2 2.4.3 2.4.4 2.4.5 网络结构安全现状 ................................................................................................................. 3 网络拓扑结构 ................................................................................................................. 3 系统安全建设 ................................................................................................................. 4 应用系统安全现状 ................................................................................................................. 5 核心业务系统 ................................................................................................................. 5 内部 Web ......................................................................................................................... 6 内部 FTP ......................................................................................................................... 7 OA 系统 ............................................................................................................................... 7 网管系统 ......................................................................................................................... 7 邮件服务器系统 ............................................................................................................. 7 95518 系统 .......................................................................................................................... 7 主机系统安全现状 ................................................................................................................. 8 Unix 平台主机 .................................................................................................................... 8 Windows 平台主机 .............................................................................................................. 9 安全管理安全现状 ............................................................................................................... 11 安全管理组织 ............................................................................................................... 11 安全管理制度 ............................................................................................................... 11 日常策略维护 ............................................................................................................... 12 安全审计 ....................................................................................................................... 12 应急响应 ....................................................................................................................... 12 3 安全风险分析 ................................................................................................................................. 12 3.1 3.1.1 3.1.2 3.2 3.2.1 3.2.2 3.2.3 3.2.4 3.2.5 3.2.6 3.2.7 3.2.8 3.3 3.3.1 网络结构安全风险 ............................................................................................................... 13 网络结构缺陷 ............................................................................................................... 13 主要安全风险 ............................................................................................................... 14 应用系统安全风险 ............................................................................................................... 14 核心业务系统 ............................................................................................................... 14 内部 Web 系统 .............................................................................................................. 14 内部 FTP 系统 .............................................................................................................. 14 OA 系统 ............................................................................................................................. 15 网管系统 ....................................................................................................................... 15 邮件系统 ....................................................................................................................... 15 95518 系统 ........................................................................................................................ 15 主要安全风险 ............................................................................................................... 15 主机系统安全风险 ............................................................................................................... 16 UNIX 平台主机 ................................................................................................................. 16 Page 3 of 29 安全评估报告 贵州人保安全评估和主机加固项目 3.3.2 3.3.3 3.4 3.5 4 Windows 平台主机 ............................................................................................................ 17 主要安全风险 ............................................................................................................... 19 安全管理安全风险 ............................................................................................................... 19 安全风险等级排序 ............................................................................................................... 20 安全建设建议 ................................................................................................................................. 21 4.1 4.1.1 4.1.2 4.1.3 4.1.4 安全解决方案 ....................................................................................................................... 23 网络安全解决方案 ....................................................................................................... 23 主机系统安全解决方案 ............................................................................................... 24 应用系统安全解决方案 ............................................................................................... 25 安全管理解决方案 ....................................................................................................... 25 安全评估报告 Page 4 of 29 贵州人保安全评估和主机加固项目 1 前言 1.1 背景 随着中国人保对业务整合和集中化的经营要求, 系统越来越趋于整合和网络化, 对安全 的重视也随之被提升到了一个前所未有的高度。

在现有的财险系统的建设过程中, 在一定程 度上考虑了相应的安全建设投入, 这为迄今贵州人保财险业务的顺利进行和发展提供了坚实 和必要的保障,同时也为今后的建设打下了一定基础。

从安全本身的“安全基于应用”的观点角度来看,有应用,必然会产生对应的安全问题 和解决需求;反过来,安全措施的加强也将为应用提供更好的发展基础。所以,能否搭建一 个安全的应用运行平台环境,必将成为中国人保财险目前必须要面对和思考的一个问题。 1.2 目的 在人保财险业务系统建设的过程中, 随着业务系统本身规模的不断扩大, 以及客观存在 的“以市场需求为导向”而需要不断调整其自身应用模式的要求,必将导致业务系统情况不 断的发生变化。

虽然贵州人保财险公司已经进行了安全集成的建设, 采用了一些安全技术手 段。

但是并没有针对业务系统做过安全评估, 并没有从全网业务的高度对贵州人保财险的各 业务系统的网络结构、相互访问关系、信息资产的保护监管和投入产出比进行分析,没有对 系统内的各种设备产品本身的漏洞、 脆弱点以及面临的威胁点进行分析, 因此不能准确的把 握全网的整体安全势态, 不能从安全集中统一管理的角度出发提出针对性建议, 不能为全网 安全体系建设提供指导性意见。

因此对贵州人保财险系统全网进行一次全面的安全评估是非 常有必要的, 它将为贵州人保财险解决现有体系安全问题, 提高全网的安全水平提供重要作 用,从而为在必需的时候能够及时、客观、准确的做出决策提供依据。 1.3 实施概要 本项目于 2007 年 6 月 25 日至 2007 年 6 月 29 日期间进行。

我方安全服务工程师以问 卷调查和人员访谈、 工具评估为主, 并参考贵州人保财险业务系统内现有的相关系统设计技 术和管理文档资料, 通过对贵州人保财险公司的系统安全现状进行了分析评估, 最终形成本 安全评估报告 Page 1 of 29 贵州人保安全评估和主机加固项目 报告。

本项目实施期间涉及人员包括贵州人保财险业务系统人员, 并在期间得到了他们的大力 协助。 1.4 安全标准 在本项目实施过程中,我们参照以下国际、国内和行业的安全标准进行实施:

1. 信息安全管理标准 ? ? ? ? 2. GB 17859-1999:计算机信息系统安全保护等级划分准则(国家标准) ISO17799/ BS7799:信息安全管理体系规范(国际标准/英国国家标准) ISO/IEC 13335:信息安全管理标准 ISO 7498-2:开放系统互联安全体系结构 技术与工程标准 ? ? SSE-CMM :安全系统工程能力成熟度模型 ISO/IEC 15408(GB/T18336) :信息产品通用测评准则(CC) 3. 实施标准 ? ? CVE 通用脆弱性描述标准 PMI 项目管理方法 2 安全现状描述 本章主要从以下几个方面对目前贵州人保财险系统的安全现状情况进行描述:

1. 2. 3. 4. 网络结构 应用系统 主机系统 安全管理 安全评估报告 Page 2 of 29 贵州人保安全评估和主机加固项目 2.1 网络结构安全现状 2.1.1 网络拓扑结构 从网络结构上看, 贵州人保财险的网络系统基本为一个单纯的内部网络结构, 对外的接 口只有来自于营业厅的 VPN 接入, 无外部 Web、FTP、Mail 等服务。

网络拓扑图如下所示: 图 1 贵州人保网络拓扑图 从上图我们可以看出,贵州人保系统划分了三层结构(省、市、县) ,主要包括了 OA 系统、内部 WEB 系统、视频会议系统、业务系统等几部分。所有的重要网络设备都部署在 人保大楼机房。

主要的核心交换机为两台 Cisco 4506 交换机,在两台 Cisco 4506 之间启用了 HSRP 热备份路由器协议,互为冗余备份,较好地解决了核心设备的单点故障,同时也具有一定的 汇聚功能,汇聚新办公区的两台楼层交换机。在 4506 通过加装引擎启用了三层功能,目的 是提供不同 VLAN 之间的访问控制策略。 安全评估报告 Page 3 of 29 贵州人保安全评估和主机加固项目 新办公区楼层接入交换机与核心交换机之间部署了联想网御的 PowerV-304-VPN 防火 墙,其 Inside 与核心交换机相连,Outside 与楼层交换机相连,通过策略控制以达到保护核 心数据库和生产服务器的目的。旧办公区各楼层接入交换机是通过一台 MP4196 汇聚后再 通过一条 1000M 的光缆与核心交换机相连。

在核心交换机部署了一台 IDS (联想网御 IDS N800) , 对访问核心服务器的行为进行实 时监控,及时发现异常行为并予以报警。

VPN 接入是通过一台 SINFOR M5100V 网关提供接入,且在 VPN 网关上启用了防火 墙功能对 VPN 接入的用户使用策略进行控制,以达到保护核心服务器的目的。在核心交换 机上部署一台 VPN 策略服务器,负责对 VPN 网关进行策略设置。

目前 95518 系统已经完成集中,各种应用服务器与 95518 系统(68.1.36.0/24)相关 服务器都通过接入交换机直接与核心交换机 4506 相连。

视频会议系统和总公司是通过两台 Cisco R3662 接入电信 ATM 和联通的 SDH 线路。

地市是由视频会议系统、业务系统和 OA 系统组成。其中视频会议系统和业务系统、 OA 系统是通过边界两台互为冗余备份的 Cisco3662 策略控制走不同的线路与地市相连 (视 频会议走联通的 SDH 线路,业务数据和办公数据走电信的 ATM 线路) 。地市对省中心的业 务是通过防火墙的访问规则控制,然后再对各种业务数据进行访问。 2.1.2 系统安全建设 贵州人保财险省公司的安全集成已经完成, 随着各种安全设备和策略的部署实施, 较大 程度上的提高了省公司的安全防护水平,建立起了较为完善的安全防御体系。

下面将分别阐述当前贵州人保财险省中心的系统安全建设情况。

1. 访问控制设备 人保大厦机房 部署有两台联想网 御 Power V-3303 千兆防火墙和两 台 Power V 304-VPN 百兆防火墙,Power V-3303 千兆防火墙互为冗余备份。在策略配置上通过安全策 略配置的完成,配置了详细的安全策略,对人保内部的主机进行保护。

2. 入侵检测设备 目前贵州人保在内部核心交换机 Cisco4506 上部署了一台联想网御的 IDS N800, 对网 络中的异常行为进行预警。该 IDS IP 地址为 68.1.33.11,IDS 的日志查看是不定期的进行。 安全评估报告 Page 4 of 29 贵州人保安全评估和主机加固项目 3. VPN 认证设备 在人保大楼机房部署有一台 SINFOR M5100V VPN 网关。通过对来自于各营业厅的主 机提供验证加密传输数据,并通过策略限制授权访问内部网络中的相关服务器。

4. 病毒防护系统 人保大厦机房内部署了 Symantec 的企业版防病毒系统, 采用分层式部署, 贵州分公司 为二级服务器,通过中国人保总公司的一级服务器升级病毒库和防护策略。办公区 PC 和服 务器区的 Windows 平台主机大部分部署有客户端, 及时升级病毒库并进行防护策略的执行。 2.2 应用系统安全现状 贵州人保的主要应用业务系统包括核心业务系统、内部 Web、内部 FTP、OA 系统、 网管系统、邮件服务器系统以及 95518 系统等。核心业务系统采用 IBM P 系列主机作为硬 件平台,操作系统为 AIX 5.3,采用 Informix 9.4 数据库,为贵州人保系统的核心资产,存 储和处理大量客户业务数据。

当前内部、FTP、Web、OA 系统、网管系统以及 95518 系统为 Windows2000 操作系 统,邮件服务器系统采用 Solaris 8 操作系统。 2.2.1 核心业务系统 核心业务系统为人保的核心, 人保所有的如车险、 非车险等业务的办理都是由该系统来 实现,该系统由中科软采用 Informix 4GL 开发。

1. 访问关系 由于人保业务系统涉及的险种和业务众多, 贵州人保系统内部地市终端对业务系统数据 的访问关系也是错综复杂的,其访问关系是:地市的业务终端首先通过 Telnet 访问地市应 用服务器,地市应用服务器访问省中心前置机,省中心前置机访问核心数据库。

营业厅是通过 VPN 接入的方式连入到贵州人保的内部网络,然后访问人保业务前置机 来达到访问业务系统的目的。贵州人保业务系统主要的访问关系如下图所示: 安全评估报告 Page 5 of 29 贵州人保安全评估和主机加固项目 图 2 贵州人保业务系统访问关系图 2. 数据传输方式 目前贵州人保系统采用两台安装了 Informix 9.4 数据库的 IBM 主机来作为核心数据库 (业务数据库和财务数据库)开放的服务有:telnet;ftp 等;地市与省公司之间的数据传输 主要是通过 telnet 来完成。

3. 业务系统访问权限 目前地市终端对业务系统访问的权限有较为细致的划分, 主要的表现方式为:

权限是通 过地市代码、科室代码、操作员代码以及口令的组合,来共同完成控制。相应的代码以及口 令只能访问相应的数据库模块, 做到了不同地市的数据库模块不能互访, 从而保证了数据一 定的安全性。 2.2.2 内部 Web 内部 Web 系统主要是系统内部工作动态和新闻发布等使用。主机使用 Windows 2000 Server 操作系统(IP:68.1.33.8) 。

该系统使用的是 Apache 2.0.50+ PHP/4.3.11+MySQL 架构。目前,访问该内部网站的 人员主要为贵州 PICC 的内部员工。WEB 服务器的维护主要由 WEB 服务器管理员完成, 安全评估报告 Page 6 of 29 贵州人保安全评估和主机加固项目 且只有管理员一人拥有维护权限, 维护方式主要采用远程桌面方式。

在数据库维护上主要采 用工具 phpMyAdmin 进行。 2.2.3 内部 FTP 内部 FTP 系统主要是为贵州人保内部员工提供影视和相关的软件下载。主机使用 Windows 2000 Server 操作系统(IP:68.1.33.169) 。

FTP 服务器使用 Serv-U 6.0, 该服务器上的文件下载主要是通过内部 WEB 服务器上提 供的链接地址进行。

服务器的维护和管理由管理员一人完成, 且只有管理员拥有相应的权限。

系统的维护主要通过远程桌面进行。 2.2.4 OA 系统 OA 服务器(IP:68.1.32.241)是一台 Windows 2000 Server 主机,装有 LOTUS 4.6 系统。贵州 PICC 日常的办公行为主要通过该服务器完成,采用 C/S 模式进行访问。访问 服务器的人员共分两类,一类是普通员工,能根据自己的工号查看和存取数据,一类是管理 员,拥有超级用户权限。该服务器由 OA 服务器管理员通过后台方式进行维护,维护通过远 程桌面进行。 2.2.5 网管系统 网管系统是采用在 windows2000 上部署 HP OpenView 网管系统(IP:68.1.32.101), 主要实现对贵州 PICC 内部网络的配置和维护,主要工作由总公司远程进行。 2.2.6 邮件服务器系统 贵州人保邮件服务器系统(IP:68.1.32.242)主机使用的是 SUN 的 Solaris 8 操作系 统,部署的是 Iplanet,该系统在贵州人保网络系统中处于比较重要的地位,一旦该系统受 到攻击出现问题,整个贵州人保的邮件系统就会处于瘫痪状态。

系统的后台维护只有管理员一人拥有权限对系统进行添加/删除用户等维护操作。 2.2.7 95518 系统 95518 系 统 是 贵 州 人 保 的 客 户 服 务 系 统 , 系 统 地 址 主 要 分 布 在 68.1.36.21/24 -68.1.36.26/24,该系统在贵州人保网络中处于极其重要的地位,必须满足 7*24 的要求,系 统的服务器都有相应的备份主机。95518 主要向客户提供 6 项基本服务内容:即受理报案、 安全评估报告 Page 7 of 29 贵州人保安全评估和主机加固项目 客户咨询、预约投保、投诉举报、救援、客户回访。 2.3 主机系统安全现状 根据操作系统、 所部署的安全区域以及业务功能的不同, 贵州人保的主机系统大致可以 划分为 UNIX 平台主机和 Windows 平台主机两部分,下面将分别对这两部分主机的安全状 况进行描述。 2.3.1 Unix 平台主机 序号 1 设备 IP 68.1.32.14 68.1.38.14 68.1.32.11 68.1.38.11 68.1.32.25 68.1.38.25 68.1.32.27 68.1.38.27 68.1.32.30 68.1.38.30 68.1.32.31 68.1.38.31 68.1.32.34 68.1.38.34 68.1.32.12 68.1.32.8 68.1.32.16 68.1.32.21 68.1.32.242 硬件类型 IBM p570 操作系统 AIX 5.3 业务功能 业务数据库主机 2 IBM p650 AIX 5.3 财务数据库主机 3 IBM p550 AIX 5.3 业务前置机 1 4 IBM p550 AIX 5.3 业务前置机 2 5 IBM p630 AIX 5.3 财务前置机 6 IBM p630 AIX 5.3 HDR 数据复制数据库服务器 7 8 9 10 11 12 IBM h70 IBM 7000 IBM 7000 AIX 5.2 SCO 5.0.5 SCO 5.0.5 AIX 5.2 AIX 5.2 数据分发库服务器 升级程序存放 旧财务数据库服务器 SUN 280R Solaris 5.8 邮件服务器 表 1 UNIX 平台主机列表 1. 访问控制 贵州人保大厦机房部署有四台联想网御防火墙,其中新办公区部署有两台 PowerV-204-VPN 防火墙,楼层交换机部署于 Outside 区域,核心交换机部署在 Inside 区 域,以达到保护直接与核心交换机相连的核心主机。旧办公区直接可以访问核心主机,不受 安全评估报告 Page 8 of 29 贵州人保安全评估和主机加固项目 防火墙控制。

2. 补丁升级 IBM AIX 主机的系统补丁升级情况良好。当前主机除 68.1.32.34 外其它主机操作系统 版本均为 AIX 5.3,其中 68.1.32.30 ML 补丁集为 5300-01 其于 5 台 AIX 主机的 ML 补丁集 合已升级到 5300-03(当前 AIX 5.3 的最新 ML 版本) 。数据分发库服务器 68.1.32.34 补丁 为 ML 5200-06(当前 AIX5.2 的最新 ML 版本为 5200-07) 。

3. 系统安全配置 通过两次安全评估加固,当前 UNIX 主机停用了系统非必须且危险服务,且进行了相应 的安全配置,UNIX 主机的安全性有了较大的提高。在系统日志和审计方面,未配置 syslog 日志记录以及外部日志服务器;在 root 登录上,未限制 root 用户直接登录。 2.3.2 Windows 平台主机 1. 主机列表 设备 IP 68.1.32.101 68.1.33.8 68.1.33.169 68.1.32.241 68.1.32.148 68.1.32.107 68.1.32.109 68.1.36.21 68.1.36.22 68.1.36.23 68.1.36.24 68.1.36.25 68.1.36.26 序号 1 2 3 4 5 6 7 8 9 10 11 12 13 硬件类型 HP DL380 PC PC PC PC PC PC 操作系统 Windows2000 Windows2000 Windows2000 Windows2000 Windows2000 Windows2000 Windows2000 Windows2000 Windows2000 Windows2000 Windows2000 Windows2000 Windows2000 网管主机 业务功能 省公司内部网站 省公司内部网站`服务器 办公自动化主机 省公司内部网站 VPN 策略服务器 VPN 策略服务器 95518 系统的 IVR 95518 系统的 IVR 95518 系统的 CSS 95518 系统的 CSS 95518 系统的 web 95518 系统的 web 安全评估报告 Page 9 of 29 贵州人保安全评估和主机加固项目 14 15 16 68.1.32.15 68.1.32.252 68.1.32.22 Windows2000 Windows2000 Windows2000 表 2 Windows 平台主机列表 1. 访问控制 人保大厦机房部署有四台联想网御防火墙, 其中新办公区部署有两台 PowerV-204-VPN 防火墙,楼层交换机部署于 Outside 区域,核心交换机部署在 Inside 区域,以达到保护直 接与核心交换机相连的核心主机。旧办公区直接可以访问核心主机,不受防火墙控制。

2. 补丁升级 在贵州人保内部部署了 WSUS 服务器,在考虑到服务业务应用方面多数服务器未配置 WSUS ,Windows 平台主机的补丁升级主要还是通过系统管理员手动升级完成。所占数量 较多的 Windows 平台主机因无法访问互联网,无法进行补丁的自动升级安装,当前的 Windows 平台主机缺乏个别 SP4 以后的补丁。

3. 病毒防护 省公司装有 Symantec 企业版病毒防火墙, 由总公司统一实施病毒库分发布置。

经检查, Windows 平台主机安装有 Symantec 诺顿企业版杀毒软件的客户端,病毒库由总公司统一 定期下发部署,升级较为及时。安装了诺顿客户端的 Windows 平台主机的病毒库都已升级 都比较及时。

4. 用户口令 通过漏洞扫描,发现当前系统中部分 windows 主机存在弱口令情况,弱口令统计如下 表:

IP 地址 68.1.32.101 68.1.32.101 68.1.32.101 68.1.36.24 用户名 picc 弱口令 picc 备注 picc 属于 administrators 组 piccbj postgres gzpicc piccbj postgres gzpicc 安全评估报告 Page 10 of 29 贵州人保安全评估和主机加固项目 68.1.32.15 68.1.32.252 Administrator Administrator admin 1 管理员帐号 管理员帐号 表 3 windows 主机弱口令统计 5. 主机安全配置 当前 Windows 平台主机除 95518 系统和用户要求不实施加固的主机未进行安全设置以 外,其它主机通过加固设置了相应的安全策略,并停用了一些危险的服务,从安全设置上看 主机的整体安全性较高。 2.4 安全管理安全现状 目前贵州人保财险公司的系统安全都是由公司内部的系统管理员兼任, 在我公司实施安 全评估和主机加固之前,几乎没有专业的第三方安全服务厂商负责。下面,将从几个方面来 阐述贵州人保财险公司的安全管理现状。 2.4.1 安全管理组织 建立良好的安全管理组织是安全体系成功实现的基础和保障。

人保财险总公司在组织架 构上并没有设置专门的安全部门, 在职位安排上也没有专职的安全管理员和安全审计员。

公 司的安全管理、 维护统一由信息技术部的系统管理员负责。

系统的组织和管理都是依靠系统 管理员来进行,目前无定期的对系统管理员进行安全技术和安全知识的培训。 2.4.2 安全管理制度 安全管理制度作为安全管理要素中的重要组成部分, 发挥着极其重要的作用。

它不仅仅 体现的是一个组织内在安全管理上的理念是否科学, 而且通过对安全管理制度的考察, 可以 看出组织内在安全管理制度的制定、落实和审查的三个环节上是否形成了可持续完善的机 制,而不仅仅是纸面上的东西。

目前贵州人保财险公司在安全管理制度建立上还处于初步阶段, 公司的安全管理制度相 对比较缺乏, 公司各种项目的实施都是按照总公司的运维规范进行。

虽然公司现在已经建立 了一些制度,但是没有明确的针对各种业务的审批、开展、监督和审查制定出相应的制度, 许多的业务流程都是按照大家都熟悉的一些习惯性流程进行管理, 并且在执行力度上还有待 加强,无定期审核,存在着较多管理上的风险。 安全评估报告 Page 11 of 29 贵州人保安全评估和主机加固项目 2.4.3 日常策略维护 日常策略维护是构建安全系统的一个重要环节。

目前由于贵州人保财险公司的业务相对 单纯,网络设备和服务器及应用系统相对较少,所以日常维护都是系统管理员自己负责,只 有出现重大故障,而系统管理员也不能解决的时候,才会通知相关厂商进行应急响应。并且 在地市设置了二级管理员,可以对地市的业务进行日常维护。基本的维护方式都是通过 Telnet 远程登录设备来进行。 2.4.4 安全审计 目前在安全建设上, 主要考虑的是对外部的防御, 而没有考虑内部的权限控制和安全审 计。缺乏相应的审计设备,并且无专职的安全管理员和安全审计员,因此对系统的操作行为 无法进行审核, 无法确认是否存在越权操作的行为, 并导致在出现安全事件时无法进行跟踪 追查责任人。 2.4.5 应急响应 贵州人保财险公司目前针对业务系统以及各种安全事件有相应的应急响应预案, 但没有 定期的进行应急响应演练。

对于业务系统和系统设备以及安全事件的应急响应机制上, 采取 的是系统管理员负责, 只有出现系统管理员无法及时解决的情况下才寻求相应的服务厂商的 应急支持。 3 安全风险分析 从第二章的安全现状分析我们可以看到, 贵州人保财险系统的安全建设已经达到了比较 高的级别,网络结构、应用系统、主机系统和安全管理四个方面的安全策略规划较完善。

可以看到, 目前人保财险系统内最重要的资产是:

在核心主机中保存的各种用户资料和 日常业务数据,以及相关的业务系统支撑资源(如主机、数据库及业务系统等) 。从目前贵 州人保财险中心的网络现状来看, 边界网络设备和安防设备以及核心区网络设备都采用备份 机制, 很好地解决了重要设备单点故障问题。

从考虑到防止核心设备和主机链路单点故障来 看使用双设备双链路以及将防火墙的 Inside 区域都与核心交换设备相连,从网络拓扑和实 安全评估报告 Page 12 of 29 贵州人保安全评估和主机加固项目 际的业务访问关系上来看,设计是合理和有效的。

安全是一个动态发展的过程, 没有绝对的安全。

因此, 本章将分为网络结构、 应用系统、 主机系统和安全管理五个方面对目前系统可能存在的安全隐患和风险进行分析。

做到发现问 题,提出解决建议,最终协助贵州人保财险增强系统安全性。 3.1 网络结构安全风险 通过上次安全评估和安全集成实施后,贵州人保财险系统形成了现有的安全防御体系, 很大程度的提高的安全防护能力。但因部分网络结构不合理、缺乏相应的安全设备等,致使 当前贵州人保的网络结构中仍然存在一定的安全风险,网络安全防御体系仍有待加强和完 善。 3.1.1 网络结构缺陷 目前人保财险系统的安全建设还是突出在以防为主, 在边界上部署防火墙, 在核心交换 机上部署 IDS,形成了基础的防御体系。从整个拓扑图的结构来看,在核心区数据库和各种 重要的服务器部署在防火墙的内部, 但没有得到防火墙的完全保护, 旧办公区与人保大厦机 房有一定的距离使用的是 1000M 光缆连接,由于带宽和资金原因没有在该链路上布置 1000M 防火墙。旧办公区与核心区域链路上未受防火墙的控制。旧办公区的主机可以在不 受控制之下直接访问核心主机, 由于这个原因可能造成内部用户不用穿透防火墙直接对核心 主机区域主机进行恶意攻击(如:密码猜解、越权访问、数据截取等) 。在互联网发生攻击 事件中,来自外网的安全事件占据 20%,而来自内网的安全事件占据 80%。所以防内更盛 于防外。

核心数据库、 生产服务器和各种应用服务器都直接与核心交换机相连, 都在同一个安全 域内,没有进行安全等级划分,处于同一个安全域中的主机可以直接互访,没有任何访问控 制限制。根据业务访问关系,用户的业务连接首先访问前置机,再通过前置机访问中间件, 最终通过中间件访问核心数据库。

业务系统服务器的安全等级从高到低应为核心数据库>中 间件>前置机。

VPN 接入这条链路主要是来自于营业厅前端营业 PC 对前置机的访问。由于此链路作 为一个外部网络接入的接口, 可能会存在遭到 DDos 攻击的可能性, 消耗网络带宽和系统资 源,造成 VPN 业务中断的风险。 安全评估报告 Page 13 of 29 贵州人保安全评估和主机加固项目 3.1.2 主要安全风险 1) 旧办公区在访问核心区主机链路未得到防火墙的保护,可能造成核心区主机 被恶意攻击。

2) 对 VPN 链路的 DDos 攻击可能造成业务中断,影响对用户的服务,存在潜在 的对人保财险社会品牌效益的影响。

3) 所有的服务器都在同一个域内,没有进行安全等级划分,存在安全隐患。 3.2 应用系统安全风险 3.2.1 核心业务系统 经过对第二章对应用系统的访问关系、访问权限、数据传输方式的现状分析,当前贵州 人保应用系统的安全风险主要集中在业务数据传输和数据库操作行为审计上, 目前的数据传 输主要是采用 FTP,业务系统访问主要是采用 Telnet,众所周知 FTP 和 Telnet 在交互过程 中,采用的明文方式,不进行加密。可能造成重要和敏感数据被非法用户截取。

核心数据库作为贵州人保的关键资产, 对核心数据库的直接操作和维护影响较大。

目前 针对数据库的操作和维护的过程没有审计和授权的机制,无法保证用户操作行为的安全性。

一旦发生安全事故, 造成数据的破坏后, 无法追究事故造成的责任人。

存在一定的安全风险。 3.2.2 内部 Web 系统 内部 Web 系统是采用 PHP 4.3.11 开发。PHP 是适合 web 开发,可嵌入到 HTML 中的 广泛普及的脚本语言。通过手工检查,当前系统采用的 MySQL 数据库 root 用户为空密码, 且后台数据库管理工具 phpMySQL 也为空密码,由于这些可能导致恶意用户对内部 Web 站点进行恶意的修改。

由于 MySQL 是由系统权限执行的, 也可能造成恶意用户利用 mySQL 漏洞提升用户权限,扩大攻击范围。 3.2.3 内部 FTP 系统 内部 FTP 服务器使用 SERV-U 6.0,Serv-U 6.0 是一个 Windows 平台下使用非常广泛 的 FTP 服务器,Serv-U 3.x 至 Serv-U 6.0 存在本地权限提升漏洞,本地攻击者可以利用这 安全评估报告 Page 14 of 29 贵州人保安全评估和主机加固项目 个漏洞以 SYSTEM 权限在系统上执行任意命令。 3.2.4 OA 系统 IBM 的 Lotus 4.6 是一个领先的企业级通讯、协同工作及 Internet/Intranet 平台;它全 面实现了对非结构化信息的管理和共享,内含强大的电子邮件功能及工作流软件开发环境, 是实现群组协同工作、办公自动化的最佳开发环境。该系统具有完善的工作流控制、数据库 复制技术和完善可靠的安全机制,所以系统安全性较高。 3.2.5 网管系统 通过漏洞扫描当前网管系统的 HP OpenView NNM 存在多重的远程任意命令执行漏洞。

HP OpenView Network Node Manager (NNM)的主要作用是发现网络设备和提供实际网络 拓扑图。用于 HP-UX, Solaris, Windows NT, Windows 2000, Windows XP, 以及 Linux 系 统的 HP OpenView Network Node Manager (OV NNM) 6.2, 6.4, 7.01, 7.50 在执行任意命 令前 'cdpView.ovpl', 'connectedNotes.ovpl', 'ecscmg.ovpl', 以及 'freeIPaddrs.ovpl'脚本不 能对多种参数的用户输入值进行恰当过滤, 可让远程攻击者执行任意命令。

远程攻击者发送 包含 shell 文字的 HTTP 请求并用 Web 服务器权限运行任意的系统命令。 3.2.6 邮件系统 从操作系统上看邮件服务器系统使用的是 Solaris 操作系统,安全性相对来说比较高。

Iplanet 邮件系统是一个较大型的邮件服务系统,从安全性上考虑系统的整体安全性还是比 较高。

从管理权限上看,系统的后台管理只有管理知道密码,所以存在的风险较低。 3.2.7 95518 系统 95518 系统采用 Windows 2000 做为系统平台,由于在第一次评估加固时,95518 系 统未完成集中,所以 95518 系统的主机未进行加固,经过漏洞扫描,当前承载 95518 系统 的 Windows 2000 server 操作系统未进行安全设置存在系统漏洞。 3.2.8 1) 2) 主要安全风险 业务系统的数据传输采用明文方式的风险; 核心数据库的操作和维护缺乏审计授权机制的风险; Page 15 of 29 安全评估报告 贵州人保安全评估和主机加固项目 3) 4) 5) 内部 Web 系统后台数据库 root 用户空密码,管理工具 phpMyAdmin 空密码; Serv-U 版本较低,存在本地权限提升漏洞; HP OpenView NNM 存在多重的远程任意命令执行漏洞; 3.3 主机系统安全风险 3.3.1 UNIX 平台主机 序号 1 2 3 4 5 6 7 8 9 10 11 12 备注: 设备 IP 68.1.32.14 68.1.38.14 68.1.32.11 68.1.38.11 68.1.32.25 68.1.38.25 68.1.32.27 68.1.38.27 68.1.32.30 68.1.38.30 68.1.32.31 68.1.38.31 68.1.32.34 68.1.38.34 操作系统 AIX 5.3 风险漏洞分布 高 3 0 0 0 3 3 0 3 0 11 中 7 6 7 6 8 8 9 8 5 18 低 16 17 17 17 17 17 18 17 17 12 危险程度 比较安全 AIX 5.3 比较安全 AIX 5.3 比较安全 AIX 5.3 比较安全 AIX 5.3 比较安全 AIX 5.3 比较安全 AIX 5.2 AIX 5.2 AIX 5.2 SCO 5.0.5 SCO 5.0.5 SUN OS 5.8 比较安全 比较安全 比较安全 非常危险 68.1.32.16 68.1.32.21 68.1.32.12 68.1.32.8 68.1.32.242 5 16 17 比较危险 表 4 贵州人保主机漏洞分布表 1. 序号 1 主要的高风险漏洞列表 高风险漏洞 当前系统运行的 PHP 版本过低,存在较多漏洞 频率 5 安全评估报告 Page 16 of 29 贵州人保安全评估和主机加固项目 2 3 4 5 6 7 8 9 cmsd RPC 服务正在机器上运行,存在风险漏洞 CDE dtspcd 存在漏洞允许远程攻击者执行任意命令 tooltalk RPC 服务正在运行,潜在执行缺陷获得 root 权限 Apache 由于版本过低,存在较多本地或远程溢出漏洞 该版本 BIND 服务存在缓冲区溢出等多处漏洞 Sun Solaris 版本 2.6, 7 和 8 的 snmpXdmid 服务进程存在缓冲区溢出漏洞。

Telnet 守护进程存在一个风险当运行 AYT 命令时 数供应商的 X Font 服务器脆弱于远程缓存溢出攻击。 4 4 4 3 3 1 1 1 表 5 贵州人保主机漏洞统计表 2. 安全风险分析 旧办公区接入的用户未像新办公区一样使用防火墙与核心服务器区域相隔离, 旧办公区 用户可以在未受防火墙策略的控制下直接访问核心区域任意服务器, 致使核心服务器直接暴 露在旧办公区用户中,用户可以任意访问到主机。

当前系统通过两次加固停用了部分危险服务, 用户帐号登录管理策略方面, 未限制 root 帐号只能在控制台登录,而在其他情况下,需要用普通帐号登录,然后再 su 到 root。从而 无法避免恶意入侵者通过网络攻击超级用户 root,同时无法记录哪些用户获取了 root 访问 权及他们操作的时间。在出现系统安全事故后,无法及时的跟踪和进行记录查询。 3.3.2 Windows 平台主机 序号 1 2 3 4 5 6 7 8 9 设备 IP 68.1.32.101 68.1.32.107 68.1.32.22 68.1.32.148 68.1.32.241 68.1.33.8 68.1.33.169 68.1.36.21 68.1.36.22 操作系统 Windows2000 Windows2000 Windows2000 Windows2000 Windows2000 Windows2000 Windows2000 Windows2000 Windows2000 风险漏洞分布 高 79 1 11 3 0 5 0 7 1 中 26 1 10 38 0 104 2 12 3 低 53 3 16 7 2 10 3 18 12 危险程度 非常危险 比较安全 非常危险 比较安全 比较安全 比较危险 比较安全 比较危险 比较安全 安全评估报告 Page 17 of 29 贵州人保安全评估和主机加固项目 10 11 12 13 14 15 16 备注: 68.1.36.23 68.1.36.24 68.1.36.25 68.1.36.26 68.1.32.15 68.1.32.252 68.1.32.15 Windows2000 Windows2000 Windows2000 Windows2000 Windows2000 Windows2000 Windows2000 5 6 2 3 68 53 68 3 3 3 3 21 18 21 11 16 10 11 38 40 38 比较危险 比较危险 比较安全 比较安全 非常危险 非常危险 非常危险 表 6 贵州人保主机漏洞分布表 1. 序号 1 2 3 4 5 6 7 8 9 10 11 12 13 主要的高风险漏洞列表 高风险漏洞 Microsoft Windows 平台主机未安装补丁 MSxx-xx/KBxxxxxx DameWare Mini Remote Control 版本过低,存在远程溢出漏洞 该版本的确 RealOne/RealPlayer 存在多处漏洞 该版本的 Oracle 数据库存在缓冲区溢出、远程执行任意代码、拒绝服务攻击漏洞 主机存在可被猜解的弱口令用户 根据版本判断,SUN 的 JAVA 插件版本过低,存在多处漏洞 根据版本判断 Bea WebLogic 存在溢出漏洞 此系统中正在使用 ADODB.Stream 个体 Windows 系统安装了一个版本较老的 VM machine Web 系统运行的 PHP 版本过低 HP Openview NNM 存在执行任意代码的风险 此 Compaq web 管理服务器的版本存在缓冲区溢出漏洞 系统发现有以操作系统方式操作权限的用户或用户组。 频率 191 6 6 6 6 4 3 2 1 1 1 1 表 7 贵州人保主机漏洞统计表 2. 安全风险分析 旧办公区用户可以在未受防火墙策略的控制下直接访问核心区域任意服务器, 致使核心 服务器直接暴露在旧办公区用户中,用户可以任意访问到主机,容易造成被攻击的风险。

贵州人保所有的 Windows 平台主机无法访问 Internet 进行自动的补丁升级,从扫描结 果可以看到,当前多数主机经过两次加固时安装了相应补丁,主机安全性有较大提高,但由 安全评估报告 Page 18 of 29 贵州人保安全评估和主机加固项目 于无法与 Internet 相连,多数主机未配置 WSUS,部分系统缺乏较多补丁,存在安全漏洞。

同时, 因人为管理的缺陷, 造成部分主机存在弱口令帐号, 而且其中有是 Administrators 组的帐号,结合开放的业务访问,攻击者不用利用系统现有漏洞,通过复杂的手段获得管理 员权限,就可以直接进入系统,实施非法操作。恶意蠕虫病毒也极易通过口令猜测,实施恶 意破坏。 3.3.3 主要安全风险 1) 2) 当前 UNIX 主机 root 用户可以直接登录。可能造成恶意攻击者攻击 root 帐号;

部分 Windows 平台主机补丁升级不完善, 存在安全漏洞, 容易被恶意入侵者所利 用; 3) 部分 Windows 平台主机存在弱口令的系统用户,容易被恶意攻击者或病毒所利 用;

4) 旧办公区主机访问核心区域未受防火墙控制,主机自身又暴露有较多高风险漏洞, 容易遭受非法用户的访问入侵,给系统带来损失;

5) 当前部分未实施加固的主机仍然开放有少量危险的服务,造成缓冲区溢出、远程 执行任意代码、系统信息泄漏等危险;

6) 未配置 syslog 系统日志,无法获取系统日志信息,无法集中存储分析。 3.4 安全管理安全风险 贵州人保财险公司的安全管理,在物理安全以及人员的安全管理方面已经较为成熟完 善,但在安全管理制度、应急响应、日常安全管理方面仍然存在不足,形成安全管理层面上 的脆弱点。

1. 安全管理组织 在现有的安全管理组织的实际运作中,由于无明确的安全职责划分以及安全管理组织, 因此可能存在关系协调过程中不通畅的问题, 导致在出现安全问题时, 不能及时的动员所有 的力量进行响应。

同时人员安全意识和技术水平存在的一些不足, 可能导致安全问题无法及 时发现,同时对安全工作的成效无法进行保障。

2. 安全管理制度 安全评估报告 Page 19 of 29 贵州人保安全评估和主机加固项目 在数据安全、日志审计、攻击防范、安全配置与监控等方面的安全管理制度没有形成, 或者仅有简要的目标概述, 没有详实的操作规范。

尤其是跟安全支撑体系相匹配的制度方面, 仍然存在一些未明确的方面, 导致安全责任无法确认落实到个人, 造成相关人员在安全管理 操作上的盲目性,降低安全管理工作的效率。

3. 应急响应 在应急响应建设方面。

应急响应的预案和措施没有得到定期的测试和预演, 无法保证真 正发生安全事故时的应急响应成效,同时,设备厂商在应急响应方面的技术支持力度不够。

主要安全风险 1) 安全管理制度中对安全责任和职责划分存在的不明确点,容易导致执行过程 中因出现职责不清,无法协调而导致安全问题的解决被拖延的风险;

2) 工作人员(包括厂商人员)的安全技术及知识培训不够系统,从而影响安全 手段的实施效果;

3) 应急响应建设不完善。无法及时有效的抑制安全事件,快速进行业务系统的 恢复。 3.5 安全风险等级排序 在上述系统安全风险分析的基础上, 我公司认为目前贵州人保财险系统的安全风险等级 从高到低的排列顺序应该如下: 风险 等级 风险系数 风险描述 (10 分) 10 核心数据库的操作和维护缺乏审计授权机制的风险 部分 Windows 平台主机存在弱口令的系统用户,容易被恶意攻击者 9 或病毒所利用 主机风险 应用风险 风险类型 高 ( ~ ) 部分 Windows 平台主机补丁升级不完善,存在安全漏洞,容易被恶 8 意入侵者所利用 内部 Web 系统后台数据库 root 用户空密码,管理工具 phpMyAdmin 8 空密码 7.5 旧办公区在访问核心区主机链路未得到防火墙的保护,可能造成核 网络风险 应用风险 主机风险 安全评估报告 10 7 Page 20 of 29 贵州人保安全评估和主机加固项目 心区主机被恶意攻击 所有的服务器都在同一个域内,没有进行安全等级划分,存在安全 7.5 隐患 安全管理组织内对安全责任和职责划分存在的不明确点,容易导致 7.5 执行过程中因出现职责不清,无法协调而导致安全问题的解决被拖 延的风险 当前部分未实施加固的主机仍然开放有少量危险的服务,造成缓冲 7 区溢出、远程执行任意代码、系统信息泄漏等危险 VPN 网关之上未有安全防护的风险,对 VPN 链路的 DDos 攻击可能造成 6 业务中断,影响对用户的服务,存在潜在的对人保财险社会品牌效 益的影响 网络风险 主机风险 管理风险 网络风险 中 ( ~ ) 6 6 5 HP OpenView NNM 存在多重的远程任意命令执行漏洞 Serv-U 版本较低,存在本地权限提升漏洞 业务系统的数据传输采用明文方式 当前 UNIX 主机 root 用户可以直接登录。可能造成恶意攻击者攻击 应用风险 应用风险 应用风险 低 ( ~ ) 4 安全建设建议 根据贵州人保网络系统中当前存在的安全风险, 结合实际应用情况, 在保证尽量减少对 业务系统造成影响的原则下,我们提出对应的安全解决方案。对因业务或者管理需要,无法 安全评估报告 7 4 4 1 5 root 帐号 应急响应建设不完善。无法及时有效的抑制安全事件,快速进行业 4.5 务系统的恢复 工作人员(包括厂商人员)的安全技术及知识培训不够系统,从而 4 影响安全手段的实施效果 未配置 syslog 系统日志,无法获取系统日志信息,无法集中存储分 3 析 主机风险 管理风险 管理风险 主机风险 表 8 贵州人保财险系统安全风险等级表 Page 21 of 29 贵州人保安全评估和主机加固项目 实施直接修改的安全风险,通过网络以及管理层面上进行相关的弥补,缓和系统风险。

通过安全解决方案的实施, 将能完善贵州人保现有的安全防御体系, 提高的安全防护能 力。为贵州人保业务系统的正常运转以及未来业务发展需求,提供安全良好的基础平台。提 升公司行业形象和竞争力。

下面为贵州人保安全风险与解决方案对照表: 序号 风险描述 风险 等级 高 据库的操作 部分 Windows 平台主机存在弱口令的系统用户,容易被恶意攻 主机加固:

高 击者或病毒所利用 部分 Windows 平台主机补丁升级不完善,存在安全漏洞,容易 修改弱口令,配置密码策略 主机加固: 高 被恶意入侵者所利用 内 部 Web 系 统 后 台 数 据 库 root 用 户 空 密 码 , 管 理 工 具 添加系统补丁 应用系统加固: 高 phpMyAdmin 空密码 旧办公区在访问核心区主机链路未得到防火墙的保护,可能造 修改弱口令 网络结果调整: 高 成核心区主机被恶意攻击 所有的服务器都在同一个域内,没有进行安全等级划分,存在 添加访问控制设备 网络结构调整:

高 安全隐患 安全管理组织内对安全责任和职责划分存在的不明确点,容易 按安全等级将不同服务器放 在不同的安全等级 解决方案 增加审计设备, 审核对核心数 核心数据库的操作和维护缺乏审计授权机制的风险 1 2 3 4 5 6 7 导致执行过程中因出现职责不清,无法协调而导致安全问题的 解决被拖延的风险 当前部分未实施加固的主机仍然开放有少量危险的服务,造成 高 安全管理建设的完善 主机加固: 中 设备相应的安全策略 8 缓冲区溢出、远程执行任意代码、系统信息泄漏等危险。

VPN 网关之上未有安全防护的风险,对 VPN 链路的 DDos 攻击可能 网络结果调整: 9 造成业务中断,影响对用户的服务,存在潜在的对人保财险社 会品牌效益的影响 中 增加相应设备 应用系统加固: 10 11 HP OpenView NNM 存在多重的远程任意命令执行漏洞 中 升级网管软件 Serv-U 版本较低,存在本地权限提升漏洞 中 应用系统升级: 安全评估报告 Page 22 of 29 贵州人保安全评估和主机加固项目 升级 serv-U 到最新版本 应用系统风险: 12 业务系统的数据传输采用明文方式, 中 加固传输数据 当前 UNIX 主机 root 用户可以直接登录。可能造成恶意攻击者 13 攻击 root 帐号。

应急响应建设不完善。无法及时有效的抑制安全事件,快速进 主机加固:

中 禁止 root 直接登录 安全管理建设的完善:

中 完善相应的应用响应机制 安全管理建设的完善:

低 定期给公司员工进行安全培 训. 主机加固: 低 配置日志审计 14 行业务系统的恢复 工作人员(包括厂商人员)的安全技术及知识培训不够系统, 15 从而影响安全手段的实施效果。

未配置 syslog 系统日志,无法获取系统日志信息,无法集中存 16 储分析 表 9 安全风险与解决方案对照表 4.1 安全解决方案 4.1.1 网络安全解决方案 贵州人保财险网络系统在经过前期的集成和安全评估后, 网络的安全已经比较合理。

但 由于设缺少相应设备,在网络结构上还有不足之处。

由于在旧办公区与核心交换机之间是千兆链路, 建议在该链路上部署千兆防火墙, 防火 墙部署与新办公区相似, Inside 域与核心区域相连, Outside 域与汇聚交换机 MP4196 相连。

在 VPN 网关设备自带防火墙上,进行防 DDos 策略的配置,例如 TCP 连接数、连接 时间、响应时间等。如果出现 DDos 攻击,最好的解决办法是使用抗 DDos 设备,但由于此 设备价格昂贵,所以可以考虑租用的方式。

如果条件允许建议将防火墙调整到服务器区, 配置成路由模式, 并划分不同的安全等级, 核心服务器放在 Inside 里面,中间件放在 DMZ1 区,95518 系统放置在 DMZ2 区,应用服 务器放在 DMZ3 区,其他的为 Outside 区。

网络改造如下图所示 安全评估报告 Page 23 of 29 贵州人保安全评估和主机加固项目 图 2 贵州人保改造后网络拓扑图 4.1.2 1. 主机系统安全解决方案 主机加固 针对当前主机存在的安全风险, 为保证业务系统的正常运行, 并结合当前的网络的防护 措施和系统管理维护方式,对主机进行安全加固,消除系统自身安全漏洞,缓和主机安全风 险。安全加固的内容主要包括:

操作系统补丁升级 用户帐号管理和登录限制 一些危险且不必须服务的禁用 系统安全配置增强 ?? 2. 补丁升级管理服务器(WSUS) 部署微软的 WSUS 补丁升级管理服务器,实现对 Windows 平台主机的补丁升级全面 管理控制。对不能访问互联网的主机、不便于配置自动更新服务的主机,通过 WSUS 系统 安全评估报告 Page 24 of 29 贵州人保安全评估和主机加固项目 的部署将得到及时完善的补丁分发、升级。

部署了 WSUS 补丁升级管理系统后,加上原有的诺顿企业版病毒防护系统、以及病毒 蠕虫的网络流量限制,形成了 “防” “治” “堵”结合的立体化病毒防御体系。通过补丁的 及时更新,提高主机自身病毒防护能力;通过诺顿病毒防护系统,对发现的病毒进行查杀; 通过病毒流量的限制, 堵截病毒向网络中的其它区域扩散。

较大程度提高贵州人保的病毒防 护能力,减少病毒蠕虫带来的危害和影响。 4.1.3 应用系统安全解决方案 当前贵州人保系统核心数据库采用基于 AIX 5.3 平台的 Informix 9.4。数据库的审计功 能对机器的性能要求很高, 在负荷较重的数据库系统主机上, 尽量不要启用数据库的审计功 能。可通过网络型的数据库审计产品,在网络节点上的抓取数据镜像,完成数据库操作行为 的审计。 4.1.4 安全管理解决方案 建议贵州人保加强安全管理架构的建设。建立起规范的安全管理组织,协调各方力量, 完成日常安全事务的管理。

完善相应的安全管理制度, 避免因职责划分不严格出现安全事件 时不能及时处理而推卸责任的问题; 制订各种业务系统的审批流程和业务操作规定, 规范内 部人员和厂商人员的行为, 规范对主机和网络的日常安全维护, 如:

日志审计、 策略优化等。

加强内部人员和厂商人员的安全意识建设和安全技术水平的提高, 定期邀请安全公司进行安 全技术的培训。加强对安全事件的应急响应建设,包括应急预案的建设、应急技术队伍的建 设和定期进行应急演练。

安全审计平台的建设。通过建立日志服务器,集中收集各安全设备(主要为防火墙)的 日志信息。通过集中存储,可以方便的获取原本分散在各设备中的重要日志信息,进行分析 处理,及时发现系统中的安全事件,掌握当前网络的安全势态。 安全评估报告 Page 25 of 29

密级:秘密文档编号: 项目代号:PICC 贵州分公司 安全评估报告V 1.0联想集团有限公司 2007 年6月保密申明这份说明书涉及到联想的商业机密的信息.…… 大一班费物品双面胶 ...

【摘要】: 目的:对PICC置管前评估相关临床实践指南进行文献内容分析,为构建适合... [1],全面、成功的置管前评估可为PICC的安全使用及维护带 【相似文献】 中国期刊全文...

降低术后并发症,保证PICC导管安全有效留置. 【分类号】: R472.9 【正文快照】: 经... [J];护理管理杂志;2007年01期8陈宾;; 压疮及高危人群压疮评估/报告表的设计及应...

picc术前评估内容,贵州PICC安全评估报告,picc的安全维护,picc个人述职报告》出自:韩流MM网
链接地址:http://www.hanliumm.com/yuedu/3rngs3oeDsSRl2E6.html

相关文章阅读

网站地图 | 关于我们 | 联系我们 | 广告服务 | 免责声明 | 在线留言 | 友情链接 | RSS 订阅 | 热门搜索
版权所有 韩流MM网 www.hanliumm.com

picc术前评估内容,贵州PICC安全评估报告,picc的安全维护,picc个人述职报告