SNERT 安全评估报告 - 1 - x x x 安全评估报告 文档时间:2 0 1 2 /1 2 /x x SNERT 安全评估报告 - 2 - 目 录 1 . 安全评估方案简介 本次安全评估的对象为学校行政职能部门对外提供网络服务的所有主机(除去使用教育网段以外IP 的部门产业处和成教、网络教育学院)。评估过程主要分为以下几个步骤: 1、 扫描工具扫描 在网络安全体系的建设中,安全扫描工具花费低,效果好,见效快,与网络的运行相对独立,安装运行简单,可以大规模减少安全管理员的手工劳动,有利于保持全网安全政策的统一和稳定,是进行风险分析的有力工具。安全扫描技术基本上也可分为基于主机的和基于网络的两种,前者主要关注软件所在主机上的风险与漏洞,而后者则是通过网络远程探测其他主机的安全风险与漏洞。利用扫描工具是为了使我们对校园网从结构上得到一个清晰的认识,便于我们确定每一台主机在网络中所处的位置 ,利于后面 对他们所面 临 的威 胁 和压 力进行具体的分析,针 对他们所提供的各 种服务提出 相应 的加 固 意 见。 2、 人工安全检查 系统扫描是利用安全评估工具对绝 大多 数 评估范 围 内 的主机,网络设备 等 方面 进行漏洞的扫描。但 是,评估范 围 内 的网络设备 安全策略 的弱 点 和部分主机的安全配 置 错 误 等 并 不 能被 扫描器 全面 发 现 ,因 此 有必 要对评估工具扫描范 围 之 外的系统和设备 进行手工检 查 。 3、 渗透测试 渗 透 测试 是指 在获 取 用户 授 权 后,通过真 实 模拟 黑 客 使用的工具,分析方法 来 进行实 际的漏洞发 现 和利用的安全测试 方法 。这 种测试 方法 可以非 常 有效的发 现 最 严 重 的安全漏洞,尤 其是与全面 的代 码 审 计 相比 ,其使用的时 间 更 短 ,也更 有效率 。在测试 过程中,我们将 利用一些 已 知 的漏洞信 息 在测试 对象上加 以验 证 ,以确定测试 对象是否 存 在此 类 漏洞。并 可以根 据 相应 的漏洞发 布 时 间 、社 会 熟 知 程度 等 推 断 测试 对象的安全管理水 平 ,同 时 进行弱 口 令的验 证 。通过对某 些 重 点 服务器 进行准 确,全面 的测试 ,可以发 现 系统最 脆 弱 的环 节 ,以便对危 害 性 严 重 的漏洞及 时 修 补 ,以免 后患 。 SNERT 安全评估报告 - 3...
