网络安全防护检查报告

1、网络安全防护检查报告数据中心测试单位:报告日期:目录第1章系统概况 5.1.1 网络结构5.1.2 管理制度5.第2章：评测方法和工具 7.2.1 测试方式7.2.2 测试工具7.2.3 评分方法7.2.3.1 符合性评测评分方法 8.2.3.2 风险评估评分方法 8.第3章测试内容113.1 测试内容概述113.2 扫描和渗透测试接入点 123.3 通信网络安全管理审核 12第四章 符合性评测结果 144.1 业务安全144.2 网络安全144.3 主机安全154.4 中间件安全154.5 安全域边界安全164.6 集中运维安全管系统安全 174.7 灾难备份及恢复174.8 管理安全184

2、.9 第三方服务安全 19第5章风险评估结果 195.1 存在的安全隐患20第6章综合评分205.2 符合性得分 205.3 风险评估205.4 综合得分21所依据的标准和规范有：?YD/T 2584-2013互联网数据中心IDC安全防护要求?«YD/T 2585-2013互联网数据中心IDC安全防护检测要求?«YD/T 2669-2013第三方安全服务能力评定准则?网络和系统安全防护检查评分方法? ?2Q14年度通信网络安全防护符合性评测表-互联网数据中心IDC还参考标准? YD/T 1754-2QQ8 电信和互联网物理环境安全等级保护要求? YD/T 1755-2QQ8

3、 电信和互联网物理环境安全等级保护检测要求? YD/T 1756-2QQ8«电信和互联网管理安全等级保护要求? GB/T 20274信息系统安全保障评估框架? GB/T 20984-2007信息安全风险评估规范第1章系统概况IDC由负责管理和维护，其中各室配备了数名工程师，负责 IDC设备硬、软件维护，数据制作，故障处理、信息安全保障、机房环境动力设备和空调维护。1.1 网络结构图1-1 ：拓扑图1.2 管理制度1 .组织架构I网貉与信息安全工作小组J L、信息安全工作用网络安主工作生具体耿熊部门图1-2: IDC信息安全管理机构2 .岗位权责分工现有的管理制度、规范及工作表单有:I

4、DC机房信息安全管理制度规范IDC机房管理办法IDC灾难备份与恢复管理办法网络安全防护演练与总结集团客户业务故障处理管理程序互联网与基础数据网通信保障应急预案IDC网络应急预案关于调整公司跨部门组织机构及有关领导的通知网络信息安全考核管理办法通信网络运行维护规程公共分册-数据备份制度省分公司转职信息安全人员职责通信网络运行维护规程IP网设备篇城域网BAS、SR设备配置规范IP地址管理办法互联网网络安全应急预案处理细则互联网网络安全应急预案处理预案（2013修订版）第2章：评测方法和工具2.1 测试方式检查通过对测试对象进行观察、查验、分析等活动，获取证据以证明保护措施是否有效的一种方法。测试通

5、过对测试对象按照预定的方法/工具使其产生特定的响应等活动，查看、分析测试对象的响 应输出结果，获取证据以证明保护措施是否有效的一种方法。2.2 测试工具主要使用到的测试工具有：扫描工具、渗透测试工具、抓包工具、漏洞利用验证工具等。具体 描述如下表：表3-1 :测试工具在舁 厅P工具名称工具描述1绿盟漏洞扫描系统脆弱性扫描2科莱网络协议分析工具脆弱性扫描3Nmap端口扫描4Burp SuiteWEB渗透集成工具2.3 评分方法分为符合性检测和风险评估两部分工作。网络单元安全防护检测评分=符合性评测得分X60%+风险评估得分X 40% 。其中符合性评测评分和风险评估评分均采用百分制2.3.1 符合

6、性评测评分方法符合性评测评分依据网络单元符合性评测表中所列制虔、措施的符合情况计分，其中每个评测项对应分值，由100分除以符合性评测表中评测项总数所得。2.3.2 风险评估评分方法网络单元风险评估首先基于技术检测中发现的安全隐患的数量、 位置、危害程度进行一次扣 分；然后依据发现的安全隐患是否可被技术检测单位利用进行二次扣分， 风险评估评分流程具 体如下：1、一次扣分在技术检测时，每发现一个安全隐患，根据其所处的位置及危害程度扣除相应分值。各类安全 隐患的扣分值如表3-2所示。表3-2风险评估安全隐患扣分表安全隐患类型重要设备其他设备高危漏洞无无中危漏洞无无若口令无无其他安全隐患无无注1:重要

7、设备包括内外网隔离设备、内部安全域划分设备、互联网直联设备、网络业务 核心设备。注2:中高危漏洞以国内外权威的 CVE漏洞库和国家互联网应急中心 CNVD漏洞库为基 本判断依据；对于高危 Web安全隐患，以国际上公认的开放式 Web应用程序安全项目(OWASP , Open Web Application Security Project确定最新的 Top 10 中所列的 WEB 安全隐患判断作为判断依据。注3:其它安全隐患指可能导致用户信息泄露、重要设备受控、业务中断、网络中断等重 大网络安全事件的隐患。2、二次扣分在一次扣分剩余得分的基础上，依据网络单元是否已被攻击入侵或发现的安全隐患是否

8、可被技术检测单位利用，进行二次扣分。具体扣分步骤如下：如通过技术检测，发现网络单元中存在恶意代码，或已被入侵而企业尚未发现并处置， 扣除一次扣分后剩余得分的40%。如通过技术检测，从网络单元外获取网络单元内设备的管理员权限或获取网络单元内数据库信息，扣除一次扣分后剩余得分的 40% o如通过技术检测，从网络单元内获取设备的管理员权限或获职数据库信息，扣除一次扣分后剩余得分的20% 0最后剩余分数即为风险评估得分第3章测试内容3.1 测试内容概述分为符合性评测和安全风险评估两部分，符合性评测具体内容为：业务安全、网络安全、主机安全、中间件安全、安全域边界安全、集中运维安全管控系统安全、灾难备份及

9、恢复、管 理安全、第三方服务安全状况。安全风险评估主要通过技术检测发现网络单元内是否存在中高危安全漏洞、弱口令，以及可能导致用户信息泄露、重要设备受控、业务中断、网络中断等重大网络安全事件的隐患，检 测是否存在恶意代码或企业尚未知晓的入侵痕迹，检测是否可以获取设备的管理员权限、数据 库等。表4.1 :网络架构测试对象序号测试对象描述1IDC检测系统网络架构的合理性表4-2 : IDC网络设备列表设备名称型号IP地址核心路由器表4-3 : IDC网管系统主机列表主机名称型号1P地址系统软件用途数据库服务Windows数据库服务器器2003应用服务器Windows2003应用服务器通讯服务器Win

10、dows2003通讯服务器流里服务器Windows2003流量服务器业务/门户管理服务器Windows2003业务/门户管理服务器表4-4 : IDC网管系统列表系统名称主要功能IDC综合运营管理系统3.2 扫描和渗透测试接入点选择从互联网和内网区域的测试点模拟外部用户与内部托管用户进行渗透测试，并从互联网、托管用户区的测试点进行漏洞扫描。3.3 通信网络安全管理审核该测试范围内涉及IDC安全管理审核，主要包括：安全管理制度，安全管理机构，人员 安全管理，安全建设管理，安全运维管理，灾难备份，应急预案等相关制度管理文档。第四章符合性评测结果本次符合性评分主要依据网络单元符合性评测表的符合情况得

11、分，其中每个评测项对应分值,由100分除以符合性评测表中评测项总数所得。本次对 IDC系统符合性检测项数为89项， 单项分值为（100/89）1.12 分。4.1业务安全序号检查内容检查点评测结果分值实际扣分说明1应按照合同保证IDC用户业务的安全是否按照合同要求保证IDC用户业务安全符合1.120与用户签署相关协设，台同中对网络安全及业务安全进行相关描述和约定。但目前客户没有提出过单独的业务安全要求4.2网络安全序号检查内容检查点评测结果分值实际扣分说明1审计记录应包审计记录是否符合1.10IDC内网络设备syslog审括事件的日期包括事件的日2计日志存储在本机中，日和时间、用期和时间、用志

12、记录信息包含事件的日户、事件类型、事件是否成功及其他与审 计相关的信 息。户、事件类型、事件是否成功及其他与审计相关的信息期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息4.3 主机安全序号评测内容评测项评测结果分值实际扣分说明1应对登录操作是否对登录操符合1.120操作系统和数据库系统自系统和数据库作系统和数据身实现对用户的身份标识系统的用户进库系统的用户和鉴别功能行身份标识和进行身份标识鉴别和鉴别4.4 中间件安全在舁 厅P检查内容检查点评测结果分值实际扣分说明1应实现操作系统和是否实现操不适应N/AN/A网管系统使用CS架中间用户的权限分作系统和中构，无中间件离，中间件应使用

13、问件用户的独立用户；应实现权限分离，中间件用户和互联中间件是否网数据中心的IDC使用独立用应用程序用户的权户限分离4.5 安全域边界安全序号检查内容检查点评测结果分值实际扣分说明1启用其他设备查看配置并技符合1.120使用交换机ACL规则进行（主机隔离术检测验证访访问控制等）进行安全问控制措施边界划分、隔离的应尽量实现严格的访问控制策略4.6 集中运维安全管系统安全序评测内容评评分实际说号测测值扣分明项结果1互联网数据中心（IDC）集中运维安全管控系统应与提供互合管联网数据中心基础设施隔离，应部署在不同网络区域，网安区路边界处应按不同互联网数据中心业务需求实施访问拴制全域策略，应只开放管理所必

14、须的服务及端口，避免开放较大进的IP地段及服务略项访问4.7 灾难备份及恢复序评测内容评测项评分值实说明号测际结扣果分1互联网数据中心（IDC）互联网数据中心（IDC）符1.120定期进行各项演网络灾难恢复时间应满足网络灾难演练恢复时间合练，按客户重要行业管理，网络和业务运宫商应急顶不的相关要求是否满足行业管理和企业应急预案的相关要求程度不同在一定时间内恢复，满足要求4.8 管理安全序评测内容评测项评分实说明号测值际结扣果分1至少覆盖但不限于安全管是否包含至少安全管理制定了相应管理制度，包含理制度、安全管理机构、制度、安全管理机构、符安全管理制度、安全管理机人员安全管理、安全建设人员安全管理、

15、安全建合1.120构、人员安全管理、安全建管理、安全运维管理等管设管理、安全运维管理设管理、安全运维管理等内理方面；等内容容序号评测内容评测项评测结果分值实际扣分说明4IDC应后介质存取、验证和转储管理制度，确报备份数据授权IDC是否有介质存取、验证和转储管理制度，确报备份数据授权符合1.120制定了IDC灾难备份与恢复管理办法规定了相应内容4.9 第三方服务安全序评测内容评测项评分值实说明号测际结扣果分1应确保安全服是否将通过中国通信企业协会通符1.120由提供风险评估务上的选择符信网络安全服务能力评定列为外合的第二方服务，符合国家的肩关部安全服务提供商招标商条件之合响应要求第5章风险评估结

16、果本次章节评分主要依据网络和系统安全防护检查评分方法，对技术检测中发现的安全隐 患的数量、位置、危害程度进行扣分。5.1 存在的安全隐患1 .网管系统监控终端192.168存在的主机弱口令，可直接登录系统网管系统监控终端192.168存在的主机弱口令PC/000,可直接登录系统获取系统权限导致服务器受控，详见附录Bo危害程度：弱口令所处位置：其他设备扣分：1分建议：提示用户修改初始口令，口令应具有一定复杂度。第6章综合评分6.1 符合性得分本次测试对IDC系统进行符合项检测，共检测 89项，每项分值为1.12 (100/89，其中项 不符合要求，符合性得分为分。6.2 风险评估本次主要通过系统应用层扫描、手工核查、内外网渗透对IDC系统进行安全风险评估，共发现2个安全隐患：第一次扣分情况如下：100-5=9