網(wǎng)絡安全防護檢查報告模板

1、編號：網(wǎng)絡安全防護檢查報告數(shù)據(jù)中心測評單位： 報告日期： 目 錄第1章 系統(tǒng)概況21.1 網(wǎng)絡結構21.2 管理制度2第2章 評測方法和工具42.1 測試方式42.2 測試工具42.3 評分方法42.3.1 符合性評測評分方法52.3.2 風險評估評分方法5第3章 測試內容73.1 測試內容概述73.2 掃描和滲透測試接入點83.3 通信網(wǎng)絡安全管理審核8第4章 符合性評測結果94.1 業(yè)務安全94.2 網(wǎng)絡安全94.3 主機安全94.4 中間件安全104.5 安全域邊界安全104.6 集中運維安全管控系統(tǒng)安全104.7 災難備份及恢復114.8 管理安全114.9 第三方服務安全12第5章

2、風險評估結果135.1 存在的安全隱患13第6章 綜合評分146.1 符合性得分146.2 風險評估146.3 綜合得分14附錄A 設備掃描記錄15- II -所依據(jù)的標準和規(guī)范有：Ø YD/T 2584-2013 互聯(lián)網(wǎng)數(shù)據(jù)中心IDC安全防護要求Ø YD/T 2585-2013 互聯(lián)網(wǎng)數(shù)據(jù)中心IDC安全防護檢測要求Ø YD/T 2669-2013 第三方安全服務能力評定準則Ø 網(wǎng)絡和系統(tǒng)安全防護檢查評分方法Ø 2014年度通信網(wǎng)絡安全防護符合性評測表互聯(lián)網(wǎng)數(shù)據(jù)中心IDC還參考標準Ø YD/T 1754-2008電信和互聯(lián)網(wǎng)物理環(huán)境安

3、全等級保護要求Ø YD/T 1755-2008電信和互聯(lián)網(wǎng)物理環(huán)境安全等級保護檢測要求Ø YD/T 1756-2008電信和互聯(lián)網(wǎng)管理安全等級保護要求Ø GB/T 20274 信息系統(tǒng)安全保障評估框架Ø GB/T 20984-2007 信息安全風險評估規(guī)范第1章 系統(tǒng)概況IDC由 負責管理和維護，其中各室配備了數(shù)名工程師，負責IDC設備硬、軟件維護，數(shù)據(jù)制作，故障處理、信息安全保障、機房環(huán)境動力設備和空調設備維護。1.1 網(wǎng)絡結構圖 11：IDC網(wǎng)絡拓撲圖1.2 管理制度1. 組織架構信息安全工作組網(wǎng)絡安全工作組具體職能部門網(wǎng)絡與信息安全工作小組圖 12

4、：IDC信息安全管理機構2. 崗位權責分工現(xiàn)有的管理制度、規(guī)范及工作表單有：l IDC機房信息安全管理制度規(guī)范l IDC機房管理辦法l IDC災難備份與恢復管理辦法l 網(wǎng)絡安全防護演練與總結l 集團客戶業(yè)務故障處理管理程序l 互聯(lián)網(wǎng)與基礎數(shù)據(jù)網(wǎng)通信保障應急預案l IDC網(wǎng)絡應急預案l 關于調整公司跨部門組織機構及有關領導的通知l 網(wǎng)絡信息安全考核管理辦法l 通信網(wǎng)絡運行維護規(guī)程公共分冊-數(shù)據(jù)備份制度l 省分公司轉職信息安全人員職責l 通信網(wǎng)絡運行維護規(guī)程IP網(wǎng)設備篇l 城域網(wǎng)BAS、SR設備配置規(guī)范l IP地址管理辦法l 互聯(lián)網(wǎng)網(wǎng)絡安全應急預案處理細則l 互聯(lián)網(wǎng)網(wǎng)絡安全應急預案處理預案（201

5、3修訂版）第2章 評測方法和工具2.1 測試方式l 檢查通過對測試對象進行觀察、查驗、分析等活動，獲取證據(jù)以證明保護措施是否有效的一種方法。l 測試通過對測試對象按照預定的方法/工具使其產(chǎn)生特定的響應等活動，查看、分析測試對象的響應輸出結果，獲取證據(jù)以證明保護措施是否有效的一種方法。2.2 測試工具主要使用到的測試工具有：掃描工具、滲透測試工具、抓包工具、漏洞利用驗證工具等。具體描述如下表：表31：測試工具序號工具名稱工具描述1綠盟漏洞掃描系統(tǒng)脆弱性掃描2科萊網(wǎng)絡協(xié)議分析工具脆弱性掃描3Nmap端口掃描4Burp SuiteWEB滲透集成工具2.3 評分方法分為符合性檢測和風險評估兩部分工作。

6、網(wǎng)絡單元安全防護檢測評分符合性評測得分×60%風險評估得分×40%。其中符合性評測評分和風險評估評分均采用百分制。2.3.1 符合性評測評分方法符合性評測評分依據(jù)網(wǎng)絡單元符合性評測表中所列制度、措施的符合情況計分，其中每個評測項對應分值，由100分除以符合性評測表中評測項總數(shù)所得。2.3.2 風險評估評分方法網(wǎng)絡單元風險評估首先基于技術檢測中發(fā)現(xiàn)的安全隱患的數(shù)量、位置、危害程度進行一次扣分；然后依據(jù)發(fā)現(xiàn)的安全隱患是否可被技術檢測單位利用進行二次扣分。風險評估評分流程具體如下。1、一次扣分在技術檢測時，每發(fā)現(xiàn)一個安全隱患，根據(jù)其所處的位置及危害程度扣除相應分值。各類安全隱患的

7、扣分值如表3-2所示。表3-2 風險評估安全隱患扣分表安全隱患類型重要設備【注1】其它設備高危漏洞【注2】中危漏洞【注2】弱口令其它安全隱患【注3】注1：重要設備包括內外網(wǎng)隔離設備、內部安全域劃分設備、互聯(lián)網(wǎng)直聯(lián)設備、網(wǎng)絡業(yè)務核心設備。注2：中高危漏洞以國內外權威的CVE漏洞庫和國家互聯(lián)網(wǎng)應急中心CNVD漏洞庫為基本判斷依據(jù)；對于高危Web安全隱患，以國際上公認的開放式Web應用程序安全項目（OWASP，Open Web Application Security Project）確定最新的Top 10中所列的WEB安全隱患判斷作為判斷依據(jù)。注3：其它安全隱患指可能導致用戶信息泄露、重要設備受控

8、、業(yè)務中斷、網(wǎng)絡中斷等重大網(wǎng)絡安全事件的隱患。2、二次扣分在一次扣分剩余得分的基礎上，依據(jù)網(wǎng)絡單元是否已被攻擊入侵或發(fā)現(xiàn)的安全隱患是否可被技術檢測單位利用，進行二次扣分。具體扣分步驟如下：如通過技術檢測，發(fā)現(xiàn)網(wǎng)絡單元中存在惡意代碼，或已被入侵而企業(yè)尚未發(fā)現(xiàn)并處置，扣除一次扣分后剩余得分的40%。如通過技術檢測，從網(wǎng)絡單元外獲取網(wǎng)絡單元內設備的管理員權限或獲取網(wǎng)絡單元內數(shù)據(jù)庫信息，扣除一次扣分后剩余得分的40%。如通過技術檢測，從網(wǎng)絡單元內獲取設備的管理員權限或獲取數(shù)據(jù)庫信息，扣除一次扣分后剩余得分的20%。最后剩余分數(shù)即為風險評估得分。第3章 測試內容3.1 測試內容概述分為符合性評測和安全風

9、險評估兩部分，符合性評測具體內容為：業(yè)務安全、網(wǎng)絡安全、主機安全、中間件安全、安全域邊界安全、集中運維安全管控系統(tǒng)安全、災難備份及恢復、管理安全、第三方服務安全狀況。安全風險評估主要通過技術檢測發(fā)現(xiàn)網(wǎng)絡單元內是否存在中高危安全漏洞、弱口令，以及可能導致用戶信息泄露、重要設備受控、業(yè)務中斷、網(wǎng)絡中斷等重大網(wǎng)絡安全事件的隱患，檢測是否存在惡意代碼或企業(yè)尚未知曉的入侵痕跡，檢測是否可以獲取設備的管理員權限、數(shù)據(jù)庫等。表41：網(wǎng)絡架構測試對象序號測試對象描述1IDC檢測系統(tǒng)網(wǎng)絡架構的合理性表32：IDC網(wǎng)絡設備列表設備名稱型號IP地址核心路由器表43：IDC網(wǎng)管系統(tǒng)主機列表主機名稱型號IP地址系統(tǒng)軟件

10、用途數(shù)據(jù)庫服務器Windows 2003數(shù)據(jù)庫服務器應用服務器Windows 2003應用服務器通訊服務器Windows 2003通訊服務器流量服務器Windows 2003流量服務器業(yè)務/門戶管理服務器Windows 2003業(yè)務/門戶管理服務器表44：IDC網(wǎng)管系統(tǒng)列表系統(tǒng)名稱主要功能IDC綜合運營管理系統(tǒng)3.2 掃描和滲透測試接入點選擇從互聯(lián)網(wǎng)和內網(wǎng)區(qū)域的測試點模擬外部用戶與內部托管用戶進行滲透測試，并從互聯(lián)網(wǎng)、托管用戶區(qū)的測試點進行漏洞掃描。3.3 通信網(wǎng)絡安全管理審核該測試范圍涉及IDC安全管理審核，主要內容包括：安全管理制度、安全管理機構、人員安全管理、安全建設管理、安全運維管理、

11、災難備份、應急預案等相關制度管理文檔。第4章 符合性評測結果本次符合性評分主要依據(jù)網(wǎng)絡單元符合性評測表的符合情況得分，其中每個評測項對應分值，由100分除以符合性評測表中評測項總數(shù)所得。本次對IDC系統(tǒng)符合性檢測項數(shù)為89項，單項分值為(100/89)1.12分。4.1 業(yè)務安全序號檢查內容檢查點評測結果分值實際扣分說明1應按照合同保證IDC用戶業(yè)務的安全；是否按照合同要求保證IDC用戶業(yè)務安全符合1.12 0與用戶簽署相關協(xié)議，合同中對網(wǎng)絡安全及業(yè)務安全進行相關描述和約定。但目前客戶沒有提出過單獨的業(yè)務安全要求4.2 網(wǎng)絡安全序號檢查內容檢查點評測結果分值實際扣分說明5審計記錄應包括事件的日

12、期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。審計記錄是否包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息符合1.12 0IDC內網(wǎng)絡設備syslog審計日志存儲在本機中，日志記錄信息包含事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息4.3 主機安全序號評測內容評測項評測結果分值實際扣分說明1應對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標識和鑒別；是否對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標識和鑒別符合1.120操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)自身實現(xiàn)對用戶的身份標識和鑒別功能4.4 中間件安全序號檢查內容檢查點評測結果分值實際扣分說明1&qu

13、ot;應實現(xiàn)操作系統(tǒng)和中間件用戶的權限分離，中間件應使用獨立用戶；應實現(xiàn)中間件用戶和互聯(lián)網(wǎng)數(shù)據(jù)中心IDC應用程序用戶的權限分離"是否實現(xiàn)操作系統(tǒng)和中間件用戶的權限分離，中間件是否使用獨立用戶不適用N/AN/A網(wǎng)管系統(tǒng)使用CS架構，無中間件4.5 安全域邊界安全序號檢查內容檢查點評測結果分值實際扣分說明6啟用其它設備（主機隔離等）進行安全邊界劃分、隔離的應盡量實現(xiàn)嚴格的訪問控制策略查看配置并技術檢測驗證訪問控制措施符合1.120使用交換機ACL規(guī)則進行訪問控制4.6 集中運維安全管控系統(tǒng)安全序號評測內容評測項評測結果分值實際扣分說明1互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）集中運維安全管控系統(tǒng)應與提供

14、互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）各種服務的互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）基礎設施隔離，應部署在不同網(wǎng)絡區(qū)域，網(wǎng)絡邊界處設備應按不同互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）業(yè)務需求實施訪問控制策略，應只開放管理所必須的服務及端口，避免開放較大的IP地址段及服務；通過技術測試檢驗IDC集中運維安全管控系統(tǒng)與IDC基礎設施的網(wǎng)絡隔離是否符合安全策略符合1.120使用獨立網(wǎng)絡區(qū)域192.168.2.0，在E8080E上進行訪問控制策略，不允許其他網(wǎng)絡對網(wǎng)管區(qū)域進行訪問4.7 災難備份及恢復序號評測內容評測項評測結果分值實際扣分說明2互聯(lián)網(wǎng)數(shù)據(jù)中心IDC網(wǎng)絡災難恢復時間應滿足行業(yè)管理、網(wǎng)絡和業(yè)務運營商應急預案的相關要求?；ヂ?lián)網(wǎng)數(shù)據(jù)中

15、心IDC網(wǎng)絡災難演練恢復時間是否滿足行業(yè)管理和企業(yè)應急預案的相關要求符合1.12 0定期進行各項演練，按客戶重要程度不同在一定時間內恢復，滿足要求4.8 管理安全序號評測內容評測項評測結果分值實際扣分說明1至少覆蓋但不限于安全管理制度、安全管理機構、人員安全管理、安全建設管理、安全運維管理等管理方面；是否包含至少安全管理制度、安全管理機構、人員安全管理、安全建設管理、安全運維管理等內容符合1.12 0制定了相應管理制度，包含安全管理制度、安全管理機構、人員安全管理、安全建設管理、安全運維管理等內容4IDC應有介質存取、驗證和轉儲管理制度，確保備份數(shù)據(jù)授權IDC是否有介質存取、驗證和轉儲管理制度

16、，確保備份數(shù)據(jù)授權符合1.12 0制定了IDC災難備份與恢復管理辦法規(guī)定了相應內容4.9 第三方服務安全序號評測內容評測項評測結果分值實際扣分說明1應確保安全服務商的選擇符合國家的有關規(guī)定；是否將通過中國通信企業(yè)協(xié)會通信網(wǎng)絡安全服務能力評定列為外部安全服務提供商招標條件之一符合1.12 0由 提供風險評估的第三方服務，符合相應要求。第5章 風險評估結果本次章節(jié)評分主要依據(jù)網(wǎng)絡和系統(tǒng)安全防護檢查評分方法，對技術檢測中發(fā)現(xiàn)的安全隱患的數(shù)量、位置、危害程度進行扣分。5.1 存在的安全隱患1. 網(wǎng)管系統(tǒng)監(jiān)控終端192.168 存在的主機弱口令，可直接登錄系統(tǒng)網(wǎng)管系統(tǒng)監(jiān)控終端192.168 存在的主機弱口令PC/000，可直接登錄系統(tǒng)獲取系統(tǒng)權限導致服務器受控，詳見附錄B。危害程度：弱口令所處位置：其他設備扣分：1分建議：提示用戶修改初始口令，口令應具有一定復雜度。第6章 綜合評分6.1 符合性得分本次測試對IDC系統(tǒng)進行符合項檢測，共檢測89項，每項分值為1.12（100/89），其中 項不符合要求，符合性得分為 分。6.2 風險評估本次主要通過系統(tǒng)應用層掃描、手工核查、內外網(wǎng)滲透對IDC系統(tǒng)進行安全風險評估，共發(fā)現(xiàn)2個安全隱患：第一次扣分情況如下：100-5=95分安全隱患利用第二次