网络安全防护检查报告模板

1、网络安全防护检查报告模板编号：网络平安防护检查报告数据中心测评单位：报告日期：名目第1章系统概况 . 错误!未定义书签。网络构造 . 错误!未定义书签。管理制度 . 错误!未定义书签。第2章评测方法和工具 . 错误!未定义书签。测试方式 . 错误!未定义书签。测试工具 . 错误!未定义书签。评分方法 . 错误!未定义书签。符合性评测评分方法 . 错误!未定义书签。风险评估评分方法 . 错误!未定义书签。第3章测试内容 . 错误!未定义书签。测试内容概述 . 错误!未定义书签。扫描和浸透测试接入点 . 错误!未定义书签。通信网络平安管理审核 . 错误!未定义书签。第4章符合性评测结果 . 错误!

2、未定义书签。业务平安 . 错误!未定义书签。网络平安 . 错误!未定义书签。主机平安 . 错误!未定义书签。中间件平安 . 错误!未定义书签。平安域边界平安 . 错误!未定义书签。集中运维平安管控系统平安 . 错误!未定义书签。灾难备份及复原 . 错误!未定义书签。管理平安 . 错误!未定义书签。第三方效劳平安 . 错误!未定义书签。第5章风险评估结果 . 错误!未定义书签。存在的平安隐患 . 错误!未定义书签。第6章综合评分 . 错误!未定义书签。符合性得分 . 错误!未定义书签。风险评估 . 错误!未定义书签。综合得分 . 错误!未定义书签。附录a 设备扫描记录 . 错误!未定义书签。所根

3、据的标准和标准有：yd/t 2584-2013 互联网数据中心idc平安防护要求yd/t 2585-2013 互联网数据中心idc平安防护检测要求yd/t 2669-2013 第三方平安效劳力量评定准那么网络和系统平安防护检查评分方法2014年度通信网络平安防护符合性评测表互联网数据中心idc还参考标准yd/t 1754-2008电信和互联网物理环境平安等级爱护要求yd/t 1755-2008电信和互联网物理环境平安等级爱护检测要求yd/t 1756-2008电信和互联网管理平安等级爱护要求gb/t 20274 信息系统平安保障评估框架gb/t 20984-2007 信息平安风险评估标准第1章

4、系统概况idc由负责管理和维护，其中各室装备了数名工程师，负责idc设备硬、软件维护，数据制作，故障处理、信息平安保障、机房环境动力设备和空调设备维护。1.1 网络构造图1-1：idc网络拓扑图1.2 管理制度1.组织架构网络与信息平安工作小组信息平安工作组网络平安工作组详细职能部门图1-2：idc信息平安管理机构2.岗位权责分工现有的管理制度、标准及工作表单有：idc机房信息平安管理制度标准idc机房管理方法idc灾难备份与复原管理方法网络平安防护演练与总结集团客户业务故障处理管理程序互联网与根底数据网通信保障应急预案idc网络应急预案关于调整公司跨部门组织机构及有关领导的通知网络信息平安考

5、核管理方法通信网络运行维护规程公共分册-数据备份制度省分公司转职信息平安人员职责通信网络运行维护规程ip网设备篇城域网bas、sr设备配置标准ip地址管理方法互联网网络平安应急预案处理细那么互联网网络平安应急预案处理预案2013修订版第2章评测方法和工具2.1 测试方式检查通过对测试对象进展观看、查验、分析等活动，猎取证据以证明爱护措施是否有效的一种方法。测试通过对测试对象根据预定的方法/工具使其产生特定的响应等活动，查看、分析测试对象的响应输出结果，猎取证据以证明爱护措施是否有效的一种方法。2.2 测试工具主要用法到的测试工具有：扫描工具、浸透测试工具、抓包工具、破绽利用验证工具等。详细描绘

6、如下表：表3-1：测试工具序号工具名称工具描绘1绿盟破绽扫描系统脆弱性扫描2科莱网络协议分析工具脆弱性扫描3nmap端口扫描4burp suite web浸透集成工具2.3 评分方法分为符合性检测和风险评估两局部工作。网络单元平安防护检测评分符合性评测得分×60%风险评估得分×40%。其中符合性评测评分和风险评估评分均采纳百分制。2.3.1 符合性评测评分方法符合性评测评分根据网络单元符合性评测表中所列制度、措施的符合状况计分，其中每个评测项对应分值，由100分除以符合性评测表中评测项总数所得。2.3.2 风险评估评分方法网络单元风险评估首先基于技术检测中发觉的平安隐患的数

7、量、位置、危害程度进展一次扣分；然后根据发觉的平安隐患是否可被技术检测单位利用进展二次扣分。风险评估评分流程详细如下。1、一次扣分在技术检测时，每发觉一个平安隐患，依据其所处的位置及危害程度扣除相应分值。各类平安隐患的扣分值如表3-2所示。表3-2 风险评估平安隐患扣分表注1：重要设备包括内外网隔离设备、内部平安域划分设备、互联网直联设备、网络业务核心设备。注2：中高危破绽以国内外权威的cve破绽库和国家互联网应急中心cnvd 破绽库为根本推断根据；对于高危web平安隐患，以国际上公认的开放式web 应用程序平安工程owasp，open web application security pro

8、ject确定最新的top 10中所列的web平安隐患推断作为推断根据。注3：其它平安隐患指可能导致用户信息泄露、重要设备受控、业务中断、网络中断等重大网络平安大事的隐患。2、二次扣分在一次扣分剩余得分的根底上，根据网络单元是否已被攻击入侵或发觉的平安隐患是否可被技术检测单位利用，进展二次扣分。详细扣分步骤如下：如通过技术检测，发觉网络单元中存在恶意代码，或已被入侵而企业尚未发觉并处置，扣除一次扣分后剩余得分的40%。如通过技术检测，从网络单元外猎取网络单元内设备的管理员权限或猎取网络单元内数据库信息，扣除一次扣分后剩余得分的40%。如通过技术检测，从网络单元内猎取设备的管理员权限或猎取数据库信

9、息，扣除一次扣分后剩余得分的20%。最终剩余分数即为风险评估得分。第3章测试内容3.1 测试内容概述分为符合性评测和平安风险评估两局部，符合性评测详细内容为：业务平安、网络平安、主机平安、中间件平安、平安域边界平安、集中运维平安管控系统平安、灾难备份及复原、管理平安、第三方效劳平安情况。平安风险评估主要通过技术检测发觉网络单元内是否存在中高危平安破绽、弱口令，以及可能导致用户信息泄露、重要设备受控、业务中断、网络中断等重大网络平安大事的隐患，检测是否存在恶意代码或企业尚未知晓的入侵痕迹，检测是否可以猎取设备的管理员权限、数据库等。表4-1：网络架构测试对象表3-2：idc网络设备列表表4-3：

10、idc网管系统主机列表表4-4：idc网管系统列表3.2 扫描和浸透测试接入点选择从互联网和内网区域的测试点模拟外部用户与内部托管用户进展浸透测试，并从互联网、托管用户区的测试点进展破绽扫描。3.3 通信网络平安管理审核该测试范围涉及idc平安管理审核，主要内容包括：平安管理制度、平安管理机构、人员平安管理、平安建立管理、平安运维管理、灾难备份、应急预案等相关制度管理文档。第4章符合性评测结果本次符合性评分主要根据网络单元符合性评测表的符合状况得分，其中每个评测项对应分值，由100分除以符合性评测表中评测项总数所得。本次对idc系统符合性检测项数为89项，单项分值为(100/89)分。4.1

11、业务平安4.2 网络平安4.3 主机平安4.4 中间件平安4.5 平安域边界平安4.6 集中运维平安管控系统平安4.7 灾难备份及复原4.8 管理平安4.9 第三方效劳平安第5章风险评估结果本次章节评分主要根据网络和系统平安防护检查评分方法，对技术检测中发觉的平安隐患的数量、位置、危害程度进展扣分。5.1 存在的平安隐患1.网管系统监控终端存在的主机弱口令，可挺直登录系统网管系统监控终端存在的主机弱口令pc/000，可挺直登录系统猎取系统权限导致效劳器受控，详见附录b。危害程度：弱口令所处位置：其他设备扣分：1分建议：提示用户修改初始口令，口令应具有肯定冗杂度。第6章综合评分6.1 符合性得分本次测试对idc系统进展符合项检测，共检测89项，每项分值为100/89，其中项不符合要求，符合性得分为分。6.2 风险评估本次主要通过系统应用层扫描、手工核查、内外网浸透对