網(wǎng)絡(luò)安全防護(hù)檢查報告

1、網(wǎng)絡(luò)安全防護(hù)檢查報告數(shù)據(jù)中心測試單位：報告日期：目錄第1章系統(tǒng)槪況41.1網(wǎng)絡(luò)結(jié)構(gòu)41.2管理制度4第2章：評測方法和工具 62.1測試方式62.2測試工具62.3評分方法62.3.1符合性評測評分方法 62.3.2風(fēng)險評估評分方法 7第3章測試內(nèi)容93.1測試內(nèi)容概述93.2掃描和滲透測試接入點(diǎn) 103.3通信網(wǎng)絡(luò)安全管理審核 10第四章 符合性評測結(jié)果 1.14.1業(yè)務(wù)安全1.14.2網(wǎng)絡(luò)安全1.14.3主機(jī)安全1.14.4中間件安全124.5安全域邊界安全 124.6集中運(yùn)維安全管系統(tǒng)安全 124.7災(zāi)難備份及恢復(fù) 134.8管理安全134.9第三方服務(wù)安全 14第5章風(fēng)險評估結(jié)果 14

2、5.1存在的安全隱患 14第6章綜合評分1.56.1符合性得分1.5.6.2風(fēng)險評估156.3綜合得分15所依據(jù)的標(biāo)準(zhǔn)和規(guī)范有：?YD/T 2584-2013互聯(lián)網(wǎng)數(shù)據(jù)中心IDC安全防護(hù)要求?YD/T 2585-2013互聯(lián)網(wǎng)數(shù)據(jù)中心IDC安全防護(hù)檢測要求?YD/T 2669-2013第三方安全服務(wù)能力評定準(zhǔn)則?網(wǎng)絡(luò)和系統(tǒng)安全防護(hù)檢查評分方法? ?2Q14年度通信網(wǎng)絡(luò)安全防護(hù)符合性評測表-互聯(lián)網(wǎng)數(shù)據(jù)中心IDC還參考標(biāo)準(zhǔn)? YD/T 1754-2QQ8 電信和互聯(lián)網(wǎng)物理環(huán)境安全等級保護(hù)要求? YD/T 1755-2QQ8電信和互聯(lián)網(wǎng)物理環(huán)境安全等級保護(hù)檢測要求? YD/T 1756-2QQ8電信

3、和互聯(lián)網(wǎng)管理安全等級保護(hù)要求? GB/T 20274信息系統(tǒng)安全保障評估框架? GB/T 20984-2007信息安全風(fēng)險評估規(guī)范第1章系統(tǒng)槪況IDC由負(fù)責(zé)管理和維護(hù)，其中各室配備了數(shù)名工程師，負(fù)責(zé)IDC設(shè)備硬、軟件維護(hù)，數(shù)據(jù)制作，故障處理、信息安全保障、機(jī)房環(huán)境動力設(shè)備和空調(diào)維護(hù)。1.1網(wǎng)絡(luò)結(jié)構(gòu)圖1-1 :拓?fù)鋱D1.2管理制度1.組織架構(gòu)網(wǎng)絡(luò)與信息安全工作屮組信息安全工作組網(wǎng)絡(luò)安全工作組 -具體職能祁門圖1-2: IDC信息安全管理機(jī)構(gòu)2.崗位權(quán)責(zé)分工現(xiàn)有的管理制度、規(guī)范及工作表單有：IDC機(jī)房信息安全管理制度規(guī)范IDC機(jī)房管理辦法IDC災(zāi)難備份與恢復(fù)管理辦法網(wǎng)絡(luò)安全防護(hù)演練與總結(jié)集團(tuán)客戶業(yè)

4、務(wù)故障處理管理程序互聯(lián)網(wǎng)與基礎(chǔ)數(shù)據(jù)網(wǎng)通信保障應(yīng)急預(yù)案IDC網(wǎng)絡(luò)應(yīng)急預(yù)案關(guān)于調(diào)整公司跨部門組織機(jī)構(gòu)及有關(guān)領(lǐng)導(dǎo)的通知網(wǎng)絡(luò)信息安全考核管理辦法通信網(wǎng)絡(luò)運(yùn)行維護(hù)規(guī)程公共分冊-數(shù)據(jù)備份制度省分公司轉(zhuǎn)職信息安全人員職責(zé)通信網(wǎng)絡(luò)運(yùn)行維護(hù)規(guī)程IP網(wǎng)設(shè)備篇城域網(wǎng)BAS SR設(shè)備配罝規(guī)范IP地址管理辦法互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案處理細(xì)則互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案處理預(yù)案（2013修訂版）第2章：評測方法和工具2.1測試方式檢查通過對測試對象進(jìn)行觀察、查驗、分析等活動，獲取證據(jù)以證明保護(hù)措施是否有效的一種方法 測試通過對測試對象按照預(yù)定的方法/工具使其產(chǎn)生特定的響應(yīng)等活動，查看、分析測試對象的響 應(yīng)輸出結(jié)果，獲取證據(jù)以證明

5、保護(hù)措施是否有效的一種方法。2.2測試工具主要使用到的測試工具有：掃描工具、滲透測試工具、抓包工具、漏洞利用驗證工具等。具體 描述如下表：表3-1 :測試工具序號工具名稱工具描述1綠盟漏洞掃描系統(tǒng)脆弱性掃描2科萊網(wǎng)絡(luò)協(xié)議分析工具脆弱性掃描3Nmap端口掃描4Burp SuiteWE軫透集成工具2.3評分方法分為符合性檢測和風(fēng)險評估兩部分工作。網(wǎng)絡(luò)單元安全防護(hù)檢測評分=符合性評測得分X60%風(fēng)險評估得分X 40%其中符合性評測評分和風(fēng)險評估評分 均采用百分制。2.3.1符合性評測評分方法符合性評測評分依據(jù)網(wǎng)絡(luò)單元符合性評測表中所列制虔、措施的符合情況計分，其中每個評測項對應(yīng)分值，由100分除以符

6、合性評測表中評測項總數(shù)所得232風(fēng)險評估評分方法網(wǎng)絡(luò)單元風(fēng)險評估首先基于技術(shù)檢測中發(fā)現(xiàn)的安全隱患的數(shù)量、 位置、危害程度進(jìn)行一次扣 分；然后依據(jù)發(fā)現(xiàn)的安全隱患是否可被技術(shù)檢測單位利用進(jìn)行二次扣分， 風(fēng)險評估評分流程具 體如下：1、一次扣分在技術(shù)檢測時，每發(fā)現(xiàn)一個安全隱患，根據(jù)其所處的位罝及危害程度扣除相應(yīng)分值。各類安全隱患的扣分值如表3-2所示。表3-2風(fēng)險評估安全隱患扣分表安全隱患類型重要設(shè)備其他設(shè)備高危漏洞無無中危漏洞無無若口令無無其他安全隱患無無注1:重要設(shè)備包括內(nèi)外網(wǎng)隔離設(shè)備、內(nèi)部安全域劃分設(shè)備、互聯(lián)網(wǎng)直聯(lián)設(shè)備、網(wǎng)絡(luò)業(yè) 務(wù)核心設(shè)備。注2:中高危漏洞以國內(nèi)外權(quán)威的CVES洞庫和國家互聯(lián)網(wǎng)

7、應(yīng)急中心 CNVDB洞庫為基本 判斷依據(jù)；對于高危 Web安全隱患，以國際上公認(rèn)的幵放式 Web應(yīng)用程序安全項目（OWASP Open Web Application Security Project確定最新的Top 10中所列的 WE或全隱患判斷作為判斷依據(jù)。注3:其它安全隱患指可能導(dǎo)致用戶信息泄露、重要設(shè)備受控、業(yè)務(wù)中斷、網(wǎng)絡(luò)中斷等 重大網(wǎng)絡(luò)安全事件的隱患。2、二次扣分在一次扣分剩余得分的基礎(chǔ)上，依據(jù)網(wǎng)絡(luò)單元是否已被攻擊入侵或發(fā)現(xiàn)的安全隱患是否可 被技術(shù)檢測單位利用，進(jìn)行二次扣分。具體扣分步驟如下：如通過技術(shù)檢測，發(fā)現(xiàn)網(wǎng)絡(luò)單元中存在惡意代碼，或已被入侵而企業(yè)尚未發(fā)現(xiàn)并處罝，扣除一次扣分后剩

8、余得分的40%如通過技術(shù)檢測，從網(wǎng)絡(luò)單元外獲取網(wǎng)絡(luò)單元內(nèi)設(shè)備的管理員權(quán)限或獲取網(wǎng)絡(luò)單元內(nèi)數(shù)據(jù) 庫信息，扣除一次扣分后剩余得分的 40%如通過技術(shù)檢測，從網(wǎng)絡(luò)單元內(nèi)獲取設(shè)備的管理員權(quán)限或獲職數(shù)據(jù)庫信息，扣除一次扣分后剩余得分的20%最后剩余分?jǐn)?shù)即為風(fēng)險評估得分。第3章測試內(nèi)容3.1測試內(nèi)容概述分為符合性評測和安全風(fēng)險評估兩部分，符合性評測具體內(nèi)容為：業(yè)務(wù)安全、網(wǎng)絡(luò)安全、主機(jī)安全、中間件安全、安全域邊界安全、集中運(yùn)維安全管控系統(tǒng)安全、災(zāi)難備份及恢復(fù)、管理安全、第三方服務(wù)安全狀況。安全風(fēng)險評估主要通過技術(shù)檢測發(fā)現(xiàn)網(wǎng)絡(luò)單元內(nèi)是否存在中高危安全漏洞、弱口令，以及可能導(dǎo)致用戶信息泄露、重要設(shè)備受控、業(yè)務(wù)中

9、斷、網(wǎng)絡(luò)中斷等重大網(wǎng)絡(luò)安全事件的隱患，檢 測是否存在惡意代碼或企業(yè)尚未知曉的入侵痕跡，檢測是否可以獲取設(shè)備的管理員權(quán)限、數(shù)據(jù) 庫等。表4.1 :網(wǎng)絡(luò)架構(gòu)測試對象序號測試對象描述1IDC檢測系統(tǒng)網(wǎng)絡(luò)架構(gòu)的合理性表4-2 : IDC網(wǎng)絡(luò)設(shè)備列表設(shè)備名稱型號IP地址核心路由器表4-3 : IDC網(wǎng)管系統(tǒng)主機(jī)列表主機(jī)名稱型號1P地址系統(tǒng)軟件用途數(shù)據(jù)庫服務(wù)器Win dows 2003數(shù)據(jù)庫服務(wù)器應(yīng)用服務(wù)器Win dows 2003應(yīng)用服務(wù)器通訊服務(wù)器Win dows 2003通訊服務(wù)器流里服務(wù)器Win dows 2003流量服務(wù)器業(yè)務(wù)/門戶管Win dows 2003業(yè)務(wù)/門戶管理理服務(wù)器服務(wù)器表4-4

10、 : IDC網(wǎng)管系統(tǒng)列表系統(tǒng)名稱主要功能IDC綜合運(yùn)營管理系統(tǒng)3.2掃描和滲透測試接入點(diǎn)選擇從互聯(lián)網(wǎng)和內(nèi)網(wǎng)區(qū)域的測試點(diǎn)模擬外部用戶與內(nèi)部托管用戶進(jìn)行滲透測試，并從互聯(lián)網(wǎng)、托管用戶區(qū)的測試點(diǎn)進(jìn)行漏洞掃描。3.3通信網(wǎng)絡(luò)安全管理審核該測試范圍內(nèi)涉及IDC安全管理審核，主要包括：安全管理制度，安全管理機(jī)構(gòu)，人員安 全管理，安全建設(shè)管理，安全運(yùn)維管理，災(zāi)難備份，應(yīng)急預(yù)案等相關(guān)制度管理文檔。第四章符合性評測結(jié)果本次符合性評分主要依據(jù)網(wǎng)絡(luò)單元符合性評測表的符合情況得分，其中每個評測項對應(yīng)分值，由100分除以符合性評測表中評測項總數(shù)所得。本次對IDC系統(tǒng)符合性檢測項數(shù)為89項,單項分值為（100/89）1.

11、12 分。4.1業(yè)務(wù)安全序 號檢杳內(nèi)容檢杳點(diǎn)評測結(jié)果分值實(shí)際扣分說明1應(yīng)按照合同保 證IDC用戶業(yè) 務(wù)的安全是否按照合同 要求保證IDC 用戶業(yè)務(wù)安全符合1.120與用戶簽署相關(guān)協(xié)設(shè)，臺 同中對網(wǎng)絡(luò)安全及業(yè)務(wù) 安全逬行相關(guān)描述和約 定。但目前客戶沒有提出 過單獨(dú)的業(yè)務(wù)安全要求4.2網(wǎng)絡(luò)安全序 號檢杳內(nèi)容檢杳點(diǎn)評測結(jié)果分值實(shí)際扣分說明1審計記錄應(yīng)包 括事件的日期 和時間、用 戶、事件類型、 事件是否成功 及其他與審 計相關(guān)的信 息。審計記錄是否 包括事件的日 期和時間、用 戶、事件類型、 事件是否成功 及其他與審計 相關(guān)的信息符合1.120IDC內(nèi)網(wǎng)絡(luò)設(shè)備syslog審 計日志存儲在本機(jī)中，日

12、志記錄信息包含事件的日 期和時間、用戶、事件類 型、事件是否成功及其他 與審計相關(guān)的信息4.3主機(jī)安全序 號評測內(nèi)容評測項評測結(jié) 果分值實(shí)際扣分說明1應(yīng)對登錄操作 系統(tǒng)和數(shù)據(jù)庫是否對登錄操 作系統(tǒng)和數(shù)據(jù)符合1.120操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)自 身實(shí)現(xiàn)對用戶的身份標(biāo)識系統(tǒng)的用戶進(jìn) 行身份標(biāo)識和 鑒別庫系統(tǒng)的用戶 進(jìn)行身份標(biāo)識 和鑒別和鑒別功能4.4中間件安全序號檢杳內(nèi)容檢杳點(diǎn)評測結(jié)果分值實(shí)際扣分說明1應(yīng)實(shí)現(xiàn)操作系統(tǒng)和 中間用戶的權(quán)限分 離，中間件應(yīng)使用 獨(dú)立用戶；應(yīng)實(shí)現(xiàn) 中間件用戶和互聯(lián) 網(wǎng)數(shù)據(jù)中心的 IDC 應(yīng)用程序用戶的權(quán) 限分離是否實(shí)現(xiàn)操 作系統(tǒng)和中 間件用戶的 權(quán)限分離， 中間件是否 使用獨(dú)

13、立用 戶不適應(yīng)N/AN/A網(wǎng)管系統(tǒng)使用CS架 構(gòu)，無中間件4.5安全域邊界安全序 號檢杳內(nèi)容檢杳點(diǎn)評測結(jié)果分值實(shí)際扣分說明1啟用其他設(shè)備（主機(jī)隔離 等）進(jìn)行安全 邊界劃分、隔 離的應(yīng)盡量實(shí) 現(xiàn)嚴(yán)格的訪問 控制策略查看配置并技 術(shù)檢測驗證訪 問控制措施符合1.120使用交換機(jī)ACL規(guī)則進(jìn)行 訪問控制4.6集中運(yùn)維安全管系統(tǒng)安全序 號評測內(nèi)容評 測 項評 測 結(jié) 果分 值實(shí)際 扣分說 明1倖網(wǎng)頭避 管不B需n, 隹 RH r- 皿應(yīng)中K? - 一 厶-_ ID拋聯(lián)所 小需加務(wù) 心彳放艮 ，亍二 月 州讓皿W及 期艸tw:p段 W伽阮應(yīng)地 哪寫m,P 互聯(lián)絡(luò)策的合安全策略管區(qū)域進(jìn)項訪問4.7災(zāi)難備份

14、及恢復(fù)序 號評測內(nèi)容評測項評測結(jié)果分 值實(shí)際扣分說明1互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）網(wǎng) 絡(luò)災(zāi)難恢復(fù)時間應(yīng)滿足行 業(yè)管理，網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營 商應(yīng)急預(yù)案的相關(guān)要求互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC） 網(wǎng)絡(luò)災(zāi)難演練恢復(fù)時間 是否滿足行業(yè)管理和企 業(yè)應(yīng)急預(yù)案的相關(guān)要求符 合1.120定期進(jìn)行各項演 練，按客戶重要 程度不同在一定 時間內(nèi)恢復(fù)，滿 足要求4.8管理安全序 號評測內(nèi)容評測項評 測 結(jié) 果分 值實(shí) 際 扣 分說明1至少覆蓋但不限于安全管 理制度、安全管理機(jī)構(gòu)、 人員安全管理、安全建設(shè) 管理、安全運(yùn)維管理等管 理方面；是否包含至少安全管理 制度、安全管理機(jī)構(gòu)、 人員安全管理、安全建 設(shè)管理、安全運(yùn)維管理 等內(nèi)容符

15、合1.120制定了相應(yīng)管理制度，包含 安全管理制度、安全管理機(jī) 構(gòu)、人員安全管理、安全建 設(shè)管理、安全運(yùn)維管理等內(nèi) 容序 號評測內(nèi)容評測項評測 結(jié)果分 值實(shí)際 扣分說明4IDC應(yīng)有介質(zhì)存取、驗證 和轉(zhuǎn)儲管理制度，確報備 份數(shù)據(jù)授權(quán)IDC是否有介質(zhì)存取、驗 證和轉(zhuǎn)儲管理制度，確報 備份數(shù)據(jù)授權(quán)符合1.120制定了IDC災(zāi)難備份與 恢復(fù)管理辦法規(guī)定了 相應(yīng)內(nèi)容4.9第三方服務(wù)安全序 號評測內(nèi)容評測項評 測 結(jié) 果分 值實(shí) 際 扣 分說明1應(yīng)確保安全服 務(wù)上的選擇符 合國家的有關(guān)是否將通過中國通信企業(yè)協(xié)會通 信網(wǎng)絡(luò)安全服務(wù)能力評定列為外 部安全服務(wù)提供商招標(biāo)商條件之符合1.120由提供風(fēng)險評估 的第

16、三方服務(wù)，符 合響應(yīng)要求第5章風(fēng)險評估結(jié)果本次章節(jié)評分主要依據(jù)網(wǎng)絡(luò)和系統(tǒng)安全防護(hù)檢查評分方法，對技術(shù)檢測中發(fā)現(xiàn)的安全隱患的數(shù)量、位置、危害程度進(jìn)行扣分。5.1存在的安全隱患1.網(wǎng)管系統(tǒng)監(jiān)控終端192.168存在的主機(jī)弱口令，可直接登錄系統(tǒng)網(wǎng)管系統(tǒng)監(jiān)控終端192.168存在的主機(jī)弱口令PC/OOO,可直接登錄系統(tǒng)獲取系統(tǒng)權(quán)限導(dǎo)致服 務(wù)器受控，詳見附錄B。危害程度：弱口令所處位罝：其他設(shè)備扣分：1分建議：提示用戶修改初始口令，口令應(yīng)具有一定復(fù)雜度。第6章綜合評分6.1符合性得分本次測試對IDC系統(tǒng)進(jìn)行符合項檢測，共檢測 89項，每項分值為1.12 (100/89其中項 不符合要求，符合性得分為分。6.2風(fēng)險評估本次主要通過系統(tǒng) 應(yīng)用層掃描、手工核查、內(nèi)外網(wǎng)滲透對 IDC系統(tǒng)進(jìn)行安全風(fēng)險評估，共 發(fā)現(xiàn)2個安全隱患：第一次扣分情況如下：100-5=9