网络安全防护检查报告.docx

1、网络安全防护检查报告网络安全防护检查报告数据中心测试单位:报告日期:5.第1章系统槪况网络结构1.2管理制度5.第2章:评测方法和工具.7.2.1测试方式7.2.2测试工具7.2.3评分方法7.2.3.1符合性评测评分方法2.3.2风险评估评分方法8.第3章测试内容113.1测试内容概述113.2扫描和渗透测试接入点123.3通信网络安全管理审核12第四章符合性评测结果144.2网络安全144.3主机安全154.4中间件安全154.5安全域边界安全164.6集中运维安全管系统安全174.7灾难备份及恢复174.8管理安全184.9第三方服务安全19第5章风险评估结果195.1存在的安全隐患20

2、第6章综合评分206.1符合性得分206.2风险评估206.3综合得分21所依据的标准和规范有:YD/T 2584-2013互联网数据中心IDC安全防护要求YD/T 2585-2013互联网数据中心IDC安全防护检测要求网络和系统安全防护检查评分方法?2Q14年度通信网络安全防护符合性评测表-互联网数据中心IDC还参考标准GB/T 20274信息系统安全保障评估框架第1章系统槪况IDC由负责管理和维护，其中各室配备了数名工程师，负责 IDC设备硬、软件维护，数据制作，故障处理、信息安全保障、机房环境动力设备和空调维护。1.1网络结构图1-1 :拓扑图1.2管理制度图1-2: IDC信息安全管理

3、机构2.岗位权责分工现有的管理制度、规范及工作表单有:IDC机房信息安全管理制度规范IDC机房管理办法IDC灾难备份与恢复管理办法网络安全防护演练与总结集团客户业务故障处理管理程序互联网与基础数据网通信保障应急预案IDC网络应急预案关于调整公司跨部门组织机构及有关领导的通知网络信息安全考核管理办法通信网络运行维护规程公共分册-数据备份制度省分公司转职信息安全人员职责通信网络运行维护规程IP网设备篇城域网BAS、SR设备配罝规范IP地址管理办法互联网网络安全应急预案处理细贝U互联网网络安全应急预案处理预案（2013修订版）第2章：评测方法和工具2.1测试方式检查通过对测试对象进行观察、查验、分析

4、等活动，获取证据以证明保护措施是否有效的一种方法。测试通过对测试对象按照预定的方法/工具使其产生特定的响应等活动，查看、分析测试对象的响 应输出结果，获取证据以证明保护措施是否有效的一种方法。22测试工具主要使用到的测试工具有：扫描工具、滲透测试工具、抓包工具、漏洞利用验证工具等。具体 描述如下表:表3-1 :测试工具序号工具名称工具描述1绿盟漏洞扫描系统脆弱性扫描2科莱网络协议分析工具脆弱性扫描3Nma P端口扫描4Burp SuiteWEB渗透集成工具2.3评分方法分为符合性检测和风险评估两部分工作。网络单元安全防护检测评分=符合性评测得分X60%+风险评估得分X 40%。其中符合性评测评

5、分和风险评估评分 均采用百分制。231符合性评测评分方法符合性评测评分依据网络单元符合性评测表中所列制虔、 措施的符合情况计分，其中每个评 测项对应分值，由100分除以符合性评测表中评测项总数所得。2.3.2风险评估评分方法网络单元风险评估首先基于技术检测中发现的安全隐患的数量、 位置、危害程度进行一次扣分；然后依据发现的安全隐患是否可被技术检测单位利用进行二次扣分， 风险评估评分流程具体如下:1、一次扣分在技术检测时，每发现一个安全隐患，根据其所处的位罝及危害程度扣除相应分值。各类安全 隐患的扣分值如表3-2所示。表3-2风险评估安全隐患扣分表安全隐患类型重要设备其他设备高危漏洞无无中危漏洞

6、无无若口令无无其他安全隐患无无注1:重要设备包括内外网隔离设备、内部安全域划分设备、互联网直联设备、网络业务核心设备。注2:中高危漏洞以国内外权威的 CVE漏洞库和国家互联网应急中心 CNVD漏洞库为基本判断依据；对于高危 Web安全隐患，以国际上公认的幵放式 Web应用程序安全项目(OWASP ， Open Web Application Security Project 确定最新的 Top 10 中所列的 WEB 安 全隐患判断作为判断依据。注3:其它安全隐患指可能导致用户信息泄露、重要设备受控、业务中断、网络中断等重大网络安全事件的隐患。2、二次扣分在一次扣分剩余得分的基础上，依据网络单

7、元是否已被攻击入侵或发现的安全隐患是否可 被技术检测单位利用，进行二次扣分。具体扣分步骤如下:如通过技术检测，发现网络单元中存在恶意代码， 或已被入侵而企业尚未发现并处罝， 扣 除一次扣分后剩余得分的40%。如通过技术检测，从网络单元外获取网络单元内设备的管理员权限或获取网络单元内数据库信息，扣除一次扣分后剩余得分的 40%。如通过技术检测，从网络单元内获取设备的管理员权限或获职数据库信息， 扣除一次扣分 后剩余得分的20%。最后剩余分数即为风险评估得分。第3章测试内容3.1测试内容概述网络安全、分为符合性评测和安全风险评估两部分，符合性评测具体内容为：业务安全、 主机安全、中间件安全、安全域

8、边界安全、集中运维安全管控系统安全、灾难备份及恢复、管 理安全、第三方服务安全状况。弱口令，以及安全风险评估主要通过技术检测发现网络单元内是否存在中高危安全漏洞、 可能导致用户信息泄露、重要设备受控、业务中断、网络中断等重大网络安全事件的隐患，检 测是否存在恶意代码或企业尚未知晓的入侵痕迹，检测是否可以获取设备的管理员权限、数据 库等。表4.1 :网络架构测试对象序号测试对象描述1IDC检测系统网络架构的合理性表4-2 : IDC网络设备列表设备名称型号IP地址核心路由器表4-3 : IDC网管系统主机列表主机名称型号1P地址系统软件用途数据库服务Win dows数据库服务器器2003应用服务

9、器Win dows2003应用服务器通讯服务器Win dows2003通讯服务器流里服务器Win dows2003流量服务器业务/门户管Win dows业务/门户管理理服务器2003服务器表4-4 : IDC网管系统列表系统名称主要功能IDC综合运营管理系统3.2扫描和渗透测试接入点选择从互联网和内网区域的测试点模拟外部用户与内部托管用户进行渗透测试， 并从互联网、托管用户区的测试点进行漏洞扫描。3.3通信网络安全管理审核该测试范围内涉及IDC安全管理审核，主要包括：安全管理制度，安全管理机构，人员安全管理，安全建设管理，安全运维管理，灾难备份，应急预案等相关制度管理文档。第四章符合性评测结果

10、本次符合性评分主要依据网络单元符合性评测表的符合情况得分， 其中每个评测项对应分值,由100分除以符合性评测表中评测项总数所得。本次对 IDC系统符合性检测项数为89项,单项分值为（100/89）1.12 分。4.1业务安全序号检杳内容检查点评测结果分值实际扣分说明1应按照合同保是否按照合同符合1.10与用户签署相关协设，台证IDC用户要求保证IDC2同中对网络安全及业务业务的安全用户业务安全安全逬行相关描述和约定。但目前客户没有提出过单独的业务安全要求4.2网络安全序号检杳内容检查点评测结果分值实际扣分说明1审计记录应包审计记录是否符合1.10IDC内网络设备syslog审括事件的日期包括事

11、件的日2计日志存储在本机中，日和时间、用期和时间、用志记录信息包含事件的日4.3主机安全4.4中间件安全序号检杳内容检查点评测结果分值实际扣分说明1应实现操作系统和是否实现操不适应N/AN/A网管系统使用CS架中间用户的权限分作系统和中离，中间件应使用间件用户的独立用户；应实现权限分离，中间件用户和互联中间件是否网数据中心的IDC使用独立用应用程序用户的权户限分离构，无中间件4.5安全域边界安全检查内容检查点评测结启用其他设备（主机隔离等）进行安全边界划分、隔离的应尽量实现严格的访问控制策略分值实际扣分说明查看配置并技术检测验证访问控制措施符合1.12使用交换机ACL规则进行访问控制4.6集中

12、运维安全管系统安全评测内容扣分互联网数据中心（IDC）集中运维安全管控系统应与提供互联网数据中心基础设施隔离，应部署在不同网络区域，网络边界处应按不同互联网数据中心业务需求实施访问控制策略，应只开放管理所必须的服务及端口，避免开放较大的IP地段及服务4.7灾难备份及恢复序号评测内容评测项评 测 结 果分值实际 扣 分说明1互联网数据中心（IDC）网络灾难恢复时间应满足互联网数据中心（IDC）网络灾难演练恢复时间符合1.120定期进行各项演练，按客户重要行业管理，网络和业务运营商应急预案的相关要求是否满足行业管理和企业应急预案的相关要求程度不同在一定时间内恢复，满足要求4.8管理安全序号评测内容

13、评测项评测结果分值实际扣分说明4IDC应有介质存取、验证IDC是否有介质存取、验制定了IDC灾难备份和转储管理制度，确报备证和转储管理制度，确报符合1.120与恢复管理办法规定份数据授权备份数据授权了相应内容4.9第三方服务安全序号评测内容评测项评测 结 果分值实际 扣 分说明1应确保安全服务上的选择符合国家的有关是否将通过中国通信企业协会通信网络安全服务能力评定列为外部安全服务提供商招标商条件之符合1.120由提供风险评估的第三方服务，符合响应要求第5章风险评估结果本次章节评分主要依据网络和系统安全防护检查评分方法 ，对技术检测中发现的安全隐患的数量、位置、危害程度进行扣分。5.1存在的安全

14、隐患1.网管系统监控终端192.168存在的主机弱口令，可直接登录系统网管系统监控终端192.168存在的主机弱口令PC/000,可直接登录系统获取系统权限导致 服务器受控，详见附录B。危害程度：弱口令所处位罝：其他设备扣分：1分建议：提示用户修改初始口令，口令应具有一定复杂度。第6章综合评分6.1符合性得分本次测试对IDC系统进行符合项检测，共检测 89项，每项分值为1.12 (100/89 ，其中项不符合要求，符合性得分为分。6.2风险评估本次主要通过系统应用层扫描、手工核查、内外网滲透对IDC系统进行安全风险评估，共 发现2个安全隐患:第一次扣分情况如下:100-5=95 分安全隐患利用第二次扣分:通过技术检测，从网络单元内获取服务器 192.168211的管理员权限，导致服务器受控,扣除一次扣分后剩余得分的20% 。6.3综合得分对IDC系统的68项符合性评测和存在的安全隐患进行评估，IDC系统网络单元安全防护检 测评分为:附录A设备扫描记录表A-1 信息汇总表IP地址操作系统漏洞风险值配置风险值总风险值危险程度192.168.2.12Win dows2无2非常安全192.168.2.13Win dows2无2非常安全192.168.2.11Win dows2无2非常安全