网络安全防护检查报告模板.docx

《网络安全防护检查报告模板.docx》由会员分享，可在线阅读，更多相关《网络安全防护检查报告模板.docx（20页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、编号：网络安全防护检查报告数据中心测评单位： 报告日期：目 录第 1 章 系统概况错误!未定义书签。网络结构错误!未定义书签。管理制度错误!未定义书签。第 2 章 评测方法和工具错误!未定义书签。测试方式错误!未定义书签。测试工具错误!未定义书签。评分方法错误!未定义书签。符合性评测评分方法错误!未定义书签。风险评估评分方法错误!未定义书签。第 3 章 测试内容错误!未定义书签。测试内容概述错误!未定义书签。扫描和渗透测试接入点错误!未定义书签。通信网络安全管理审核错误!未定义书签。第 4 章 符合性评测结果错误!未定义书签。业务安全错误!未定义书签。网络安全错误!未定义书签。主机安全错误!未

2、定义书签。中间件安全错误!未定义书签。安全域边界安全错误!未定义书签。集中运维安全管控系统安全错误!未定义书签。灾难备份及恢复错误!未定义书签。管理安全错误!未定义书签。第三方服务安全错误!未定义书签。第 5 章 风险评估结果错误!未定义书签。存在的安全隐患错误!未定义书签。第 6 章 综合评分错误!未定义书签。符合性得分错误!未定义书签。风险评估错误!未定义书签。综合得分错误!未定义书签。附录 A 设备扫描记录错误!未定义书签。所依据的标准和规范有：YD/T 2584-2013 互联网数据中心 IDC 安全防护要求YD/T 2585-2013 互联网数据中心 IDC 安全防护检测要求YD/T

3、 2669-2013 第三方安全服务能力评定准则网络和系统安全防护检查评分方法2014 年度通信网络安全防护符合性评测表互联网数据中心 IDC还参考标准YD/T 1754-2008电信和互联网物理环境安全等级保护要求YD/T 1755-2008电信和互联网物理环境安全等级保护检测要求YD/T 1756-2008电信和互联网管理安全等级保护要求GB/T 20274 信息系统安全保障评估框架GB/T 20984-2007 信息安全风险评估规范第1章 系统概况IDC 由 负责管理和维护，其中各室配备了数名工程师，负责 IDC 设备硬、软件维护，数据制作，故障处理、信息安全保障、机房环境动力设备和空调

4、设备维护。1.1 网络结构图 1-1：IDC 网络拓扑图1.2 管理制度1. 组织架构网络与信息安全工作小组信息安全工作组网络安全工作组具体职能部门图 1-2：IDC 信息安全管理机构2. 岗位权责分工现有的管理制度、规范及工作表单有：IDC 机房信息安全管理制度规范IDC 机房管理办法IDC 灾难备份与恢复管理办法网络安全防护演练与总结集团客户业务故障处理管理程序互联网与基础数据网通信保障应急预案IDC 网络应急预案关于调整公司跨部门组织机构及有关领导的通知网络信息安全考核管理办法通信网络运行维护规程公共分册 数据备份制度省分公司转职信息安全人员职责通信网络运行维护规程 IP 网设备篇城域网

5、 BAS、SR 设备配置规范IP 地址管理办法互联网网络安全应急预案处理细则互联网网络安全应急预案处理预案（2013 修订版）第2章 评测方法和工具2.1 测试方式检查通过对测试对象进行观察、查验、分析等活动，获取证据以证明保护措施是否有效的一种方法。测试通过对测试对象按照预定的方法/工具使其产生特定的响应等活动，查看、分析测试对象的响应输出结果，获取证据以证明保护措施是否有效的一种方法。2.2 测试工具主要使用到的测试工具有：扫描工具、渗透测试工具、抓包工具、漏洞利用验证工具等。具体描述如下表：表 3-1：测试工具序号工具名称工具描述1绿盟漏洞扫描系统脆弱性扫描2科莱网络协议分析工具脆弱性扫

6、描3Nmap端口扫描2.3 评分方法4Burp SuiteWEB 渗透集成工具分为符合性检测和风险评估两部分工作。网络单元安全防护检测评分符合性评测得分60%风险评估得分40%。其中符合性评测评分和风险评估评分均采用百分制。2.3.1 符合性评测评分方法符合性评测评分依据网络单元符合性评测表中所列制度、措施的符合情况计分，其中每个评测项对应分值，由 100 分除以符合性评测表中评测项总数所得。2.3.2 风险评估评分方法网络单元风险评估首先基于技术检测中发现的安全隐患的数量、位置、危害程度进行一次扣分；然后依据发现的安全隐患是否可被技术检测单位利用进行二次扣分。风险评估评分流程具体如下。1、一

7、次扣分在技术检测时，每发现一个安全隐患，根据其所处的位置及危害程度扣除相应分值。各类安全隐患的扣分值如表 3-2 所示。表 3-2 风险评估安全隐患扣分表安全隐患类型重要设备【注 1】其它设备高危漏洞【注 2】中危漏洞【注 2】弱口令其它安全隐患【注 3】注 1：重要设备包括内外网隔离设备、内部安全域划分设备、互联网直联设备、网络业务核心设备。注 2：中高危漏洞以国内外权威的 CVE 漏洞库和国家互联网应急中心 CNVD漏洞库为基本判断依据；对于高危 Web 安全隐患，以国际上公认的开放式 Web 应用程序安全项目（OWASP，Open Web Application Security Pro

8、ject）确定最新的Top 10 中所列的 WEB 安全隐患判断作为判断依据。注 3：其它安全隐患指可能导致用户信息泄露、重要设备受控、业务中断、网络中断等重大网络安全事件的隐患。2、二次扣分在一次扣分剩余得分的基础上，依据网络单元是否已被攻击入侵或发现的安全隐患是否可被技术检测单位利用，进行二次扣分。具体扣分步骤如下：如通过技术检测，发现网络单元中存在恶意代码，或已被入侵而企业尚未发现并处置，扣除一次扣分后剩余得分的 40%。如通过技术检测，从网络单元外获取网络单元内设备的管理员权限或获取网络单元内数据库信息，扣除一次扣分后剩余得分的 40%。如通过技术检测，从网络单元内获取设备的管理员权限

9、或获取数据库信息， 扣除一次扣分后剩余得分的 20%。最后剩余分数即为风险评估得分。第3章 测试内容3.1 测试内容概述分为符合性评测和安全风险评估两部分，符合性评测具体内容为：业务安全、网络安全、主机安全、中间件安全、安全域边界安全、集中运维安全管控系统安全、灾难备份及恢复、管理安全、第三方服务安全状况。安全风险评估主要通过技术检测发现网络单元内是否存在中高危安全漏洞、弱口令，以及可能导致用户信息泄露、重要设备受控、业务中断、网络中断等重大网络安全事件的隐患，检测是否存在恶意代码或企业尚未知晓的入侵痕迹，检测是否可以获取设备的管理员权限、数据库等。表 4-1：网络架构测试对象序号测试对象描述

10、1IDC检测系统网络架构的合理性表 3-2：IDC 网络设备列表设备名称型号IP 地址核心路由器表 4-3：IDC 网管系统主机列表主机名称型号IP 地址系统软件用途数据库服务器Windows 2003数据库服务器应用服务器Windows 2003应用服务器通讯服务器Windows 2003通讯服务器流量服务器Windows 2003流量服务器主机名称型号IP 地址系统软件用途业务/门户管Windows 2003业务/门户管理服务器理服务器表 4-4：IDC 网管系统列表系统名称主要功能IDC 综合运营管理系统3.2 扫描和渗透测试接入点选择从互联网和内网区域的测试点模拟外部用户与内部托管用户

11、进行渗透测试，并从互联网、托管用户区的测试点进行漏洞扫描。3.3 通信网络安全管理审核该测试范围涉及 IDC 安全管理审核，主要内容包括：安全管理制度、安全管理机构、人员安全管理、安全建设管理、安全运维管理、灾难备份、应急预案等相关制度管理文档。第4章 符合性评测结果本次符合性评分主要依据网络单元符合性评测表的符合情况得分，其中每个评测项对应分值，由 100 分除以符合性评测表中评测项总数所得。本次对 IDC 系统符合性检测项数为 89 项，单项分值为(100/89)分。序评测实际检查内容检查点分值说明号结果扣分与用户签署相关协议，合同中对网络安全及业务安是否按照合同要应按照合同保证 IDC全

12、进行相关描述1求保证 IDC 用户符合0用户业务的安全；和约定。但目前客业务安全户没有提出过单独的业务安全要求4.1 业务安全4.2 网络安全序检查内容号审计记录应包括事件的日期和时间、用5户、事件类型、事件是否成功及其他与审计相关的信息。检查点审计记录是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息评测实际分值说明结果扣分IDC 内网络设备syslog 审计日志存储在本机中，日志符合0记录信息包 含事件的日期和时间、用户、事件类型、事件是否成 功及序评测实际检查内容检查点分值说明号结果扣分其他与审计 相关的信息序评测实际评测内容评测项分值说明号结果扣分应对登录操作

13、系统是否对登录操作操作系统和数据和数据库系统的用系统和数据库系库系统自身实现1符合0户进行身份标识和统的用户进行身对用户的身份标鉴别；份标识和鉴别识和鉴别功能4.3 主机安全序评测实际检查内容检查点分值说明号结果扣分应实现操作系统和中间件用户的权限是否实现操作系分离，中间件应使用统和中间件用户独立用户；应实现中网管系统使用 CS1的权限分离，中不适用N/AN/A间件用户和互联网架构，无中间件间件是否使用独数据中心 IDC 应用立用户程序用户的权限分离4.4 中间件安全序评测实际检查内容检查点分值说明号结果扣分启用其它设备（主机隔离等）进行安查看配置并技术使用交换机 ACL6全边界划分、隔离检测

14、验证访问控符合0规则进行访 问控的应尽量实现严格制措施制的访问控制策略4.5 安全域边界安全序评测实际评测内容评测项分值说明号结果扣分互联网数据中心（IDC）集中运维安全管控系统应与提供互联网数据中心（IDC）各种服务的通过技术测试检使用独立网络区互联网数据中心验 IDC 集中运维域，在 E8080E 上（IDC）基础设施隔安全管控系统与进行访问控制策1离，应部署在不同符合0IDC 基础设施的网略，不允许其他网网络区域，网络边络隔离是否符合络对网管区域进界处设备应按不同安全策略行访问互联网数据中心（IDC）业务需求实施访问控制策略， 应只开放管理所必须的服务及端口，4.6 集中运维安全管控系统

15、安全序评测实际评测内容评测项分值说明号结果扣分避免开放较大的 IP地址段及服务；序评测实际评测内容评测项分值说明号结果扣分互联网数据中心 ID互联网数据中心I定期进行各项演C 网络灾难恢复时DC 网络灾难演练练，按客户重要间应满足 行业管恢复时间是否满2符合0程度不同在一定理、网络和业务运足行业管理和企时间内恢复，满营商应急预案的相业应急预案的相足要求关要求。关要求4.7 灾难备份及恢复序评测实际评测内容评测项分值说明号结果扣分制定了相应管理至少覆盖但不限于是否包含至少安制度，包含安全安全管理制度、安全管理制度、安全管理制度、安全全管理机构、人员管理机构、人员安1符合0管理机构、人员安全管理、

16、安全建全管理、安全建设安全管理、安全设管理、安全运维管理、安全运维管建设管理、安全管理等管理方面；理等内容运维管理等内容IDC 应有介质存取、 IDC 是否有介质存制定了IDC 灾4符合0验证和转储管理制取、验证和转储管难备份与恢复管4.8 管理安全序评测实际评测内容评测项分值说明号结果扣分度，确保备份数据理制度，确保备份理办法规定了授权数据授权相应内容序评测实际评测内容评测项分值说明号结果扣分是否将通过中国通信企业协会通由提供风险应确保安全服务商信网络安全服务评估的第三方服1的选择符合国家的符合0能力评定列为外务，符合相应要有关规定；部安全服务提供求。商招标条件之一4.9 第三方服务安全第5

17、章 风险评估结果本次章节评分主要依据网络和系统安全防护检查评分方法，对技术检测中发现的安全隐患的数量、位置、危害程度进行扣分。5.1 存在的安全隐患1. 网管系统监控终端 存在的主机弱口令，可直接登录系统网管系统监控终端存在的主机弱口令 PC/000，可直接登录系统获取系统权限导致服务器受控，详见附录 B。危害程度：弱口令所处位置：其他设备扣分：1 分建议：提示用户修改初始口令，口令应具有一定复杂度。第6章 综合评分6.1 符合性得分本次测试对 IDC 系统进行符合项检测，共检测 89 项，每项分值为（100/89）， 其中项不符合要求，符合性得分为分。6.2 风险评估本次主要通过系统应用层扫描、手工核查、内外网渗透对 IDC 系统进行安全风险评估，共发现 2 个安全隐患：第一次扣分情况如下：100-5=95 分安全隐患利用第二次扣分：通过技术检测，从网络单元内获取服务器的管理员权限，导致服务器受控， 扣除一次扣分后剩余得分的 20%。6.3 综合得分对 IDC 系统的 68 项符合性评测和存在的安全隐患进行评估，IDC 系统网络单元安全防护检测评分为：附录A 设备扫描记录表 A-1 信息汇总表漏洞风 配置风 总风险IP 地址操作系统危险程度险值险值值无2非常安全无2非常安全无2非常安全