網(wǎng)絡(luò)安全防護(hù)檢查報(bào)告模板

1、網(wǎng)絡(luò)安全防范檢查報(bào)告模板網(wǎng)絡(luò)安全防范檢查報(bào)告模板18/18網(wǎng)絡(luò)安全防范檢查報(bào)告模板編號(hào)：網(wǎng)絡(luò)安全防范檢查報(bào)告數(shù)據(jù)中心測(cè)評(píng)單位：報(bào)告日期：目錄第1章系統(tǒng)大要網(wǎng)絡(luò)結(jié)構(gòu)管理制度第2章評(píng)測(cè)方法和工具測(cè)試方式測(cè)試工具評(píng)分方法吻合性評(píng)測(cè)評(píng)分方法風(fēng)險(xiǎn)評(píng)估評(píng)分方法第3章測(cè)試內(nèi)容測(cè)試內(nèi)容歸納掃描和浸透測(cè)試接入點(diǎn)通訊網(wǎng)絡(luò)安全管理審察第4章吻合性評(píng)測(cè)結(jié)果業(yè)務(wù)安全網(wǎng)絡(luò)安全主機(jī)安全中間件安全安全域界線安全集中運(yùn)維安全管控系統(tǒng)安全災(zāi)禍備份及恢復(fù)管理安全第三方服務(wù)安全第5章風(fēng)險(xiǎn)評(píng)估結(jié)果存在的安全隱患第6章綜合評(píng)分吻合性得分風(fēng)險(xiǎn)評(píng)估綜合得分附錄A設(shè)施掃描記錄所依照的標(biāo)準(zhǔn)和規(guī)范有：YD/T2584-2013互聯(lián)網(wǎng)數(shù)據(jù)中心IDC

2、安全防范要求YD/T2585-2013互聯(lián)網(wǎng)數(shù)據(jù)中心IDC安全防范檢測(cè)要求YD/T2669-2013第三方安全服務(wù)能力評(píng)定準(zhǔn)則網(wǎng)絡(luò)和系統(tǒng)安全防范檢查評(píng)分方法2014年度通訊網(wǎng)絡(luò)安全防范吻合性評(píng)測(cè)表互聯(lián)網(wǎng)數(shù)據(jù)中心IDC還參照標(biāo)準(zhǔn)YD/T1754-2008電信和互聯(lián)網(wǎng)物理環(huán)境安全等級(jí)保護(hù)要求YD/T1755-2008電信和互聯(lián)網(wǎng)物理環(huán)境安全等級(jí)保護(hù)檢測(cè)要求YD/T1756-2008電信和互聯(lián)網(wǎng)管理安全等級(jí)保護(hù)要求GB/T20274信息系統(tǒng)安全保障評(píng)估框架GB/T20984-2007信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范第1章系統(tǒng)大要IDC由負(fù)責(zé)管理和保護(hù)，其中各室裝備了數(shù)名工程師，負(fù)責(zé)IDC設(shè)備硬、軟件保護(hù)，數(shù)據(jù)制

3、作，故障辦理、信息安全保障、機(jī)房環(huán)境動(dòng)力設(shè)備和空調(diào)設(shè)施保護(hù)。1.1網(wǎng)絡(luò)結(jié)構(gòu)圖1-1：IDC網(wǎng)絡(luò)拓?fù)鋱D1.2管理制度組織架構(gòu)網(wǎng)絡(luò)與信息安全工作小組信息安全工作網(wǎng)絡(luò)安全工作組組詳盡職能部門圖1-2：IDC信息安全管理機(jī)構(gòu)崗位權(quán)責(zé)分工現(xiàn)有的管理制度、規(guī)范及工作表單有：IDC機(jī)房信息安全管理制度規(guī)范IDC機(jī)房管理方法IDC災(zāi)禍備份與恢復(fù)管理方法網(wǎng)絡(luò)安全防范演練與總結(jié)企業(yè)客戶業(yè)務(wù)故障辦理管理程序互聯(lián)網(wǎng)與基礎(chǔ)數(shù)據(jù)網(wǎng)通訊保障應(yīng)急方案IDC網(wǎng)絡(luò)應(yīng)急方案關(guān)于調(diào)整企業(yè)跨部門組織機(jī)構(gòu)及相關(guān)領(lǐng)導(dǎo)的通知網(wǎng)絡(luò)信息安全核查管理方法通訊網(wǎng)絡(luò)運(yùn)行保護(hù)規(guī)程公共分冊(cè)-數(shù)據(jù)備份制度省分企業(yè)轉(zhuǎn)職信息安全人員職責(zé)通訊網(wǎng)絡(luò)運(yùn)行保護(hù)規(guī)程IP

4、網(wǎng)設(shè)施篇城域網(wǎng)BAS、SR設(shè)施配置規(guī)范IP地址管理方法互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急方案辦理細(xì)則互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急方案辦理方案（2013校正版）第2章評(píng)測(cè)方法和工具2.1測(cè)試方式檢查經(jīng)過(guò)對(duì)測(cè)試對(duì)象進(jìn)行觀察、查驗(yàn)、解析等活動(dòng)，獲取憑據(jù)以證明保護(hù)措施可否有效的一種方法。測(cè)試經(jīng)過(guò)對(duì)測(cè)試對(duì)象依照預(yù)定的方法/工具使其產(chǎn)生特定的響應(yīng)等活動(dòng)，查察、解析測(cè)試對(duì)象的響應(yīng)輸出結(jié)果，獲取憑據(jù)以證明保護(hù)措施可否有效的一種方法。2.2測(cè)試工具主要使用到的測(cè)試工擁有：掃描工具、浸透測(cè)試工具、抓包工具、漏洞利用考據(jù)工具等。詳盡描述以下表：表3-1：測(cè)試工具序號(hào)工具名稱工具描述1綠盟漏洞掃描系統(tǒng)纖弱性掃描2科萊網(wǎng)絡(luò)協(xié)議解析工具纖弱性掃描

5、3Nmap端口掃描4BurpSuiteWEB浸透集成工具2.3評(píng)分方法分為吻合性檢測(cè)細(xì)風(fēng)險(xiǎn)評(píng)估兩部分工作。網(wǎng)絡(luò)單元安全防范檢測(cè)評(píng)分吻合性評(píng)測(cè)得分60%風(fēng)險(xiǎn)評(píng)估得分40%。其中吻合性評(píng)測(cè)評(píng)分細(xì)風(fēng)險(xiǎn)評(píng)估評(píng)分均采用百分制。吻合性評(píng)測(cè)評(píng)分方法吻合性評(píng)測(cè)評(píng)分依照網(wǎng)絡(luò)單元吻合性評(píng)測(cè)表中所列制度、措施的吻合情況計(jì)分，其中每個(gè)評(píng)測(cè)項(xiàng)對(duì)應(yīng)分值，由100分除以吻合性評(píng)測(cè)表中評(píng)測(cè)項(xiàng)總數(shù)所得。風(fēng)險(xiǎn)評(píng)估評(píng)分方法網(wǎng)絡(luò)單元風(fēng)險(xiǎn)評(píng)估第一基于技術(shù)檢測(cè)中發(fā)現(xiàn)的安全隱患的數(shù)量、位置、危害程度進(jìn)行一次扣分；爾后依照發(fā)現(xiàn)的安全隱患可否可被技術(shù)檢測(cè)單位利用進(jìn)行二次扣分。風(fēng)險(xiǎn)評(píng)估評(píng)分流程詳盡以下。1、一次扣分在技術(shù)檢測(cè)時(shí)，每發(fā)現(xiàn)一個(gè)安全隱

6、患，依照其所處的地址及危害程度扣除相應(yīng)分值。各種安全隱患的扣分值如表3-2所示。表3-2風(fēng)險(xiǎn)評(píng)估安全隱患扣分表安全隱患種類重要設(shè)施【注1】其他設(shè)施高危漏洞【注2】中危漏洞【注2】弱口令其他安全隱患【注3】注1：重要設(shè)施包括內(nèi)外網(wǎng)隔斷設(shè)施、內(nèi)部安全域劃分設(shè)施、互聯(lián)網(wǎng)直聯(lián)設(shè)施、網(wǎng)絡(luò)業(yè)務(wù)核心設(shè)施。注2：中高危漏洞以國(guó)內(nèi)外聲威的CVE漏洞庫(kù)和國(guó)家互聯(lián)網(wǎng)應(yīng)急中心CNVD漏洞庫(kù)為基本判斷依照；關(guān)于高危Web安全隱患，以國(guó)際上公認(rèn)的開(kāi)放式Web應(yīng)用程序安全項(xiàng)目（OWASP，OpenWebApplicationSecurityProject）確定最新的Top10中所列的WEB安全隱患判斷作為判斷依照。注3：其

7、他安全隱患指可能以致用戶信息泄露、重要設(shè)施受控、業(yè)務(wù)中斷、網(wǎng)絡(luò)中斷等重要網(wǎng)絡(luò)安全事件的隱患。2、二次扣分在一次扣分節(jié)余得分的基礎(chǔ)上，依照網(wǎng)絡(luò)單元可否已被攻擊入侵或發(fā)現(xiàn)的安全隱患可否可被技術(shù)檢測(cè)單位利用，進(jìn)行二次扣分。詳盡扣分步驟以下：如經(jīng)過(guò)技術(shù)檢測(cè)，發(fā)現(xiàn)網(wǎng)絡(luò)單元中存在惡意代碼，或已被入侵而企業(yè)還沒(méi)有發(fā)現(xiàn)并辦理，扣除一次扣分后節(jié)余得分的40%。如經(jīng)過(guò)技術(shù)檢測(cè)，從網(wǎng)絡(luò)單元外獲取網(wǎng)絡(luò)單元內(nèi)設(shè)施的管理員權(quán)限或獲取網(wǎng)絡(luò)單元內(nèi)數(shù)據(jù)庫(kù)信息，扣除一次扣分后節(jié)余得分的40%。如經(jīng)過(guò)技術(shù)檢測(cè)，從網(wǎng)絡(luò)單元內(nèi)獲取設(shè)施的管理員權(quán)限或獲取數(shù)據(jù)庫(kù)信息，扣除一次扣分后節(jié)余得分的20%。最后節(jié)余分?jǐn)?shù)即為風(fēng)險(xiǎn)評(píng)估得分。第3章測(cè)試

8、內(nèi)容3.1測(cè)試內(nèi)容歸納分為吻合性評(píng)測(cè)和安全風(fēng)險(xiǎn)評(píng)估兩部分，吻合性評(píng)測(cè)詳盡內(nèi)容為：業(yè)務(wù)安全、網(wǎng)絡(luò)安全、主機(jī)安全、中間件安全、安全域界線安全、集中運(yùn)維安全管控系統(tǒng)安全、災(zāi)禍備份及恢復(fù)、管理安全、第三方服務(wù)安全情況。安全風(fēng)險(xiǎn)評(píng)估主要經(jīng)過(guò)技術(shù)檢測(cè)發(fā)現(xiàn)網(wǎng)絡(luò)單元內(nèi)可否存在中高危安全漏洞、弱口令，以及可能以致用戶信息泄露、重要設(shè)施受控、業(yè)務(wù)中斷、網(wǎng)絡(luò)中斷等重要網(wǎng)絡(luò)安全事件的隱患，檢測(cè)可否存在惡意代碼或企業(yè)還沒(méi)有認(rèn)識(shí)的入侵印跡，檢測(cè)可否可以獲取設(shè)施的管理員權(quán)限、數(shù)據(jù)庫(kù)等。表4-1：網(wǎng)絡(luò)架構(gòu)測(cè)試對(duì)象序號(hào)測(cè)試對(duì)象描述1IDC檢測(cè)系統(tǒng)網(wǎng)絡(luò)架構(gòu)的合理性表3-2：IDC網(wǎng)絡(luò)設(shè)施列表設(shè)施名稱型號(hào)IP地址核心路由器表4-3

9、：IDC網(wǎng)管系統(tǒng)主機(jī)列表主機(jī)名稱型號(hào)IP地址系統(tǒng)軟件用途數(shù)據(jù)庫(kù)服務(wù)Windows2003數(shù)據(jù)庫(kù)服務(wù)器器應(yīng)用服務(wù)器Windows2003應(yīng)用服務(wù)器通服氣務(wù)器Windows2003通服氣務(wù)器流量服務(wù)器Windows2003流量服務(wù)器主機(jī)名稱型號(hào)IP地址系統(tǒng)軟件用途業(yè)務(wù)/門戶管Windows2003業(yè)務(wù)/門戶管理服務(wù)器理服務(wù)器表4-4：IDC網(wǎng)管系統(tǒng)列表系統(tǒng)名稱主要功能IDC綜合運(yùn)營(yíng)管理系統(tǒng)3.2掃描和浸透測(cè)試接入點(diǎn)選擇從互聯(lián)網(wǎng)和內(nèi)網(wǎng)地域的測(cè)試點(diǎn)模擬外面用戶與內(nèi)部托管用戶進(jìn)行浸透測(cè)試，并從互聯(lián)網(wǎng)、托管用戶區(qū)的測(cè)試點(diǎn)進(jìn)行漏洞掃描。3.3通訊網(wǎng)絡(luò)安全管理審察該測(cè)試范圍涉及IDC安全管理審察，主要內(nèi)容包括

10、：安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、安全建設(shè)管理、安全運(yùn)維管理、災(zāi)禍備份、應(yīng)急方案等相關(guān)制度管理文檔。第4章吻合性評(píng)測(cè)結(jié)果本次吻合性評(píng)分主要依照網(wǎng)絡(luò)單元吻合性評(píng)測(cè)表的吻合情況得分，其中每個(gè)評(píng)測(cè)項(xiàng)對(duì)應(yīng)分值，由100分除以吻合性評(píng)測(cè)表中評(píng)測(cè)項(xiàng)總數(shù)所得。本次對(duì)IDC系統(tǒng)吻合性檢測(cè)項(xiàng)數(shù)為89項(xiàng)，單項(xiàng)分值為(100/89)分。4.1業(yè)務(wù)安全序評(píng)測(cè)實(shí)質(zhì)檢查內(nèi)容檢查點(diǎn)分值說(shuō)明號(hào)結(jié)果扣分與用戶簽署相關(guān)協(xié)議，合同中對(duì)網(wǎng)可否依照合同要絡(luò)安全及業(yè)務(wù)安1應(yīng)依照合同保證IDC全進(jìn)行相關(guān)描述求保證IDC用戶吻合0用戶業(yè)務(wù)的安全；業(yè)務(wù)安全和約定。但目前客戶沒(méi)有提出過(guò)單獨(dú)的業(yè)務(wù)安全要求4.2網(wǎng)絡(luò)安全序檢查內(nèi)容號(hào)審計(jì)記

11、錄應(yīng)包括事件的日期和時(shí)間、用戶、事件種類、事件可否成功及其他與審計(jì)相關(guān)的信息。評(píng)測(cè)實(shí)質(zhì)檢查點(diǎn)分值說(shuō)明結(jié)果扣分IDC內(nèi)網(wǎng)絡(luò)設(shè)施審計(jì)記錄可否包syslog審計(jì)日志儲(chǔ)藏在本機(jī)中，日括事件的日期和志記錄信息包括時(shí)間、用戶、事0吻合事件的日期和時(shí)件種類、事件是間、用戶、事件類否成功及其他與型、事件可否成功審計(jì)相關(guān)的信息及其他與審計(jì)相關(guān)的信息4.3主機(jī)安全序評(píng)測(cè)實(shí)質(zhì)評(píng)測(cè)內(nèi)容評(píng)測(cè)項(xiàng)分值說(shuō)明號(hào)結(jié)果扣分序號(hào)評(píng)測(cè)內(nèi)容評(píng)測(cè)項(xiàng)評(píng)測(cè)結(jié)果分值實(shí)質(zhì)扣分說(shuō)明1對(duì)付登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份表記和鑒別；可否對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份表記和鑒別吻合0操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)自己實(shí)現(xiàn)對(duì)用戶的身份標(biāo)識(shí)和鑒別功能

12、4.4中間件安全序號(hào)檢查內(nèi)容檢查點(diǎn)評(píng)測(cè)結(jié)果分值實(shí)質(zhì)扣分說(shuō)明應(yīng)實(shí)現(xiàn)操作系統(tǒng)和中間件用戶的權(quán)限可否實(shí)現(xiàn)操作系分別，中間件應(yīng)使用統(tǒng)和中間件用戶網(wǎng)管系統(tǒng)使用CS獨(dú)立用戶；應(yīng)實(shí)現(xiàn)中1的權(quán)限分別，中不適用N/AN/A間件用戶和互聯(lián)網(wǎng)架構(gòu)，無(wú)中間件間件可否使用獨(dú)數(shù)據(jù)中心IDC應(yīng)用立用戶程序用戶的權(quán)限分離4.5安全域界線安全序號(hào)檢查內(nèi)容檢查點(diǎn)評(píng)測(cè)結(jié)果分值實(shí)質(zhì)扣分說(shuō)明6啟用其他設(shè)施（主機(jī)隔斷等）進(jìn)行安全界線劃分、隔斷的應(yīng)盡量實(shí)現(xiàn)嚴(yán)格的接見(jiàn)控制策略查察配置并技術(shù)檢測(cè)考據(jù)接見(jiàn)控制措施吻合0使用交換機(jī)規(guī)則進(jìn)行訪制ACL問(wèn)控4.6集中運(yùn)維安全管控系統(tǒng)安全序評(píng)測(cè)實(shí)質(zhì)評(píng)測(cè)內(nèi)容評(píng)測(cè)項(xiàng)分值說(shuō)明號(hào)結(jié)果扣分互聯(lián)網(wǎng)數(shù)據(jù)中心經(jīng)過(guò)技術(shù)測(cè)

13、試檢使用獨(dú)立網(wǎng)絡(luò)區(qū)（IDC）集中運(yùn)維安驗(yàn)IDC集中運(yùn)維域，在E8080E上全管控系統(tǒng)應(yīng)與提安全管控系統(tǒng)與進(jìn)行接見(jiàn)控制策1IDC基礎(chǔ)設(shè)施的吻合0供互聯(lián)網(wǎng)數(shù)據(jù)中心略，不同樣意其他網(wǎng)（IDC）各種服務(wù)的網(wǎng)絡(luò)隔斷可否符絡(luò)對(duì)網(wǎng)管地域進(jìn)互聯(lián)網(wǎng)數(shù)據(jù)中心合安全策略行接見(jiàn)序號(hào)評(píng)測(cè)內(nèi)容評(píng)測(cè)項(xiàng)評(píng)測(cè)結(jié)果分值實(shí)質(zhì)扣分說(shuō)明IDC）基礎(chǔ)設(shè)施隔斷，應(yīng)部署在不同樣網(wǎng)絡(luò)地域，網(wǎng)絡(luò)界線處設(shè)施應(yīng)按不同樣互聯(lián)網(wǎng)數(shù)據(jù)中心IDC）業(yè)務(wù)需務(wù)推行接見(jiàn)控制策略，應(yīng)只開(kāi)放管理所必定的服務(wù)及端口，防范開(kāi)放較大的IP地址段及服務(wù)；4.7災(zāi)禍備份及恢復(fù)序評(píng)測(cè)實(shí)質(zhì)評(píng)測(cè)內(nèi)容評(píng)測(cè)項(xiàng)分值說(shuō)明號(hào)結(jié)果扣分互聯(lián)網(wǎng)數(shù)據(jù)中心ID互聯(lián)網(wǎng)數(shù)據(jù)中心I如期進(jìn)行各項(xiàng)演C網(wǎng)絡(luò)災(zāi)禍恢

14、復(fù)時(shí)DC網(wǎng)絡(luò)災(zāi)禍演練練，按客戶重要間應(yīng)滿足行業(yè)管恢復(fù)時(shí)間可否滿02吻合程度不同樣在必然理、網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)足行業(yè)管理和企時(shí)間內(nèi)恢復(fù)，滿營(yíng)商應(yīng)急方案的相業(yè)應(yīng)急方案的相足要求關(guān)要求。關(guān)要求4.8管理安全序評(píng)測(cè)實(shí)質(zhì)評(píng)測(cè)內(nèi)容評(píng)測(cè)項(xiàng)分值說(shuō)明號(hào)結(jié)果扣分最少覆蓋但不限于可否包括最少安擬定了相應(yīng)管理制度，包括安全安全管理制度、安全管理制度、安全管理制度、安全全管理機(jī)構(gòu)、人員管理機(jī)構(gòu)、人員安1吻合0管理機(jī)構(gòu)、人員安全管理、安全建全管理、安全建設(shè)安全管理、安全設(shè)管理、安全運(yùn)維管理、安全運(yùn)維管建設(shè)管理、安全管理等管理方面；理等內(nèi)容運(yùn)維管理等內(nèi)容IDC應(yīng)有介質(zhì)存取、IDC可否有介質(zhì)存擬定了IDC災(zāi)4考據(jù)和轉(zhuǎn)儲(chǔ)管理制取、考

15、據(jù)和轉(zhuǎn)儲(chǔ)管吻合0難備份與恢復(fù)管度，保證備份數(shù)據(jù)理制度，保證備份理方法規(guī)定了序號(hào)評(píng)測(cè)內(nèi)容評(píng)測(cè)項(xiàng)評(píng)測(cè)結(jié)果分值實(shí)質(zhì)扣分說(shuō)明授權(quán)數(shù)據(jù)授權(quán)相應(yīng)內(nèi)容4.9第三方服務(wù)安全序評(píng)測(cè)實(shí)質(zhì)評(píng)測(cè)內(nèi)容評(píng)測(cè)項(xiàng)分值說(shuō)明號(hào)結(jié)果扣分可否將經(jīng)過(guò)中國(guó)應(yīng)保證安全服務(wù)商通訊企業(yè)協(xié)會(huì)通由供應(yīng)風(fēng)險(xiǎn)信網(wǎng)絡(luò)安全服務(wù)評(píng)估的第三方服1的選擇吻合國(guó)家的吻合0相關(guān)規(guī)定；能力評(píng)定列為外務(wù)，吻合相應(yīng)要部安全服務(wù)供應(yīng)求。商招標(biāo)條件之一第5章風(fēng)險(xiǎn)評(píng)估結(jié)果本次章節(jié)評(píng)分主要依照網(wǎng)絡(luò)和系統(tǒng)安全防范檢查評(píng)分方法，對(duì)技術(shù)檢測(cè)中發(fā)現(xiàn)的安全隱患的數(shù)量、地址、危害程度進(jìn)行扣分。5.1存在的安全隱患網(wǎng)管系統(tǒng)監(jiān)控終端存在的主機(jī)弱口令，可直接登錄系統(tǒng)網(wǎng)管系統(tǒng)監(jiān)控終端存在的主機(jī)弱口令PC/000，可直接登錄系統(tǒng)獲取系統(tǒng)權(quán)限以致服務(wù)器受控，詳見(jiàn)附錄B。危害程度：弱口令所處地址：其他設(shè)施扣分：1分建議：提示用戶更正初始口令，口令應(yīng)擁有必然復(fù)雜度。第6章綜合評(píng)分6.1吻合性得分本次測(cè)試對(duì)IDC系統(tǒng)進(jìn)行吻合項(xiàng)檢測(cè)，共檢測(cè)89項(xiàng)，每項(xiàng)分值為（100/89），其中項(xiàng)不吻合要求，吻合性得分為分。6.2風(fēng)險(xiǎn)評(píng)估本次主要經(jīng)過(guò)系統(tǒng)應(yīng)用層掃描、手工核查、內(nèi)外網(wǎng)浸透