网络安全防护检查报告.docx

网络安全防护检查报告.docx

《网络安全防护检查报告.docx》由会员分享，可在线阅读，更多相关《网络安全防护检查报告.docx（19页珍藏版）》请在冰豆网上搜索。

网络安全防护检查报告

网络安全防护检查报告

数据中心

测试单位:

报告日期:

5..

第1章系统槪况

网络结构

1.2

管理制度

5..

第2章:

评测方法和工具

.7.

2.1

测试方式

7.

2.2

测试工具

7.

2.3

评分方法

7.

2.3.1符合性评测评分方法

2.3.2风险评估评分方法

8.

第3章测试内容

11

3.1测试内容概述

11

3.2扫描和渗透测试接入点

12

3.3通信网络安全管理审核

12

第四章符合性评测结果

14

4.2

网络安全

14

4.3

主机安全

15

4.4

中间件安全

15

4.5

安全域边界安全

16

4.6

集中运维安全管系统安全

17

4.7

灾难备份及恢复

17

4.8

管理安全

18

4.9

第三方服务安全

19

第5章风险评估结果

19

5.1存在的安全隐患

20

第6章综合评分

20

6.1符合性得分

20

6.2风险评估

20

6.3综合得分

21

所依据的标准和规范有:

＞《YD/T2584-2013

互联网数据中心IDC安全防护要求》

《YD/T2585-2013

互联网数据中心IDC安全防护检测要求》

«网络和系统安全防护检查评分方法》

?

2Q14年度通信网络安全防护符合性评测表-互联网数据中心IDC》还参考标准

GB/T20274信息系统安全保障评估框架

第1章系统槪况

IDC由负责管理和维护，其中各室配备了数名工程师，负责IDC设备硬、软件维护，数

据制作，故障处理、信息安全保障、机房环境动力设备和空调维护。

1.1网络结构

图1-1:

拓扑图

1.2管理制度

图1-2:

IDC信息安全管理机构

2.岗位权责分工

现有的管理制度、规范及工作表单有:

《IDC机房信息安全管理制度规范》

《IDC机房管理办法》

《IDC灾难备份与恢复管理办法》

《网络安全防护演练与总结》

《集团客户业务故障处理管理程序》

《互联网与基础数据网通信保障应急预案》

《IDC网络应急预案〉〉

《关于调整公司跨部门组织机构及有关领导的通知》

«网络信息安全考核管理办法》

《通信网络运行维护规程公共分册-数据备份制度》

《省分公司转职信息安全人员职责》

《通信网络运行维护规程IP网设备篇》

《城域网BAS、SR设备配罝规范》

《IP地址管理办法》

《互联网网络安全应急预案处理细贝U》

《互联网网络安全应急预案处理预案（2013修订版）

第2章：

评测方法和工具

2.1测试方式

检查

通过对测试对象进行观察、查验、分析等活动，获取证据以证明保护措施是否有效的一种方法。

测试

通过对测试对象按照预定的方法/工具使其产生特定的响应等活动，查看、分析测试对象的响应输出结果，获取证据以证明保护措施是否有效的一种方法。

22测试工具

主要使用到的测试工具有：

扫描工具、滲透测试工具、抓包工具、漏洞利用验证工具等。

具体描述如下表:

表3-1:

测试工具

序号

工具名称

工具描述

1

绿盟漏洞扫描系统

脆弱性扫描

2

科莱网络协议分析工具

脆弱性扫描

3

NmaP

端口扫描

4

BurpSuite

WEB渗透集成工具

2.3评分方法

分为符合性检测和风险评估两部分工作。

网络单元安全防护检测评分=符合性评测得分X

60%+风险评估得分X40%。

其中符合性评测评分和风险评估评分均采用百分制。

231符合性评测评分方法

符合性评测评分依据网络单元符合性评测表中所列制虔、措施的符合情况计分，其中每个评测项对应分值，由100分除以符合性评测表中评测项总数所得。

2.3.2风险评估评分方法

网络单元风险评估首先基于技术检测中发现的安全隐患的数量、位置、危害程度进行一次扣

分；然后依据发现的安全隐患是否可被技术检测单位利用进行二次扣分，风险评估评分流程具

体如下:

1、一次扣分

在技术检测时，每发现一个安全隐患，根据其所处的位罝及危害程度扣除相应分值。

各类安全隐患的扣分值如表3-2所示。

表3-2风险评估安全隐患扣分表

安全隐患类型

重要设备

其他设备

高危漏洞

无

无

中危漏洞

无

无

若口令

无

无

其他安全隐患

无

无

[注1]:

重要设备包括内外网隔离设备、内部安全域划分设备、互联网直联设备、网络业务

核心设备。

[注2]:

中高危漏洞以国内外权威的CVE漏洞库和国家互联网应急中心CNVD漏洞库为基

本判断依据；对于高危Web安全隐患，以国际上公认的幵放式Web应用程序安全项目

（OWASP，OpenWebApplicationSecurityProject确定最新的Top10中所列的WEB安全隐患判断作为判断依据。

[注3]:

其它安全隐患指可能导致用户信息泄露、重要设备受控、业务中断、网络中断等重

大网络安全事件的隐患。

2、二次扣分

在一次扣分剩余得分的基础上，依据网络单元是否已被攻击入侵或发现的安全隐患是否可被技术检测单位利用，进行二次扣分。

具体扣分步骤如下:

如通过技术检测，发现网络单元中存在恶意代码，或已被入侵而企业尚未发现并处罝，扣除一次扣分后剩余得分的40%。

如通过技术检测，从网络单元外获取网络单元内设备的管理员权限或获取网络单元内数据

库信息，扣除一次扣分后剩余得分的40%。

如通过技术检测，从网络单元内获取设备的管理员权限或获职数据库信息，扣除一次扣分后剩余得分的20%。

最后剩余分数即为风险评估得分。

第3章测试内容

3.1测试内容概述

网络安全、

分为符合性评测和安全风险评估两部分，符合性评测具体内容为：

业务安全、主机安全、中间件安全、安全域边界安全、集中运维安全管控系统安全、灾难备份及恢复、管理安全、第三方服务安全状况。

弱口令，以及

安全风险评估主要通过技术检测发现网络单元内是否存在中高危安全漏洞、可能导致用户信息泄露、重要设备受控、业务中断、网络中断等重大网络安全事件的隐患，检测是否存在恶意代码或企业尚未知晓的入侵痕迹，检测是否可以获取设备的管理员权限、数据库等。

表4.1:

网络架构测试对象

序号

测试对象

描述

1

IDC

检测系统网络架构的合理性

表4-2:

IDC网络设备列表

设备名称

型号

IP地址

核心路由器

表4-3:

IDC网管系统主机列表

主机名称

型号

1P地址

系统软件

用途

数据库服务

Windows

数据库服务器

器

2003

应用服务器

Windows

2003

应用服务器

通讯服务器

Windows

2003

通讯服务器

流里服务器

Windows

2003

流量服务器

业务/门户管

Windows

业务/门户管理

理服务器

2003

服务器

表4-4:

IDC网管系统列表

系统名称

主要功能

IDC综合运营管理系统

3.2扫描和渗透测试接入点

选择从互联网和内网区域的测试点模拟外部用户与内部托管用户进行渗透测试，并从互联

网、托管用户区的测试点进行漏洞扫描。

3.3通信网络安全管理审核

该测试范围内涉及IDC安全管理审核，主要包括：

安全管理制度，安全管理机构，人员

安全管理，安全建设管理，安全运维管理，灾难备份，应急预案等相关制度管理文档。

第四章符合性评测结果

本次符合性评分主要依据网络单元符合性评测表的符合情况得分，其中每个评测项对应分值,

由100分除以符合性评测表中评测项总数所得。

本次对IDC系统符合性检测项数为89项,

单项分值为（100/89）1.12分。

4.1业务安全

序

号

检杳内容

检查点

评测结

果

分值

实际扣分

说明

1

应按照合同保

是否按照合同

符合

1.1

0

与用户签署相关协设，台

证IDC用户

要求保证IDC

2

同中对网络安全及业务

业务的安全

用户业务安全

安全逬行相关描述和约

定。

但目前客户没有提出

过单独的业务安全要求

4.2网络安全

序

号

检杳内容

检查点

评测结

果

分值

实际扣分

说明

1

审计记录应包

审计记录是否

符合

1.1

0

IDC内网络设备syslog审

括事件的日期

包括事件的日

2

计日志存储在本机中，日

和时间、用

期和时间、用

志记录信息包含事件的日

4.3主机安全

4.4中间件安全

序号

检杳内容

检查点

评测结

果

分值

实际扣分

说明

1

应实现操作系统和

是否实现操

不适应

N/A

N/A

网管系统使用CS架

中间用户的权限分

作系统和中

离，中间件应使用

间件用户的

独立用户；应实现

权限分离，

中间件用户和互联

中间件是否

网数据中心的IDC

使用独立用

应用程序用户的权

户

限分离

构，无中间件

4.5安全域边界安全

检查内容

检查点

评测结

启用其他设备

（主机隔离

等）进行安全

边界划分、隔

离的应尽量实

现严格的访问

控制策略

分值

实际扣分

说明

查看配置并技

术检测验证访

问控制措施

符合

1.12

使用交换机ACL规则进行

访问控制

4.6集中运维安全管系统安全

评测内容

扣分

互联网数据中心（IDC）集中运维安全管控系统应与提供互

联网数据中心基础设施隔离，应部署在不同网络区域，网

络边界处应按不同互联网数据中心业务需求实施访问控制

策略，应只开放管理所必须的服务及端口，避免开放较大

的IP地段及服务

4.7灾难备份及恢复

序

号

评测内容

评测项

评测结果

分值

实

际扣分

说明

1

互联网数据中心（IDC）

网络灾难恢复时间应满足

互联网数据中心（IDC）

网络灾难演练恢复时间

符

合

1.12

0

定期进行各项演

练，按客户重要

行业管理，网络和业务运

营商应急预案的相关要求

是否满足行业管理和企

业应急预案的相关要求

程度不同在一定

时间内恢复，满

足要求

4.8管理安全

序

号

评测内容

评测项

评测

结果

分

值

实际

扣分

说明

4

IDC应有介质存取、验证

IDC是否有介质存取、验

制定了《IDC灾难备份

和转储管理制度，确报备

证和转储管理制度，确报

符合

1.12

0

与恢复管理办法》规定

份数据授权

备份数据授权

了相应内容

4.9第三方服务安全

序

号

评测内容

评测项

评

测结果

分值

实

际扣分

说明

1

应确保安全服

务上的选择符

合国家的有关

是否将通过中国通信企业协会通

信网络安全服务能力评定列为外

部安全服务提供商招标商条件之

符

合

1.12

0

由提供风险评估

的第三方服务，符

合响应要求

第5章风险评估结果

本次章节评分主要依据《网络和系统安全防护检查评分方法》，对技术检测中发现的安全隐

患的数量、位置、危害程度进行扣分。

5.1存在的安全隐患

1.网管系统监控终端192.168存在的主机弱口令，可直接登录系统

网管系统监控终端192.168存在的主机弱口令PC/000,可直接登录系统获取系统权限导致服务器受控，详见附录B。

危害程度：

弱口令

所处位罝：

其他设备

扣分：

1分

建议：

提示用户修改初始口令，口令应具有一定复杂度。

第6章综合评分

6.1符合性得分

本次测试对IDC系统进行符合项检测，共检测89项，每项分值为1.12（100/89＞，其中项

不符合要求，符合性得分为分。

6.2风险评估

本次主要通过系统应用层扫描、手工核查、内外网滲透对IDC系统进行安全风险评估，共发现2个安全隐患:

第一次扣分情况如下:

100-5=95分

安全隐患利用第二次扣分:

通过技术检测，从网络单元内获取服务器192.168211的管理员权限，导致服务器受控,

扣除一次扣分后剩余得分的20%。

6.3综合得分

对IDC系统的68项符合性评测和存在的安全隐患进行评估，IDC系统网络单元安全防护检测评分为:

附录A设备扫描记录

表A-1信息汇总表

IP地址

操作系统

漏洞风险

值

配置风险

值

总风险值

危险程度

192.168.2.12

Windows

2

无

2

非常安全

192.168.2.13

Windows

2

无

2

非常安全

192.168.2.11

Windows

2

无

2

非常安全