网络安全防护检查报告模板

1、编号:网络安全防护检查报告数据中心测评单位:报告日期:目录第 1 章 系统概况 错误 ! 未指定书签。1.1 网络结构 错误 !未指定书签。1.2 管理制度 错误 !未指定书签。 第 2 章 评测方法和工具 错误 ! 未指定书签。2.1 测试方式 错误 !未指定书签。2.2 测试工具 错误 !未指定书签。2.3 评分方法 错误 !未指定书签。2.3.1 符合性评测评分方法 错误 !未指定书签2.3.2 风险评估评分方法 错误 !未指定书签。 第 3 章 测试内容 错误 ! 未指定书签。3.1 测试内容概述 错误 !未指定书签。3.2 扫描和渗透测试接入点 错误 !未指定书签。3.3 通信网络安

2、全管理审核 错误 !未指定书签。 第 4 章 符合性评测结果 错误 ! 未指定书签。4.1 业务安全 错误 !未指定书签。4.2 网络安全 错误 !未指定书签。4.3 主机安全 错误 !未指定书签。4.4 中间件安全 错误 ! 未指定书签。4.5 安全域边界安全 错误 !未指定书签。4.6 集中运维安全管控系统安全 错误 !未指定书签4.7 灾难备份及恢复 错误 !未指定书签。4.8 管理安全 错误!未指定书签。4.9 第三方服务安全 错误 !未指定书签。 第 5 章 风险评估结果 错误 !未指定书签。5.1 存在的安全隐患 错误 !未指定书签。 第 6 章 综合评分 错误 ! 未指定书签。6

3、.1 符合性得分 错误 ! 未指定书签。6.2 风险评估 错误 !未指定书签。6.3 综合得分 错误 !未指定书签。 附录 A 设备扫描记录 错误 !未指定书签。所依据的标准和规范有：? 2584-2013 互联网数据中心安全防护要求? 2585-2013 互联网数据中心安全防护检测要求? 2669-2013 第三方安全服务能力评定准则? 网络和系统安全防护检查评分方法? 2014 年度通信网络安全防护符合性评测表互联网数据中心 还参考标准? 1754-2008电信和互联网物理环境安全等级保护要求? 1755-2008电信和互联网物理环境安全等级保护检测要求? 1756-2008电信和互联网管

4、理安全等级保护要求? 20274 信息系统安全保障评估框架? 20984-2007 信息安全风险评估规范第1章系统概况由负责管理和维护，其中各室配备了数名工程师，负责设备硬、软件维护, 数据制作，故障处理、信息安全保障、机房环境动力设备和空调设备维护。1.1网络结构图 错误!未指定样式名。错误！未指定顺序。：网络拓扑图1.2管理制度1.组织架构网络与信息安全工作小组信息安全工作组网络安全工作组具体职能部门图 错误!未指定样式名。错误！未指定顺序。：信息安全管理机构2.岗位权责分工现有的管理制度、规范及工作表单有：机房信息安全管理制度规范机房管理办法灾难备份与恢复管理办法网络安全防护演练与总结集

5、团客户业务故障处理管理程序互联网与基础数据网通信保障应急预案网络应急预案关于调整公司跨部门组织机构及有关领导的通知网络信息安全考核管理办法通信网络运行维护规程公共分册-数据备份制度省分公司转职信息安全人员职责2013修订版）通信网络运行维护规程网设备篇 城域网、设备配置规范 地址管理办法 互联网网络安全应急预案处理细则 互联网网络安全应急预案处理预案（第2章评测方法和工具2.1测试方式检查通过对测试对象进行观察、查验、分析等活动，获取证据以证明保护措施是 否有效的一种方法。测试通过对测试对象按照预定的方法/工具使其产生特定的响应等活动，查看、 分析测试对象的响应输出结果，获取证据以证明保护措施

6、是否有效的一种方法。 2.2测试工具主要使用到的测试工具有：扫描工具、渗透测试工具、抓包工具、漏洞利用 验证工具等。具体描述如下表：表3错误!未指定顺序。：测试工具序号工具名称工具描述1绿盟漏洞扫描系统脆弱性扫描2科莱网络协议分析工具脆弱性扫描3端口扫描4渗透集成工具2.3评分方法分为符合性检测和风险评估两部分工作。 网络单元安全防护检测评分二符合 性评测得分X 60% +风险评估得分X 40%。其中符合性评测评分和风险评估评分 均采用百分制。2.3.1符合性评测评分方法符合性评测评分依据网络单元符合性评测表中所列制度、措施的符合情况计 分，其中每个评测项对应分值，由100分除以符合性评测表中

7、评测项总数所得。 2.3.2风险评估评分方法网络单元风险评估首先基于技术检测中发现的安全隐患的数量、位置、危害程度进行一次扣分；然后依据发现的安全隐患是否可被技术检测单位利用进行二 次扣分。风险评估评分流程具体如下。1、一次扣分在技术检测时，每发现一个安全隐患，根据其所处的位置及危害程度扣除相 应分值。各类安全隐患的扣分值如表 3-2所示。表3-2风险评估安全隐患扣分表安全隐患类型重要设备【注11其它设备高危漏洞【注2】中危漏洞【注21弱口令其它安全隐患【注31注1:重要设备包括内外网隔离设备、内部安全域划分设备、互联网直联设备、网络业务核心设备。注2:中高危漏洞以国内外权威的漏洞库和国家互联

8、网应急中心漏洞库为 基本判断依据；对于高危安全隐患，以国际上公认的开放式应用程序安全项目（，）确定最新的10中所列的安全隐患判断作为判断依据。注3:其它安全隐患指可能导致用户信息泄露、重要设备受控、业务中断、 网络中断等重大网络安全事件的隐患。2、二次扣分在一次扣分剩余得分的基础上，依据网络单元是否已被攻击入侵或发现的安 全隐患是否可被技术检测单位利用，进行二次扣分。具体扣分步骤如下：如通过技术检测，发现网络单元中存在恶意代码，或已被入侵而企业尚未发 现并处置，扣除一次扣分后剩余得分的 40%。如通过技术检测，从网络单元外获取网络单元内设备的管理员权限或获取网 络单元内数据库信息，扣除一次扣分

9、后剩余得分的40%。如通过技术检测，从网络单元内获取设备的管理员权限或获取数据库信息， 扣除一次扣分后剩余得分的20%。最后剩余分数即为风险评估得分。第3章测试内容3.1测试内容概述分为符合性评测和安全风险评估两部分，符合性评测具体内容为：业务安全、 网络安全、主机安全、中间件安全、安全域边界安全、集中运维安全管控系统安 全、灾难备份及恢复、管理安全、第三方服务安全状况。安全风险评估主要通过技术检测发现网络单元内是否存在中高危安全漏洞、 弱口令，以及可能导致用户信息泄露、重要设备受控、业务中断、网络中断等重 大网络安全事件的隐患，检测是否存在恶意代码或企业尚未知晓的入侵痕迹，检 测是否可以获取

10、设备的管理员权限、数据库等。表4错误!未指定顺序。：网络架构测试对象序号测试对象描述1检测系统网络架构的合理性表错误!未指定样式名。错误！未指定顺序。：网络设备列表设备名称型号地址核心路由器表43:网管系统主机列表主机名称型号地址系统软件用途数据库服务器2003数据库服务器应用服务器2003应用服务器通讯服务器2003通讯服务器流量服务器2003流量服务器业务/门户管理服务器2003业务/门户管理服务器表44:网管系统列表系统名称主要功能综合运营管理系统3.2扫描和渗透测试接入点选择从互联网和内网区域的测试点模拟外部用户与内部托管用户进行渗透 测试，并从互联网、托管用户区的测试点进行漏洞扫描。

11、3.3通信网络安全管理审核该测试范围涉及安全管理审核，主要内容包括：安全管理制度、安全管理机 构、人员安全管理、安全建设管理、安全运维管理、灾难备份、应急预案等相关 制度管理文档。第4章符合性评测结果本次符合性评分主要依据网络单元符合性评测表的符合情况得分， 其中每个 评测项对应分值，由100分除以符合性评测表中评测项总数所得。 本次对系统符 合性检测项数为89项，单项分值为（100/89）1.12分。4.1业务安全序号检查内容检查点评测结果分值实际扣分说明1应按照合同保证用 户业务的安全；是否按照合同要求保证用户业务安全符合1.120与用户签署相关 协议，合同中对网 络安全及业务安 全进行相

12、关描述 和约定。但目前客 户没有提出过单 独的业务安全要 求4.2网络安全序号检查内容检查点评测结果分值实际扣分说明5审计记录应包括事 件的日期和时间、用 户、事件类型、事件 是否成功及其他与 审计相关的信息。审计记录是否包 括事件的日期和 时间、用户、事 件类型、事件是 否成功及其他与 审计相关的信息符合1.120内网络设备审计 日志存储在本机 中，日志记录信息 包含事件的日期 和时间、用户、事 件类型、事件是否 成功及其他与审 计相关的信息4.3主机安全序号评测内容评测项评测结果分值实际扣分说明1应对登录操作系统和数据库系统的用户进行身份标识和是否对登录操作 系统和数据库系 统的用户进行身

13、符合1.120操作系统和数据库系统自身实现对用户的身份标序号评测内容评测项评测结果分值实际扣分说明鉴别；份标识和鉴别识和鉴别功能4.4中间件安全序号检查内容检查点评测结果分值实际扣分说明1"应实现操作系统和 中间件用户的权限 分离，中间件应使用 独立用户；应实现中 间件用户和互联网 数据中心应用程序 用户的权限分离”是否实现操作系 统和中间件用户 的权限分离，中 间件是否使用独 立用户不适用网管系统使用架 构，无中间件4.5安全域边界安全序号检查内容检查点评测结果分值实际扣分说明6启用其它设备（主 机隔离等）进行安 全边界划分、隔离 的应尽量实现严格 的访问控制策略查看配置并技术检测

14、验证访问控制措施符合1.120使用交换机规则进行访问控制4.6集中运维安全管控系统安全序号评测内容评测项评测结果分值实际扣分说明1互联网数据中心（） 集中运维安全管控 系统应与提供互联 网数据中心（）各 种服务的互联网数 据中心（）基础设 施隔离，应部署在通过技术测试检 验集中运维安全 管控系统与基础 设施的网络隔离 是否符合安全策 略符合1.120使用独立网络区 域 192.168 20，在E8080E上进行访问控制策略，不允 许其他网络对网 管区域进行访问序号评测内容评测项评测结果分值实际扣分说明不同网络区域，网 络边界处设备应按 不同互联网数据中 心（）业务需求实 施访问控制策略， 应只

15、开放管理所必 须的服务及端口， 避免开放较大的地 址段及服务；4.7灾难备份及恢复序号评测内容评测项评测结果分值实际扣分说明2互联网数据中心网 络灾难恢复时间应 满足行业管理、网 络和业务运营商应 急预案的相关要 求。互联网数据中心 网络灾难演练恢 复时间是否满足 行业管理和企业 应急预案的相关 要求符合1.120定期进行各项演 练，按客户重要 程度不同在一定 时间内恢复，满 足要求4.8管理安全序号评测内容评测项评测结果分值实际扣分说明1至少覆盖但不限于 安全管理制度、安 全管理机构、人员 安全管理、安全建 设管理、安全运维 管理等管理方面；是否包含至少安 全管理制度、安全 管理机构、人员安

16、 全管理、安全建设 管理、安全运维管 理等内容符合1.120制定了相应管理 制度，包含安全 管理制度、安全 管理机构、人员 安全管理、安全 建设管理、安全 运维管理等内容4应有介质存取、验 证和转储管理制 度，确保备份数据 授权是否有介质存取、 验证和转储管理 制度，确保备份数 据授权符合1.120制定了灾难备 份与恢复管理办 法规定了相应 内容4.9第三方服务安全序号评测内容评测项评测结果分值实际扣分说明1应确保安全服务商 的选择符合国家的 有关规定；是否将通过中国 通信企业协会通 信网络安全服务 能力评定列为外 部安全服务提供 商招标条件之一符合1.120由提供风险评估 的第三方服务， 符

17、合相应要求。第 5章 风险评估结果本次章节评分主要依据 网络和系统安全防护检查评分方法，对技术检测 中发现的安全隐患的数量、位置、危害程度进行扣分。5.1 存在的安全隐患1. 网管系统监控终端 192.168 存在的主机弱口令，可直接登录系统 网管系统监控终端 192.168 存在的主机弱口令 000，可直接登录系统获取系 统权限导致服务器受控，详见附录 B。危害程度：弱口令所处位置：其他设备扣分： 1 分建议： 提示用户修改初始口令，口令应具有一定复杂度。第 6章 综合评分6.1 符合性得分本次测试对系统进行符合项检测， 共检测 89 项，每项分值为 1.12（100/89）， 其中项不符合要求，符合性得分为分。6.2 风险评估本次主要通过系统 应用层扫描、手工核查、内外