网络安全防护检查报告

网络平安防护检查报告数据中心测试单位：报告日期：目录第1章系统槪况31.1网络构造31.2管理制度3第2章：评测方法和工具32.1测试方式32.2测试工具32.3评分方法3符合性评测评分方法3风险评估评分方法3第3章测试内容33.1测试内容概述33.2扫描和渗透测试接入点33.3通信网络平安管理审核3第四章符合性评测结果34.1业务平安34.2网络平安34.3主机平安34.4中间件平安34.5平安域边界平安34.6集中运维平安管系统平安34.7灾难备份及恢复34.8管理平安34.9第三方效劳平安3第5章风险评估结果35.1存在的平安隐患3第6章综合评分36.1符合性得分36.2风险评估36.3综合得分3所依据的标准和规*有：>"YD/T2584-2013互联网数据中心IDC平安防护要求""YD/T2585-2013互联网数据中心IDC平安防护检测要求""YD/T2669-2013第三方平安效劳能力评定准则""网络和系统平安防护检查评分方法"«2Q14年度通信网络平安防护符合性评测表-互联网数据中心IDC"还参考标准YD/T1754-2QQ8〈<电信和互联网物理环境平安等级保护要求"YD/T1755-2QQ8〈<电信和互联网物理环境平安等级保护检测要求"YD/T1756-2QQ8"电信和互联网管理平安等级保护要求"GB/T20274信息系统平安保障评估框架>GB/T20984-2007"信息平安风险评估规*"第1章系统槪况IDC由负责管理和维护，其中各室配备了数名工程师，负责IDC设备硬、软件维护，数据制作，故障处理、信息平安保障、机房环境动力设备和空调维护。1.1网络构造图1-1：拓扑图1.2管理制度1.组织架构图1-2:IDC信息平安管理机构2.岗位权责分工现有的管理制度、规*及工作表单有："IDC机房信息平安管理制度规*""IDC机房管理方法""IDC灾难备份与恢复管理方法""网络平安防护演练与总结""集团客户业务故障处理管理程序""互联网与根底数据网通信保障应急预案""IDC网络应急预案〉〉"关于调整公司跨部门组织机构及有关领导的通知""网络信息平安考核管理方法""通信网络运行维护规程公共分册-数据备份制度""省分公司转职信息平安人员职责""通信网络运行维护规程IP网设备篇""城域网BAS、SR设备配罝规*""IP地址管理方法""互联网网络平安应急预案处理细则""互联网网络平安应急预案处理预案〔2013修订版〕"第2章：评测方法和工具2.1测试方式检查通过对测试对象进展观察、查验、分析等活动，获取证据以证明保护措施是否有效的一种方法。测试通过对测试对象按照预定的方法/工具使其产生特定的响应等活动，查看、分析测试对象的响应输出结果，获取证据以证明保护措施是否有效的一种方法。2.2测试工具主要使用到的测试工具有：扫描工具、滲透测试工具、抓包工具、漏洞利用验证工具等。具体描述如下表：表3-1：测试工具序号工具名称工具描述1绿盟漏洞扫描系统脆弱性扫描2科莱网络协议分析工具脆弱性扫描3Nmap端口扫描4BurpSuiteWEB渗透集成工具2.3评分方法分为符合性检测和风险评估两局部工作。网络单元平安防护检测评分=符合性评测得分*60%+风险评估得分*40%。其中符合性评测评分和风险评估评分均采用百分制。符合性评测评分方法符合性评测评分依据网络单元符合性评测表中所列制虔、措施的符合情况计分，其中每个评测项对应分值，由100分除以符合性评测表中评测项总数所得。风险评估评分方法网络单元风险评估首先基于技术检测中发现的平安隐患的数量、位置、危害程度进展一次扣分；然后依据发现的平安隐患是否可被技术检测单位利用进展二次扣分，风险评估评分流程具体如下：1、一次扣分在技术检测时，每发现一个平安隐患，根据其所处的位罝及危害程度扣除相应分值。各类平安隐患的扣分值如表3-2所示。表3-2风险评估平安隐患扣分表平安隐患类型重要设备其他设备高危漏洞无无中危漏洞无无假设口令无无其他平安隐患无无[注1]:重要设备包括内外网隔离设备、内部平安域划分设备、互联网直联设备、网络业务核心设备。[注2]:中高危漏洞以国内外权威的CVE漏洞库和国家互联网应急中心VD漏洞库为根本判断依据；对于高危Web平安隐患，以国际上公认的幵放式Web应用程序平安工程〔OWASP，OpenWebApplicationSecurityProject确定最新的Top10中所列的WEB平安隐患判断作为判断依据。[注3]:其它平安隐患指可能导致用户信息泄露、重要设备受控、业务中断、网络中断等重大网络平安事件的隐患。2、二次扣分在一次扣分剩余得分的根底上，依据网络单元是否已被攻击入侵或发现的平安隐患是否可被技术检测单位利用，进展二次扣分。具体扣分步骤如下：如通过技术检测，发现网络单元中存在恶意代码，或已被入侵而企业尚未发现并处罝，扣除一次扣分后剩余得分的40%。如通过技术检测，从网络单元外获取网络单元内设备的管理员权限或获取网络单元内数据库信息，扣除一次扣分后剩余得分的40%。如通过技术检测，从网络单元内获取设备的管理员权限或获职数据库信息，扣除一次扣分后剩余得分的20%。最后剩余分数即为风险评估得分。第3章测试内容3.1测试内容概述分为符合性评测和平安风险评估两局部，符合性评测具体内容为：业务平安、网络平安、主机平安、中间件平安、平安域边界平安、集中运维平安管控系统平安、灾难备份及恢复、管理平安、第三方效劳平安状况。平安风险评估主要通过技术检测发现网络单元内是否存在中高危平安漏洞、弱口令，以及可能导致用户信息泄露、重要设备受控、业务中断、网络中断等重大网络平安事件的隐患，检测是否存在恶意代码或企业尚未知晓的入侵痕迹，检测是否可以获取设备的管理员权限、数据库等。表4.1：网络架构测试对象序号测试对象描述1IDC检测系统网络架构的合理性表4-2：IDC网络设备列表设备名称型号IP地址核心路由器表4-3：IDC网管系统主机列表主机名称型号1P地址系统软件用途数据库效劳器Windows2003数据库效劳器应用效劳器Windows2003应用效劳器通讯效劳器Windows2003通讯效劳器流里效劳器Windows2003流量效劳器业务/门户管理效劳器Windows2003业务/门户管理效劳器表4-4：IDC网管系统列表系统名称主要功能IDC综合运营管理系统3.2扫描和渗透测试接入点选择从互联网和内网区域的测试点模拟外部用户与内部托管用户进展渗透测试，并从互联网、托管用户区的测试点进展漏洞扫描。3.3通信网络平安管理审核该测试*围内涉及IDC平安管理审核，主要包括：平安管理制度，平安管理机构，人员平安管理，平安建立管理，平安运维管理，灾难备份，应急预案等相关制度管理文档。第四章符合性评测结果本次符合性评分主要依据网络单元符合性评测表的符合情况得分，其中每个评测项对应分值，由100分除以符合性评测表中评测项总数所得。本次对IDC系统符合性检测项数为89项，单项分值为(100/89)1.12分。4.1业务平安序号检查内容检查点评测结果分值实际扣分说明1应按照合同保证IDC用户业务的平安是否按照合同要求保证IDC用户业务平安符合1.120与用户签署相关协设，台同中对网络平安及业务平安逬行相关描述和约定。但目前客户没有提出过单独的业务平安要求4.2网络平安序号检查内容检查点评测结果分值实际扣分说明1审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。审计记录是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息符合1.120IDC内网络设备syslog审计日志存储在本机中，日志记录信息包含事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息4.3主机平安序号评测内容评测项评测结果分值实际扣分说明1应对登录操作系统和数据库系统的用户进展身份标识和鉴别是否对登录操作系统和数据库系统的用户进展身份标识和鉴别符合1.120操作系统和数据库系统自身实现对用户的身份标识和鉴别功能4.4中间件平安序号检查内容检查点评测结果分值实际扣分说明1应实现操作系统和中间用户的权限别离，中间件应使用独立用户；应实现中间件用户和互联网数据中心的IDC应用程序用户的权限别离是否实现操作系统和中间件用户的权限别离，中间件是否使用独立用户不适应N/AN/A网管系统使用CS架构，无中间件4.5平安域边界平安序号检查内容检查点评测结果分值实际扣分说明1启用其他设备〔主机隔离等〕进展平安边界划分、隔离的应尽量实现严格的访问控制策略查看配置并技术检测验证访问控制措施符合1.120使用交换机ACL规则进展访问控制4.6集中运维平安管系统平安序号评测内容评测项评测结果分值实际扣分说明1互联网数据中心〔IDC〕集中运维平安管控系统应与提供互联网数据中心根底设施隔离，应部署在不同网络区域，网络边界处应按不同互联网数据中心业务需**施访问控制策略，应只开放管理所必须的效劳及端口，防止开放较大的IP地段及效劳合平安策略管区域进项访问4.7灾难备份及恢复序号评测内容评测项评测结果分值实际扣分说明1互联网数据中心〔IDC〕网络灾难恢复时间应满足行业管理，网络和业务运营商应急预案的相关要求互联网数据中心〔IDC〕网络灾难演练恢复时间是否满足行业管理和企业应急预案的相关要求符合1.120定期进展各项演练，按客户重要程度不同在一定时间内恢复，满足要求4.8管理平安序号评测内容评测项评测结果分值实际扣分说明1至少覆盖但不限于平安管理制度、平安管理机构、人员平安管理、平安建立管理、平安运维管理等管理方面；是否包含至少平安管理制度、平安管理机构、人员平安管理、平安建立管理、平安运维管理等内容符合1.120制定了相应管理制度，包含平安管理制度、平安管理机构、人员平安管理、平安建立管理、平安运维管理等内容序号评测内容评测项评测结果分值实际扣分说明4IDC应有介质存取、验证和转储管理制度，确报备份数据授权IDC是否有介质存取、验证和转储管理制度，确报备份数据授权符合1.120制定了"IDC灾难备份与恢复管理方法"规定了相应内容4.9第三方效劳平安序号评测内容评测项评测结果分值实际扣分说明1应确保平安效劳上的选择符合国家的有关是否将通过中国通信企业协会通信网络平安效劳能力评定列为外部平安效劳提供商招标商条件之一符合1.120由提供风险评估的第三方效劳，符合响应要求第5章风险评估结果本次章节评分主要依据"网络和系统平安防护检查评分方法",对技术检测中发现的平安隐患的数量、位置、危害程度进展扣分。5.1存在的平安隐患1.网管系统监控终端192.168存在的主机弱口令，可直接登录系统网管系统监控终端192.168存在的主机弱口令PC/000,可直接登录系统获取系统权限导致效劳器受控，详见附录B。危害程度：弱口令所处位罝：其他设备扣分：1分建议：提示用户修改初始口令，口令应具有一定复杂度。第6章综合评分6.1符合性得分本次测试对IDC系统进展符合项检测，共检测89项，每项分值为1.12(100/89〉，其中项不符合要求，符合性得分为分。6.2风险评估本次主要通过系统\应用层扫描、手工核查、内外网滲透对I