網(wǎng)絡(luò)安全防護檢查報告

1、編號：網(wǎng)絡(luò)安全防護檢查報告數(shù)據(jù)中心測評單位：報告日期：目錄第 1 章 系統(tǒng)概況 21.1 網(wǎng)絡(luò)結(jié)構(gòu) 21.2 管理制度 2第 2 章 評測方法和工具 42.1 測試方式 42.2 測試工具 42.3 評分方法 42.3.1 符合性評測評分方法 52.3.2 風(fēng)險評估評分方法 5第 3 章 測試內(nèi)容 73.1 測試內(nèi)容概述 73.2 掃描和滲透測試接入點 83.3 通信網(wǎng)絡(luò)安全管理審核 8第 4 章 符合性評測結(jié)果 94.1 業(yè)務(wù)安全 94.2 網(wǎng)絡(luò)安全 94.3 主機安全 94.4 中間件安全 104.5 安全域邊界安全 104.6 集中運維安全管控系統(tǒng)安全 104.7 災(zāi)難備份及恢復(fù) 114

2、.8 管理安全 114.9 第三方服務(wù)安全 12第 5章 風(fēng)險評估結(jié)果 135.1 存在的安全隱患 13第 6 章 綜合評分 146.1 符合性得分 146.2 風(fēng)險評估 146.3 綜合得分 14附錄 A 設(shè)備掃描記錄 15所依據(jù)的標(biāo)準(zhǔn)和規(guī)范有：? YD/T 2584-2013 互聯(lián)網(wǎng)數(shù)據(jù)中心 IDC 安全防護要求? YD/T 2585-2013 互聯(lián)網(wǎng)數(shù)據(jù)中心 IDC 安全防護檢測要求? YD/T 2669-2013 第三方安全服務(wù)能力評定準(zhǔn)則? 網(wǎng)絡(luò)和系統(tǒng)安全防護檢查評分方法? 2014 年度通信網(wǎng)絡(luò)安全防護符合性評測表互聯(lián)網(wǎng)數(shù)據(jù)中心 IDC還參考標(biāo)準(zhǔn)? YD/T 1754-2008 電

3、信和互聯(lián)網(wǎng)物理環(huán)境安全等級保護要求? YD/T 1755-2008 電信和互聯(lián)網(wǎng)物理環(huán)境安全等級保護檢測要 求? YD/T 1756-2008 電信和互聯(lián)網(wǎng)管理安全等級保護要求? GB/T 20274 信息系統(tǒng)安全保障評估框架 ? GB/T 20984-2007 信息安全風(fēng)險評估規(guī)范第1章系統(tǒng)概況IDCIDC由負(fù)責(zé)管理和維護，其中各室配備了數(shù)名工程師，負(fù)責(zé)設(shè)備硬、軟件維護，數(shù)據(jù)制作，故障處理、信息安全保障、機房環(huán)境動力 設(shè)備和空調(diào)設(shè)備維護。1.1網(wǎng)絡(luò)結(jié)構(gòu)圖1-1： IDC網(wǎng)絡(luò)拓?fù)鋱D1.2管理制度1.組織架構(gòu)圖1-2： IDC信息安全管理機構(gòu)2.崗位權(quán)責(zé)分工現(xiàn)有的管理制度、規(guī)范及工作表單有：ID

4、C機房信息安全管理制度規(guī)范IDC機房管理辦法IDC災(zāi)難備份與恢復(fù)管理辦法網(wǎng)絡(luò)安全防護演練與總結(jié) 集團客戶業(yè)務(wù)故障處理管理程序 互聯(lián)網(wǎng)與基礎(chǔ)數(shù)據(jù)網(wǎng)通信保障應(yīng)急預(yù)案IDC 網(wǎng)絡(luò)應(yīng)急預(yù)案 關(guān)于調(diào)整公司跨部門組織機構(gòu)及有關(guān)領(lǐng)導(dǎo)的通知 網(wǎng)絡(luò)信息安全考核管理辦法 通信網(wǎng)絡(luò)運行維護規(guī)程公共分冊 -數(shù)據(jù)備份制度 省分公司轉(zhuǎn)職信息安全人員職責(zé) 通信網(wǎng)絡(luò)運行維護規(guī)程 IP 網(wǎng)設(shè)備篇 城域網(wǎng) BAS 、SR 設(shè)備配置規(guī)范IP 地址管理辦法 互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案處理細則 互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案處理預(yù)案（ 2013 修訂版）第2章評測方法和工具2.1測試方式檢查通過對測試對象進行觀察、查驗、分析等活動，獲取證據(jù)以證明

5、保護 措施是否有效的一種方法。測試通過對測試對象按照預(yù)定的方法/工具使其產(chǎn)生特定的響應(yīng)等活動，查 看、分析測試對象的響應(yīng)輸出結(jié)果，獲取證據(jù)以證明保護措施是否有效的 一種方法。2.2測試工具主要使用到的測試工具有：掃描工具、滲透測試工具、抓包工具、漏 洞利用驗證工具等。具體描述如下表：表3-1 :測試工具序號工具名稱工具描述1綠盟漏洞掃描系統(tǒng)脆弱性掃描2科萊網(wǎng)絡(luò)協(xié)議分析工具脆弱性掃描3Nmap端口掃描4Burp SuiteWEB滲透集成工具2.3評分方法分為符合性檢測和風(fēng)險評估兩部分工作。網(wǎng)絡(luò)單元安全防護檢測評分=符合性評測得分X 60% +風(fēng)險評估得分X 40%。其中符合性評測評分和 風(fēng)險評估

6、評分均米用百分制。2.3.1符合性評測評分方法符合性評測評分依據(jù)網(wǎng)絡(luò)單元符合性評測表中所列制度、措施的符合 情況計分，其中每個評測項對應(yīng)分值，由100分除以符合性評測表中評測項總數(shù)所得。2.3.2風(fēng)險評估評分方法網(wǎng)絡(luò)單元風(fēng)險評估首先基于技術(shù)檢測中發(fā)現(xiàn)的安全隱患的數(shù)量、位 置、危害程度進行一次扣分；然后依據(jù)發(fā)現(xiàn)的安全隱患是否可被技術(shù)檢測 單位利用進行二次扣分。風(fēng)險評估評分流程具體如下。1、一次扣分在技術(shù)檢測時，每發(fā)現(xiàn)一個安全隱患，根據(jù)其所處的位置及危害程度 扣除相應(yīng)分值。各類安全隱患的扣分值如表3-2所示。表3-2風(fēng)險評估安全隱患扣分表安全隱患類型重要設(shè)備【注11其它設(shè)備咼危漏洞【注2】中危漏洞

7、【注21弱口令其匕安全隱患【注31注1:重要設(shè)備包括內(nèi)外網(wǎng)隔離設(shè)備、內(nèi)部安全域劃分設(shè)備、 互聯(lián)網(wǎng)直聯(lián)設(shè)備、網(wǎng)絡(luò)業(yè)務(wù)核心設(shè)備。注2:中高危漏洞以國內(nèi)外權(quán)威的 CVE漏洞庫和國家互聯(lián)網(wǎng)應(yīng)急中 心CNVD漏洞庫為基本判斷依據(jù)；對于高危Web安全隱患，以國際上公認(rèn)的開放式 Web 應(yīng)用程序安全項目（ OWASP ， Open Web ApplicationSecurity Project）確定最新的Top 10中所列的 WEB安全隱患判斷作為判 斷依據(jù)。注 3 ：其它安全隱患指可能導(dǎo)致用戶信息泄露、 重要設(shè)備受控、 業(yè)務(wù) 中斷、網(wǎng)絡(luò)中斷等重大網(wǎng)絡(luò)安全事件的隱患。2、二次扣分 在一次扣分剩余得分的基礎(chǔ)上

8、，依據(jù)網(wǎng)絡(luò)單元是否已被攻擊入侵或發(fā) 現(xiàn)的安全隱患是否可被技術(shù)檢測單位利用，進行二次扣分。具體扣分步驟 如下：如通過技術(shù)檢測，發(fā)現(xiàn)網(wǎng)絡(luò)單元中存在惡意代碼，或已被入侵而企業(yè) 尚未發(fā)現(xiàn)并處置，扣除一次扣分后剩余得分的40%。如通過技術(shù)檢測，從網(wǎng)絡(luò)單元外獲取網(wǎng)絡(luò)單元內(nèi)設(shè)備的管理員權(quán)限或 獲取網(wǎng)絡(luò)單元內(nèi)數(shù)據(jù)庫信息，扣除一次扣分后剩余得分的40%。如通過技術(shù)檢測，從網(wǎng)絡(luò)單元內(nèi)獲取設(shè)備的管理員權(quán)限或獲取數(shù)據(jù)庫 信息，扣除一次扣分后剩余得分的20%。最后剩余分?jǐn)?shù)即為風(fēng)險評估得分。第3章測試內(nèi)容3.1測試內(nèi)容概述分為符合性評測和安全風(fēng)險評估兩部分，符合性評測具體內(nèi)容為：業(yè) 務(wù)安全、網(wǎng)絡(luò)安全、主機安全、中間件安全

9、、安全域邊界安全、集中運維 安全管控系統(tǒng)安全、災(zāi)難備份及恢復(fù)、管理安全、第三方服務(wù)安全狀況。安全風(fēng)險評估主要通過技術(shù)檢測發(fā)現(xiàn)網(wǎng)絡(luò)單元內(nèi)是否存在中高危安 全漏洞、弱口令，以及可能導(dǎo)致用戶信息泄露、重要設(shè)備受控、業(yè)務(wù)中斷、 網(wǎng)絡(luò)中斷等重大網(wǎng)絡(luò)安全事件的隱患，檢測是否存在惡意代碼或企業(yè)尚未 知曉的入侵痕跡，檢測是否可以獲取設(shè)備的管理員權(quán)限、數(shù)據(jù)庫等。表4-1：網(wǎng)絡(luò)架構(gòu)測試對象序號測試對象描述1IDC檢測系統(tǒng)網(wǎng)絡(luò)架構(gòu)的合理性表3-2: IDC網(wǎng)絡(luò)設(shè)備列表設(shè)備名稱型號IP地址核心路由器表4-3: IDC 網(wǎng)管系統(tǒng)主機歹U表主機名稱型號IP地址系統(tǒng)軟件用途數(shù)據(jù)庫服務(wù)器Win dows 2003數(shù)據(jù)庫服務(wù)器

10、應(yīng)用服務(wù)器Win dows 2003應(yīng)用服務(wù)器通訊服務(wù)器Win dows 2003通訊服務(wù)器流量服務(wù)器Win dows 2003流量服務(wù)器主機名稱型號IP地址系統(tǒng)軟件用途業(yè)務(wù)/門戶管理服務(wù)器Win dows 2003業(yè)務(wù)/門戶管理服務(wù)器表4-4: IDC網(wǎng)管系統(tǒng)列表系統(tǒng)名稱主要功能IDC綜合運營管理系統(tǒng)3.2掃描和滲透測試接入點選擇從互聯(lián)網(wǎng)和內(nèi)網(wǎng)區(qū)域的測試點模擬外部用戶與內(nèi)部托管用戶進行滲透測試，并從互聯(lián)網(wǎng)、托管用戶區(qū)的測試點進行漏洞掃描。3.3通信網(wǎng)絡(luò)安全管理審核該測試范圍涉及IDC安全管理審核，主要內(nèi)容包括：安全管理制度、安全管理機構(gòu)、人員安全管理、安全建設(shè)管理、安全運維管理、災(zāi)難備份、

11、應(yīng)急預(yù)案等相關(guān)制度管理文檔第4章符合性評測結(jié)果本次符合性評分主要依據(jù)網(wǎng)絡(luò)單元符合性評測表的符合情況得分，其中每個評測項對應(yīng)分值，由100分除以符合性評測表中評測項總數(shù)所得。本次對IDC系統(tǒng)符合性檢測項數(shù)為 89項，單項分值為（100/89）1.12分 4.1業(yè)務(wù)安全序號檢查內(nèi)容檢查點評測結(jié)果分值實際扣分說明1應(yīng)按照合同保證IDC用戶業(yè)務(wù)的安全；是否按照合同要 求保證IDC用戶業(yè)務(wù)安全符合1.120與用戶簽署相關(guān) 協(xié)議，合同中對網(wǎng) 絡(luò)安全及業(yè)務(wù)安 全進行相關(guān)描述 和約定。但目前客 戶沒有提出過單 獨的業(yè)務(wù)安全要 求4.2網(wǎng)絡(luò)安全序號檢查內(nèi)容檢查點評測結(jié)果分值實際扣分說明5審計記錄應(yīng)包括事 件的日

12、期和時間、用 戶、事件類型、事件 是否成功及其他與 審計相關(guān)的信息。審計記錄是否包 括事件的日期和 時間、用戶、事 件類型、事件是 否成功及其他與 審計相關(guān)的信息符合1.120IDC內(nèi)網(wǎng)絡(luò)設(shè)備 syslog審計 日志存 儲在本機中，日志 記錄信息包含事 件的日期和時間、 用戶、事件類型、 事件是否成功及 其他與審計相關(guān) 的信息4.3主機安全序號評測內(nèi)容評測項評測結(jié)果分值實際扣分說明序號評測內(nèi)容評測項評測結(jié)果分值實際扣分說明1應(yīng)對登錄操作系統(tǒng) 和數(shù)據(jù)庫系統(tǒng)的用 戶進行身份標(biāo)識和 鑒別；是否對登錄操作 系統(tǒng)和數(shù)據(jù)庫系 統(tǒng)的用戶進行身 份標(biāo)識和鑒別符合1.120操作系統(tǒng)和數(shù)據(jù) 庫系統(tǒng)自身實現(xiàn) 對用戶

13、的身份標(biāo) 識和鑒別功能4.4中間件安全序號檢查內(nèi)容檢查點評測結(jié)果分值實際扣分說明1"應(yīng)實現(xiàn)操作系統(tǒng)和 中間件用戶的權(quán)限 分離，中間件應(yīng)使用 獨立用戶；應(yīng)實現(xiàn)中 間件用戶和互聯(lián)網(wǎng) 數(shù)據(jù)中心IDC應(yīng)用 程序用戶的權(quán)限分 離“是否實現(xiàn)操作系 統(tǒng)和中間件用戶 的權(quán)限分離，中 間件是否使用獨 立用戶不適用N/AN/A網(wǎng)管系統(tǒng)使用 CS架構(gòu)，無中間件4.5安全域邊界安全序號檢查內(nèi)容檢查點評測結(jié)果分值實際扣分說明6啟用其它設(shè)備（主 機隔離等）進行安 全邊界劃分、隔離 的應(yīng)盡量實現(xiàn)嚴(yán)格 的訪問控制策略查看配置并技術(shù)檢測驗證訪問控制措施符合1.120使用交換機 ACL 規(guī)則進行訪問控 制4.6集中運維

14、安全管控系統(tǒng)安全序號評測內(nèi)容評測項評測結(jié)果分值實際扣分說明1互聯(lián)網(wǎng)數(shù)據(jù)中心 （IDC ）集中運維安 全管控系統(tǒng)應(yīng)與提 供互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）各種服務(wù)的 互聯(lián)網(wǎng)數(shù)據(jù)中心通過技術(shù)測試檢 驗IDC集中運維 安全管控系統(tǒng)與 IDC基礎(chǔ)設(shè)施的 網(wǎng)絡(luò)隔離是否符 合安全策略符合1.120使用獨立網(wǎng)絡(luò)區(qū) 域，在E8080E上 進行訪問控制策 略，不允許其他網(wǎng) 絡(luò)對網(wǎng)管區(qū)域進 行訪問序號評測內(nèi)容評測項評測結(jié)果分值實際扣分說明(IDC )基礎(chǔ)設(shè)施隔 離，應(yīng)部署在不冋 網(wǎng)絡(luò)區(qū)域，網(wǎng)絡(luò)邊 界處設(shè)備應(yīng)按不同 互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC )業(yè)務(wù)需求實 施訪問控制策略， 應(yīng)只開放管理所必 須的服務(wù)及端口， 避免開放較大的

15、IP 地址段及服務(wù)；4.7災(zāi)難備份及恢復(fù)序號評測內(nèi)容評測項評測結(jié)果分值實際扣分說明2互聯(lián)網(wǎng)數(shù)據(jù)中心ID C網(wǎng)絡(luò)災(zāi)難恢復(fù)時 間應(yīng)滿足行業(yè)管 理、網(wǎng)絡(luò)和業(yè)務(wù)運 營商應(yīng)急預(yù)案的相 關(guān)要求?；ヂ?lián)網(wǎng)數(shù)據(jù)中心1 DC網(wǎng)絡(luò)災(zāi)難演練 恢復(fù)時間是否滿 足行業(yè)管理和企 業(yè)應(yīng)急預(yù)案的相 關(guān)要求符合1.120定期進行各項演 練，按客戶重要 程度不同在一定 時間內(nèi)恢復(fù)，滿 足要求4.8管理安全序號評測內(nèi)容評測項評測結(jié)果分值實際扣分說明1至少覆蓋但不限于 安全管理制度、安 全管理機構(gòu)、人員 安全管理、安全建 設(shè)管理、安全運維 管理等管理方面；是否包含至少安 全管理制度、安全 管理機構(gòu)、人員安 全管理、安全建設(shè) 管理、安全

16、運維管 理等內(nèi)容符合1.120制定了相應(yīng)管理 制度，包含安全 管理制度、安全 管理機構(gòu)、人員 安全管理、安全 建設(shè)管理、安全 運維管理等內(nèi)容4IDC應(yīng)有介質(zhì)存取、 驗證和轉(zhuǎn)儲管理制 度，確保備份數(shù)據(jù)IDC是否有介質(zhì) 存取、驗證和轉(zhuǎn)儲 管理制度，確保備符合1.120制定了IDC災(zāi)難備份與恢復(fù)管 理辦法規(guī)定了序號評測內(nèi)容評測項評測結(jié)果分值實際扣分說明授權(quán)份數(shù)據(jù)授權(quán)相應(yīng)內(nèi)容4.9第三方服務(wù)安全序號評測內(nèi)容評測項評測結(jié)果分值實際扣分說明1應(yīng)確保安全服務(wù)商 的選擇符合國家的 有關(guān)規(guī)定；是否將通過中國 通信企業(yè)協(xié)會通 信網(wǎng)絡(luò)安全服務(wù) 能力評定列為外 部安全服務(wù)提供 商招標(biāo)條件之一符合1.120由 提供風(fēng)險

17、 評估的第三方服 務(wù)，符合相應(yīng)要 求。第 5章 風(fēng)險評估結(jié)果 本次章節(jié)評分主要依據(jù)網(wǎng)絡(luò)和系統(tǒng)安全防護檢查評分方法，對技 術(shù)檢測中發(fā)現(xiàn)的安全隱患的數(shù)量、位置、危害程度進行扣分。5.1 存在的安全隱患1. 網(wǎng)管系統(tǒng)監(jiān)控終端 192.168 存在的主機弱口令，可直接登錄系統(tǒng) 網(wǎng)管系統(tǒng)監(jiān)控終端192.168存在的主機弱口令 PC/OOO,可直接登錄 系統(tǒng)獲取系統(tǒng)權(quán)限導(dǎo)致服務(wù)器受控，詳見附錄 B。危害程度：弱口令 所處位置：其他設(shè)備 扣分： 1 分建議：提示用戶修改初始口令,口令應(yīng)具有一定復(fù)雜度。第 6章 綜合評分6.1 符合性得分本次測試對 IDC 系統(tǒng)進行符合項檢測， 共檢測 89 項，每項分值為 1.12 （ 100/89），其中 項不符合要求，符合性得分為 分。6.2 風(fēng)險評估本次主要通過系統(tǒng) 應(yīng)用層掃描、手工核