安全評估報告模板v01

1、xxx安全評估報告文檔時間：2012/12/xx1. 安全評估方案簡介本次安全評估的對象為學(xué)校行政職能部門對外提供網(wǎng)絡(luò)服務(wù)的所有主機（除去使用教育網(wǎng)段以外IP的部門產(chǎn)業(yè)處和成教、網(wǎng)絡(luò)教育學(xué)院）。評估過程主要分為以下幾個步驟：1、掃描工具掃描在網(wǎng)絡(luò)安全體系的建設(shè)中，安全掃描工具花費低，效果好，見效快，與網(wǎng)絡(luò)的運行相對獨立，安裝運行簡單，可以大規(guī)模減少安全管理員的手工勞動，有利于保持全網(wǎng)安全政策的統(tǒng)一和穩(wěn)定，是進行風(fēng)險分析的有力工具。安全掃描技術(shù)基本上也可分為基于主機的和基于網(wǎng)絡(luò)的兩種，前者主要關(guān)注軟件所在主機上的風(fēng)險與漏洞，而后者則是通過網(wǎng)絡(luò)遠程探測其他主機的安全風(fēng)險與漏洞。利用掃描工具是為了使

2、我們對校園網(wǎng)從結(jié)構(gòu)上得到一個清晰的認識,便于我們確定每一臺主機在網(wǎng)絡(luò)中所處的位置，利于后面對他們所面臨的威脅和壓力進行具體的分析，針對他們所提供的各種服務(wù)提出相應(yīng)的加固意見。2、人工安全檢查系統(tǒng)掃描是利用安全評估工具對絕大多數(shù)評估范圍內(nèi)的主機，網(wǎng)絡(luò)設(shè)備等方面進行漏洞的掃描。但是，評估范圍內(nèi)的網(wǎng)絡(luò)設(shè)備安全策略的弱點和部分主機的安全配置錯誤等并不能被掃描器全面發(fā)現(xiàn)，因此有必要對評估工具掃描范圍之外的系統(tǒng)和設(shè)備進行手工檢查。3、滲透測試滲透測試是指在獲取用戶授權(quán)后，通過真實模擬黑客使用的工具，分析方法來進行實際的漏洞發(fā)現(xiàn)和利用的安全測試方法。這種測試方法可以非常有效的發(fā)現(xiàn)最嚴重的安全漏洞，尤其是與全

3、面的代碼審計相比，其使用的時間更短，也更有效率。在測試過程中，我們將利用一些已知的漏洞信息在測試對象上加以驗證，以確定測試對象是否存在此類漏洞。并可以根據(jù)相應(yīng)的漏洞發(fā)布時間、社會熟知程度等推斷測試對象的安全管理水平，同時進行弱口令的驗證。通過對某些重點服務(wù)器進行準確，全面的測試，可以發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)，以便對危害性嚴重的漏洞及時修補，以免后患。4、壓力測試和負載測試,通過以模擬大量用戶實施并LoadRunner能夠?qū)φ麄€在性能分析過程中，我們將對目標的抗攻擊能力進行評級，使用LoadRunner（預(yù)測系統(tǒng)行為和性能的負載測試工具）發(fā)負載及實時性能監(jiān)測的方式來確認和查找網(wǎng)絡(luò)服務(wù)器性能問題,網(wǎng)絡(luò)

4、架構(gòu)進行測試，壓力測試只針對訪問量較大的網(wǎng)站做測試。采用多種手段對目標進行負載測試、強度測試和容量測試等。未達到要求的給出改進意見。5、安全策略評估安全策略是對整個網(wǎng)絡(luò)在安全方面，詳細的策略性描述，它是目前改善整個校園網(wǎng)絡(luò)安全的建設(shè)性意見和建議。不同的網(wǎng)絡(luò)需要不同的策略，它必須包括整個網(wǎng)絡(luò)中與安全密切相關(guān)的問題，并確定相應(yīng)的防護手段和實施辦法，就是針對整個校園網(wǎng)絡(luò)的一份相對可行的安全策略。掃描工具掃描系統(tǒng)層面用端口掃描工具對xx（IP地址為xxx）網(wǎng)站所在主機進行端口掃描，如下圖所示：通過NMA端口掃描工具進行穿墻突破掃描，由1-65535端口逐個進行探測。Nmap艮告：經(jīng)手工telnet驗證

5、端口開放情況，開放的端口有25,80,81,110,119,143,587,993,995,3389,8080,8888。CGISCAN掃描得出目標主機操作系統(tǒng)及配置環(huán)境：Web應(yīng)用程序?qū)用鏉B透測試步驟滲透測試流程滲透測試流程圖如下:由于網(wǎng)站是內(nèi)部開放，故流程圖中某些步驟并未進行。1.1. 信息收集階段對所要測試的應(yīng)用系統(tǒng)進行漏洞掃描，對掃描結(jié)果進行分析并發(fā)現(xiàn)潛在的安全風(fēng)險。1.2. 信息分析階段分析掃描結(jié)果，對一些敏感信息進行整合，對網(wǎng)絡(luò)拓撲情況進行分析，對所開放的服務(wù)進行排查，發(fā)現(xiàn)系統(tǒng)存在的安全漏洞，分析網(wǎng)絡(luò)結(jié)構(gòu)對可利用主機進行滲透，進一步提升權(quán)限，以達到控制網(wǎng)絡(luò)目的。1.3. 模擬測試階

6、段綜合以上的信息收集和分析結(jié)果后，對所測試的應(yīng)用系統(tǒng)開始進行模擬攻擊，以下是針對該應(yīng)用系統(tǒng)的攻擊測試方式。1) Nmap雖行突破掃描、口令猜解通過互聯(lián)，發(fā)現(xiàn)xxxxxxXS分敏感信息。2) Wet®務(wù)器應(yīng)用程序分析通過對應(yīng)用層程序輔助測試工具以及手工測試，在應(yīng)用系統(tǒng)上，發(fā)現(xiàn)有網(wǎng)站配置原因?qū)е碌哪夸涍^濾不嚴網(wǎng)站及服務(wù)器敏感信息泄漏等現(xiàn)象。詳情請見風(fēng)險描述。測試結(jié)果記錄出現(xiàn)問題測試工具、參數(shù)、結(jié)果、原始記錄及簡要分析過程。系統(tǒng)層面滲透測試：WetS用程序?qū)用鏉B透測試：壓力測試和負載測試2. (需要經(jīng)過申請，測試有可能會導(dǎo)致服務(wù)停止)安全策略評估漏洞總結(jié)和建議通過對應(yīng)用系統(tǒng)的滲透測試發(fā)現(xiàn)，

7、該目標主機存在高風(fēng)險的信息泄漏漏洞和一些系統(tǒng)環(huán)境配置方面的紙漏，惡意攻擊者能夠利用此漏洞控制當前應(yīng)用系統(tǒng)，并能夠進行添加，修改，刪除等惡意操作。建議：對于系統(tǒng)層上的安全apachetomcat瀏覽任意web目錄漏洞，建議對目錄列表進行禁止設(shè)置；對于wamp勺探針indexl.php進行刪除；對于系統(tǒng)后臺地址建議進行更復(fù)雜的設(shè)置；建議加強管理員的口令以及設(shè)置安全問題信息；建議使用網(wǎng)站系統(tǒng)自帶的data目錄隱藏功能，提高網(wǎng)站安全性;Apache,mysql,php版本偏低，建議升級；關(guān)閉服務(wù)器不必要的端口和服務(wù)，使服務(wù)器在最小安全化下運行；西南科技大學(xué)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組（SNERT2012年12月x

8、日附件：西南科技大學(xué)xxxx安全評估報告指導(dǎo)老師：測評人員名單：姓名學(xué)院班級分工茲此證明西南科技大學(xué)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組(SNERT2012年12月xx日附測評人員行為準則：為保證測試過程的規(guī)范、安全、高效、可靠，每一個參與測試的人員均應(yīng)遵守以下規(guī)則：(1) 在我們的測試方案中，對測試行為、測試時間、測試地點均進行了約束，參測人員必須嚴格此方案執(zhí)行。嚴禁任何人擅自嘗試測試方案中未規(guī)定的危險操作。(2) 對測試過程必須進行詳細記錄，便于日后查驗。(3) 測試中，任何人發(fā)現(xiàn)的任何漏洞都必須上報并記錄，嚴禁發(fā)現(xiàn)漏洞后隱瞞，嚴禁利用測試中發(fā)現(xiàn)的漏洞進行非法活動或謀取私利。(4) 所有參測人員必須嚴謹、細致

9、地進行測試，并盡全力避免引起網(wǎng)絡(luò)阻塞或服務(wù)器死機等嚴重問題。夕，只因有你，總有一些人牽腸掛肚難以忘記，總有一些日子溫暖甜蜜最為珍惜從春夏到秋冬，從陌生到熟悉，雖不能時時聯(lián)系，卻總在特別的日子想起你,七夕快樂，我的朋友。七夕，只因有你，因為有你，再苦生活也不覺得累，再大的險阻也無所畏，再大的波折也不擔憂,再痛的經(jīng)歷也會忘記,因為有你，我就擁有了整個世界,謝謝你出現(xiàn)在我的生命里。七夕快樂，我的朋友。七夕，只因有你相識，是最珍貴的緣分,牽掛，是最真摯的心動,思念，是最美麗的心情,問候，是最動聽的語言,在這七夕到來之際，最美的祝福送給你,七夕快樂，我的朋友。七夕，只因有你雨點輕敲窗，風(fēng)吹散了夢想,唯有你的模樣依舊在腦海里徜徉,夜深人靜時，你占滿了心房,舍半生輕狂，半世時光,只為擁有一段和你相處的珍貴情緣,七夕快樂，我的朋友。七夕，只因有你,雖然相距很遠，但兩顆心卻緊緊相連雖然不常見面，音容笑貌猶如眼前,悄悄的挾一縷情絲，放飛在炎炎夏日默默的拽一絲牽掛，懸掛在無垠宇宙靜靜的捎一聲問候，盛開在七夕佳節(jié)七夕快樂，我的朋友。七夕，只因有你,祝福，是一種真實的心意,是一種甘甜的快樂,是一種浪漫的味道,是一種溫馨的記*乙,是一種美麗的幸福,們是我們情誼永遠不變的紐帶,七夕快樂，我的朋友。七夕，