安全評(píng)估報(bào)告模板v0.1_第1頁
安全評(píng)估報(bào)告模板v0.1_第2頁
安全評(píng)估報(bào)告模板v0.1_第3頁
安全評(píng)估報(bào)告模板v0.1_第4頁
安全評(píng)估報(bào)告模板v0.1_第5頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

..xxx安全評(píng)估報(bào)告文檔時(shí)間:2012/12/xx目錄TOC\o"1-3"\h\u安全評(píng)估方案簡(jiǎn)介本次安全評(píng)估的對(duì)象為學(xué)校行政職能部門對(duì)外提供網(wǎng)絡(luò)服務(wù)的所有主機(jī)〔除去使用教育網(wǎng)段以外IP的部門產(chǎn)業(yè)處和成教、網(wǎng)絡(luò)教育學(xué)院。評(píng)估過程主要分為以下幾個(gè)步驟:掃描工具掃描在網(wǎng)絡(luò)安全體系的建設(shè)中,安全掃描工具花費(fèi)低,效果好,見效快,與網(wǎng)絡(luò)的運(yùn)行相對(duì)獨(dú)立,安裝運(yùn)行簡(jiǎn)單,可以大規(guī)模減少安全管理員的手工勞動(dòng),有利于保持全網(wǎng)安全政策的統(tǒng)一和穩(wěn)定,是進(jìn)行風(fēng)險(xiǎn)分析的有力工具。安全掃描技術(shù)基本上也可分為基于主機(jī)的和基于網(wǎng)絡(luò)的兩種,前者主要關(guān)注軟件所在主機(jī)上的風(fēng)險(xiǎn)與漏洞,而后者則是通過網(wǎng)絡(luò)遠(yuǎn)程探測(cè)其他主機(jī)的安全風(fēng)險(xiǎn)與漏洞。利用掃描工具是為了使我們對(duì)校園網(wǎng)從結(jié)構(gòu)上得到一個(gè)清晰的認(rèn)識(shí),便于我們確定每一臺(tái)主機(jī)在網(wǎng)絡(luò)中所處的位置,利于后面對(duì)他們所面臨的威脅和壓力進(jìn)行具體的分析,針對(duì)他們所提供的各種服務(wù)提出相應(yīng)的加固意見。人工安全檢查系統(tǒng)掃描是利用安全評(píng)估工具對(duì)絕大多數(shù)評(píng)估范圍內(nèi)的主機(jī),網(wǎng)絡(luò)設(shè)備等方面進(jìn)行漏洞的掃描。但是,評(píng)估范圍內(nèi)的網(wǎng)絡(luò)設(shè)備安全策略的弱點(diǎn)和部分主機(jī)的安全配置錯(cuò)誤等并不能被掃描器全面發(fā)現(xiàn),因此有必要對(duì)評(píng)估工具掃描范圍之外的系統(tǒng)和設(shè)備進(jìn)行手工檢查。滲透測(cè)試滲透測(cè)試是指在獲取用戶授權(quán)后,通過真實(shí)模擬黑客使用的工具,分析方法來進(jìn)行實(shí)際的漏洞發(fā)現(xiàn)和利用的安全測(cè)試方法。這種測(cè)試方法可以非常有效的發(fā)現(xiàn)最嚴(yán)重的安全漏洞,尤其是與全面的代碼審計(jì)相比,其使用的時(shí)間更短,也更有效率。在測(cè)試過程中,我們將利用一些已知的漏洞信息在測(cè)試對(duì)象上加以驗(yàn)證,以確定測(cè)試對(duì)象是否存在此類漏洞。并可以根據(jù)相應(yīng)的漏洞發(fā)布時(shí)間、社會(huì)熟知程度等推斷測(cè)試對(duì)象的安全管理水平,同時(shí)進(jìn)行弱口令的驗(yàn)證。通過對(duì)某些重點(diǎn)服務(wù)器進(jìn)行準(zhǔn)確,全面的測(cè)試,可以發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié),以便對(duì)危害性嚴(yán)重的漏洞及時(shí)修補(bǔ),以免后患。壓力測(cè)試和負(fù)載測(cè)試使用LoadRunner〔預(yù)測(cè)系統(tǒng)行為和性能的負(fù)載測(cè)試工具,通過以模擬大量用戶實(shí)施并發(fā)負(fù)載及實(shí)時(shí)性能監(jiān)測(cè)的方式來確認(rèn)和查找網(wǎng)絡(luò)服務(wù)器性能問題,LoadRunner能夠?qū)φ麄€(gè)網(wǎng)絡(luò)架構(gòu)進(jìn)行測(cè)試,壓力測(cè)試只針對(duì)訪問量較大的網(wǎng)站做測(cè)試。在性能分析過程中,我們將采用多種手段對(duì)目標(biāo)進(jìn)行負(fù)載測(cè)試、強(qiáng)度測(cè)試和容量測(cè)試等。對(duì)目標(biāo)的抗攻擊能力進(jìn)行評(píng)級(jí),未達(dá)到要求的給出改進(jìn)意見。安全策略評(píng)估安全策略是對(duì)整個(gè)網(wǎng)絡(luò)在安全方面,詳細(xì)的策略性描述,它是目前改善整個(gè)校園網(wǎng)絡(luò)安全的建設(shè)性意見和建議。不同的網(wǎng)絡(luò)需要不同的策略,它必須包括整個(gè)網(wǎng)絡(luò)中與安全密切相關(guān)的問題,并確定相應(yīng)的防護(hù)手段和實(shí)施辦法,就是針對(duì)整個(gè)校園網(wǎng)絡(luò)的一份相對(duì)可行的安全策略。掃描工具掃描

系統(tǒng)層面用端口掃描工具對(duì)xx〔IP地址為xxx網(wǎng)站所在主機(jī)進(jìn)行端口掃描,如下圖所示:通過NMAP端口掃描工具進(jìn)行穿墻突破掃描,由1-65535端口逐個(gè)進(jìn)行探測(cè)。Nmap報(bào)告:經(jīng)手工telnet驗(yàn)證端口開放情況,開放的端口有25,80,81,110,119,143,587,993,995,3389,8080,8888。CGISCAN掃描得出目標(biāo)主機(jī)操作系統(tǒng)及配置環(huán)境:Web應(yīng)用程序?qū)用鏉B透測(cè)試步驟滲透測(cè)試流程滲透測(cè)試流程圖如下:由于網(wǎng)站是內(nèi)部開放,故流程圖中某些步驟并未進(jìn)行。信息收集階段對(duì)所要測(cè)試的應(yīng)用系統(tǒng)進(jìn)行漏洞掃描,對(duì)掃描結(jié)果進(jìn)行分析并發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)。信息分析階段分析掃描結(jié)果,對(duì)一些敏感信息進(jìn)行整合,對(duì)網(wǎng)絡(luò)拓?fù)淝闆r進(jìn)行分析,對(duì)所開放的服務(wù)進(jìn)行排查,發(fā)現(xiàn)系統(tǒng)存在的安全漏洞,分析網(wǎng)絡(luò)結(jié)構(gòu)對(duì)可利用主機(jī)進(jìn)行滲透,進(jìn)一步提升權(quán)限,以達(dá)到控制網(wǎng)絡(luò)目的。模擬測(cè)試階段綜合以上的信息收集和分析結(jié)果后,對(duì)所測(cè)試的應(yīng)用系統(tǒng)開始進(jìn)行模擬攻擊,以下是針對(duì)該應(yīng)用系統(tǒng)的攻擊測(cè)試方式。Nmap強(qiáng)行突破掃描、口令猜解通過互聯(lián),發(fā)現(xiàn)XXXXXXX部分敏感信息。Web服務(wù)器應(yīng)用程序分析通過對(duì)應(yīng)用層程序輔助測(cè)試工具以及手工測(cè)試,在應(yīng)用系統(tǒng)上,發(fā)現(xiàn)有網(wǎng)站配置原因?qū)е碌哪夸涍^濾不嚴(yán)網(wǎng)站及服務(wù)器敏感信息泄漏等現(xiàn)象。詳情請(qǐng)見風(fēng)險(xiǎn)描述。測(cè)試結(jié)果記錄出現(xiàn)問題測(cè)試工具、參數(shù)、結(jié)果、原始記錄及簡(jiǎn)要分析過程。系統(tǒng)層面滲透測(cè)試:Web應(yīng)用程序?qū)用鏉B透測(cè)試:壓力測(cè)試和負(fù)載測(cè)試〔需要經(jīng)過申請(qǐng),測(cè)試有可能會(huì)導(dǎo)致服務(wù)停止安全策略評(píng)估漏洞總結(jié)和建議通過對(duì)應(yīng)用系統(tǒng)的滲透測(cè)試發(fā)現(xiàn),該目標(biāo)主機(jī)存在高風(fēng)險(xiǎn)的信息泄漏漏洞和一些系統(tǒng)環(huán)境配置方面的紕漏,惡意攻擊者能夠利用此漏洞控制當(dāng)前應(yīng)用系統(tǒng),并能夠進(jìn)行添加,修改,刪除等惡意操作。建議:對(duì)于系統(tǒng)層上的安全apachetomcat瀏覽任意web目錄漏洞,建議對(duì)目錄列表進(jìn)行禁止設(shè)置;對(duì)于wamp的探針index1.php進(jìn)行刪除;對(duì)于系統(tǒng)后臺(tái)地址建議進(jìn)行更復(fù)雜的設(shè)置;建議加強(qiáng)管理員的口令以及設(shè)置安全問題信息;建議使用網(wǎng)站系統(tǒng)自帶的data目錄隱藏功能,提高網(wǎng)站安全性;Apache,mysql,php版本偏低,建議升級(jí);關(guān)閉服務(wù)器不必要的端口和服務(wù),使服務(wù)器在最小安全化下運(yùn)行;西南科技大學(xué)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組〔SNERT20XX12月x日附件:西南科技大學(xué)xxxx安全評(píng)估報(bào)告指導(dǎo)測(cè)評(píng)人員名單:姓名學(xué)院班級(jí)分工茲此證明西南科技大學(xué)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組〔SNERT20XX12月xx日附測(cè)評(píng)人員行為準(zhǔn)則:為保證測(cè)試過程的規(guī)范、安全、高效、可靠,每一個(gè)參與測(cè)試的人員均應(yīng)遵守以下規(guī)則:〔1在我們的測(cè)試方案中,對(duì)測(cè)試行為、測(cè)試時(shí)間、測(cè)試地點(diǎn)均進(jìn)行了約束,參測(cè)人員必須嚴(yán)格此方案執(zhí)行。嚴(yán)禁任何人擅自嘗試測(cè)試方案中未規(guī)定的危險(xiǎn)操作?!?對(duì)測(cè)試

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論