网络安全防护检查报告模板.doc

网络安全防护检查报告模板.doc

《网络安全防护检查报告模板.doc》由会员分享，可在线阅读，更多相关《网络安全防护检查报告模板.doc（16页珍藏版）》请在冰豆网上搜索。

编号：

网络安全防护检查报告

数据中心

测评单位：

报告日期：

目录

第1章系统概况 2

1.1网络结构 2

1.2管理制度 2

第2章评测方法和工具 4

2.1测试方式 4

2.2测试工具 4

2.3评分方法 4

2.3.1符合性评测评分方法 5

2.3.2风险评估评分方法 5

第3章测试内容 7

3.1测试内容概述 7

3.2扫描和渗透测试接入点 8

3.3通信网络安全管理审核 8

第4章符合性评测结果 9

4.1业务安全 9

4.2网络安全 9

4.3主机安全 9

4.4中间件安全 10

4.5安全域边界安全 10

4.6集中运维安全管控系统安全 10

4.7灾难备份及恢复 11

4.8管理安全 11

4.9第三方服务安全 12

第5章风险评估结果 13

5.1存在的安全隐患 13

第6章综合评分 14

6.1符合性得分 14

6.2风险评估 14

6.3综合得分 14

附录A设备扫描记录 15

-II-

所依据的标准和规范有：

Ø《YD/T2584-2013互联网数据中心IDC安全防护要求》

Ø《YD/T2585-2013互联网数据中心IDC安全防护检测要求》

Ø《YD/T2669-2013第三方安全服务能力评定准则》

Ø《网络和系统安全防护检查评分方法》

Ø《2014年度通信网络安全防护符合性评测表－互联网数据中心IDC》

还参考标准

ØYD/T1754-2008《电信和互联网物理环境安全等级保护要求》

ØYD/T1755-2008《电信和互联网物理环境安全等级保护检测要求》

ØYD/T1756-2008《电信和互联网管理安全等级保护要求》

ØGB/T20274信息系统安全保障评估框架

ØGB/T20984-2007《信息安全风险评估规范》

第1章系统概况

IDC由负责管理和维护，其中各室配备了数名工程师，负责IDC设备硬、软件维护，数据制作，故障处理、信息安全保障、机房环境动力设备和空调设备维护。

1.1网络结构

图11：

IDC网络拓扑图

1.2管理制度

1.组织架构

信息安全工作组

网络安全工作组

具体职能部门

网络与信息安全工作小组

图12：

IDC信息安全管理机构

2.岗位权责分工

现有的管理制度、规范及工作表单有：

l《IDC机房信息安全管理制度规范》

l《IDC机房管理办法》

l《IDC灾难备份与恢复管理办法》

l《网络安全防护演练与总结》

l《集团客户业务故障处理管理程序》

l《互联网与基础数据网通信保障应急预案》

l《IDC网络应急预案》

l《关于调整公司跨部门组织机构及有关领导的通知》

l《网络信息安全考核管理办法》

l《通信网络运行维护规程公共分册-数据备份制度》

l《省分公司转职信息安全人员职责》

l《通信网络运行维护规程IP网设备篇》

l《城域网BAS、SR设备配置规范》

l《IP地址管理办法》

l《互联网网络安全应急预案处理细则》

l《互联网网络安全应急预案处理预案（2013修订版）》

第2章评测方法和工具

2.1测试方式

l检查

通过对测试对象进行观察、查验、分析等活动，获取证据以证明保护措施是否有效的一种方法。

l测试

通过对测试对象按照预定的方法/工具使其产生特定的响应等活动，查看、分析测试对象的响应输出结果，获取证据以证明保护措施是否有效的一种方法。

2.2测试工具

主要使用到的测试工具有：

扫描工具、渗透测试工具、抓包工具、漏洞利用验证工具等。

具体描述如下表：

表31：

测试工具

序号

工具名称

工具描述

1

绿盟漏洞扫描系统

脆弱性扫描

2

科莱网络协议分析工具

脆弱性扫描

3

Nmap

端口扫描

4

BurpSuite

WEB渗透集成工具

2.3评分方法

分为符合性检测和风险评估两部分工作。

网络单元安全防护检测评分＝符合性评测得分×60%＋风险评估得分×40%。

其中符合性评测评分和风险评估评分均采用百分制。

2.3.1符合性评测评分方法

符合性评测评分依据网络单元符合性评测表中所列制度、措施的符合情况计分，其中每个评测项对应分值，由100分除以符合性评测表中评测项总数所得。

2.3.2风险评估评分方法

网络单元风险评估首先基于技术检测中发现的安全隐患的数量、位置、危害程度进行一次扣分；然后依据发现的安全隐患是否可被技术检测单位利用进行二次扣分。

风险评估评分流程具体如下。

1、一次扣分

在技术检测时，每发现一个安全隐患，根据其所处的位置及危害程度扣除相应分值。

各类安全隐患的扣分值如表3-2所示。

表3-2风险评估安全隐患扣分表

安全隐患类型

重要设备【注1】

其它设备

高危漏洞【注2】

中危漏洞【注2】

弱口令

其它安全隐患【注3】

[注1]：

重要设备包括内外网隔离设备、内部安全域划分设备、互联网直联设备、网络业务核心设备。

[注2]：

中高危漏洞以国内外权威的CVE漏洞库和国家互联网应急中心CNVD漏洞库为基本判断依据；对于高危Web安全隐患，以国际上公认的开放式Web应用程序安全项目（OWASP，OpenWebApplicationSecurityProject）确定最新的Top10中所列的WEB安全隐患判断作为判断依据。

[注3]：

其它安全隐患指可能导致用户信息泄露、重要设备受控、业务中断、网络中断等重大网络安全事件的隐患。

2、二次扣分

在一次扣分剩余得分的基础上，依据网络单元是否已被攻击入侵或发现的安全隐患是否可被技术检测单位利用，进行二次扣分。

具体扣分步骤如下：

如通过技术检测，发现网络单元中存在恶意代码，或已被入侵而企业尚未发现并处置，扣除一次扣分后剩余得分的40%。

如通过技术检测，从网络单元外获取网络单元内设备的管理员权限或获取网络单元内数据库信息，扣除一次扣分后剩余得分的40%。

如通过技术检测，从网络单元内获取设备的管理员权限或获取数据库信息，扣除一次扣分后剩余得分的20%。

最后剩余分数即为风险评估得分。

第3章测试内容

3.1测试内容概述

分为符合性评测和安全风险评估两部分，符合性评测具体内容为：

业务安全、网络安全、主机安全、中间件安全、安全域边界安全、集中运维安全管控系统安全、灾难备份及恢复、管理安全、第三方服务安全状况。

安全风险评估主要通过技术检测发现网络单元内是否存在中高危安全漏洞、弱口令，以及可能导致用户信息泄露、重要设备受控、业务中断、网络中断等重大网络安全事件的隐患，检测是否存在恶意代码或企业尚未知晓的入侵痕迹，检测是否可以获取设备的管理员权限、数据库等。

表41：

网络架构测试对象

序号

测试对象

描述

1

IDC

检测系统网络架构的合理性

表32：

IDC网络设备列表

设备名称

型号

IP地址

核心路由器

表43：

IDC网管系统主机列表

主机名称

型号

IP地址

系统软件

用途

数据库服务器

Windows2003

数据库服务器

应用服务器

Windows2003

应用服务器

通讯服务器

Windows2003

通讯服务器

流量服务器

Windows2003

流量服务器

业务/门户管理服务器

Windows2003

业务/门户管理服务器

表44：

IDC网管系统列表

系统名称

主要功能

IDC综合运营管理系统

3.2扫描和渗透测试接入点

选择从互联网和内网区域的测试点模拟外部用户与内部托管用户进行渗透测试，并从互联网、托管用户区的测试点进行漏洞扫描。

3.3通信网络安全管理审核

该测试范围涉及IDC安全管理审核，主要内容包括：

安全管理制度、安全管理机构、人员安全管理、安全建设管理、安全运维管理、灾难备份、应急预案等相关制度管理文档。

第4章符合性评测结果

本次符合性评分主要依据网络单元符合性评测表的符合情况得分，其中每个评测项对应分值，由100分除以符合性评测表中评测项总数所得。

本次对IDC系统符合性检测项数为89项，单项分值为（100/89）1.12分。

4.1业务安全

序号

检查内容

检查点

评测

结果

分值

实际

扣分

说明

1

应按照合同保证IDC用户业务的安全；

是否按照合同要求保证IDC用户业务安全

符合

1.12

0

与用户签署相关协议，合同中对网络安全及业务安全进行相关描述和约定。

但目前客户没有提出过单独的业务安全要求

4.2网络安全

序号

检查内容

检查点

评测

结果

分值

实际

扣分

说明

5

审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。

审计记录是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息

符合

1.12

0

IDC内网络设备syslog审计日志存储在本机中，日志记录信息包含事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息

4.3主机安全

序号

评测内容

评测项

评测

结果

分值

实际扣分

说明

1

应对登录操作系统和数据库系统的用户进行身份标识和鉴别；

是否对登录操作系统和数据库系统的用户进行身份标识和鉴别

符合

1.12

0

操作系统和数据库系统自身实现对用户的身份标识和鉴别功能

4.4中间件安全

序号

检查内容

检查点

评测

结果

分值

实际

扣分

说明

1

"应实现操作系统和中间件用户的权限分离，中间件应使用独立用户；应实现中间件用户和互联网数据中心IDC应用程序用户的权限分离"

是否实现操作系统和中间件用户的权限分离，中间件是否使用独立用户

不适用

N/A

N/A

网管系统使用CS架构，无中间件

4.5安全域边界安全

序号

检查内容

检查点

评测

结果

分值

实际

扣分

说明

6

启用其它设备（主机隔离等）进行安全边界划分、隔离的应尽量实现严格的访问控制策略

查看配置并技术检测验证访问控制措施

符合

1.12

0

使用交换机ACL规则进行访问控制

4.6集中运维安全管控系统安全

序号

评测内容

评测项

评测

结果

分值

实际扣分

说明

1

互联网数据中心（IDC）集中运维安全管控系统应与提供互联网数据中心（IDC）各种服务的互联网数据中心（IDC）基础设施隔离，应部署在不同网络区域，网络边界处设备应按不同互联网数据中心（IDC）业务需求实施访问控制策略，应只开放管理所必须的服务及端口，避免开放较大的IP地址段及服务；

通过技术测试检验IDC集中运维安全管控系统与IDC基础设施的网络隔离是否符合安全策略

符合

1.12

0

使用独立网络区域192.168.2.0，在E8080E上进行访问控制策略，不允许其他网络对网管区域进行访问

4.7灾难备份及恢复

序号

评测内容

评测项

评测

结果

分值

实际扣分

说明

2

互联网数据中心IDC网络灾难恢复时间应满足行业管理、网络和业务