风险评估实验报告.doc

《计算机风险评估》 实验指导书 班级： 0904201 学号： 090420115 姓名： 张洋 哈尔滨工业大学（威海） 前 言 计算机网络是现代信息社会最重要的基础设施之一，在过去的二十年里得到了迅速的发展和应用。以Internet为代表的计算机网络技术在为人类带来巨大便利的同时，也引发了诸多的信息安全问题。 《》课程实验的是使学生在课程学习的同时，通过实验增强对基本理论的理解打下必备的基础。 RiskAssess的应用、网络扫描软件的设计与实现等。 实验环境： 1. 要求实验室连接局域网并且要与Internet相连，每台机器都分配IP地址； 2. 实验室要配置一台安装Linux操作系统的网络服务器，同时提供FTP, WWW, DNS, Email等服务； 3. 实验室要配置一台安装Windows XP或Windows 2007 Server操作系统的网络服务器，同时配置FTP, WWW, DNS, Email等服务； 4. 实验室要配置一台学生可以访问的路由器和一台可配置交换机； 5. 学生每人一台主机，安装Windows XP操作系统，同时安装C++和Java编程环境； 在《计算机网络》的课程实验过程中，要求学生做到： 1. 预习实验指导书的有关部分，认真做好实验内容的准备，就实验可能出现的情况提前作出思考和分析； 2. 仔细观察上机和上网操作时出现的各种现象，记录主要情况，作出必要说明和分析； 3. 认真书写实验报告。实验报告包括实验目的和要求，实验情况及其分析； 4. 实验课程不迟到，不早退。如有事不能出席，需要向指导教师请假，所缺实验一般不补。 实验的验收分为两个部分。第一部分是上机操作，包括检查程序运行和即时提问。第二部分是提交书面的实验报告。此外，针对以前教学中出现的问题，网络实验将采用阶段检查方式，每个实验都将应当在规定的时间内完成并检查通过，过期视为未完成该实验，不计成绩。为避免期末集中检查方式产生的诸多不良问题，希望同学们抓紧时间，合理安排，认真完成。 2011-9-1实验一 网络安全扫描工具Nessus的使用 【实验前需要学习掌握的知识】 1、复习漏洞扫描的概念、目标和基本原理； 2、了解主机扫描、端口扫描和操作系统指纹扫描的概念和基本原理； 3、掌握TCP 扫描的原理，了解开放扫描、半开放扫描、秘密扫描的基本实现方法； 4、了解UDP扫描、IP分片扫描、慢速扫描和乱序扫描的原理和实现方法。 【】【】到官方网站?下载? (2) 注册本地用户，通过安装目录下的nessus-adduser可执行文件进行用户名的注册和密码的确认。如下图所示。 这样nessus就安装成功了。 2、Neessus的功能和使用。 （1）在浏览器中输入https://localhost:8834/ 进入客户端登陆界面。如下图所示。 （2）配置扫描策略。如下图所示。 （3）新建一个扫描任务，并开始扫描。 （4）查看扫描报告 3、扫描主机和网络。 利用Neessus的功能，对指定的主机和学生所在的网络进行服务和端口开放等情况的扫描。 4、实验结果分析和总结。 实验二 信息安全风险评估软件RiskAssess的使用 【实验前需要学习掌握的知识】 1、复习信息安全风险评估的基本过程，了解信息安全风险评过程的每一个阶段需要完成的工作； 2、掌握矩阵法和相乘法两种常用的安全风险计算方法。 【】【】 根据安装界面提示，完成软件安装。 2、熟悉RiskAssess的主要功能 （1）建立一个新的评估工程，如下图所示。 （2）选择“风险评估准备”——“风险评估向导”，如下图所示。 根据界面提示，完成风险评估准备工作。 （3）评估要素的识别。对资产识别、脆弱性识别、威胁识别进行填写。如下图所示。 （4）选择风险评估方法，矩阵法或相乘法。 （5）风险管理。完成已有安全措施确认，风险处理计划并生成阶段文档。 （6）评估文档管理。利用此功能可以实现对评估项目所有文档的管理。 3、RiskAssess的实际应用。 使用RiskAssess，完成课堂讲授的信息安全风险评估实例——企业“数字兰曦”的信息安全风险评估工作。 4、实验结果分析和总结。 实验三 简单网络扫描器的设计与实现。 【实验前需要学习掌握的知识】 1、复习TCP、UDP、IP和ICMP 数据报的报文格式