网络安全防护检查报告模板

网络安全防护检查报告模板编号：网络安全防护检查报告数据中心测评单位：报告日期：网络安全防护检查报告模板全文共1页，当前为第1页。网络安全防护检查报告模板全文共1页，当前为第1页。目录\o"1-3"第1章系统概况425791697\h21.1网络结构425791698\h21.2管理制度425791699\h2第2章评测方法和工具425791700\h42.1测试方式425791701\h42.2测试工具425791702\h42.3评分方法425791703\h42.3.1符合性评测评分方法425791704\h52.3.2风险评估评分方法425791705\h5第3章测试内容425791706\h73.1测试内容概述425791707\h73.2扫描和渗透测试接入点425791708\h83.3通信网络安全管理审核425791709\h8第4章符合性评测结果425791710\h94.1业务安全425791711\h94.2网络安全425791712\h94.3主机安全425791713\h94.4中间件安全425791714\h104.5安全域边界安全425791715\h104.6集中运维安全管控系统安全425791716\h104.7灾难备份及恢复425791717\h114.8管理安全425791718\h114.9第三方服务安全425791719\h12第5章风险评估结果425791720\h135.1存在的安全隐患425791721\h13第6章综合评分425791722\h146.1符合性得分425791723\h146.2风险评估425791724\h146.3综合得分425791725\h14附录A设备扫描记录425791726\h15网络安全防护检查报告模板全文共2页，当前为第2页。网络安全防护检查报告模板全文共2页，当前为第2页。所依据的标准和规范有：《2584-2013互联网数据中心安全防护要求》《2585-2013互联网数据中心安全防护检测要求》《2669-2013第三方安全服务能力评定准则》《网络和系统安全防护检查评分方法》《2014年度通信网络安全防护符合性评测表－互联网数据中心》还参考标准1754-2008《电信和互联网物理环境安全等级保护要求》1755-2008《电信和互联网物理环境安全等级保护检测要求》1756-2008《电信和互联网管理安全等级保护要求》20274信息系统安全保障评估框架网络安全防护检查报告模板全文共3页，当前为第3页。20984-2007《信息安全风险评估规范》网络安全防护检查报告模板全文共3页，当前为第3页。由负责管理和维护，其中各室配备了数名工程师，负责设备硬、软件维护，数据制作，故障处理、信息安全保障、机房环境动力设备和空调设备维护。网络结构图1\s2图\*\s11：网络拓扑图管理制度组织架构信息安全工作组网络安全工作组具体职能部门网络与信息安全工作小组信息安全工作组网络安全工作组具体职能部门网络与信息安全工作小组图1\s2图\*\s13：信息安全管理机构岗位权责分工现有的管理制度、规范及工作表单有：《机房信息安全管理制度规范》《机房管理办法》《灾难备份与恢复管理办法》《网络安全防护演练与总结》《集团客户业务故障处理管理程序》《互联网与基础数据网通信保障应急预案》《网络应急预案》《关于调整公司跨部门组织机构及有关领导的通知》《网络信息安全考核管理办法》网络安全防护检查报告模板全文共4页，当前为第4页。《通信网络运行维护规程公共分册-数据备份制度》网络安全防护检查报告模板全文共4页，当前为第4页。《省分公司转职信息安全人员职责》《通信网络运行维护规程网设备篇》《城域网、设备配置规范》《地址管理办法》《互联网网络安全应急预案处理细则》网络安全防护检查报告模板全文共5页，当前为第5页。《互联网网络安全应急预案处理预案（2013修订版）》网络安全防护检查报告模板全文共5页，当前为第5页。测试方式检查通过对测试对象进行观察、查验、分析等活动，获取证据以证明保护措施是否有效的一种方法。测试通过对测试对象按照预定的方法/工具使其产生特定的响应等活动，查看、分析测试对象的响应输出结果，获取证据以证明保护措施是否有效的一种方法。测试工具主要使用到的测试工具有：扫描工具、渗透测试工具、抓包工具、漏洞利用验证工具等。具体描述如下表：表3表格\*\s11：测试工具序号工具名称工具描述1绿盟漏洞扫描系统脆弱性扫描2科莱网络协议分析工具脆弱性扫描3端口扫描4渗透集成工具评分方法分为符合性检测和风险评估两部分工作。网络单元安全防护检测评分＝符合性评测得分×60%＋风险评估得分×40%。其中符合性评测评分和风险评估评分均采用百分制。符合性评测评分方法符合性评测评分依据网络单元符合性评测表中所列制度、措施的符合情况计分，其中每个评测项对应分值，由100分除以符合性评测表中评测项总数所得。风险评估评分方法网络安全防护检查报告模板全文共6页，当前为第6页。网络单元风险评估首先基于技术检测中发现的安全隐患的数量、位置、危害程度进行一次扣分；然后依据发现的安全隐患是否可被技术检测单位利用进行二次扣分。风险评估评分流程具体如下。网络安全防护检查报告模板全文共6页，当前为第6页。1、一次扣分在技术检测时，每发现一个安全隐患，根据其所处的位置及危害程度扣除相应分值。各类安全隐患的扣分值如表3-2所示。表3-2风险评估安全隐患扣分表安全隐患类型重要设备【注1】其它设备高危漏洞【注2】中危漏洞【注2】弱口令其它安全隐患【注3】[注1]：重要设备包括内外网隔离设备、内部安全域划分设备、互联网直联设备、网络业务核心设备。[注2]：中高危漏洞以国内外权威的漏洞库和国家互联网应急中心漏洞库为基本判断依据；对于高危安全隐患，以国际上公认的开放式应用程序安全项目（，）确定最新的10中所列的安全隐患判断作为判断依据。[注3]：其它安全隐患指可能导致用户信息泄露、重要设备受控、业务中断、网络中断等重大网络安全事件的隐患。2、二次扣分在一次扣分剩余得分的基础上，依据网络单元是否已被攻击入侵或发现的安全隐患是否可被技术检测单位利用，进行二次扣分。具体扣分步骤如下：如通过技术检测，发现网络单元中存在恶意代码，或已被入侵而企业尚未发现并处置，扣除一次扣分后剩余得分的40%。如通过技术检测，从网络单元外获取网络单元内设备的管理员权限或获取网络单元内数据库信息，扣除一次扣分后剩余得分的40%。如通过技术检测，从网络单元内获取设备的管理员权限或获取数据库信息，扣除一次扣分后剩余得分的20%。网络安全防护检查报告模板全文共7页，当前为第7页。最后剩余分数即为风险评估得分。网络安全防护检查报告模板全文共7页，当前为第7页。测试内容概述分为符合性评测和安全风险评估两部分，符合性评测具体内容为：业务安全、网络安全、主机安全、中间件安全、安全域边界安全、集中运维安全管控系统安全、灾难备份及恢复、管理安全、第三方服务安全状况。安全风险评估主要通过技术检测发现网络单元内是否存在中高危安全漏洞、弱口令，以及可能导致用户信息泄露、重要设备受控、业务中断、网络中断等重大网络安全事件的隐患，检测是否存在恶意代码或企业尚未知晓的入侵痕迹，检测是否可以获取设备的管理员权限、数据库等。表4表格\*\s11：网络架构测试对象序号测试对象描述1检测系统网络架构的合理性表1\s4表格\*\s12：网络设备列表设备名称型号地址核心路由器表43：网管系统主机列表主机名称型号地址系统软件用途数据库服务器2003数据库服务器应用服务器2003应用服务器通讯服务器2003通讯服务器流量服务器2003流量服务器业务/门户管理服务器2003业务/门户管理服务器网络安全防护检查报告模板全文共8页，当前为第8页。表44：网管系统列表网络安全防护检查报告模板全文共8页，当前为第8页。系统名称主要功能综合运营管理系统扫描和渗透测试接入点选择从互联网和内网区域的测试点模拟外部用户与内部托管用户进行渗透测试，并从互联网、托管用户区的测试点进行漏洞扫描。通信网络安全管理审核网络安全防护检查报告模板全文共9页，当前为第9页。该测试范围涉及安全管理审核，主要内容包括：安全管理制度、安全管理机构、人员安全管理、安全建设管理、安全运维管理、灾难备份、应急预案等相关制度管理文档。网络安全防护检查报告模板全文共9页，当前为第9页。本次符合性评分主要依据网络单元符合性评测表的符合情况得分，其中每个评测项对应分值，由100分除以符合性评测表中评测项总数所得。本次对系统符合性检测项数为89项，单项分值为(100/89)1.12分。业务安全序号检查内容检查点评测结果分值实际扣分说明1应按照合同保证用户业务的安全；是否按照合同要求保证用户业务安全符合1.120与用户签署相关协议，合同中对网络安全及业务安全进行相关描述和约定。但目前客户没有提出过单独的业务安全要求网络安全序号检查内容检查点评测结果分值实际扣分说明5审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。审计记录是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息符合1.120内网络设备审计日志存储在本机中，日志记录信息包含事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息网络安全防护检查报告模板全文共10页，当前为第10页。主机安全网络安全防护检查报告模板全文共10页，当前为第10页。序号评测内容评测项评测结果分值实际扣分说明1应对登录操作系统和数据库系统的用户进行身份标识和鉴别；是否对登录操作系统和数据库系统的用户进行身份标识和鉴别符合1.120操作系统和数据库系统自身实现对用户的身份标识和鉴别功能中间件安全序号检查内容检查点评测结果分值实际扣分说明1"应实现操作系统和中间件用户的权限分离，中间件应使用独立用户；应实现中间件用户和互联网数据中心应用程序用户的权限分离"是否实现操作系统和中间件用户的权限分离，中间件是否使用独立用户不适用网管系统使用架构，无中间件安全域边界安全序号检查内容检查点评测结果分值实际扣分说明6启用其它设备（主机隔离等）进行安全边界划分、隔离的应尽量实现严格的访问控制策略查看配置并技术检测验证访问控制措施符合1.120使用交换机规则进行访问控制网络安全防护检查报告模板全文共11页，当前为第11页。集中运维安全管控系统安全网络安全防护检查报告模板全文共11页，当前为第11页。序号评测内容评测项评测结果分值实际扣分说明1互联网数据中心（）集中运维安全管控系统应与提供互联网数据中心（）各种服务的互联网数据中心（）基础设施隔离，应部署在不同网络区域，网络边界处设备应按不同互联网数据中心（）业务需求实施访问控制策略，应只开放管理所必须的服务及端口，避免开放较大的地址段及服务；通过技术测试检验集中运维安全管控系统与基础设施的网络隔离是否符合安全策略符合1.120使用独立网络区域192.168.2.0，在E8080E上进行访问控制策略，不允许其他网络对网管区域进行访问灾难备份及恢复序号评测内容评测项评测结果分值实际扣分说明2互联网数据中心网络灾难恢复时间应满足行业管理、网络和业务运营商应急预案的相关要求。互联网数据中心网络灾难演练恢复时间是否满足行业管理和企业应急预案的相关要求符合1.120定期进行各项演练，按客户重要程度不同在一定时间内恢复，满足要求网络安全防护检查报告模板全文共12页，当前为第12页。管理安全网络安全防护检查报告模板全文共12页，当前为第12页。序号评测内容评测项评测结果分值实际扣分说明1至少覆盖但不限于安全管理制度、安全管理机构、人员安全管理、安全建设管理、安全运维管理等管理方面；是否包含至少安全管理制度、安全管理机构、人员安全管理、安全建设管理、安全运维管理等内容符合1.120制定了相应管理制度，包含安全管理制度、安全管理机构、人员安全管理、安全建设管理、安全运维管理等内容4应有介质存取、验证和转储管理制度，确保备份数据授权是否有介质存取、验证和转储管理制度，确保备份数据授权符合1.120制定了《灾难备份与恢复管理办法》规定了相应内容第三方服务安全序号评测内容评测项评测结果分值实际扣分说明1应确保安全服务商的选择符合国家的有关规定；是否将通过中国通信企业协会通信网络安全服务能力评定列为外部安全服务提供商招标条件之一符合1.120由提供风险评估的第三方服务，符合相应要求。网络安全防护检查报告模板全文共13页，当前为第13页。网络安全防护检查报告模板全文共13页，当前为第13页。本次章节评分主要依据《网络和系统安全防护检查评分方法》，对技术检测中发现的安全隐患的数量、位置、危害程度进行扣分。存在的安全隐患网管系统监控终端192.168存在的主机弱口