xxx

安全评估报告

文档时间：2012/12/xx

目  录

1.    安全评估方案简介

本次安全评估的对象为学校行政职能部门对外提供网络服务的所有主机（除去使用教育网段以外IP的部门产业处和成教、网络教育学院）。评估过程主要分为以下几个步骤：

1、 扫描工具扫描

在网络安全体系的建设中，安全扫描工具花费低，效果好，见效快，与网络的运行相对独立，安装运行简单，可以大规模减少安全管理员的手工劳动，有利于保持全网安全政策的统一和稳定，是进行风险分析的有力工具。安全扫描技术基本上也可分为基于主机的和基于网络的两种，前者主要关注软件所在主机上的风险与漏洞，而后者则是通过网络远程探测其他主机的安全风险与漏洞。利用扫描工具是为了使我们对校园网从结构上得到一个清晰的认识，便于我们确定每一台主机在网络中所处的位置，利于后面对他们所面临的威胁和压力进行具体的分析，针对他们所提供的各种服务提出相应的加固意见。

2、 人工安全检查

系统扫描是利用安全评估工具对绝大多数评估范围内的主机，网络设备等方面进行漏洞的扫描。但是，评估范围内的网络设备安全策略的弱点和部分主机的安全配置错误等并不能被扫描器全面发现，因此有必要对评估工具扫描范围之外的系统和设备进行手工检查。

3、 渗透测试

渗透测试是指在获取用户授权后，通过真实模拟黑客使用的工具，分析方法来进行实际的漏洞发现和利用的安全测试方法。这种测试方法可以非常有效的发现最严重的安全漏洞，尤其是与全面的代码审计相比，其使用的时间更短，也更有效率。在测试过程中，我们将利用一些已知的漏洞信息在测试对象上加以验证，以确定测试对象是否存在此类漏洞。并可以根据相应的漏洞发布时间、社会熟知程度等推断测试对象的安全管理水平，同时进行弱口令的验证。通过对某些重点服务器进行准确，全面的测试，可以发现系统最脆弱的环节，以便对危害性严重的漏洞及时修补，以免后患。

4、 压力测试和负载测试

使用LoadRunner（预测系统行为和性能的负载测试工具），通过以模拟大量用户实施并发负载及实时性能监测的方式来确认和查找网络服务器性能问题，LoadRunner能够对整个网络架构进行测试，压力测试只针对访问量较大的网站做测试。在性能分析过程中，我们将采用多种手段对目标进行负载测试、强度测试和容量测试等。对目标的抗攻击能力进行评级，未达到要求的给出改进意见。

5、 安全策略评估

安全策略是对整个网络在安全方面，详细的策略性描述，它是目前改善整个校园网络安全的建设性意见和建议。不同的网络需要不同的策略，它必须包括整个网络中与安全密切相关的问题，并确定相应的防护手段和实施办法，就是针对整个校园网络的一份相对可行的安全策略。

扫描工具扫描
系统层面

用端口扫描工具对xx（IP地址为xxx）网站所在主机进行端口扫描，如下图所示：

　　通过NMAP端口扫描工具进行穿墙突破扫描，由1-65535端口逐个进行探测。Nmap报告：

经手工telnet验证端口开放情况，开放的端口有25，80，81，110，119，143，587，993，995，3389，8080，8888。

CGI SCAN 扫描得出目标主机操作系统及配置环境：

Web应用程序层面

2.    渗透测试步骤

2.1. 渗透测试流程

渗透测试流程图如下：

　　由于网站是内部开放，故流程图中某些步骤并未进行。

2.2. 信息收集阶段

 对所要测试的应用系统进行漏洞扫描，对扫描结果进行分析并发现潜在的安全风险。

2.3. 信息分析阶段

分析扫描结果，对一些敏感信息进行整合，对网络拓扑情况进行分析，对所开放的服务进行排查，发现系统存在的安全漏洞，分析网络结构对可利用主机进行渗透，进一步提升权限，以达到控制网络目的。

2.4. 模拟测试阶段

综合以上的信息收集和分析结果后，对所测试的应用系统开始进行模拟攻击，以下是针对该应用系统的攻击测试方式。

1)        Nmap强行突破扫描、口令猜解

通过互联，发现XXXXXXX部分敏感信息。

2)        Web服务器应用程序分析

通过对应用层程序辅助测试工具以及手工测试，在应用系统上，发现有网站配置原因导致的目录过滤不严网站及服务器敏感信息泄漏等现象。详情请见风险描述。

2.5. 测试结果记录

出现问题测试工具、参数、结果、原始记录及简要分析过程。

系统层面渗透测试：

Web应用程序层面渗透测试：

压力测试和负载测试

（需要经过申请，测试有可能会导致服务停止）

3.    安全策略评估

漏洞总结和建议

通过对应用系统的渗透测试发现，该目标主机存在高风险的信息泄漏漏洞和一些系统环境配置方面的纰漏，恶意攻击者能够利用此漏洞控制当前应用系统，并能够进行添加，修改，删除等恶意操作。

建议：

对于系统层上的安全apache tomcat 浏览任意web目录漏洞，建议对目录列表进行禁止设置；

对于wamp的探针index1.php进行删除；

对于系统后台地址建议进行更复杂的设置；

建议加强管理员的口令以及设置安全问题信息；

建议使用网站系统自带的data目录隐藏功能，提高网站安全性；

Apache,mysql,php版本偏低，建议升级；

关闭服务器不必要的端口和服务，使服务器在最小安全化下运行；

西南科技大学网络应急响应小组（SNERT）

                               20##年12月x日

附件：

西南科技大学xxxx安全评估报告

指导老师：

测评人员名单：

兹此

证明

 西南科技大学网络应急响应小组（SNERT）

      20##年12月xx日

附测评人员行为准则：

为保证测试过程的规范、安全、高效、可靠，每一个参与测试的人员均应遵守以下规则：

（1）在我们的测试方案中，对测试行为、测试时间、测试地点均进行了约束，参测人员必须严格此方案执行。严禁任何人擅自尝试测试方案中未规定的危险操作。

（2）对测试过程必须进行详细记录，便于日后查验。

（3）测试中，任何人发现的任何漏洞都必须上报并记录，严禁发现漏洞后隐瞒，严禁利用测试中发现的漏洞进行非法活动或谋取私利。

（4）所有参测人员必须严谨、细致地进行测试，并尽全力避免引起网络阻塞或服务器死机等严重问题。

 

第二篇：安全评估报告1

XX医院保安安全评估报告（20xx年度）

一、巡查中发现电梯异常

1、保安巡查中发现电梯运行异常，如钢缆有毛刺、断股、控制柜有异声、异味，轿厢升降异常等将危及电梯安全运行的现象发生，应立刻报告上级。

2、监控中心当值人员通知轿厢对讲机通知客人从最近的楼层离开故障电梯。

3、通知电梯维修员将故障电梯关闭。即刻将情况报告上级和电梯承包商。

二、消防安全

医院内消防设施设备使用情况良好，一旦发生火警我处有以下处理措施.

1、学习的目的：

增强保安员的消防意识，提高保安员“四个能力”的素质培训。

2、消防学习的频度

消防学习原则上每年进行一次，特殊情况下，经防火负责人批准可以增加演习次数。

3、参加消防演习的人员

（1）医院防火责任人及各科室管理人员。

（2）全体保安员。

（3）各部门义务消防队员。

（4）保安公司防火负责人和工作人员。

三、治安事件

医院及周边地区一向治安良好，一旦发生治安事件有以下处理措施。刑事、治安案件处理宗旨：

1. 保安员立即赶到现场，并用对讲机向主管领导报告；必要时及时投报110；

2. 保护现场、维护秩序，派员在周边区域警卫；

3. 根据具体情况，实行区域隔离，禁止无关人员进入现场，如有伤员，应设法

救护，但不可挪动现场物品;

4. 严禁任何人触摸现场各类物品，以免破坏现场，影响侦查工作；尽可能配合

警方开展调查，取证；

5. 必要时，进行拍照、录像，协助破案。

（一）炸弹恐吓

1.不管真假，必须以假当真、严肃对待、慎密处置；

2.立即通知警方及管理处；

3、除警方或消防人员外，禁止任何人、车辆进入现场；

4、确保所有电梯暂停使用；

5、按照火警路线，协助疏散现场人员；

6、在警方人员未到达前，应视察四周是否留有可疑物品；

7、当发现可疑物件时，应立即利用绳索或垃圾箱等障碍物围绕它，禁止任何人靠近；

8、检查搜索时，应由外而内、由公共区域到室内，注意：

①开启任何门时，要留心可疑点；

②切勿自行接触或处理可疑物件;

③切勿在现场使用无线电通讯机、闪光灯或开关电器；

④切勿移挪、遮盖可疑物体。

9．接恐吓电话后，应冷静处理：

①不能用语言刺激对方；

②拖延与对方通话时间；

③注意背景、声音、动静、估计对方人数、年龄等情况；

④记录所有对话内容、现场情况等；

⑤用其它方法如书写、手势、动作通知其他员工报警；

⑥千万不要中断对话，采取内紧外松的方法了解并稳定对方。

10．事后填写《事件报告》呈交医院安全管理部门。

（二）发现可疑物品

1.110报警

2.通知附近保安到场，关闭对讲机。

3.警告任何人不能接近、检查该物品，直至警方到来

4.通知保卫科领导和保安公司主管经理到场

5.用警告带将可疑物品隔离。

6.协助疏散人群，封锁现场，指挥交通，以便紧急车辆尽速到场；

7.事后填写《事件报告》呈交上级备查。

Xx保安公司