网络安全防护检查报告模板

来源：爱go旅游网

编号：

网络安全防护检查报告

测评单位：报告日期：数据中心

第1章系统概况 ......................................................................... 错误!未定义书签。

网络结构 ............................................................................. 错误!未定义书签。管理制度 ............................................................................. 错误!未定义书签。第2章评测方法和工具 ............................................................. 错误!未定义书签。

测试方式 ............................................................................. 错误!未定义书签。测试工具 ............................................................................. 错误!未定义书签。评分方法 ............................................................................. 错误!未定义书签。

符合性评测评分方法 ................................................. 错误!未定义书签。风险评估评分方法 ..................................................... 错误!未定义书签。

第3章测试内容 ......................................................................... 错误!未定义书签。

测试内容概述 ..................................................................... 错误!未定义书签。扫描和渗透测试接入点 ..................................................... 错误!未定义书签。通信网络安全管理审核 ..................................................... 错误!未定义书签。第4章符合性评测结果 ............................................................. 错误!未定义书签。

业务安全 ............................................................................. 错误!未定义书签。网络安全 ............................................................................. 错误!未定义书签。主机安全 ............................................................................. 错误!未定义书签。中间件安全 ......................................................................... 错误!未定义书签。安全域边界安全 ................................................................. 错误!未定义书签。集中运维安全管控系统安全 ............................................. 错误!未定义书签。灾难备份及恢复 ................................................................. 错误!未定义书签。管理安全 ............................................................................. 错误!未定义书签。第三方服务安全 ................................................................. 错误!未定义书签。第5章风险评估结果 ................................................................. 错误!未定义书签。

存在的安全隐患 ................................................................. 错误!未定义书签。

第6章综合评分 ......................................................................... 错误!未定义书签。

符合性得分 ......................................................................... 错误!未定义书签。风险评估 ............................................................................. 错误!未定义书签。综合得分 ............................................................................. 错误!未定义书签。附录A 设备扫描记录 .................................................................. 错误!未定义书签。

所依据的标准和规范有：

《YD/T 2584-2013 互联网数据中心IDC安全防护要求》《YD/T 2585-2013 互联网数据中心IDC安全防护检测要求》《YD/T 2669-2013 第三方安全服务能力评定准则》《网络和系统安全防护检查评分方法》

《2014年度通信网络安全防护符合性评测表－互联网数据中心IDC》还参考标准

YD/T 1754-2008《电信和互联网物理环境安全等级保护要求》 YD/T 1755-2008《电信和互联网物理环境安全等级保护检测要求》 YD/T 1756-2008《电信和互联网管理安全等级保护要求》 GB/T 20274 信息系统安全保障评估框架 GB/T 20984-2007 《信息安全风险评估规范》

第1章系统概况

IDC由负责管理和维护，其中各室配备了数名工程师，负责IDC设备硬、软件维护，数据制作，故障处理、信息安全保障、机房环境动力设备和空调设备维护。

1.1 网络结构

图 1-1：IDC网络拓扑图

1.2 管理制度

1. 组织架构

网络与信息安全工作小组信息安全工作组网络安全工作组具体职能部门图 1-2：IDC信息安全管理机构

2. 岗位权责分工

现有的管理制度、规范及工作表单有：

《IDC机房信息安全管理制度规范》《IDC机房管理办法》

《IDC灾难备份与恢复管理办法》《网络安全防护演练与总结》《集团客户业务故障处理管理程序》《互联网与基础数据网通信保障应急预案》

《IDC网络应急预案》

《关于调整公司跨部门组织机构及有关领导的通知》《网络信息安全考核管理办法》

《通信网络运行维护规程公共分册-数据备份制度》《省分公司转职信息安全人员职责》《通信网络运行维护规程IP网设备篇》《城域网BAS、SR设备配置规范》《IP地址管理办法》

《互联网网络安全应急预案处理细则》

《互联网网络安全应急预案处理预案（2013修订版）》

第2章评测方法和工具

2.1 测试方式

检查

通过对测试对象进行观察、查验、分析等活动，获取证据以证明保护措施是否有效的一种方法。

测试

通过对测试对象按照预定的方法/工具使其产生特定的响应等活动，查看、分析测试对象的响应输出结果，获取证据以证明保护措施是否有效的一种方法。 2.2 测试工具

主要使用到的测试工具有：扫描工具、渗透测试工具、抓包工具、漏洞利用验证工具等。具体描述如下表：

表3-1：测试工具

序号 1 2 3 4 工具名称绿盟漏洞扫描系统科莱网络协议分析工具 Nmap Burp Suite 工具描述脆弱性扫描脆弱性扫描端口扫描 WEB渗透集成工具 2.3 评分方法

分为符合性检测和风险评估两部分工作。网络单元安全防护检测评分＝符合性评测得分×60%＋风险评估得分×40%。其中符合性评测评分和风险评估评分均采用百分制。

2.3.1 符合性评测评分方法

符合性评测评分依据网络单元符合性评测表中所列制度、措施的符合情况计分，其中每个评测项对应分值，由100分除以符合性评测表中评测项总数所得。

2.3.2 风险评估评分方法

网络单元风险评估首先基于技术检测中发现的安全隐患的数量、位置、危害程度进行一次扣分；然后依据发现的安全隐患是否可被技术检测单位利用进行二次扣分。风险评估评分流程具体如下。

1、一次扣分

在技术检测时，每发现一个安全隐患，根据其所处的位置及危害程度扣除相应分值。各类安全隐患的扣分值如表3-2所示。

表3-2 风险评估安全隐患扣分表

安全隐患类型高危漏洞【注2】中危漏洞【注2】弱口令其它安全隐患【注3】重要设备【注1】其它设备 [注1]：重要设备包括内外网隔离设备、内部安全域划分设备、互联网直联设备、网络业务核心设备。

[注2]：中高危漏洞以国内外权威的CVE漏洞库和国家互联网应急中心CNVD漏洞库为基本判断依据；对于高危Web安全隐患，以国际上公认的开放式Web应用程序安全项目（OWASP，Open Web Application Security Project）确定最新的Top 10中所列的WEB安全隐患判断作为判断依据。

[注3]：其它安全隐患指可能导致用户信息泄露、重要设备受控、业务中断、网络中断等重大网络安全事件的隐患。

2、二次扣分

在一次扣分剩余得分的基础上，依据网络单元是否已被攻击入侵或发现的安全隐患是否可被技术检测单位利用，进行二次扣分。具体扣分步骤如下：

如通过技术检测，发现网络单元中存在恶意代码，或已被入侵而企业尚未发现并处置，扣除一次扣分后剩余得分的40%。

如通过技术检测，从网络单元外获取网络单元内设备的管理员权限或获取网络单元内数据库信息，扣除一次扣分后剩余得分的40%。

如通过技术检测，从网络单元内获取设备的管理员权限或获取数据库信息，扣除一次扣分后剩余得分的20%。

最后剩余分数即为风险评估得分。

第3章测试内容

3.1 测试内容概述

分为符合性评测和安全风险评估两部分，符合性评测具体内容为：业务安全、网络安全、主机安全、中间件安全、安全域边界安全、集中运维安全管控系统安全、灾难备份及恢复、管理安全、第三方服务安全状况。

安全风险评估主要通过技术检测发现网络单元内是否存在中高危安全漏洞、弱口令，以及可能导致用户信息泄露、重要设备受控、业务中断、网络中断等重大网络安全事件的隐患，检测是否存在恶意代码或企业尚未知晓的入侵痕迹，检测是否可以获取设备的管理员权限、数据库等。

表4-1：网络架构测试对象

序号测试对象 1 IDC 描述检测系统网络架构的合理性

表3-2：IDC网络设备列表

设备名称核心路由器型号 IP地址

表4-3：IDC网管系统主机列表

主机名称数据库服务器应用服务器通讯服务器流量服务器 Windows 2003 Windows 2003 Windows 2003 应用服务器通讯服务器流量服务器 Windows 2003 数据库服务器型号 IP地址系统软件用途主机名称业务/门户管型号 IP地址系统软件用途理服务器 Windows 2003 业务/门户管理服务器表4-4：IDC网管系统列表

系统名称 IDC综合运营管理系统主要功能

3.2 扫描和渗透测试接入点

选择从互联网和内网区域的测试点模拟外部用户与内部托管用户进行渗透测试，并从互联网、托管用户区的测试点进行漏洞扫描。 3.3 通信网络安全管理审核

该测试范围涉及IDC安全管理审核，主要内容包括：安全管理制度、安全管理机构、人员安全管理、安全建设管理、安全运维管理、灾难备份、应急预案等相关制度管理文档。

第4章符合性评测结果

本次符合性评分主要依据网络单元符合性评测表的符合情况得分，其中每个评测项对应分值，由100分除以符合性评测表中评测项总数所得。本次对IDC系统符合性检测项数为89项，单项分值为(100/89)分。 4.1 业务安全

序检查内容号检查点结果评测分值扣分与用户签署相关协议，合同中对网络安全及业务安是否按照合同要应按照合同保证IDC1 用户业务的安全；业务安全户没有提出过单独的业务安全要求求保证IDC用户符合 0 和约定。但目前客全进行相关描述实际说明

4.2 网络安全

序检查内容号检查点结果评测分值扣分 IDC内网络设备审计记录是否包审计记录应包括事括事件的日期和件的日期和时间、用时间、用户、事5 户、事件类型、事件件类型、事件是是否成功及其他与否成功及其他与审计相关的信息。审计相关的信息事件是否成功及用户、事件类型、件的日期和时间、符合 0 记录信息包含事储在本机中，日志syslog审计日志存实际说明序检查内容号检查点评测分值结果实际说明扣分其他与审计相关的信息

4.3 主机安全

序评测内容号应对登录操作系统和数据库系统的用1 户进行身份标识和鉴别；统的用户进行身份标识和鉴别是否对登录操作系统和数据库系符合 0 对用户的身份标识和鉴别功能评测项结果评测分值扣分操作系统和数据库系统自身实现实际说明

4.4 中间件安全

序检查内容号 \"应实现操作系统和中间件用户的权限是否实现操作系分离，中间件应使用统和中间件用户独立用户；应实现中1 间件用户和互联网间件是否使用独数据中心IDC应用立用户程序用户的权限分离\"

评测检查点结果分值实际说明扣分网管系统使用CS的权限分离，中不适用 N/A N/A 架构，无中间件 4.5 安全域边界安全

序检查内容号启用其它设备（主机隔离等）进行安6 全边界划分、隔离的应尽量实现严格的访问控制策略

评测检查点结果分值实际说明扣分查看配置并技术检测验证访问控制措施符合 0 使用交换机ACL规则进行访问控制 4.6 集中运维安全管控系统安全

序评测内容号互联网数据中心（IDC）集中运维安全管控系统应与提供互联网数据中心（IDC）各种服务的通过技术测试检互联网数据中心验IDC集中运维（IDC）基础设施隔安全管控系统与1 离，应部署在不同IDC基础设施的网网络区域，网络边络隔离是否符合界处设备应按不同安全策略互联网数据中心（IDC）业务需求实施访问控制策略，应只开放管理所必须的服务及端口，行访问络对网管区域进符合 0 略，不允许其他网进行访问控制策域，在E8080E上使用独立网络区评测项结果评测分值扣分实际说明序评测内容号避免开放较大的IP地址段及服务；评测项评测分值结果实际说明扣分

4.7 灾难备份及恢复

序评测内容号互联网数据中心IDC网络灾难恢复时间应满足行业管2 理、网络和业务运营商应急预案的相关要求。足行业管理和企时间内恢复，满业应急预案的相足要求关要求互联网数据中心I定期进行各项演DC网络灾难演练练，按客户重要恢复时间是否满符合 0 程度不同在一定评测项结果评测分值扣分实际说明

4.8 管理安全

序评测内容号评测项结果评测分值扣分制定了相应管理至少覆盖但不限于安全管理制度、安全管理机构、人员1 安全管理、安全建设管理、安全运维管理等管理方面；全管理、安全建设安全管理、安全管理、安全运维管建设管理、安全理等内容运维管理等内容 IDC应有介质存取、IDC是否有介质存4 验证和转储管理制取、验证和转储管符合 0 难备份与恢复管制定了《IDC灾是否包含至少安制度，包含安全全管理制度、安全管理制度、安全管理机构、人员安符合 0 管理机构、人员实际说明序评测内容号度，确保备份数据授权理制度，确保备份数据授权评测项评测分值结果实际说明扣分理办法》规定了相应内容

4.9 第三方服务安全

序评测内容号是否将通过中国通信企业协会通应确保安全服务商信网络安全服务1 的选择符合国家的能力评定列为外有关规定；部安全服务提供商招标条件之一

评测评测项结果分值实际说明扣分由提供风险评估的第三方服符合 0 务，符合相应要求。第5章风险评估结果

本次章节评分主要依据《网络和系统安全防护检查评分方法》，对技术检测中发现的安全隐患的数量、位置、危害程度进行扣分。 5.1 存在的安全隐患

1. 网管系统监控终端存在的主机弱口令，可直接登录系统

网管系统监控终端存在的主机弱口令PC/000，可直接登录系统获取系统权限导致服务器受控，详见附录B。

危害程度：弱口令所处位置：其他设备扣分：1分

建议：提示用户修改初始口令，口令应具有一定复杂度。

第6章综合评分

6.1 符合性得分

本次测试对IDC系统进行符合项检测，共检测89项，每项分值为（100/89），其中项不符合要求，符合性得分为分。 6.2 风险评估

本次主要通过系统\\应用层扫描、手工核查、内外网渗透对IDC系统进行安全风险评估，共发现2个安全隐患：

第一次扣分情况如下： 100-5=95分

安全隐患利用第二次扣分：

通过技术检测，从网络单元内获取服务器的管理员权限，导致服务器受控，扣除一次扣分后剩余得分的20%。 6.3 综合得分

对IDC系统的68项符合性评测和存在的安全隐患进行评估，IDC系统网络单元安全防护检测评分为：

附录A 设备扫描记录

表A-1信息汇总表

漏洞风配置风总风险IP地址操作系统险值险值无无无值 2 2 2 非常安全非常安全非常安全危险程度

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文