安全評(píng)估報(bào)告模板v01

1、xxx安全評(píng)估報(bào)告文檔時(shí)間：2012/12/xx1. 安全評(píng)估方案簡(jiǎn)介本次安全評(píng)估的對(duì)象為學(xué)校行政職能部門對(duì)外提供網(wǎng)絡(luò)服務(wù)的所有主機(jī)（除去使用教育網(wǎng)段以外IP的部門產(chǎn)業(yè)處和成教、網(wǎng)絡(luò)教育學(xué)院）。評(píng)估過(guò)程主要分為以下幾個(gè)步驟：1、掃描工具掃描在網(wǎng)絡(luò)安全體系的建設(shè)中，安全掃描工具花費(fèi)低，效果好，見(jiàn)效快，與網(wǎng)絡(luò)的運(yùn)行相對(duì)獨(dú)立，安裝運(yùn)行簡(jiǎn)單，可以大規(guī)模減少安全管理員的手工勞動(dòng)，有利于保持全網(wǎng)安全政策的統(tǒng)一和穩(wěn)定，是進(jìn)行風(fēng)險(xiǎn)分析的有力工具。安全掃描技術(shù)基本上也可分為基于主機(jī)的和基于網(wǎng)絡(luò)的兩種，前者主要關(guān)注軟件所在主機(jī)上的風(fēng)險(xiǎn)與漏洞，而后者則是通過(guò)網(wǎng)絡(luò)遠(yuǎn)程探測(cè)其他主機(jī)的安全風(fēng)險(xiǎn)與漏洞。利用掃描工具是為了使

2、我們對(duì)校園網(wǎng)從結(jié)構(gòu)上得到一個(gè)清晰的認(rèn)識(shí),便于我們確定每一臺(tái)主機(jī)在網(wǎng)絡(luò)中所處的位置，利于后面對(duì)他們所面臨的威脅和壓力進(jìn)行具體的分析，針對(duì)他們所提供的各種服務(wù)提出相應(yīng)的加固意見(jiàn)。2、人工安全檢查系統(tǒng)掃描是利用安全評(píng)估工具對(duì)絕大多數(shù)評(píng)估范圍內(nèi)的主機(jī)，網(wǎng)絡(luò)設(shè)備等方面進(jìn)行漏洞的掃描。但是，評(píng)估范圍內(nèi)的網(wǎng)絡(luò)設(shè)備安全策略的弱點(diǎn)和部分主機(jī)的安全配置錯(cuò)誤等并不能被掃描器全面發(fā)現(xiàn)，因此有必要對(duì)評(píng)估工具掃描范圍之外的系統(tǒng)和設(shè)備進(jìn)行手工檢查。3、滲透測(cè)試滲透測(cè)試是指在獲取用戶授權(quán)后，通過(guò)真實(shí)模擬黑客使用的工具，分析方法來(lái)進(jìn)行實(shí)際的漏洞發(fā)現(xiàn)和利用的安全測(cè)試方法。這種測(cè)試方法可以非常有效的發(fā)現(xiàn)最嚴(yán)重的安全漏洞，尤其是與全

3、面的代碼審計(jì)相比，其使用的時(shí)間更短，也更有效率。在測(cè)試過(guò)程中，我們將利用一些已知的漏洞信息在測(cè)試對(duì)象上加以驗(yàn)證，以確定測(cè)試對(duì)象是否存在此類漏洞。并可以根據(jù)相應(yīng)的漏洞發(fā)布時(shí)間、社會(huì)熟知程度等推斷測(cè)試對(duì)象的安全管理水平，同時(shí)進(jìn)行弱口令的驗(yàn)證。通過(guò)對(duì)某些重點(diǎn)服務(wù)器進(jìn)行準(zhǔn)確，全面的測(cè)試，可以發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)，以便對(duì)危害性嚴(yán)重的漏洞及時(shí)修補(bǔ)，以免后患。4、壓力測(cè)試和負(fù)載測(cè)試,通過(guò)以模擬大量用戶實(shí)施并LoadRunner能夠?qū)φ麄€(gè)在性能分析過(guò)程中，我們將對(duì)目標(biāo)的抗攻擊能力進(jìn)行評(píng)級(jí)，使用LoadRunner（預(yù)測(cè)系統(tǒng)行為和性能的負(fù)載測(cè)試工具）發(fā)負(fù)載及實(shí)時(shí)性能監(jiān)測(cè)的方式來(lái)確認(rèn)和查找網(wǎng)絡(luò)服務(wù)器性能問(wèn)題,網(wǎng)絡(luò)

4、架構(gòu)進(jìn)行測(cè)試，壓力測(cè)試只針對(duì)訪問(wèn)量較大的網(wǎng)站做測(cè)試。采用多種手段對(duì)目標(biāo)進(jìn)行負(fù)載測(cè)試、強(qiáng)度測(cè)試和容量測(cè)試等。未達(dá)到要求的給出改進(jìn)意見(jiàn)。5、安全策略評(píng)估安全策略是對(duì)整個(gè)網(wǎng)絡(luò)在安全方面，詳細(xì)的策略性描述，它是目前改善整個(gè)校園網(wǎng)絡(luò)安全的建設(shè)性意見(jiàn)和建議。不同的網(wǎng)絡(luò)需要不同的策略，它必須包括整個(gè)網(wǎng)絡(luò)中與安全密切相關(guān)的問(wèn)題，并確定相應(yīng)的防護(hù)手段和實(shí)施辦法，就是針對(duì)整個(gè)校園網(wǎng)絡(luò)的一份相對(duì)可行的安全策略。掃描工具掃描系統(tǒng)層面用端口掃描工具對(duì)xx（IP地址為xxx）網(wǎng)站所在主機(jī)進(jìn)行端口掃描，如下圖所示：通過(guò)NMA端口掃描工具進(jìn)行穿墻突破掃描，由1-65535端口逐個(gè)進(jìn)行探測(cè)。Nmap艮告：經(jīng)手工telnet驗(yàn)證

5、端口開(kāi)放情況，開(kāi)放的端口有25,80,81,110,119,143,587,993,995,3389,8080,8888。CGISCAN掃描得出目標(biāo)主機(jī)操作系統(tǒng)及配置環(huán)境：Web應(yīng)用程序?qū)用鏉B透測(cè)試步驟滲透測(cè)試流程滲透測(cè)試流程圖如下:由于網(wǎng)站是內(nèi)部開(kāi)放，故流程圖中某些步驟并未進(jìn)行。1.1. 信息收集階段對(duì)所要測(cè)試的應(yīng)用系統(tǒng)進(jìn)行漏洞掃描，對(duì)掃描結(jié)果進(jìn)行分析并發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)。1.2. 信息分析階段分析掃描結(jié)果，對(duì)一些敏感信息進(jìn)行整合，對(duì)網(wǎng)絡(luò)拓?fù)淝闆r進(jìn)行分析，對(duì)所開(kāi)放的服務(wù)進(jìn)行排查，發(fā)現(xiàn)系統(tǒng)存在的安全漏洞，分析網(wǎng)絡(luò)結(jié)構(gòu)對(duì)可利用主機(jī)進(jìn)行滲透，進(jìn)一步提升權(quán)限，以達(dá)到控制網(wǎng)絡(luò)目的。1.3. 模擬測(cè)試階

6、段綜合以上的信息收集和分析結(jié)果后，對(duì)所測(cè)試的應(yīng)用系統(tǒng)開(kāi)始進(jìn)行模擬攻擊，以下是針對(duì)該應(yīng)用系統(tǒng)的攻擊測(cè)試方式。1) Nmap雖行突破掃描、口令猜解通過(guò)互聯(lián)，發(fā)現(xiàn)xxxxxxXS分敏感信息。2) Wet®務(wù)器應(yīng)用程序分析通過(guò)對(duì)應(yīng)用層程序輔助測(cè)試工具以及手工測(cè)試，在應(yīng)用系統(tǒng)上，發(fā)現(xiàn)有網(wǎng)站配置原因?qū)е碌哪夸涍^(guò)濾不嚴(yán)網(wǎng)站及服務(wù)器敏感信息泄漏等現(xiàn)象。詳情請(qǐng)見(jiàn)風(fēng)險(xiǎn)描述。測(cè)試結(jié)果記錄出現(xiàn)問(wèn)題測(cè)試工具、參數(shù)、結(jié)果、原始記錄及簡(jiǎn)要分析過(guò)程。系統(tǒng)層面滲透測(cè)試：WetS用程序?qū)用鏉B透測(cè)試：壓力測(cè)試和負(fù)載測(cè)試2. (需要經(jīng)過(guò)申請(qǐng)，測(cè)試有可能會(huì)導(dǎo)致服務(wù)停止)安全策略評(píng)估漏洞總結(jié)和建議通過(guò)對(duì)應(yīng)用系統(tǒng)的滲透測(cè)試發(fā)現(xiàn)，

7、該目標(biāo)主機(jī)存在高風(fēng)險(xiǎn)的信息泄漏漏洞和一些系統(tǒng)環(huán)境配置方面的紙漏，惡意攻擊者能夠利用此漏洞控制當(dāng)前應(yīng)用系統(tǒng)，并能夠進(jìn)行添加，修改，刪除等惡意操作。建議：對(duì)于系統(tǒng)層上的安全apachetomcat瀏覽任意web目錄漏洞，建議對(duì)目錄列表進(jìn)行禁止設(shè)置；對(duì)于wamp勺探針indexl.php進(jìn)行刪除；對(duì)于系統(tǒng)后臺(tái)地址建議進(jìn)行更復(fù)雜的設(shè)置；建議加強(qiáng)管理員的口令以及設(shè)置安全問(wèn)題信息；建議使用網(wǎng)站系統(tǒng)自帶的data目錄隱藏功能，提高網(wǎng)站安全性;Apache,mysql,php版本偏低，建議升級(jí)；關(guān)閉服務(wù)器不必要的端口和服務(wù)，使服務(wù)器在最小安全化下運(yùn)行；西南科技大學(xué)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組（SNERT2012年12月x

8、日附件：西南科技大學(xué)xxxx安全評(píng)估報(bào)告指導(dǎo)老師：測(cè)評(píng)人員名單：姓名學(xué)院班級(jí)分工茲此證明西南科技大學(xué)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組(SNERT2012年12月xx日附測(cè)評(píng)人員行為準(zhǔn)則：為保證測(cè)試過(guò)程的規(guī)范、安全、高效、可靠，每一個(gè)參與測(cè)試的人員均應(yīng)遵守以下規(guī)則：(1) 在我們的測(cè)試方案中，對(duì)測(cè)試行為、測(cè)試時(shí)間、測(cè)試地點(diǎn)均進(jìn)行了約束，參測(cè)人員必須嚴(yán)格此方案執(zhí)行。嚴(yán)禁任何人擅自嘗試測(cè)試方案中未規(guī)定的危險(xiǎn)操作。(2) 對(duì)測(cè)試過(guò)程必須進(jìn)行詳細(xì)記錄，便于日后查驗(yàn)。(3) 測(cè)試中，任何人發(fā)現(xiàn)的任何漏洞都必須上報(bào)并記錄，嚴(yán)禁發(fā)現(xiàn)漏洞后隱瞞，嚴(yán)禁利用測(cè)試中發(fā)現(xiàn)的漏洞進(jìn)行非法活動(dòng)或謀取私利。(4) 所有參測(cè)人員必須嚴(yán)謹(jǐn)、細(xì)致

9、地進(jìn)行測(cè)試，并盡全力避免引起網(wǎng)絡(luò)阻塞或服務(wù)器死機(jī)等嚴(yán)重問(wèn)題。夕，只因有你，總有一些人牽腸掛肚難以忘記，總有一些日子溫暖甜蜜最為珍惜從春夏到秋冬，從陌生到熟悉，雖不能時(shí)時(shí)聯(lián)系，卻總在特別的日子想起你,七夕快樂(lè)，我的朋友。七夕，只因有你，因?yàn)橛心?，再苦生活也不覺(jué)得累，再大的險(xiǎn)阻也無(wú)所畏，再大的波折也不擔(dān)憂,再痛的經(jīng)歷也會(huì)忘記,因?yàn)橛心悖揖蛽碛辛苏麄€(gè)世界,謝謝你出現(xiàn)在我的生命里。七夕快樂(lè)，我的朋友。七夕，只因有你相識(shí)，是最珍貴的緣分,牽掛，是最真摯的心動(dòng),思念，是最美麗的心情,問(wèn)候，是最動(dòng)聽(tīng)的語(yǔ)言,在這七夕到來(lái)之際，最美的祝福送給你,七夕快樂(lè)，我的朋友。七夕，只因有你雨點(diǎn)輕敲窗，風(fēng)吹散了夢(mèng)想,唯有你的模樣依舊在腦海里徜徉,夜深人靜時(shí)，你占滿了心房,舍半生輕狂，半世時(shí)光,只為擁有一段和你相處的珍貴情緣,七夕快樂(lè)，我的朋友。七夕，只因有你,雖然相距很遠(yuǎn)，但兩顆心卻緊緊相連雖然不常見(jiàn)面，音容笑貌猶如眼前,悄悄的挾一縷情絲，放飛在炎炎夏日默默的拽一絲牽掛，懸掛在無(wú)垠宇宙靜靜的捎一聲問(wèn)候，盛開(kāi)在七夕佳節(jié)七夕快樂(lè)，我的朋友。七夕，只因有你,祝福，是一種真實(shí)的心意,是一種甘甜的快樂(lè),是一種浪漫的味道,是一種溫馨的記*乙,是一種美麗的幸福,們是我們情誼永遠(yuǎn)不變的紐帶,七夕快樂(lè)，我的朋友。七夕，