篇一 :××单位信息安全评估报告

××单位

信息安全评估报告

(管理信息系统)

××单位

二零##年九月


1        目标

××单位信息安全检查工作的主要目标是通过自评估工作,发现本局信息系统当前面临的主要安全问题,边检查边整改,确保信息网络和重要信息系统的安全。

2        评估依据、范围和方法

2.1    评估依据

根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》(信安通[2006]15号)、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》(办信息[2006]48号)以及集团公司和省公司公司的文件、检查方案要求, 开展××单位的信息安全评估。

2.2  评估范围

本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等,管理信息系统中业务种类相对较多、网络和业务结构较为复杂,在检查工作中强调对基础信息系统和重点业务系统进行安全性评估,具体包括:基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。

2.3  评估方法

采用自评估方法。

3        重要资产识别

对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别,将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总,形成重要资产清单。资产清单见附表1。

4        安全事件

对本局半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录,形成本单位的安全事件列表。安全事件列表见附表2。

…… …… 余下全文

篇二 :网络层安全评估报告案例

XX公司XX网络安全评估报告

目录

XX公司XX网络安全评估报告... 1

评估依据的标准... 1

第一章   物理与环境层评估(12%)... 2

项目1:   电源评估... 2

项目2:   线缆评估... 3

项目3:   物理环境评估... 3

第二章   网络层评估(46%)... 4

项目1:   网络架构... 5

项目2:   访问控制... 6

项目3:   边界整合与防护... 8

项目4:   网络设备可靠性... 9

项目5:   网络设备的告警机制... 10

项目6:   安全产品部署与策略... 10

第三章   评估总结... 11

估依据的标准

XX公司信息安全帐号、口令及权限管理办法

XX及网管DCN网络设备帐号与口令管理细则

ISO/IEC17799:2000 信息技术-信息安全管理实施细则

ISO/IEC 15408   信息技术—安全技术—信息技术安全评估准则

ISO 7498-2 安全体系结构

第一章      物理与环境层评估(12%)

项目1:      电源评估

n  评估对象:供应电源及设备中的电源模块

n  评估手段:现场查看,工程资料查看

n  安全因素:电源供给是否双路,机架及设备接地是否良好,电源模块容量是否充足等

n  评估结果:各项评估点全部满足。满分8分,评估得分8分。

…… …… 余下全文

篇三 :校园网络安全评估报告-

20XX年校园网络

安全评估报告

计算机应用技术系

09网络技术班 **

指导老师 **

前言

经过半年的网络安全课程学习,王薇老师教给我们很多很多网络安全的知识和应用,让我们的技能得到了很大的提升。根据所学的知识和查询网络所得的数据,我对校园网络安全做了如下评估和报告。

随着Internet的普及,校园网已成为每个学校必备的信息基础设施,也成了学校提高教学、科研及管理水平的重要途径和手段,它是以现代化的网络及计算机技术为手段,形成将校园内所有服务器、工作站、局域网及相关设施高速联接起来,使各种基于计算机网络的教学方法、管理方法及文化宣传得以广泛应用并能和外部互联网沟通的硬件和软件平台。

随着网络的高速发展,网络的安全问题日益突出,近两年间,黑客攻击、网络病毒等屡屡曝光,在高校网络建设的过程中,随着网络规模的急剧膨胀,网络用户的快速增长,关键性应用的普及和深入,校园网从早先教育、科研的试验网的角色已经转变成教育、科研和服务并重的带有运营性质的网络,校园网在学校的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题,而如何有效地加以管理和维护,是校园网得以有效、安全运行的关键。

校园网网络的安全十分重要,它承载着学校的教务、行政、后勤、图书资料、对外联络等方面事务处理。本文从网络安全的各个方面,详细分析了威胁校园网网络安全的各种因素,提出了若干可行的安全管理的策略,从设备资源和技术角度上做了深入的探讨。

封面 1

实例摘要

某校园网由三个物理区域:教学办公大楼、图书馆大楼、学生教工宿舍构成。在整个网络中,各信息点按功能又划分为行政办公、电子网络教室、中心管理机房、普通教室等不同区域,各区域与互联网连接的目的也是不一样的,对特定区域,与互联网连接将受到一定限制。校园网采用千兆到楼,百兆到桌面的全交换网络系统,覆盖东西两院、艺术附中以及各个家属区,共计光纤链路40余条,交换机250余台,网络信息点一万多个。整个系统包括一批高性能网络交换机、路由器、防火墙、入侵检测、存储、备份和安全认证计费管理软件、网络版杀毒软件。核心采用锐捷RG-6810E高性能三层管理交换机,汇聚采用锐捷三层交换机,接入桌面采用锐捷21系列。现有的WEB服务器,“一卡通”数字系统,OA办公管理系统,教务管理系统,图书管理系统,流媒体服务器,网络杀毒服务器,为全院教学科研、管理和生活等方面提供了良好的Internet应用服务。校园主接入主干网如下:

…… …… 余下全文

篇四 :网络安全评估方案书

网络安全评估方案书

1.项目需求

随着信息时代的到来,企业业务的运作越来越依赖于互联网,互联网给我们带来快捷,方便,高效服务的同时也带来了巨大的安全隐患,在当今的一个巨大的互联网系统中存在着各种病毒木马,以及各式各样的黑客攻击,一旦这些攻击渗入到我们公司的网络,那我们内网的数据就会透明的摆放在黑客的手中,我们的商业机密将极有可能被我们的竞争对手掌握,那样一来对企业来说将是一项巨大的损失。毫不夸张的说一个企业的网络构架是否安全,决定着企业能否在激烈的竞争中立于不败之地。

但从目前的情况来看,很多企业似乎并没有重视网络安全的建设,导致诸多企业被攻击,造成巨大的损失。

为此我们要从根本上更新观念,注重网络安全项目的建设,着手对现有的网络安全构架进行评估,并做出合理的,有效的网络安全实施方案,这对企业网络安全建设尤为重要。

2.项目方案

2.1.实现目的

要想对企业现有的网络构架做出合理的,高效的网络安全解决方案,我们要从以下几点进行评估:

Ø         在企业的边界是否有安全设备保证进出网络访问的安全,检测攻击行为

Ø         在企业的数据中心是否有安全设备保护对服务器的访问安全

Ø         企业的各种账户口令是否安全

Ø         企业的数据中心是否有灾难备份机制

Ø         企业的无线局域网络是否有较强的安全机制来保护无线网路的安全

…… …… 余下全文

篇五 :网络安全评估活动报告与解析

网络安全评估报告与解析

face=宋体><STRONG>[网络安全评估活动报告与解析]<BR></STRONG></FONT><BR><FONT face=宋体>根据国内一些网络安全研究机构的资料,国内大部分的ISP、ICP、IT

公司、政府、教育和科研机构等都没有精力对网络安全进行必要的人力和物力投入;很多重要站点的管理员都是Internet

的新手,一些操作系统如UNIX,在那些有经验的系统管理员的配置下尚且有缺陷,在这些新手的操作中更是漏洞百出。很多服务器至少有三种以上的漏洞可以使入侵者获取系统的最高控制权。<BR>为了使广大用户对自己的网络系统安全现状有一个清醒的认识,同时提高对信息安全概念的了解和认识,强化网络系统安全性能,首创网络近日向用户推出免费安全扫描服务活动。<BR>评估主机范围

<BR>Capitalnet技术支持中心在开展此次活动之前得到了客户的书面授权。活动中,根据客户提供的IP地址,并按照客户指定的时间,对包括网络设备和应用服务器等在内的主机系统进行安全评估。<BR>评估时间和方式<BR>此次活动持续两个月时间,由7月1日开始,到8月31日结束。在活动期间,首创网络技术支持中心安全产品组的专家们在与用户达成共识的前提下,利用专业的安全评估工具,对客户网络信息系统中的重点环节进行了全方位的安全扫描,并根据扫描结果产生了安全评估报告,提交给客户。客户可以根据这一安全评估报告充分了解自己信息系统的安全情况,进而采取相应的安全应对措施,从而提高网络系统安全性。<BR>评估单位分布<BR>此次评估活动共收到IP地址93个,分别来自不同行业的34家单位。这些单位分别属于多种行业部门。<BR>评估主机分类<BR>93个IP地址基本代表93台主机,分别为各个单位提供不同的信息化应用。如:WEB、Datebase、Mail等常见应用和防火墙等特殊应用。<BR>评估漏洞分布<BR>在93台主机提供的各种信息应用中,都存在这样或那样的漏洞,此次评估都漏洞的风险分为三种:高风险漏洞、中风险漏洞、低风险漏洞。<BR>参照标准为:<BR>●

…… …… 余下全文

篇六 :信息安全风险评估报告格式

信息系统 信息安全风险评估报告格式》 目 录

一、风险评估项目概述

1.1 工程项目概况

1.1.1 建设项目基本信息

1.1.2 建设单位基本信息

1.1.3承建单位基本信息

1.2 风险评估实施单位基本情况

二、风险评估活动概述

2.1 风险评估工作组织管理

2.2 风险评估工作过程

2.3 依据的技术标准及相关法规文件

2.4 保障与限制条件

三、评估对象

3.1 评估对象构成与定级

3.1.1 网络结构

3.1.2 业务应用

3.1.3 子系统构成及定级

3.2 评估对象等级保护措施

3.2.1 XX子系统的等级保护措施

3.2.2 子系统N的等级保护措施

四、资产识别与分析

4.1 资产类型与赋值

4.1.1资产类型

4.1.2资产赋值

4.2 关键资产说明

五、威胁识别与分析

5.1 威胁数据采集

5.2 威胁描述与分析

5.2.1 威胁源分析

5.2.2 威胁行为分析

5.2.3 威胁能量分析

5.3 威胁赋值

六、脆弱性识别与分析

6.1 常规脆弱性描述

6.1.1 管理脆弱性

6.1.2 网络脆弱性

6.1.3系统脆弱性

6.1.4应用脆弱性

6.1.5数据处理和存储脆弱性

6.1.6运行维护脆弱性

6.1.7灾备与应急响应脆弱性

6.1.8物理脆弱性

6.2脆弱性专项检测

6.2.1木马病毒专项检查

6.2.2渗透与攻击性专项测试

6.2.3关键设备安全性专项测试

6.2.4设备采购和维保服务专项检测

6.2.5其他专项检测

6.2.6安全保护效果综合验证

6.3 脆弱性综合列表

七、风险分析

7.1 关键资产的风险计算结果

7.2 关键资产的风险等级

7.2.1 风险等级列表

7.2.2 风险等级统计

7.2.3 基于脆弱性的风险排名

7.2.4 风险结果分析

…… …… 余下全文

篇七 :信息安全风险评估检查报告

信息安全风险评估检查报告

填表人:            单位:                电话:                         



[1] 本表所称高风险漏洞,是指计算机硬件、软件或信息系统中存在的严重安全缺陷,利用这些缺陷可完全控制或部分控制计算机及信息系统,对计算机及信息系统实施攻击、破坏、信息窃取等行为。

[2] 服务内容主要包括:系统集成、系统运维、风险评估、安全检测、安全加固、应急支持、数据存储等。

…… …… 余下全文

篇八 :网络扫描及安全评估实验报告

一、实验目的

l  掌握网络端口扫描器的使用方法,熟悉常见端口和其对应的服务程序,掌握发现系统漏洞的方法。

l  掌握综合扫描及安全评估工具的使用方法,了解进行简单系统漏洞入侵的方法,了解常见的网络和系统漏洞以及其安全防护方法。

二、实验原理

l  端口扫描原理

l  端口扫描向目标主机的TCP/IP服务端口发送探测数据包,并记录目标主机的响应。通过分析响应来判断服务端口是打开还是关闭,就可以得知端口提供的服务或信息。

l  端口扫描主要有经典的扫描器(全连接)、SYN(半连接)扫描器、秘密扫描等。

l  全连接扫描:扫描主机通过TCP/IP协议的三次握手与目标主机的指定端口建立一次完整的连接。建立连接成功则响应扫描主机的SYN/ACK连接请求,这一响应表明目标端口处于监听(打开)的状态。如果目标端口处于关闭状态,则目标主机会向扫描主机发送RST的响应。

l  半连接(SYN)扫描 :若端口扫描没有完成一个完整的TCP连接,在扫描主机和目标主机的一指定端口建立连接时候只完成了前两次握手,在第三步时,扫描主机中断了本次连接,使连接没有完全建立起来,这样的端口扫描称为半连接扫描,也称为间接扫描。

l  TCP FIN(秘密)扫描:扫描方法的思想是关闭的端口会用适当的RST来回复FIN数据包。另一方面,打开的端口会忽略对FIN数据包的回复。

l  综合扫描和安全评估技术工作原理

l  获得主机系统在网络服务、版本信息、Web应用等相关信息,然后采用模拟攻击的方法,对目标主机系统进行攻击性的安全漏洞扫描,如果模拟攻击成功,则视为漏洞存在。最后根据检测结果向系统管理员提供周密可靠的安全性分析报告。

     

…… …… 余下全文