xxx安全评估报告文档时间:2024/12/xx目 录1
安全评估方案简介本次安全评估的对象为学校行政职能部门对外提供网络服务的所有主机(除去使用教育网段以外 IP 的部门产业处和成教、网络教育学院)
评估过程主要分为以下几个步骤:1、 扫描工具扫描在网络安全体系的建设中,安全扫描工具花费低,效果好,见效快,与网络的运行相对独立,安装运行简单,可以大规模减少安全管理员的手工劳动,有利于保持全网安全政策的统一和稳定,是进行风险分析的有力工具
安全扫描技术基本上也可分为基于主机的和基于网络的两种,前者主要关注软件所在主机上的风险与漏洞,而后者则是通过网络远程探测其他主机的安全风险与漏洞
利用扫描工具是为了使我们对校园网从结构上得到一个清楚的认识,便于我们确定每一台主机在网络中所处的位置,利于后面对他们所面临的威胁和压力进行具体的分析,针对他们所提供的各种服务提出相应的加固意见
2、 人工安全检查系统扫描是利用安全评估工具对绝大多数评估范围内的主机,网络设备等方面进行漏洞的扫描
但是,评估范围内的网络设备安全策略的弱点和部分主机的安全配置错误等并不能被扫描器全面发现,因此有必要对评估工具扫描范围之外的系统和设备进行手工检查
3、 渗透测试渗透测试是指在猎取用户授权后,通过真实模拟黑客使用的工具,分析方法来进行实际的漏洞发现和利用的安全测试方法
这种测试方法可以非常有效的发现最严重的安全漏洞尤其是与全面的代码审计相比,其使用的时间更短,也更有效率
在测试过程中,我们将利用一些已知的漏洞信息在测试对象上加以验证,以确定测试对象是否存在此类漏洞
并可以根据相应的漏洞发布时间、社会熟知程度等推断测试对象的安全管理水平,同时进行弱口令的验证
通过对某些重点服务器进行准确,全面的测试,可以发现系统最脆弱的环节,以便对危害性严重的漏洞及时修补,以免后患
4、 压力测试和负载测试使用 Load
