xx主机安全评估及加固服务报告文档信息文档名称保密级别制作人复审人适用范围分发控制编号读者12版本控制时间主机安全评估及加固服务报告文档版本编号制作日期复审日期文档权限与文档的主要关系版本说明修改人第2页,共19页1 项目概述1.1 评估范围本次对 xxxx 运营中心业务系统进行风险评估,xx 业务系统资产列表清单如下:.系统清单统计如表 1-1 所示:系统名称设备数量249194215346漏洞总数1359145219472295高危漏洞186217269545中危漏洞25299545419表 1-1 评估主机设备数量1.2 评估方法1.2.1漏洞扫描弱点网络扫描评估指的是使用基于网络的安全弱点扫描工具,根据其内置的弱点测试方法、扫描策略,从网络侧对扫描对象进行系列的设置检查,从而发现弱点。使用弱点评估工具可以实现远程自动化扫描,显著降低安全评估的工作量,自动化程度高,并能根据需求输出评估结果或者报表。以下为弱点风险级别说明:漏洞等级高说明可以直接导致系统被非法取得权限进行控制,甚至破坏整个系统的漏洞中存在相当的安全隐患,可以间接获得系统权限或泄漏系统数据的漏洞低潜在的威胁系统安全性的漏洞,包括泄漏系统信息或可能引起其他安全风险的漏洞在对 xxxx 网络设备进行安全评估时,使用了启明星辰的网络安全扫描器天镜及第三方扫描工具 NESSUS。第3页,共19页1.2.2配置评估收集各设备(包括其上所安装的各关键软件)可能存在的技术脆弱性信息,以便在分析阶段进行详细分析,手工评估提取的相关信息如下:➢用户与密码策略安全漏洞➢远程登陆安全漏洞➢系统版本信息➢系统自身漏洞威胁➢后门及远程控制威胁➢未知进程威胁➢协议安全弱点威胁➢配置不当信息泄漏威胁➢定时任务威胁➢第三方软件威胁➢安全策略配置弱点➢端口开放威胁查看分析配置文件内容,使用命令行、抓取控制台操作界面最终分析。1.2.3综合分析综合分析所获得的所有相关信息以发现被评估对象所存在的安全缺陷和风险。评估人员分析和整理通过上述评估过程所收集的各项信息,查找系统及相关的评估对象之间的相互关联、相互配合中所存在的缺陷和安全风险,并与系统管理人员核实所收集的信息是否真实的反映了系统的真实情况,确认有缺失、有疑问的信息。1.2.4评估报告列出相关的已有控制措施,面临的风险和存在的问题,以及应采取的改进措施;创建评估报告,根据综合分析结果创建评估报告。第4页,共19页2 实施内容2.1 实施时间2.2 实施人员名单名单项目角色联系方法2.3 漏洞风险...
