安全评估分析报告模板.doc

1、 xxx安全评估报告文档时间：/12/xx目 录1. 安全评估方案简介本次安全评估对象为学校行政职能部门对外提供网络服务所有主机（除去使用教诲网段以外IP部门产业处和成教、网络教诲学院）。评估过程重要分为如下几种环节：1、 扫描工具扫描在网络安全体系建设中，安全扫描工具耗费低，效果好，见效快，与网络运营相对独立，安装运营简朴，可以大规模减少安全管理员手工劳动，有助于保持全网安全政策统一和稳定，是进行风险分析有力工具。安全扫描技术基本上也可分为基于主机和基于网络两种，前者重要关注软件所在主机上风险与漏洞，而后者则是通过网络远程探测其她主机安全风险与漏洞。运用扫描工具是为了使咱们对校园网从构造上得

2、到一种清晰结识，便于咱们拟定每一台主机在网络中所处位置，利于背面对她们所面临威胁和压力进行详细分析，针对她们所提供各种服务提出相应加固意见。2、 人工安全检查系统扫描是运用安全评估工具对绝大多数评估范畴内主机，网络设备等方面进行漏洞扫描。但是，评估范畴内网络设备安全方略弱点和某些主机安全配备错误等并不能被扫描器全面发现，因而有必要对评估工具扫描范畴之外系统和设备进行手工检查。3、 渗入测试渗入测试是指在获取顾客授权后，通过真实模仿黑客使用工具，分析办法来进行实际漏洞发现和运用安全测试办法。这种测试办法可以非常有效发现最严重安全漏洞，特别是与全面代码审计相比，其使用时间更短，也更有效率。在测试过

3、程中，咱们将运用某些已知漏洞信息在测试对象上加以验证，以拟定测试对象与否存在此类漏洞。并可以依照相应漏洞发布时间、社会熟知限度等推断测试对象安全管理水平，同步进行弱口令验证。通过对某些重点服务器进行精确，全面测试，可以发现系统最脆弱环节，以便对危害性严重漏洞及时修补，以免后患。 4、 压力测试和负载测试使用LoadRunner（预测系统行为和性能负载测试工具），通过以模仿大量顾客实行并发负载及实时性能监测方式来确认和查找网络服务器性能问题，LoadRunner可以对整个网络架构进行测试，压力测试只针对访问量较大网站做测试。在性能分析过程中，咱们将采用各种手段对目的进行负载测试、强度测试和容量测

4、试等。对目的抗袭击能力进行评级，未达到规定给出改进意见。5、 安全方略评估安全方略是对整个网络在安全面，详细方略性描述，它是当前改进整个校园网络安全建设性意见和建议。不同网络需要不同方略，它必要涉及整个网络中与安全密切有关问题，并拟定相应防护手段和实行办法，就是针对整个校园网络一份相对可行安全方略。扫描工具扫描系统层面用端口扫描工具对xx（IP地址为xxx）网站所在主机进行端口扫描，如下图所示：通过NMAP端口扫描工具进行穿墙突破扫描，由1-65535端口逐个进行探测。Nmap报告：经手工telnet验证端口开放状况，开放端口有25，80，81，110，119，143，587，993，995，

5、3389，8080，8888。CGI SCAN 扫描得出目的主机操作系统及配备环境：Web应用程序层面2. 渗入测试环节2.1. 渗入测试流程渗入测试流程图如下：由于网站是内部开放，故流程图中某些环节并未进行。2.2. 信息收集阶段 对所要测试应用系统进行漏洞扫描，对扫描成果进行分析并发现潜在安全风险。2.3. 信息分析阶段分析扫描成果，对某些敏感信息进行整合，对网络拓扑状况进行分析，对所开放服务进行排查，发现系统存在安全漏洞，分析网络构造对可运用主机进行渗入，进一步提高权限，以达到控制网络目。2.4. 模仿测试阶段综合以上信息收集和分析成果后，对所测试应用系统开始进行模仿袭击，如下是针对该应

6、用系统袭击测试方式。1) Nmap强行突破扫描、口令猜解通过互联，发现XXXXXXX某些敏感信息。2) Web服务器应用程序分析通过相应用层程序辅助测试工具以及手工测试，在应用系统上，发既有网站配备因素导致目录过滤不严网站及服务器敏感信息泄漏等现象。详情请见风险描述。2.5. 测试成果记录浮现问题测试工具、参数、成果、原始记录及简要分析过程。系统层面渗入测试：Web应用程序层面渗入测试：压力测试和负载测试（需要通过申请，测试有也许会导致服务停止）3. 安全方略评估漏洞总结和建议通过相应用系统渗入测试发现，该目的主机存在高风险信息泄漏漏洞和某些系统环境配备方面纰漏，恶意袭击者可以运用此漏洞控制当

7、前应用系统，并可以进行添加，修改，删除等恶意操作。建议：对于系统层上安全apache tomcat 浏览任意web目录漏洞，建议对目录列表进行禁止设立；对于wamp探针index1.php进行删除；对于系统后台地址建议进行更复杂设立；建议加强管理员口令以及设立安全问题信息；建议使用网站系统自带data目录隐藏功能，提高网站安全性；Apache,mysql,php版本偏低，建议升级；关闭服务器不必要端口和服务，使服务器在最小安全化下运营；西南科技大学网络应急响应小组（SNERT） 12月x日附件：西南科技大学xxxx安全评估报告指引教师：测评人员名单：姓名学院班级分工兹此证明 西南科技大学网络应

8、急响应小组（SNERT） 12月xx日附测评人员行为准则：为保证测试过程规范、安全、高效、可靠，每一种参加测试人员均应遵守如下规则：（1）在咱们测试方案中，对测试行为、测试时间、测试地点均进行了约束，参测人员必要严格此方案执行。禁止任何人擅自尝试测试方案中未规定危险操作。（2）对测试过程必要进行详细记录，便于日后查验。（3）测试中，任何人发现任何漏洞都必要上报并记录，禁止发现漏洞后隐瞒，禁止运用测试中发现漏洞进行非法活动或谋取私利。（4）所有参测人员必要严谨、细致地进行测试，并尽全力避免引起网络阻塞或服务器死机等严重问题。七夕，只因有你，总有某些人牵肠挂肚难以忘掉，总有某些日子温暖甜蜜最为爱惜

9、从春夏到秋冬，从陌生到熟悉，虽不能时时联系，却总在特别日子想起你，七夕高兴，我朋友。七夕，只因有你，由于有你，再苦生活也不觉得累，再大险阻也无所畏，再大波折也不担忧，再痛经历也会忘掉，由于有你，我就拥有了整个世界，谢谢你出当前我生命里。七夕高兴，我朋友。七夕，只因有你，相识，是最贵重缘分，挂念，是最诚挚心动，怀念，是最美丽心情，问候，是最动听语言，在这七夕到来之际，最美祝愿送给你，七夕高兴，我朋友。七夕，只因有你，雨点轻敲窗，风吹散了梦想，唯有你模样仍旧在脑海里徜徉，夜深人静时，你占满了心房，舍半生轻狂，半世时光，只为拥有一段和你相处贵重情缘，七夕高兴，我朋友。七夕，只因有你，虽然相距很远，但

10、两颗心却紧紧相连虽然不常会面，音容笑貌犹如眼前，悄悄挟一缕情丝，放飞在炎炎夏日默默拽一丝挂念，悬挂在无垠宇宙静静捎一声问候，盛开在七夕佳节七夕高兴，我朋友。七夕，只因有你，祝愿，是一种真实心意，是一种甘甜高兴，是一种浪漫味道，是一种温馨记忆，是一种美丽幸福，更是咱们情谊永远不变纽带，七夕高兴，我朋友。七夕，只因有你，爱是种体会，虽然心碎也觉得甜蜜，爱是种感受，虽然痛苦也觉得幸福，爱是种缘分，虽然分离也觉得高兴，七夕到了，最真诚祝愿送给你，七夕高兴，我朋友。七夕，只因有你，愿天下有情人终成眷属，愿单身人士找到爱方向，愿情侣们找到幸福天堂，愿夫妻找到温暖避风巷，愿岁月抚平生活忧伤，愿爱花瓣轻舞飞扬，