網(wǎng)絡(luò)安全防護(hù)檢查報告模板

1、網(wǎng)絡(luò)安全防范檢查報告模板網(wǎng)絡(luò)安全防范檢查報告模板18/18網(wǎng)絡(luò)安全防范檢查報告模板編號：網(wǎng)絡(luò)安全防范檢查報告數(shù)據(jù)中心測評單位：報告日期：目錄第1章系統(tǒng)大要網(wǎng)絡(luò)結(jié)構(gòu)管理制度第2章評測方法和工具測試方式測試工具評分方法吻合性評測評分方法風(fēng)險評估評分方法第3章測試內(nèi)容測試內(nèi)容歸納掃描和浸透測試接入點通訊網(wǎng)絡(luò)安全管理審察第4章吻合性評測結(jié)果業(yè)務(wù)安全網(wǎng)絡(luò)安全主機(jī)安全中間件安全安全域界線安全集中運(yùn)維安全管控系統(tǒng)安全災(zāi)禍備份及恢復(fù)管理安全第三方服務(wù)安全第5章風(fēng)險評估結(jié)果存在的安全隱患第6章綜合評分吻合性得分風(fēng)險評估綜合得分附錄A設(shè)施掃描記錄所依照的標(biāo)準(zhǔn)和規(guī)范有：YD/T2584-2013互聯(lián)網(wǎng)數(shù)據(jù)中心IDC

2、安全防范要求YD/T2585-2013互聯(lián)網(wǎng)數(shù)據(jù)中心IDC安全防范檢測要求YD/T2669-2013第三方安全服務(wù)能力評定準(zhǔn)則網(wǎng)絡(luò)和系統(tǒng)安全防范檢查評分方法2014年度通訊網(wǎng)絡(luò)安全防范吻合性評測表互聯(lián)網(wǎng)數(shù)據(jù)中心IDC還參照標(biāo)準(zhǔn)YD/T1754-2008電信和互聯(lián)網(wǎng)物理環(huán)境安全等級保護(hù)要求YD/T1755-2008電信和互聯(lián)網(wǎng)物理環(huán)境安全等級保護(hù)檢測要求YD/T1756-2008電信和互聯(lián)網(wǎng)管理安全等級保護(hù)要求GB/T20274信息系統(tǒng)安全保障評估框架GB/T20984-2007信息安全風(fēng)險評估規(guī)范第1章系統(tǒng)大要IDC由負(fù)責(zé)管理和保護(hù)，其中各室裝備了數(shù)名工程師，負(fù)責(zé)IDC設(shè)備硬、軟件保護(hù)，數(shù)據(jù)制

3、作，故障辦理、信息安全保障、機(jī)房環(huán)境動力設(shè)備和空調(diào)設(shè)施保護(hù)。1.1網(wǎng)絡(luò)結(jié)構(gòu)圖1-1：IDC網(wǎng)絡(luò)拓?fù)鋱D1.2管理制度組織架構(gòu)網(wǎng)絡(luò)與信息安全工作小組信息安全工作網(wǎng)絡(luò)安全工作組組詳盡職能部門圖1-2：IDC信息安全管理機(jī)構(gòu)崗位權(quán)責(zé)分工現(xiàn)有的管理制度、規(guī)范及工作表單有：IDC機(jī)房信息安全管理制度規(guī)范IDC機(jī)房管理方法IDC災(zāi)禍備份與恢復(fù)管理方法網(wǎng)絡(luò)安全防范演練與總結(jié)企業(yè)客戶業(yè)務(wù)故障辦理管理程序互聯(lián)網(wǎng)與基礎(chǔ)數(shù)據(jù)網(wǎng)通訊保障應(yīng)急方案IDC網(wǎng)絡(luò)應(yīng)急方案關(guān)于調(diào)整企業(yè)跨部門組織機(jī)構(gòu)及相關(guān)領(lǐng)導(dǎo)的通知網(wǎng)絡(luò)信息安全核查管理方法通訊網(wǎng)絡(luò)運(yùn)行保護(hù)規(guī)程公共分冊-數(shù)據(jù)備份制度省分企業(yè)轉(zhuǎn)職信息安全人員職責(zé)通訊網(wǎng)絡(luò)運(yùn)行保護(hù)規(guī)程IP

4、網(wǎng)設(shè)施篇城域網(wǎng)BAS、SR設(shè)施配置規(guī)范IP地址管理方法互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急方案辦理細(xì)則互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急方案辦理方案（2013校正版）第2章評測方法和工具2.1測試方式檢查經(jīng)過對測試對象進(jìn)行觀察、查驗、解析等活動，獲取憑據(jù)以證明保護(hù)措施可否有效的一種方法。測試經(jīng)過對測試對象依照預(yù)定的方法/工具使其產(chǎn)生特定的響應(yīng)等活動，查察、解析測試對象的響應(yīng)輸出結(jié)果，獲取憑據(jù)以證明保護(hù)措施可否有效的一種方法。2.2測試工具主要使用到的測試工擁有：掃描工具、浸透測試工具、抓包工具、漏洞利用考據(jù)工具等。詳盡描述以下表：表3-1：測試工具序號工具名稱工具描述1綠盟漏洞掃描系統(tǒng)纖弱性掃描2科萊網(wǎng)絡(luò)協(xié)議解析工具纖弱性掃描

5、3Nmap端口掃描4BurpSuiteWEB浸透集成工具2.3評分方法分為吻合性檢測細(xì)風(fēng)險評估兩部分工作。網(wǎng)絡(luò)單元安全防范檢測評分吻合性評測得分60%風(fēng)險評估得分40%。其中吻合性評測評分細(xì)風(fēng)險評估評分均采用百分制。吻合性評測評分方法吻合性評測評分依照網(wǎng)絡(luò)單元吻合性評測表中所列制度、措施的吻合情況計分，其中每個評測項對應(yīng)分值，由100分除以吻合性評測表中評測項總數(shù)所得。風(fēng)險評估評分方法網(wǎng)絡(luò)單元風(fēng)險評估第一基于技術(shù)檢測中發(fā)現(xiàn)的安全隱患的數(shù)量、位置、危害程度進(jìn)行一次扣分；爾后依照發(fā)現(xiàn)的安全隱患可否可被技術(shù)檢測單位利用進(jìn)行二次扣分。風(fēng)險評估評分流程詳盡以下。1、一次扣分在技術(shù)檢測時，每發(fā)現(xiàn)一個安全隱

6、患，依照其所處的地址及危害程度扣除相應(yīng)分值。各種安全隱患的扣分值如表3-2所示。表3-2風(fēng)險評估安全隱患扣分表安全隱患種類重要設(shè)施【注1】其他設(shè)施高危漏洞【注2】中危漏洞【注2】弱口令其他安全隱患【注3】注1：重要設(shè)施包括內(nèi)外網(wǎng)隔斷設(shè)施、內(nèi)部安全域劃分設(shè)施、互聯(lián)網(wǎng)直聯(lián)設(shè)施、網(wǎng)絡(luò)業(yè)務(wù)核心設(shè)施。注2：中高危漏洞以國內(nèi)外聲威的CVE漏洞庫和國家互聯(lián)網(wǎng)應(yīng)急中心CNVD漏洞庫為基本判斷依照；關(guān)于高危Web安全隱患，以國際上公認(rèn)的開放式Web應(yīng)用程序安全項目（OWASP，OpenWebApplicationSecurityProject）確定最新的Top10中所列的WEB安全隱患判斷作為判斷依照。注3：其

7、他安全隱患指可能以致用戶信息泄露、重要設(shè)施受控、業(yè)務(wù)中斷、網(wǎng)絡(luò)中斷等重要網(wǎng)絡(luò)安全事件的隱患。2、二次扣分在一次扣分節(jié)余得分的基礎(chǔ)上，依照網(wǎng)絡(luò)單元可否已被攻擊入侵或發(fā)現(xiàn)的安全隱患可否可被技術(shù)檢測單位利用，進(jìn)行二次扣分。詳盡扣分步驟以下：如經(jīng)過技術(shù)檢測，發(fā)現(xiàn)網(wǎng)絡(luò)單元中存在惡意代碼，或已被入侵而企業(yè)還沒有發(fā)現(xiàn)并辦理，扣除一次扣分后節(jié)余得分的40%。如經(jīng)過技術(shù)檢測，從網(wǎng)絡(luò)單元外獲取網(wǎng)絡(luò)單元內(nèi)設(shè)施的管理員權(quán)限或獲取網(wǎng)絡(luò)單元內(nèi)數(shù)據(jù)庫信息，扣除一次扣分后節(jié)余得分的40%。如經(jīng)過技術(shù)檢測，從網(wǎng)絡(luò)單元內(nèi)獲取設(shè)施的管理員權(quán)限或獲取數(shù)據(jù)庫信息，扣除一次扣分后節(jié)余得分的20%。最后節(jié)余分?jǐn)?shù)即為風(fēng)險評估得分。第3章測試

8、內(nèi)容3.1測試內(nèi)容歸納分為吻合性評測和安全風(fēng)險評估兩部分，吻合性評測詳盡內(nèi)容為：業(yè)務(wù)安全、網(wǎng)絡(luò)安全、主機(jī)安全、中間件安全、安全域界線安全、集中運(yùn)維安全管控系統(tǒng)安全、災(zāi)禍備份及恢復(fù)、管理安全、第三方服務(wù)安全情況。安全風(fēng)險評估主要經(jīng)過技術(shù)檢測發(fā)現(xiàn)網(wǎng)絡(luò)單元內(nèi)可否存在中高危安全漏洞、弱口令，以及可能以致用戶信息泄露、重要設(shè)施受控、業(yè)務(wù)中斷、網(wǎng)絡(luò)中斷等重要網(wǎng)絡(luò)安全事件的隱患，檢測可否存在惡意代碼或企業(yè)還沒有認(rèn)識的入侵印跡，檢測可否可以獲取設(shè)施的管理員權(quán)限、數(shù)據(jù)庫等。表4-1：網(wǎng)絡(luò)架構(gòu)測試對象序號測試對象描述1IDC檢測系統(tǒng)網(wǎng)絡(luò)架構(gòu)的合理性表3-2：IDC網(wǎng)絡(luò)設(shè)施列表設(shè)施名稱型號IP地址核心路由器表4-3

9、：IDC網(wǎng)管系統(tǒng)主機(jī)列表主機(jī)名稱型號IP地址系統(tǒng)軟件用途數(shù)據(jù)庫服務(wù)Windows2003數(shù)據(jù)庫服務(wù)器器應(yīng)用服務(wù)器Windows2003應(yīng)用服務(wù)器通服氣務(wù)器Windows2003通服氣務(wù)器流量服務(wù)器Windows2003流量服務(wù)器主機(jī)名稱型號IP地址系統(tǒng)軟件用途業(yè)務(wù)/門戶管Windows2003業(yè)務(wù)/門戶管理服務(wù)器理服務(wù)器表4-4：IDC網(wǎng)管系統(tǒng)列表系統(tǒng)名稱主要功能IDC綜合運(yùn)營管理系統(tǒng)3.2掃描和浸透測試接入點選擇從互聯(lián)網(wǎng)和內(nèi)網(wǎng)地域的測試點模擬外面用戶與內(nèi)部托管用戶進(jìn)行浸透測試，并從互聯(lián)網(wǎng)、托管用戶區(qū)的測試點進(jìn)行漏洞掃描。3.3通訊網(wǎng)絡(luò)安全管理審察該測試范圍涉及IDC安全管理審察，主要內(nèi)容包括

10、：安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、安全建設(shè)管理、安全運(yùn)維管理、災(zāi)禍備份、應(yīng)急方案等相關(guān)制度管理文檔。第4章吻合性評測結(jié)果本次吻合性評分主要依照網(wǎng)絡(luò)單元吻合性評測表的吻合情況得分，其中每個評測項對應(yīng)分值，由100分除以吻合性評測表中評測項總數(shù)所得。本次對IDC系統(tǒng)吻合性檢測項數(shù)為89項，單項分值為(100/89)分。4.1業(yè)務(wù)安全序評測實質(zhì)檢查內(nèi)容檢查點分值說明號結(jié)果扣分與用戶簽署相關(guān)協(xié)議，合同中對網(wǎng)可否依照合同要絡(luò)安全及業(yè)務(wù)安1應(yīng)依照合同保證IDC全進(jìn)行相關(guān)描述求保證IDC用戶吻合0用戶業(yè)務(wù)的安全；業(yè)務(wù)安全和約定。但目前客戶沒有提出過單獨的業(yè)務(wù)安全要求4.2網(wǎng)絡(luò)安全序檢查內(nèi)容號審計記

11、錄應(yīng)包括事件的日期和時間、用戶、事件種類、事件可否成功及其他與審計相關(guān)的信息。評測實質(zhì)檢查點分值說明結(jié)果扣分IDC內(nèi)網(wǎng)絡(luò)設(shè)施審計記錄可否包syslog審計日志儲藏在本機(jī)中，日括事件的日期和志記錄信息包括時間、用戶、事0吻合事件的日期和時件種類、事件是間、用戶、事件類否成功及其他與型、事件可否成功審計相關(guān)的信息及其他與審計相關(guān)的信息4.3主機(jī)安全序評測實質(zhì)評測內(nèi)容評測項分值說明號結(jié)果扣分序號評測內(nèi)容評測項評測結(jié)果分值實質(zhì)扣分說明1對付登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份表記和鑒別；可否對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份表記和鑒別吻合0操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)自己實現(xiàn)對用戶的身份標(biāo)識和鑒別功能

12、4.4中間件安全序號檢查內(nèi)容檢查點評測結(jié)果分值實質(zhì)扣分說明應(yīng)實現(xiàn)操作系統(tǒng)和中間件用戶的權(quán)限可否實現(xiàn)操作系分別，中間件應(yīng)使用統(tǒng)和中間件用戶網(wǎng)管系統(tǒng)使用CS獨立用戶；應(yīng)實現(xiàn)中1的權(quán)限分別，中不適用N/AN/A間件用戶和互聯(lián)網(wǎng)架構(gòu)，無中間件間件可否使用獨數(shù)據(jù)中心IDC應(yīng)用立用戶程序用戶的權(quán)限分離4.5安全域界線安全序號檢查內(nèi)容檢查點評測結(jié)果分值實質(zhì)扣分說明6啟用其他設(shè)施（主機(jī)隔斷等）進(jìn)行安全界線劃分、隔斷的應(yīng)盡量實現(xiàn)嚴(yán)格的接見控制策略查察配置并技術(shù)檢測考據(jù)接見控制措施吻合0使用交換機(jī)規(guī)則進(jìn)行訪制ACL問控4.6集中運(yùn)維安全管控系統(tǒng)安全序評測實質(zhì)評測內(nèi)容評測項分值說明號結(jié)果扣分互聯(lián)網(wǎng)數(shù)據(jù)中心經(jīng)過技術(shù)測

13、試檢使用獨立網(wǎng)絡(luò)區(qū)（IDC）集中運(yùn)維安驗IDC集中運(yùn)維域，在E8080E上全管控系統(tǒng)應(yīng)與提安全管控系統(tǒng)與進(jìn)行接見控制策1IDC基礎(chǔ)設(shè)施的吻合0供互聯(lián)網(wǎng)數(shù)據(jù)中心略，不同樣意其他網(wǎng)（IDC）各種服務(wù)的網(wǎng)絡(luò)隔斷可否符絡(luò)對網(wǎng)管地域進(jìn)互聯(lián)網(wǎng)數(shù)據(jù)中心合安全策略行接見序號評測內(nèi)容評測項評測結(jié)果分值實質(zhì)扣分說明IDC）基礎(chǔ)設(shè)施隔斷，應(yīng)部署在不同樣網(wǎng)絡(luò)地域，網(wǎng)絡(luò)界線處設(shè)施應(yīng)按不同樣互聯(lián)網(wǎng)數(shù)據(jù)中心IDC）業(yè)務(wù)需務(wù)推行接見控制策略，應(yīng)只開放管理所必定的服務(wù)及端口，防范開放較大的IP地址段及服務(wù)；4.7災(zāi)禍備份及恢復(fù)序評測實質(zhì)評測內(nèi)容評測項分值說明號結(jié)果扣分互聯(lián)網(wǎng)數(shù)據(jù)中心ID互聯(lián)網(wǎng)數(shù)據(jù)中心I如期進(jìn)行各項演C網(wǎng)絡(luò)災(zāi)禍恢

14、復(fù)時DC網(wǎng)絡(luò)災(zāi)禍演練練，按客戶重要間應(yīng)滿足行業(yè)管恢復(fù)時間可否滿02吻合程度不同樣在必然理、網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)足行業(yè)管理和企時間內(nèi)恢復(fù)，滿營商應(yīng)急方案的相業(yè)應(yīng)急方案的相足要求關(guān)要求。關(guān)要求4.8管理安全序評測實質(zhì)評測內(nèi)容評測項分值說明號結(jié)果扣分最少覆蓋但不限于可否包括最少安擬定了相應(yīng)管理制度，包括安全安全管理制度、安全管理制度、安全管理制度、安全全管理機(jī)構(gòu)、人員管理機(jī)構(gòu)、人員安1吻合0管理機(jī)構(gòu)、人員安全管理、安全建全管理、安全建設(shè)安全管理、安全設(shè)管理、安全運(yùn)維管理、安全運(yùn)維管建設(shè)管理、安全管理等管理方面；理等內(nèi)容運(yùn)維管理等內(nèi)容IDC應(yīng)有介質(zhì)存取、IDC可否有介質(zhì)存擬定了IDC災(zāi)4考據(jù)和轉(zhuǎn)儲管理制取、考

15、據(jù)和轉(zhuǎn)儲管吻合0難備份與恢復(fù)管度，保證備份數(shù)據(jù)理制度，保證備份理方法規(guī)定了序號評測內(nèi)容評測項評測結(jié)果分值實質(zhì)扣分說明授權(quán)數(shù)據(jù)授權(quán)相應(yīng)內(nèi)容4.9第三方服務(wù)安全序評測實質(zhì)評測內(nèi)容評測項分值說明號結(jié)果扣分可否將經(jīng)過中國應(yīng)保證安全服務(wù)商通訊企業(yè)協(xié)會通由供應(yīng)風(fēng)險信網(wǎng)絡(luò)安全服務(wù)評估的第三方服1的選擇吻合國家的吻合0相關(guān)規(guī)定；能力評定列為外務(wù)，吻合相應(yīng)要部安全服務(wù)供應(yīng)求。商招標(biāo)條件之一第5章風(fēng)險評估結(jié)果本次章節(jié)評分主要依照網(wǎng)絡(luò)和系統(tǒng)安全防范檢查評分方法，對技術(shù)檢測中發(fā)現(xiàn)的安全隱患的數(shù)量、地址、危害程度進(jìn)行扣分。5.1存在的安全隱患網(wǎng)管系統(tǒng)監(jiān)控終端存在的主機(jī)弱口令，可直接登錄系統(tǒng)網(wǎng)管系統(tǒng)監(jiān)控終端存在的主機(jī)弱口令PC/000，可直接登錄系統(tǒng)獲取系統(tǒng)權(quán)限以致服務(wù)器受控，詳見附錄B。危害程度：弱口令所處地址：其他設(shè)施扣分：1分建議：提示用戶更正初始口令，口令應(yīng)擁有必然復(fù)雜度。第6章綜合評分6.1吻合性得分本次測試對IDC系統(tǒng)進(jìn)行吻合項檢測，共檢測89項，每項分值為（100/89），其中項不吻合要求，吻合性得分為分。6.2風(fēng)險評估本次主要經(jīng)過系統(tǒng)應(yīng)用層掃描、手工核查、內(nèi)外網(wǎng)浸透