安全评估报告模板v正式版

1、安全评估报告模板v正式版xxx安全评估报告文档时间： 2021/12/xx目录1. 安全评估方案简介本次安全评估的对象为学校行政职能部门对外提供网络服务的所有主机（除去使用教育网段以外 IP 的部门产业处和成教、网络教育学院） 。评估过程主要分为以下几个步骤：1、扫描工具扫描 在网络安全体系的建设中，安全扫描工具花费低，效果好，见效快，与网络的运行相 对独立， 安装运行简单， 可以大规模减少安全管理员的手工劳动， 有利于保持全网安全政策 的统一和稳定， 是进行风险分析的有力工具。 安全扫描技术基本上也可分为基于主机的和基 于网络的两种， 前者主要关注软件所在主机上的风险与漏洞， 而后者则是通过

2、网络远程探测 其他主机的安全风险与漏洞。 利用扫描工具是为了使我们对校园网从结构上得到一个清晰的 认识，便于我们确定每一台主机在网络中所处的位置， 利于后面对他们所面临的威胁和压力 进行具体的分析，针对他们所提供的各种服务提出相应的加固意见。2、人工安全检查系统扫描是利用安全评估工具对绝大多数评估范围内的主机， 网络设备等方面进行漏洞 的扫描。 但是，评估范围内的网络设备安全策略的弱点和部分主机的安全配置错误等并不能 被扫描器全面发现，因此有必要对评估工具扫描范围之外的系统和设备进行手工检查。3、渗透测试渗透测试是指在获取用户授权后， 通过真实模拟黑客使用的工具， 分析方法来进行实际 的漏洞发

3、现和利用的安全测试方法。这种测试方法可以非常有效的发现最严重的安全漏洞， 尤其是与全面的代码审计相比， 其使用的时间更短，也更有效率。 在测试过程中， 我们将利 用一些已知的漏洞信息在测试对象上加以验证， 以确定测试对象是否存在此类漏洞。 并可以 根据相应的漏洞发布时间、 社会熟知程度等推断测试对象的安全管理水平， 同时进行弱口令 的验证。通过对某些重点服务器进行准确，全面的测试， 可以发现系统最脆弱的环节， 以便 对危害性严重的漏洞及时修补，以免后患。4、压力测试和负载测试使用LoadRunner （预测系统行为和性能的负载测试工具），通过以模拟大量用户实施并LoadRunner 能够对整个

4、在性能分析过程中， 我们将发负载及实时性能监测的方式来确认和查找网络服务器性能问题， 网络架构进行测试， 压力测试只针对访问量较大的网站做测试。采用多种手段对目标进行负载测试、强度测试和容量测试等。对目标的抗攻击能力进行评级，未达到要求的给出改进意见。5、安全策略评估安全策略是对整个网络在安全方面， 详细的策略性描述， 它是目前改善整个校园网络安 全的建设性意见和建议。 不同的网络需要不同的策略， 它必须包括整个网络中与安全密切相 关的问题， 并确定相应的防护手段和实施办法， 就是针对整个校园网络的一份相对可行的安 全策略。扫描工具扫描系统层面用端口扫描工具对 xx（ IP 地址为 xxx ）

5、网站所在主机进行端口扫描，如下 图所示：通过 NMAP 端口扫描工具进行穿墙突破扫描，由 1-65535 端口逐个进行探测。Nmap报告：经手工 telnet 验证端口开放情况， 开放的端口有 25，80，81，110，119，143， 587，993，995，3389，8080，8888。CGI SCAN 扫描得出目标主机操作系统及配置环境：Web 应用程序层面2. 渗透测试步骤2.1.渗透测试流程渗透测试流程图如下:由于网站是内部开放，故流程图中某些步骤并未进行。22信息收集阶段对所要测试的应用系统进行漏洞扫描，对扫描结果进行分析并发现潜在 的安全风险。2.3. 信息分析阶段分析扫描结果，

6、对一些敏感信息进行整合，对网络拓扑情况进行分析， 对所开放的服务进行排查，发现系统存在的安全漏洞，分析网络结构对可利 用主机进行渗透，进一步提升权限，以达到控制网络目的。2.4. 模拟测试阶段综合以上的信息收集和分析结果后，对所测试的应用系统开始进行模拟 攻击，以下是针对该应用系统的攻击测试方式。1) Nmap 强行突破扫描、口令猜解 通过互联，发现 XXXXXXX 部分敏感信息。2) Web 服务器应用程序分析 通过对应用层程序辅助测试工具以及手工测试，在应用系统上，发现有 网站配置原因导致的目录过滤不严网站及服务器敏感信息泄漏等现象。详情 请见风险描述。2.5. 测试结果记录出现问题测试工

7、具、参数、结果、原始记录及简要分析过程。 系统层面渗透测试：Web应用程序层面渗透测试：压力测试和负载测试(需要经过申请，测试有可能会导致服务停止)3. 安全策略评估漏洞总结和建议通过对应用系统的渗透测试发现， 该目标主机存在 高风险的信息泄漏漏洞 和 一些系统环境配置方面的纰漏，恶意攻击者能够利用此漏洞控制当前应用系统， 并能够进行添加，修改，删除等恶意操作。建议：对于系统层上的安全 apache tomcat 浏览任意 web 目录漏洞，建议对目录列 表进行禁止设置；对于 wamp 的探针 index1.php 进行删除； 对于系统后台地址建议进行更复杂的设置； 建议加强管理员的口令以及设

8、置安全问题信息；建议使用网站系统自带的data目录隐藏功能，提高网站安全性； Apache,mysql,php版本偏低，建议升级；关闭服务器不必要的端口和服务，使服务器在最小安全化下运行；西南科技大学网络应急响应小组（ SNERT）2021年12月x日附件:西南科技大学XXXX安全评估报告指导老师：测评人员名单：姓名学院班级分工兹此证明西南科技大学网络应急响应小组（SNERT）2021年12月xx日附测评人员行为准则：为保证测试过程的规范、安全、高效、可靠，每一个参与测试的人员均应遵守以下规 则：（1）在我们的测试方案中，对测试行为、测试时间、测试地点均进行了约束，参测人 员必须严格此方案执行

9、。严禁任何人擅自尝试测试方案中未规定的危险操作。（2）对测试过程必须进行详细记录，便于日后查验。（3）测试中，任何人发现的任何漏洞都必须上报并记录，严禁发现漏洞后隐瞒，严禁 利用测试中发现的漏洞进行非法活动或谋取私利。（4）所有参测人员必须严谨、细致地进行测试，并尽全力避免引起网络阻塞或服务器 死机等严重问题。附件陕西省放射性同位素与射线装置应用单位辐射安全年度评估报告填报单位（盖章）填报人联系填报日期 年 月 日填写说明一、本表适用于我省辖区内的放射源和射线装置生产、销售、使用单位，此表一式 3份，填写单位，发证环保部门、区县环保 局各留一份。二、评估报告提交材料要求使用 A4纸打印或复印，

10、加盖单 位公章。三、表格中涉及的内容必须填写完整，填写不全的要重新填报。核技术利用工作单位联系方式单位名称单位地址法疋代表人信息姓名职务固定移动传真辐射安全与防护管理机构及负责人信息机构名称负责人姓名职务固定移动传真专职辐射安全 与防护管理人 员（联系人）信息姓名职务所在部门学历固定移动传真电子信箱通讯地址邮编、辐射安全许可证信息许可证号环辐证发证机关发证日期有效期至活动种类生产销售使用活动范围放射源：口1类类皿类类类非密封放射性物质：甲级乙级丙级射线装置：口1类类皿类工作场所名称地址负责人三、放射性同位素和射线装置、辐射工作人员、监测仪器情况汇总放射源数量I类U类川类W类V类合计非密封放射性

11、物质工作场所等级（在相应等级下打2）甲级乙级丙级丙级以下射线装置数量I类U类川类合计辐射工作人员数量总数辐射安全与防护管理人员数监测仪器巡测仪台个人报警仪 台其它台四、放射性同位素和射线装置台账放射源台帐序号核素出厂日期出厂活度(Bq)号 标编码类别用途场所来源/去向登记日期登记人来源去向来源去向来源去向来源去向来源去向来源去向来源去向四、放射性同位素和射线装置台账非密封放射性物质台账序号核素总活度(Bq )频次用途来源/去向登记日期登记人来源去向来源去向来源去向来源去向来源去向来源去向来源去向来源去向四、放射性同位素和射线装置台账射线装置台账序号装置名称规格型号类别用途场所来源/去向登记日期

12、登记人来源去向来源去向来源去向来源去向来源去向来源去向来源去向来源去向五、辐射工作人员培训情况序号姓名性别出生日期证件类型号码工作岗位毕业学校学历专业辐射安全与防 护培训时间培训证号六、辐射工作人员职业健康检查情况姓名职业健康检查情况体检部门体检时间检查结果（是否适宜从事辐射工作）七、辐射安全与防护制度的建立、修订和执行情况已制定的制度清单：1、修订完善的制度八、辐射安全和防护设施设备的运行与维护情况（包括安全联锁装置、 监控报警设施、工作指示信号、电离辐射警示标志、监测防护仪器和 个人防护用品等）九、辐射事故应急工作情况十、新购源、废源收贮及报废射线装置情况十一、事故记录、违纪记录（没有的填

13、无） 注：有事故应包括事故原因、类型和后果等。违纪包括受到责令改正、行政处罚情况以及整改结果十二、信息化建设和档案管理全国核技术利用单立申报系统管理信息管理员姓名联系注册用户名电子邮箱（申报系统）具体信息档案管理措施：十三、辐射安全隐患与整改情况附件一：辐射环境监测报告（有辐射环境检测资质单位出具的监测报告）附件二：辐射工作人员培训证书（环保部门开展的培训）附件三：个人剂量监测报告质量风险评估报告报告编号：风险事件责任人发现部门描述：日期：年月日风险范围：日期:年月日风险评估风险项目严重性（S）可能性（P）可发现性（D）RPN(SX PX D)备注评定依据严重性（S）严重：违反操作规程且会导致

14、药品质量受到影响710分中等：违反操作规程可能导致药品质量受到影响46分较小:违反操作规程但不会导致药品质量受到影响13分发生的可能性（P）每批必然会发生10分；10批发生次数大于或等于1次810 分100批发生次数大于或等于1次5-7分1000批发生次数大于或等于一次1-4分可发现性（D）无适当的检测控制方法10分；通过控制不太可能检测出危害 或其影响710分;通过控制可能检测出危害或其影响 46 分；通过控制很可能检测出危害或其影响 1-3分RPN （定量分级值）：风险等级：< 70 （低） , 71-99 （中），100 （高）风险控制： 风险降低计划:风险控制方案相关部门职 责审

15、核意见审核日期备注:低、中质量风险由相关部门经理审核批准；高质量风险需分管副总审核批准。控制结果及评审: 风险控制结果：风险控制结果评审：相关部门职 责意见日期备注：低、中质量风险由质量部经理审核批准；高质量风险需分管副总审核批准。安全生产评估报告一、根据施工企业安全生产评价标准 (JGJ/77 2021) 的颁布实施， 对施工企业安全生产条件、业绩及相应安全生产能力进行评价提供了科学依据， 也给实现施工企业安全生产评价工作的规范化和制度化，促进施工企业安全生 产管理水平和施工生产的本质安全程度的提高创造了条件。 我公司于 10 月至 12 月组织了全公司范围内的安全大检查，按照标准要求，对施

16、工企业安全 生产评价类别应包括企业自我评价、企业上级主管对企业进行评价、政府行政 主管部门对企业进行评价、业主对企业进行评价四个类别。也就是说除政府行 政主管部门对企业进行评价外并不排斥施工企业上级主管和业主对企业进行评 价及企业自我评价。因此企业在施工生产过程中，应按照企业规章、生产与市 场需求，定期进行企业安全现状评价，随时了解企业安全生产条件状况，对企 业安全生产业绩进行动态监测。通过对企业本期安全生产能力的总体评价，提 出安全生产可持续改进措施意见，以指导企业下期安全生产，真正体现安全管 理的预见性，达到事先预防控制的目的，实现安全的动态管理：二、安全评估过程 一般包括评价资料准备、施

17、工现场评价、出具评价 报告主要步骤。1 评价资料准备建立企业申请安全评价的资料文件清单， 汇总装订成册，在接受评价时应及时递交。文件清单中主要项目包括：(1) 企业概述；(2) 企业营业执照、资质证书、安全生产许可证复印件；(3) 企业本期生产经营活动情况说明；(4) 企业本期安全生产自我评价报告 ( 评价表采用施工企业安全生产评价标准(JGJ /T77 2021)附录A、附录B、附录C中规定的表格)；(5) 企业安全生产管理文件，具体包括： 企业现行有效文件清单目录； 安全生产责任制度文本，包括：安全生产管理机构设置规定，各级各类 人员安全生产岗位职责，安全管理目标、指标和管理方案，奖惩考核

18、制度等； 安全生产规章制度文本，包括：资金保障，教育培训，安全检查，事故 报告和处理等； 安全生产管理规定文本，包括：技术管理，设备管理，安全生产操作规程，分包单位资质和人员资格，供应单位、安全设施和防护、特种设备、安全 检查测试工具等企业管理规定或形成职业健康安全管理体系文件中的“程序文 件”、 “作业指导书”等；(6) 企业建立的重大危险源清单，并提供企业危险源辨识、评价记录；(7) 企业审批的施工组织设计、专项安全技术方案 13份(企业备份，评价后返还 ) ；(8) 企业本期安全生产事故档案、事故报表；(9) 企业安全生产业绩统计表及相关证书、文件的复印件等。2 施工现场评价 结合现行的

19、 建筑施工安全检查标准 (JCJ59-2021) 和国标职业健康安全管理体系规范 (GBT28001-2001) ，按照标准中规 定安全生产条件评价项中的 20 个评分项目和安全生产业绩中的 4个评分项目进 行整合，重点对以下 13 项进行施工现场审查、评价。(1) 安全管理控制目标 企业的安全管理目标必须有正式文件和传阅记 录，项目的安全管理目标必须有上级部门审批和传阅记录。(2) 安全生产管理制度 企业的安全生产管理制度必须是受控文件， 且有传阅记录，项目的安全生产管理制度必须有经过上级部门审批和项目发放 记录。(3) 安全生产责任制 责任制内容必须明确各自工作范围的安全责任和 安全管理目

20、标的分解执行，不得逾越各自管理权限。结合各自安全生产职责， 企业和项目要分别成立安全生产领导小组，同时编制安全生产管理网络图。同 时应定期进行安全生产责任制执行情况考核。 (4) 安全生产资金保障企业按 照建立安全生产资金保障制度制定年度资金计划，保留落实资金的各种单据备 查；项目将实际发生费用汇总报公司，现场留存单据。企业和项目填写安全生 产、文明施工资金预算表和统计表，应相互对应。 费用范围参照即将施行的建筑工程安全防护、文明施工措施费用及使用管理规定(5) 安全教育与培训 企业定期对各部门和员工进行安全教育、培训， 项目对全体人员分工种、分部、分项、分季节进行安全教育、培训，尤其危险 源

21、应有单独教育记录。同时要求被教育人员签名，不得伪造代签。 核查项目 建立职工劳动保护教育卡、安全员及特殊工种人员、中小型机械作业人员名册 ( 复印件附后 ) ，节前节后安全教育记录、 新进场工人教育记录、 安全教育记录 ( 定 期月或季度 ) 、班前安全活动、安全周讲评记录。(6) 安全用品采购 安全用品包括安全帽、 安全网、安全带、漏电开关、 配电箱、限位装置、 保险装置、五芯电缆、钢管、扣件、起重绳、活动房等。 企 业或项目分包单位采购安全用品时，必须在企业合格供应商目录中选择地方行 业管理部门认定的合格产品；采购时应收集提供安全用品的质保书、合格证等 质量证明材料和供应商的生产许可证、营

22、业执照等证明文件，并将其附在安全 用品采购验收资料表上。(7) 分包管理 核查企业以受控文件方式公布合格分包方名录，分包方安 全生产能力评价记录、项目与分包方签订的安全管理协议书、分包方的安全职 责和落实情况资料、分包方开展安全活动资料等。(8) 施工过程控制 核查施工过程中的基础、主体、装饰等分部，土方、桩基、脚手架、模板、钢筋、砼、塔吊装拆、物料提升机装拆、外用电梯 装拆、砌筑抹灰、墙面石材、人工拆除、防水等分项，电工、电焊工、气焊工、 起重工、木工、钢筋工、砼工、瓦工等工种的安全技术交底。交底双方必须签 字确认，不得伪造代签。有分包的还要核查总包对分包进场安全总交底。 核 查现场安全设施

23、移交表、三级动火许可证及模板、外架、塔吊、外用电梯、物 料提升机拆除申请表等资料。(9) 危险源控制 企业应对危险源识别、评价，对重大危险源进行控制、 策划、建档，制定针对性应急预案 (含重大危险源控制清单和检查记录 ) 。 施 工组织设计必须经过上级部门审批发放。其内容包含专项安全技术措施、危险 源认定和预防控制措施，并对涉及人员进行组织设计安全交底。(10) 事故应急救援 编制应急救援计划 ( 含高处坠落、物体打击、机械 伤害、触电、坍塌、重大意外事故、火灾、中毒中暑等 ) ，内容涵盖可能发生的 原因和造成的后果、组织机构和职责分工、报告程序、处理程序、应急物资准 备及设施、人员基本救治方

24、法、事故调查处理建议等。对应急救援预案演练和 评价记录表进行核查。(11) 安全检查和纠正措施 按照提供的公司和项目安全检查汇总表，核 查公司和项目安全检查日记、安全检查记录，包括行业管理部门或项目上级单 位对现场的安全检查记录。项目检查类型应包括：定期安全检查、专项 ( 施工用 电、大型起重机械、特殊类脚手架、防暑降温等 ) 安全检查、季节性、节假日前其他需核查的后等。同时对应核查隐患整改通知书、安全检查罚款通知书 项目安全检查资料有扣件式钢管脚手架、悬挑架、提升架验收单；模板支撑系 统验收单 (含计算书 ) ；井架(龙门架)搭设、落地操作平台验收单；施工现场临 时用电的接地电阻测试、移动手

25、持电动工具、电工巡视验收单；施工机具验收 单；基坑支护验收及监测记录；洞口临边防护验收记录等。(12) 安全改进 企业和项目安全生产领导小组应定期召开会议，总结 和执行安全生产自我评估。现场核查安全会议记录、安全自我评估报告、安全 整改汇总和纠正措施执行回复等资料。(13) 安全资料收集企业和项目应建立适用的职业健康安全管理法律法规 和其他要求清单，定期评价更新。要保证对新颁布发行的国家安全生产法律法 规、职业病防治、行业规章制度、地方主管部门颁发的规章制度、安全技术规 范标准和安全操作规程等及时获取的有效渠道。 安全资料分类装订，统一格 式，需签字部分不得代签。3 出具评价报告 下面按某公司

26、年度自我安全评价的具体案例进行说 明。(1) 封面：某公司年度自我安全评价报告书，编写人、审核人、批准人签(2) 安全评价说明2 1 评价依据、评价组成员及工作计划等。根据建设工程安全生产管理条例、 安全生产许可证条例等法律条文的要求，我公司组织了全公 司范围内的安全生产大检查，并按照行业标准施工企业安全生产评价标准 (JCJT77-2003) 的有关规定作出公司的自我安全评价报告。2 2 安全评价的目的本次安全评价是针对公司各工程项目的安全现状进行的安全评价，通过评价查找其存在的危险有害因素并确定危险程度，提 出合理可行的安全对策措施及建议，使公司在生产运行期间的安全风险控制在 安全、合理的

27、程度内。(3) 安全评价的内容及结果按照评价标准的规定，本次评定的主要 内容分为两大类，即安全生产条件的单项评价和安全生产业绩单项评价；由以 上两项单项评价组合而成的安全生产能力综合评价。共计六项表格评分得出结 果(各评分及汇总表省略 ) 。31 企业安全生产条件单项评价，包括以下 4个分项评分：3 11 安全生产管理制度分项评分该分项各评分项目未出现零分项，经过评分汇总该分项得分为 87 分。3 1 2 资质、机构与人员管理分项评分该分项各评分项目未出现零分项，经过评分汇总该分项得分为 90 分。3 1 3 安全技术管理分项评分 该分项各评分项目未出现零分项，经 过评分汇总该分项得分为 85

28、 分。314 设备与设施管理分项评分该分项各评分项目未出现零分项，经过评分汇总该分项得分为 90 分。3 .1.5单项评价等级安全生产条件单项评分为：87X 0. 3+90X 0. 2+85X 0. 3+90X 00. 2=87. 6分75分，且以上各分项评分均大于 70分，故评价等 级为合格。 32 企业安全业绩单项评价该单项评分表安全生产管理体系推行的评分项目为 85 分，该单项评分汇总得分为 85 分，等级评价为：该汇总得分 为 85 分大于 70 分，评定为合格。3 3 企业安全生产能力综合评价以上两项单项评价为一个合格， 一个基本合格，符合施工企业安全生产评价标准中基本合格评价等级规

29、定，公 司的安全生产综合能力评价等级为基本合格。(4) 对策、措施与建议 通过本次安全生产自我评价活动，公司的安全 生产综合能力评价等级为基本合格，这说明公司安全管理方面存在不少的问题， 为了及时将这些问题解决掉，使我公司的生产系统正常运转，现将存在的问题 及对策建议列出如下：41 安全管理制度重在落实，不仅要进一步完善制度，更重要的是执行制 度。公司应加强对管理层人员对制度理解能力的培训。能够做到以制度管人， 人人按照规章制度办事，特别是奖罚制度更应该严格遵照执行，这样才能起到 约束的作用。另外在本次检查中发现项目部对公司安全管理部门下发的隐患整 改通知单回复不够及时 （ 评分表扣 5 分）

30、 ，造成资料不能闭合，项目部应在整改 完成之后及时向公司回复，以便使安全部门复查后闭合管理资料。42公司对项目经理等项目管理人员的安全培训不够 （评分表扣 5 分）、课 时普遍过短，每年仅有一次。公司有关部门应加大安全生产责任制的考核力度 （ 评分表扣 3 分 ） ，考核成绩要与经济挂钩，考核不合格坚决不允许上岗。另外 项目部应要求 50 人以上的劳务分包队伍配备专职安全管理人员参与项目部的安 全管理（ 评分表扣 5 分） 。还有一个比较突出的问题是项目部对安全资金投入仍 然有所保留，表现在购买的防护用品及安全设施多为不合格产品 （ 评分表扣 5 分） ，直接影响作业人员的施工安全，公司应制定

31、行之有效的措施保证项目安全 资金的正确使用，并加大监督机制建设。4 3 各项目部对应急救援预案的制定还不够重视 （ 评分表扣 5 分） ，多数 工地应急救援体系建立不完善，公司应抓紧督促项目部制定救援预案，购置应 急救援设备；另外各项目部对危险性较大的分项工程的专项施工方案编制得不 完善、缺项，或者是不能有效地指导施工，施工方案抄袭沿用漏洞百出，虽说 有一纸方案，工人还是按照经验施工，遗留安全隐患较多 （ 评分表扣 5 分）。项 目部应自觉加强技术力量，充实技术管理人员，把方案做成能够确实指导施工 的技术文件。44 施工现场设备与安全设施相关的管理制度不够完善， 造成资料不完备，施工过程中形成

32、的隐患不能够及时被发现。个别现场的安全警示标牌配置数量、位置不满足要求，公司应要求各工地设置安全警示标牌平面布置图，按照布置 图的要求进行现场的安全标志的悬挂，能让警示牌切切实实起到安全警示的作 用。45 公司贯彻安全生产管理体系标准较一般 （评分表扣 10 分） ，公司此项 工作筹备小组应加快工作进度。三、结束语 通过本次评价活动，虽说最后评价结果为合格，但是经过系 统的检查还是折射出公司安全管理方面存在的不少问题，为了及时将这些问题 解决掉，使我公司的生产系统正常运转，现将存在的问题及对策建议列出如下：1安全管理制度重在落实，不仅要制定制度，更重要的是执行制度。公 司应加强对管理层人员对制度理解能力的培训。能够做到以制度管人，人人按 照规章制度办事，特别是奖罚制度更应该严格遵照执行这样才能