没有合适的资源?快使用搜索试试~ 我知道了~
Web风险评估分析报告.doc
1 下载量 119 浏览量
2022-11-20
02:33:18
上传
评论
收藏 1.78MB DOC 举报
温馨提示
试读
49页
Web风险评估分析报告.doc
资源推荐
资源详情
资源评论
Web 风险评估分析报告
网 站 风 险 评 估 报 告
——《信息安全工程》报告
课程名称 信息安全工程
班 级
专 业 信息安全
任课教师
学 号
姓 名
目录
封面-------------------------------------------------------------------------1
目录-------------------------------------------------------------------------2
一、评估准备-------------------------------------------------------------3
1、安全评估准备-----------------------------------------------------3
2、安全评估范围-----------------------------------------------------3
3、安全评估团队-----------------------------------------------------3
4、安全评估计划-----------------------------------------------------3
二、风险因素评估-------------------------------------------------------3
1.威胁分析-----------------------------------------------------------3
2.安全评估-----------------------------------------------------------7
三、综述--------------------------------------------------------------------8
四、风险评价-------------------------------------------------------------18
五、风险控制建议-------------------------------------------------------19
附录:------------------------------------------------------------------------22
一、评估准备
1、安全评估目标
在项目评估阶段,为了充分了解 SecurityTweets 这个网站的安全系数,因此需要对 SecurityTweets
这个网站当前的重点服务器和 web 应用程序进行一次抽样扫描和安全弱点分析,对象为 SecurityTweets
全站,然后根据安全弱点扫描分析报告,作为提高 SecurityTweets 系统整体安全的重要参考依据之一。
2、安全评估范围
本小组将对如下系统进行安全评估:
采用 linux 系统的 web 服务器(IP 地址:)
采用 nginx 服务器程序的 web 站点
采用 MySQL 的数据库
3、安全评估团队
成员组成:
使用工具:
1、Acunetix Web Vulnerability Scanner
2、BurpSuite
4、安全评估计划
1、此次针对网站的安全评估分为 2 个步骤进行。第一步利用现有的优秀安全评估软件来模拟攻击行
为进行自动的探测安全隐患;第二步根据第一步得出的扫描结果进行分析由小组成员亲自进行手动检测,
排除误报情况,查找扫描软件无法找到的安全漏洞。
2、第一步我们采用两种不同的渗透测试软件对网站做总体扫描。采用两种工具是因为这两个工具的
组员
姓名
班级
学号
侧重点不同,可以互为补充,使得分析更为精确。然后生成测试报告。
3、根据上一步生成的测试报告,由组员亲自手动验证报告的可信性。
4、根据安全扫描程序和人工分析结果写出这次安全评估的报告书。
二、风险因素评估
1. 威胁分析
1.1. 威胁分析概述
本次威胁分析是对一个德国的 SecurityTweets 网站进行的。威胁分析包括的具体内容有:威胁主体、
威胁途径、威胁种类。
1.2. 威胁来源
SecurityTweets 网站是基于 Internet 体系结构建立,网络业务系统大都采用 TCP/IP 作为主要的网
络通讯协议,其自身提供了各种各样的接口以供使用和维护,然而,这些接口同样可能向威胁主体提供
了攻击的途径:
来源
描述
环境因素
断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、
洪灾、火灾、地震、意外事故等环境危害或自然灾害,以
及软件、硬件、数据、通讯线路等方面的故障
恶 意
人员
不满的或有预谋的内部人员对信息系统进行恶意破坏;采
用自主或内外勾结的方式盗窃机密信息或进行篡改,获取
利益
外部人员利用信息系统的脆弱性,对网络或系统的保密性、
完整性和可用性进行破坏,以获取利益或炫耀能力
人 为 因
素
非 恶
意 人
员
内部人员由于缺乏责任心,或者由于不关心或不专注,或
者没有遵循规章制度和操作流程而导致故障或信息损坏;
内部人员由于缺乏培训、专业技能不足、不具备岗位技能
要求而导致信息系统故障或被攻击
剩余48页未读,继续阅读
资源评论
xinkai1688
- 粉丝: 344
- 资源: 8万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功