网络安全防护检查报告模板

1、网络安全防护检查报告模板编号:网络安全防护检查报告数据中心测评单位： 报告日期：第1章系统概况 21.1网络结构 21.2管理制度 2第2章评测方法和工具 42.1测试方式 42.2测试工具 42.3评分方法 4符合性评测评分方法5风险评估评分方法 5第3章测试内容 73.1测试内容概述 73.2扫描和渗透测试接入点93.3通信网络安全管理审核 9第4章符合性评测结果 104.1业务安全 104.2网络安全 114.3主机安全 124.4中间件安全 134.5安全域边界安全 144.6集中运维安全管控系统安全154.7灾难备份及恢复174.8管理安全 184.9第三方服务安全20第5章风险评估

2、结果 225.1存在的安全隐患22第6章综合评分 236.1符合性得分 236.2风险评估 236.3综合得分 23附录 A 设备扫描记录 24所依据的标准和规范有：?YD/T 2584-2013互联网数据中心IDC安全防护要求?YD/T 2585-2013互联网数据中心IDC安全防护检测要求?YD/T 2669-2013第三方安全服务能力评定准则?网络和系统安全防护检查评分方法?2014年度通信网络安全防护符合性评测表互联网数据中心还参考标准? YD/T 1754-2008电信和互联网物理环境安全等级保护要求? YD/T 1755-2008电信和互联网物理环境安全等级保护检测要求? YD/T

3、 1756-2008电信和互联网管理安全等级保护要求? GB/T 20274信息系统安全保障评估框架? GB/T 20984-2007信息安全风险评估规范第1章系统概况IDC由 负责管理和维护，其中各室配备了数名工程师，负责IDC设备硬、 软件维护，数据制作，故障处理、信息安全保障、机房环境动力设备和空调设备维护1.1网络结构图 错误!文档中没有指定样式的文字。-1: IDC网络拓扑图1.2管理制度1.组织架构1网络与信息安全 作 信息安芝作小网络安全/作组体职能部门乍组图 错误!文档中没有指定样式的文字。-2: IDC信息安全管理机构2.岗位权责分工现有的管理制度、规范及工作表单有：IDC机

4、房信息安全管理制度规范IDC机房管理办法IDC灾难备份与恢复管理办法网络安全防护演练与总结集团客户业务故障处理管理程序互联网与基础数据网通信保障应急预案IDC网络应急预案关于调整公司跨部门组织机构及有关领导的通知网络信息安全考核管理办法通信网络运行维护规程公共分册-数据备份制度省分公司转职信息安全人员职责通信网络运行维护规程IP网设备篇城域网BAS、SR设备配置规范IP地址管理办法互联网网络安全应急预案处理细则互联网网络安全应急预案处理预案（2013修订版）第2章评测方法和工具2.1测试方式检查通过对测试对象进行观察、查验、分析等活动，获取证据以证明保护措施 是否有效的一种方法。测试通过对测试

5、对象按照预定的方法/工具使其产生特定的响应等活动，查看、 分析测试对象的响应输出结果，获取证据以证明保护措施是否有效的一种方法。 2.2测试工具主要使用到的测试工具有：扫描工具、渗透测试工具、抓包工具、漏洞利 用验证工具等。具体描述如下表：表3-1 :测试工具序 号工具名称工具描述1绿盟漏洞扫 描系统脆弱性扫 描2科莱网络协议分析工具脆弱性扫 描3Nmap端口扫描4Burp SuiteWEB渗透集成工具2.3评分方法分为符合性检测和风险评估两部分工作。网络单元安全防护检测评分二符 合性评测得分X 60% +风险评估得分X 40%。其中符合性评测评分和风险评估评 分均采用百分制。符合性评测评分方

6、法符合性评测评分依据网络单元符合性评测表中所列制度、措施的符合情况 计分，其中每个评测项对应分值，由100分除以符合性评测表中评测项总数所得 232风险评估评分方法网络单元风险评估首先基于技术检测中发现的安全隐患的数量、位置、危 害程度进行一次扣分；然后依据发现的安全隐患是否可被技术检测单位利用进 行二次扣分。风险评估评分流程具体如下。1、一次扣分在技术检测时，每发现一个安全隐患，根据其所处的位置及危害程度扣除 相应分值。各类安全隐患的扣分值如表 3-2所示。表3-2风险评估安全隐患扣分表安全隐患类型重要设备注 1】其它设备咼危漏洞注 2】中危漏洞注 2】弱口令其它安全隐患注3】注1:重要设备

7、包括内外网隔离设备、内部安全域划分设备、互联网直联 设备、网络业务核心设备。注2:中高危漏洞以国内外权威的 CVE漏洞库和国家互联网应急中心 CNVD漏洞库为基本判断依据；对于高危 Web安全隐患，以国际上公认的开放 式 Web 应用程序安全项目（OWASP， Open Web Application Security Project 确定最新的Top 10中所列的WEB安全隐患判断作为判断依据。注 3:其它安全隐患指可能导致用户信息泄露、重要设备受控、业务中断、 网络中断等重大网络安全事件的隐患。2、二次扣分在一次扣分剩余得分的基础上，依据网络单元是否已被攻击入侵或发现的 安全隐患是否可被技

8、术检测单位利用，进行二次扣分。具体扣分步骤如下：如通过技术检测，发现网络单元中存在恶意代码，或已被入侵而企业尚未 发现并处置，扣除一次扣分后剩余得分的 40%。如通过技术检测，从网络单元外获取网络单元内设备的管理员权限或获取 网络单元内数据库信息，扣除一次扣分后剩余得分的40%。如通过技术检测，从网络单元内获取设备的管理员权限或获取数据库信息, 扣除一次扣分后剩余得分的20%。最后剩余分数即为风险评估得分。第3章测试内容3.1测试内容概述分为符合性评测和安全风险评估两部分，符合性评测具体内容为：业务安 全、网络安全、主机安全、中间件安全、安全域边界安全、集中运维安全管控 系统安全、灾难备份及恢

9、复、管理安全、第三方服务安全状况。安全风险评估主要通过技术检测发现网络单元内是否存在中高危安全漏 洞、弱口令，以及可能导致用户信息泄露、重要设备受控、业务中断、网络中 断等重大网络安全事件的隐患，检测是否存在恶意代码或企业尚未知晓的入侵 痕迹，检测是否可以获取设备的管理员权限、数据库等。表4-2 :网络架构测试对象序号测试对象描述1IDC检测系统网络架构的合理性表错误!文档中没有指定样式的文字。-3: IDC网络设备列表设备名称型号IP地址核心路由器表4-3: IDC网管系统主机列表主机名称型号IP地址系统软 件用途数据库服务器Win dows 2003数据库服务 器主机名称型号IP地址系统软

10、 件用途应用服务 器Win dows 2003应用服务器通讯 服务 器Win dows 2003通讯服务器流量 服务 器Win dows 2003流量服务器业务/ 门户 管理 服务 器Win dows 2003业务/门户 管理服务器表4-4: IDC网管系统列表系统名称主要功能IDC综合运营 管理系统3.2扫描和渗透测试接入点选择从互联网和内网区域的测试点模拟外部用户与内部托管用户进行渗透 测试，并从互联网、托管用户区的测试点进行漏洞扫描。3.3通信网络安全管理审核该测试范围涉及IDC安全管理审核，主要内容包括：安全管理制度、安全 管理机构、人员安全管理、安全建设管理、安全运维管理、灾难备份、

11、应急预 案等相关制度管理文档。第4章符合性评测结果本次符合性评分主要依据网络单元符合性评测表的符合情况得分，其中每 个评测项对应分值，由100分除以符合性评测表中评测项总数所得。本次对IDC系统符合性检测项数为89项，单项分值为（100/89）1.12分。4.1业务安全序 号检查内容检查点评 测 结 果分 值实 际 扣 分说明1应按照合 同保证IDC用户 业务的安 全；是否按 照合同 要求保 证IDC 用户业 务安全符 合1.120与用户签 署相关协 议，合同 中对网络 安全及业 务安全进 行相关描 述和约 定。但目 前客户没 有提出过 单独的业 务安全要序 号检查内容检查点评 测 结分 值实

12、 际 扣说明果分求4.2网络安全序 号检查内容检查点评 测 结 果分 值实 际 扣 分说明5审计记录 应包括事 件的日期 和时间、用 户、事件类 型、事件是 否成功及 其他与审 计相关的 信息。审计记 录是否 包括事 件的日 期和时 间、用 户、事件 类型、事 件是否 成功及 其他与符 合1.120IDC内网 络设备 syslog 审 计日志存 储在本机 中，日志 记录信息 包含事件 的日期和 时间、用 户、事件1r序 号检查内容检查点评 测 结分 值实 际 扣说明果分审计相 关的信 r丿息类型、事 件是否成 功及其他 与审计相 关的信息4.3主机安全序 号评测内容评测项评 测 结 果分 值实

13、 际 扣 分说明1应对登录 操作系统 和数据库 系统的用 户进行身 份标识和 鉴别；是否对 登录操 作系统 和数据 库系统 的用户 进行身符 合1.120操作系 统和数 据库系 统自身 实现对 用户的 身份标序 号评测内容评测项评测结分 值实 际 扣说明果分份标识和鉴别识和鉴别功能4.4中间件安全序 号检查内容检查点评 测 结 果分 值实 际 扣 分说明1"应实现 操作系统 和中间件 用户的权 限分离， 中间件应 使用独立 用户；应 实现中间 件用户和是否实 现操作 系统和 中间件 用户的 权限分 离，中间 件是否 使用独 立用户不 适 用N/AN/A网管系统 使用CS 架构，无 中

14、间件序 号检查内容检查点评 测 结分 值实 际 扣说明果分互联网数 据中心IDC应用程序用户 的权限分离"4.5安全域边界安全序 号检查内容检查点评 测 结 果分 值实 际 扣 分说明6启用其它 设备（主 机隔离 等）进行 安全边界 划分、隔查看配 置并技 术检测 验证访 问控制 措施符 合1.120使用交换 机 ACL 规则进行 访问控制序 号检查内容检查点评 测 结分 值实 际 扣说明果分离的应尽 量实现严 格的访问 控制策略4.6集中运维安全管控系统安全序 号评测内容评测项评 测 结 果分 值实 际 扣 分说明1互联网数 据中心(IDC )集 中运维安 全管控系 统应与提 供互

15、联网 数据中心通过技 术测试 检验IDC集中运 维安全 管控系 统与IDC基础设符 合1.120使用独立 网络区域192.168.2 .0，在 E8080E 上进行访 问控制策 略，不允序 号评测内容评测项评 测 结分 值实 际 扣说明果分（IDC ）各 种服务的 互联网数 据中心（IDC ）基 础设施隔 离，应部 署在不同 网络区 域，网络 边界处设 备应按不 同互联网 数据中心（IDC ）业 务需求实 施访问控 制策略，施的网 络隔离 是否符 合安全 策略许其他网 络对网管 区域进行 访问序 号评测内容评测项评 测 结分 值实 际 扣说明果分应只开放 管理所必 须的服务 及端口， 避免开放

16、 较大的IP 地址段及 服务；4.7灾难备份及恢复序 号评测内容评测项评 测 结 果分 值实 际 扣 分说明2互联网数 据中心ID C网络灾 难恢复时互联网 数据中 心IDC 网络灾符 合1.120定期进 行各项 演练，按 客户重序 号评测内容评测项评 测 结分 值实 际 扣说明果分间应满足 行业管 理、网络 和业务运 营商应急 预案的相 关要求。难演练 恢复时 间是否 满足行 业管理 和企业 应急预 案的相 关要求要程度 不同在 一疋时 间内恢 复，满足 要求4.8管理安全序 号评测内容评测项评 测 结 果分 值实 际 扣 分说明1至少覆盖 但不限于 安全管理是否包含 至少安全 管理制符 合

17、1.120制定了 相应管 理制度，序 号评测内容评测项评测结分 值实 际 扣说明果分制度、安 全管理机 构、人员 安全管 理、安全 建设管 理、安全 运维管理 等管理方 面；度、安全 管理机 构、人员 安全管理、安全 建设管 理、安全 运维管理 等内容包含安 全管理 制度、安 全管理 机构、人 员安全 管理、安 全建设 管理、安 全运维 管理等 内容4IDC应有 介质存 取、验证 和转储管 理制度， 确保备份IDC是否 有介质存 取、验证 和转储管 理制度， 确保备份符 合1.120制定了IDC 灾难备 份与恢 复管理 办法规序 号评测内容评测项评 测 结分 值实 际 扣说明果分数据授权数据授

18、权定了相应内容4.9第三方服务安全序 号评测内容评测项评 测 结 果分值实 际 扣 分说明1应确保安 全服务商 的选择符 合国家的 有关规定；是否将通 过中国通 信企业协 会通信网 络安全服 务能力评 定列为外 部安全服 务提供商 招标条件符合1.120由提供风险 评估的 第三方 服务，符 合相应 要求。序 号评测内容评测项评测结分 值实 际 扣说明果分之第5章风险评估结果本次章节评分主要依据网络和系统安全防护检查评分方法，对技术检 测中发现的安全隐患的数量、位置、危害程度进行扣分。5.1存在的安全隐患1.网管系统监控终端192.168存在的主机弱口令，可直接登录系统网管系统监控终端192.168存在的主机弱口令PC/OOO,可直接登录系统获 取系统权限导致服务器受控，详见附录B o危害程度：弱口令所处位置：其他设备扣分：1分建议：提示用户修改初始口令，口令应具有一定复杂度。第6章综合评分6.1符合性得分本次测试对IDC系统进行符合项检测，共检测89项，每项分值为1.12(100/89),其中项不符合要求，符合性得分为分。6.2风险评估本次主要通过系统应用层扫描、手工核查、内外网渗透对IDC系统进行安 全风险评估，共发现2个安全隐患：第一次扣分情况如下：100-5=95