网络安全评估模版

唐山师范学院校园网安全检测与评估

在***** 上的关于******* 的网络安全评估实验报告

第一部分描述

给出评估实验的背景。包括目前国内外的研究现状，技术手段的等等。内容不少于200 字。

第二部分目标

可参考如下内容进行修改。

在项目评估阶段，为了充分了解企业专用网络信息系统的当前安全状况（安全隐患），因此需要对网络系统进行安全状况分析。经我系安全小组和该企业信息中心的双方确认，对如下被选定的项目进行评估。

•管理制度的评估

•物理安全的评估

•计算机系统安全评估

•网络与通信安全的评估

•日志与统计安全的评估

•安全保障措施的评估

•总体评估

然后对其中的安全弱点进行分析，并写出报告，作为提高该企业网络系统整体安全性的重要参考依据。

第三部分需求及现状

经过实践调查，具体给出待评估网络的安全需求。没有调查就没有发言权。再简要给出待评估网络的的安全现状。

第四部分评估步骤

根据评估内容选择以下内容，完善本小组的评估步骤，详细撰写评估报告，不少于700 字。

一、管理制度管理制度是否健全是做好网络安全的有力保障，包括机房管理制度、文档设备管理制度、管理人员培训制度、系统使用管理制度等。

1、评估说明首先做好评估时间、评估地点、评估方式的详细说明。不同的时间评估时间，即使评估地点、评估方式相同也会有不同的测试结果；同样不同的评估方式，相同的时间、地点结果也大不相同。所以在评估之前一定要对这些方面进行详细地说明。

2、评估内容

评估内容包含以下几个方面，机房管理制度、文档设备管理制度、管理人员培训制度、系统使用管理制度等，可以通过类似下面的表格进行记录。

3、评估分析报告

对公司的信息网络系统的各项管理制度进行细致的评估，并对各项评估的结果进行详细地分析，找出原因。说明存在哪些漏洞，比如由于公司网络信息系统刚刚建立，各项管理规章制度均没有健全，为今后的管理留下了隐患，网络系统的管理上存在许多漏洞。

4、建议

提出初步的意见，如健全各种管理规章制度。当然具体的意见要在加固时提出。二、物理安全

物理安全是信息系统安全的基础，我们将依据实体安全国家标准，将实施过程确定为以下检测与优化项目。

1、评估说明

与管理制度的评估说明类似，例如：

评估时间：2003年03月29日上午

评估地点：中心机房

评估方式：人工分析

2、评估内容

3、评估分析报告

通过对公司各节点的实地考察测量，看是否存在以下不安全因素。 l 场地安全措施是否得当。

l 建筑物安全措施是否完善。

l 机房环境好坏。 l 网络设备的可靠性。

l 辐射控制安全性有没有考虑。 l 通讯线路的安全性。 l 动力可靠性。

l

灾难预防与恢复的能力。

物理安全一般包括场地安全、机房环境、建筑物安全、设备可靠性、 辐射控制与防泄漏、通讯线路安全性、动力安全性、灾难预防与恢复 措施等几方面。可参考如下表格进行： 9

「

客户 意 见

记录用户意见，并让用户签名。

4、建议

计算机机房的设计或改建应符合GB2887 GB9361和GJB322等现行的国家标准。除参照上述有关标准外，还应注意满足下述各条要求：

（1）机房主体结构应具有与其功能相适应的耐久性、抗震性和耐火等级。变形缝和伸缩缝不应穿过主机房；

（2）机房应设置相应的火灾报警和灭火系统；

（3）机房应设置疏散照明设备和安全出口标志；

（4）机房应采用专用的空调设备，若与其它系统共用时，应确保空

调效果，采取防火隔离措施。长期连续运行的计算机系统应有备用空调。空调的制冷能力，要留有一定的余量（宜取15%-20%）

（5）计算机的专用空调设备应与计算机联控，保证做到开机前先送

风，停机后再停风；

（6）机房应根据供电网的质量及计算机设备的要求，采用电源质量改善措施和隔离防护措施，如滤波、稳压、稳频及不间断电源系统等。

（7）计算机系统中使用的设备应符合GB4943中规定的要求，并是经过安全检查的合格产品。

三、计算机系统安全性

平台安全泛指操作系统和通用基础服务安全，主要用于防范黑客攻击手段，目前市场上大多数安全产品均限于解决平台安全，我们以通用信息安全评估准则为依据，确定平台安全实施过程包括以下内容：

1、评估说明

与管理制度的评估说明类似，例如：

评估时间：2003年03月30日

评估地点：中心机房

评估方式：软件检测（sss、x-scan等）和人工分析

2、评估内容

在这里分别对proxy server/web server/ printer server 等各服务

器，进行扫描检测，并作详细记录。可参考如下表格：

3

资产损失。安全弱点的出现有各种原因，例如可能是软件开发过程中的质量问题，也可能是系统管理员配置方面的，也可能是管理方面的。但是，它们的共同特性就是给攻击者提供了对主机系统或者其他信息系统攻击的机会。

经过对这些计算机系统和防火墙的扫描记录分析，我们发现目前该公

司网络中的计算机系统主要弱点集中在以下几个方面：

①系统自身存在弱点

对于商业windows2000 server系统的补丁更新不及时，没有安全配置过，系统还是运行在默认的安装状态非常危险。

有的win2000服务器系统，虽然补丁更新的比较及时，但是配置上存在很大安全隐患，用户的密码口令的强度非常低很多还在使用默认的弱口令，网络攻击者可以非常轻易的接管整个服务器。另外存在ipc$这样的匿名共享会泄漏很多服务器的敏感信息。

②系统管理存在弱点

在系统管理上缺乏统一的管理策略，比如缺乏对用户轮廓文件

（profile ）的支持。

③数据库系统的弱点

数据库系统的用户权限和执行外部系统指令是该系统最大的安全弱点，由于未对数