网络安全防护检查报告模板

编号:数据中心测评单位报告日期：目录第1系统概况21。1网络结构21。2管理制度2第2评测方法和工具2。1测试方式42.2测试工具42。3评分方法42。3。1符合性评测评分方法42.3。2风险评估评分方法4第3测试内容63.1测试内容概述63。2扫描和渗透测试接入点73.3通信网络安全管理审核7第4符合性评测结果4。1业务安全84。2网络安全84。3主机安全84.4中间件安全94.5安全域边界安全94。6集中运维安全管控系统安全94.7灾难备份及恢复104。8管理安全104。9第三方服务安全10第5风险评估结果125.1存在的安全隐患12-I-

第6综合评分136。1符合性得分136。2风险评估136.3综合得分13附录A设备扫描记录14-II-

所依据的标准和规范有：➢YD/T2584-2013互联网数据中心IDC安全防护要求》➢YD/T2585-2013互联网数据中心IDC安全防护检测要求》➢YD/T2669-2013第三方安全服务能力评定准则》➢网络和系统安全防护检查评分方法》➢2014度通信网络安全防护符合性评测表－互联网数据中心IDC》还参考标准➢YD/T—电信和互联网物理环境安全等级保护要求》➢YD/T—电信和互联网物理环境安全等级保护检测要求》➢YD/T—电信和互联网管理安全等级保护要求》➢GB/T20274信息系统安全保障评估框架➢GB/T20984-2007《信息安全风险评估规范》数据中心网络安全防护检查报告

第1页共页

第1章系统况IDC由负责管理和维护，其中各室配备了数名工程师，负责IDC设备硬、软件维护数据制作，故障处理、信息安全保障、机房环境动力设备和空调设备维护。1.1网结图1误!未定义书签。：网络扑图1.2管制1.组织架构网络与信息安全工作小组信息安全工作组

网络安全工作组具体职能部门图1误!未定义书签。信安全管机构2.岗位权责分工现有的管理制度、规范及工作表单有:

《机房信息安全管理制度规范》《机房管理办法》《灾难备份与恢复管理办法》《网络安全防护演练与总结》《集团客户业务故障处理管理程序》《互联网与基础数据网通信保障应急预案》《网络应急预案》《关于调整公司跨部门组织机构及有关领导的通知》《网络信息安全考核管理办法》《通信网络运行维护规程公共分册—数据备份制度》数据中心网络安全防护检查报告

第2页共页

《省分公司转职信息安全人员职责》《通信网络运行维护规程IP网设备篇》《城域网、设备配置规范》《IP址管理办法》《互联网网络安全应急预案处理细则》《互联网网络安全应急预案处理预案（修订版)》数据中心网络安全防护检查报告

第3页共页

第2章评测法和工具2.1测试方式

检查通过对测试对象进行观察查验、分析等活动，获取证据以证明保护措施是否有效的一种方法。

测试通过对测试对象按照预定的方法/工具使其产生特定的响应等活动，查看、分析测试对象的响应输出结果,获取证据以证明保护措施是否有效的一种方法。2.2测试工具主要使用到的测试工具有：扫描工具、渗透测试工具、抓包工具、漏洞利用验证工具等。具体描述如下表:表：测试工具序

工名绿盟漏洞扫描系统科莱网络协议分析工具Burp

工描脆弱性扫描脆弱性扫描端口扫描WEB渗集成工具2.3评分方法分为符合性检测和风险评估两部分工作络单元安全防护检测评分＝符合性评测得分×60％＋风险评估得分×40%其中符合性评测评分和风险评估评分均采用百分制。符合性评评分方符合性评测评分依据网络单元符合性评测表中所列制度施的符合情况计分，其中每个评测项对应分值，由分除以符合性评测表中评测项总数所得。风险评估分方法网络单元风险评估首先基于技术检测中发现的安全隐患的数量位置危害程度进行一次扣分后依据发现的安全隐患是否可被技术检测单位利用进行二次扣分。风险评估评分流程具体如下。数据中心网络安全防护检查报告

第4页共页

1、一次扣在技术检测时每发现一个安全隐患根据其所处的位置及危害程度扣除相应分值。各类安全隐患的扣分值如表3—2所示。表风险评安全患扣分安隐类高危漏洞2中危漏洞2

重设

【注1

其设弱口令其它安全隐患[1]重要设备包括内外网隔离设备、内部安全域划分设备、互联网直联设备、网络业务核心设备。［注2]：中高危漏洞以国内外权威的CVE漏洞库和国家互联网应急中心CNVD漏洞库为基本判断依据；对于高危Web安全隐患，以国际上公认的开放式Web应用程序安全项目（，WebSecurityProject)确定最新的Top中所列的WEB安隐患判断作为判断依据。[3它安全隐患指可能导致用户信息泄露要设备受控业务中断、网络中断等重大网络安全事件的隐患.2、二次扣在一次扣分剩余得分的基础上据网络单元是否已被攻击入侵或发现的安全隐患是否可被技术检测单位利用,进行二次扣分。具体扣分步骤如下：如通过技术检,发现网络单元中存在恶意代码，或已被入侵而企业尚未发现并处置，扣除一次扣分后剩余得分的％。如通过技术检测网络单元外获取网络单元内设备的管理员权限或获取网络单元内数据库信息，扣除一次扣分后剩余得分的40％。如通过技术检测，从网络单元内获取设备的管理员权限或获取数据库信息，扣除一次扣分后剩余得分的20%。最后剩余分数即为风险评估得分.数据中心网络安全防护检查报告

第5页共页

第3章测试容3.1测试内容概述分为符合性评测和安全风险评估两部分合性评测具体内容为务安全、网络安全、主机安全、中间件安全、安全域边界安全、集中运维安全管控系统安全、灾难备份及恢复、管理安全、第三方服务安全状况安全风险评估主要通过技术检测发现网络单元内是否存在中高危安全漏洞、弱口令，以及可能导致用户信息泄露、重要设备受控、业务中断、网络中断等重大网络安全事件的隐患检测是否存在恶意代码或企业尚未知晓的入侵痕迹检测是否可以获取设备的管理员权限、数据库等。表4误!未定义书签。：络架构试对象序

测对

描设名

检测系统网络架构的合理性表3误!未定义书签。网络备列表型

IP地址核心路由器表：IDC网系统主列表主名数据库服务器应用服务器通讯服务器流量服务器业务门户管理服务器

型

IP地址

系软WindowsWindowsWindowsWindowsWindows

用数据库服务器应用服务器通讯服务器流量服务器业务/门户管理服务器系统名称IDC综运营管理系统

表：IDC网系统列主要功能数据中心网络安全防护检查报告

第6页共页

3.2扫描和渗透测接入点选择从互联网和内网区域的测试点模拟外部用户与内部托管用户进行渗透测试,从互联网、托管用户区的测试点进行漏洞扫描3.3通信网络安全理审核该测试范围涉及IDC安全管理审核，主要内容包括：安全管理制度、安全管理机构、人员安全管理、安全建设管理、安全运维管理、灾难备份、应急预案等相关制度管理文档。数据中心网络安全防护检查报告

第7页共页

第4章符合评测结果本次符合性评分主要依据网络单元符合性评测表的符合情况得分中每个评测项对应分值,由100分除以符合性评测表中评测项总数所得。本次对系统符合性检测项数为项单项分值为(100/89)1。分.4.1业务安全序号

检内

检点

评结

分

实扣

说与用户签署相关协议合同中对网应按照合同保证用业务的安全

是否按照合同要求保证IDC用业务安全

符合

10

络安全及业务安全进行相关描述和约定目客户没有提出过单独的业务安全要求4.2网络安全序号

检内

检点

评结

分

实扣

说IDC内网络设备

审计记录应包括事件的日期和时间户事件类型事是否成功及其他与审计相关的信息。

审计记录是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息

符合

10

syslog计日志存储在本机中志记录息包含事件的日期和时间、用户、事件类型、事件否成功及其他审计相关的信息4.3主机安全序号

评内

评项

评结

分

实扣

说应对登录操作系统

是否对登录操作

操作系统和数据

和数据库系统的用户进行身份标识和

系统和数据库系统的用户进行身

符合

库系统自身实现对用户的身份标鉴别；

份标识和鉴别

识和鉴别功能数据中心网络安全防护检查报告

第8页共页

4.4中间件安全序号

检内

检点

评结

分

实扣

说"实现操作系统和

中间件用户的权限分离,中件应使用独立用户实现中间件用户和互联网数据中心IDC应程序用户的权限分

是否实现操作系统和中间件用户的权限分离，中间件是否使用独立用户

不适用

N/A

网管系统使用CS架构，无中间件离"4.5安全域边界安序号

检内

检点

评结

分

实扣

说启用其它设备（主机隔离等)进安全

查看配置并技术

使用交换机ACL

边界划分、隔离的

检测验证访问控

符合

10

规则行访问控应尽量实现严格的访问控制策略

制措施

制4.6集中运维安全控系统全序号

评内

评项

评结

分

实扣

说互联网数据中心（集运维安全管控系统应与提

供互联网数据中心（种务的互联网数据中心（础施隔离，应部署在不同网络区域，网络边界处设备应按不同互联网数据中心

通过技术测试检验IDC集运维安全管控系统与IDC基设施的网络隔离是否符合安全策略

符合

0

使用独立网络区域168，在E8080E上行访问控制策略允许其他网络对网管区域进行访问(IDC）务需求实施访问控制策略，应只开放管理所必数据中心网络安全防护检查报告

第9页共页

序号

评内

评项

评结

分

实扣

说须的服务及端口，避免开放较大的地址段及服务；4.7灾难备份及恢序号

评内

评项

评结

分

实扣

说

互联网数据中心IDC网络灾难恢复时间应满足行业管理、网络和业务运营商应急预案的相关要求。

互联网数据中心I网灾难演练恢复时间是否满足行业管理和企业应急预案的相关要求

符合

0

定期进行各项演练，按客户重要程度不同在一定时间内恢复，满足要求4.8管理安全序号

评内

评项

评结

分

实扣

说

至少覆盖但不限于安全管理制度、安全管理机构、人员安全管理、安全建设管理、安全运维管理等管理方面；

是否包含至少安全管理制度全管理机构员全管理全设管理全维管理等内容

符合

12

制定了相应管理制度，包含安全管理制度、安全管理机构、人员安全管理、安全建设管理、安全运维管理等内容IDC应介质存、IDC是否有介质

制定了《IDC灾

验证和转储管理制度，确保备份数据

存取证转储管理制度确保备

符合

0

难备份与恢复管理办法》规定了授权4.9第三方服务安

份数据授权

相应内容序号

评内

评项

评结

分

实扣

说应确保安全服务商

是否将通过中国通信企业协会通

由提供风险评估

的选择符合国家的

信网络安全服务

符合

0

的第三方服务，有关规定

能力评定列为外部安全服务提供

符合相应要.数据中心网络安全防护检查报告

第10共页

序号

评内

评项

评结

分

实扣

说商招标条件之一数据中心网络安全防护检查报告

第11共页

第5章风险估结果本次章节评分主要依据《网络和系统安全防护检查评分方法》,对技术检测中发现的安全隐患的数量、位置、危害程度进行扣分。5.1存在的安全隐1.网管系统控终端在的主机弱令，可接登录系统网管系统监控终端168存在的主机弱口令可直接登录系统获取系统权限导致服务器受控,详见附录B。危害程：弱口令所处位：其他设备扣分:1建议：提示用户修改初始口令口令应具有一定复杂度。数据中心网络安全防护检查报告

第12共页

第6章综合分6.1符合性得分本次测试对IDC系统进行符合项检测，共检测89项，每项分值为。12（），其中项不符合要求，符合性得分为分6.2风险评估本次主要通过系统应用层扫描、手工核查、内外网渗透对系统进行安全风险评估，共发现2安