網絡安全防護檢查報告

,.網絡安全防護檢查報告數據中心測試單位：報告日期：,.目錄第1章系統槪況 51.1網絡結構 51.2管理制度 5第2章：評測方法和工具 72.1測試方式 72.2測試工具 72.3評分方法 72.3.1符合性評測評分方法 82.3.2風險評估評分方法 8第3章測試內容 113.1測試內容概述 113.2掃描和滲透測試接入點 123.3通信網絡安全管理審核 12第四章符合性評測結果 14,.4.1業(yè)務安全 144.2網絡安全 144.3主機安全 154.4中間件安全 154.5安全域邊界安全 164.6集中運維安全管系統安全 174.7災難備份及恢復 174.8管理安全 184.9第三方服務安全 19第5章風險評估結果 195.1存在的安全隱患 20第6章綜合評分 206.1符合性得分 206.2風險評估 206.3綜合得分 21所依據的標準和規(guī)范有：>《YD/T2584-2013互聯網數據中心IDC安全防護要求》謝謝閱讀《YD/T2585-2013互聯網數據中心IDC安全防護檢測要求》感謝閱讀《YD/T2669-2013第三方安全服務能力評定準則》感謝閱讀,.?《網絡和系統安全防護檢查評分方法》?2Q14年度通信網絡安全防護符合性評測表-互聯網數據中心IDC》還參考標準精品文檔放心下載YD/T1754-2QQ8〈<電信和互聯網物理環(huán)境安全等級保護要求》精品文檔放心下載YD/T1755-2QQ8〈<電信和互聯網物理環(huán)境安全等級保護檢測要求》感謝閱讀YD/T1756-2QQ8《電信和互聯網管理安全等級保護要求》感謝閱讀GB/T20274信息系統安全保障評估框架>GB/T20984-2007《信息安全風險評估規(guī)范》精品文檔放心下載,.第1章系統槪況IDC由負責管理和維護，其中各室配備了數名工程師，負責IDC設備硬、軟件維護，數精品文檔放心下載據制作，故障處理、信息安全保障、機房環(huán)境動力設備和空調維護。感謝閱讀1.1網絡結構圖1-1：拓撲圖1.2管理制度1.組織架構圖1-2:IDC信息安全管理機構2.崗位權責分工現有的管理制度、規(guī)范及工作表單有：《IDC機房信息安全管理制度規(guī)范》《IDC機房管理辦法》《IDC災難備份與恢復管理辦法》《網絡安全防護演練與總結》,.《集團客戶業(yè)務故障處理管理程序》《互聯網與基礎數據網通信保障應急預案》《IDC網絡應急預案〉〉《關于調整公司跨部門組織機構及有關領導的通知》《網絡信息安全考核管理辦法》《通信網絡運行維護規(guī)程公共分冊-數據備份制度》《省分公司轉職信息安全人員職責》《通信網絡運行維護規(guī)程IP網設備篇》《城域網BAS、SR設備配罝規(guī)范》《IP地址管理辦法》《互聯網網絡安全應急預案處理細則》《互聯網網絡安全應急預案處理預案（2013修訂版）》謝謝閱讀,.第2章：評測方法和工具2.1測試方式檢查通過對測試對象進行觀察、查驗、分析等活動，獲取證據以證明保護措施是否有效的一種方法。精品文檔放心下載測試通過對測試對象按照預定的方法/工具使其產生特定的響應等活動，查看、分析測試對象的響應輸出結果，獲取證據以證明保護措施是否有效的一種方法。精品文檔放心下載2.2測試工具主要使用到的測試工具有：掃描工具、滲透測試工具、抓包工具、漏洞利用驗證工具等。具體描述如下表：感謝閱讀表3-1：測試工具序號工具名稱工具描述1綠盟漏洞掃描系統脆弱性掃描2科萊網絡協議分析工具脆弱性掃描3Nmap端口掃描4BurpSuiteWEB滲透集成工具2.3評分方法分為符合性檢測和風險評估兩部分工作。網絡單元安全防護檢測評分=符合性評測得分X謝謝閱讀,.60%+風險評估得分X40%。其中符合性評測評分和風險評估評分均采用百分制。感謝閱讀2.3.1符合性評測評分方法符合性評測評分依據網絡單元符合性評測表中所列制虔、措施的符合情況計分，其中每個評感謝閱讀測項對應分值，由100分除以符合性評測表中評測項總數所得。感謝閱讀2.3.2風險評估評分方法網絡單元風險評估首先基于技術檢測中發(fā)現的安全隱患的數量、位置、危害程度進行一次扣分；然后依據發(fā)現的安全隱患是否可被技術檢測單位利用進行二次扣分，風險評估評分流程具體如下：謝謝閱讀1、一次扣分在技術檢測時，每發(fā)現一個安全隱患，根據其所處的位罝及危害程度扣除相應分值。各類安全隱患的扣分值如表3-2所示。感謝閱讀表3-2風險評估安全隱患扣分表安全隱患類型 重要設備 其他設備高危漏洞 無 無中危漏洞 無 無若口令 無 無其他安全隱患 無 無,.[注1]:重要設備包括內外網隔離設備、內部安全域劃分設備、互聯網直聯設備、網絡業(yè)務核心設備。感謝閱讀[注2]:中高危漏洞以國內外權威的CVE漏洞庫和國家互聯網應急中心CNVD漏洞庫為基本判斷依據；對于高危Web安全隱患，以國際上公認的幵放式Web應用程序安全項目謝謝閱讀（OWASP，OpenWebApplicationSecurityProject確定最新的Top10中所列的WEB安全隱患判斷作為判斷依據。精品文檔放心下載[注3]:其它安全隱患指可能導致用戶信息泄露、重要設備受控、業(yè)務中斷、網絡中斷等重大網絡安全事件的隱患。精品文檔放心下載2、二次扣分在一次扣分剩余得分的基礎上，依據網絡單元是否已被攻擊入侵或發(fā)現的安全隱患是否可被技術檢測單位利用，進行二次扣分。具體扣分步驟如下：感謝閱讀如通過技術檢測，發(fā)現網絡單元中存在惡意代碼，或已被入侵而企業(yè)尚未發(fā)現并處罝，扣除一次扣分后剩余得分的40%。謝謝閱讀如通過技術檢測，從網絡單元外獲取網絡單元內設備的管理員權限或獲取網絡單元內數據庫信息，扣除一次扣分后剩余得分的40%。謝謝閱讀如通過技術檢測，從網絡單元內獲取設備的管理員權限或獲職數據庫信息，扣除一次扣分后剩余得分的20%。精品文檔放心下載最后剩余分數即為風險評估得分。,.,.第3章測試內容3.1測試內容概述分為符合性評測和安全風險評估兩部分，符合性評測具體內容為：業(yè)務安全、網絡安全、感謝閱讀主機安全、中間件安全、安全域邊界安全、集中運維安全管控系統安全、災難備份及恢復、管精品文檔放心下載理安全、第三方服務安全狀況。安全風險評估主要通過技術檢測發(fā)現網絡單元內是否存在中高危安全漏洞、弱口令，以及精品文檔放心下載可能導致用戶信息泄露、重要設備受控、業(yè)務中斷、網絡中斷等重大網絡安全事件的隱患，檢謝謝閱讀測是否存在惡意代碼或企業(yè)尚未知曉的入侵痕跡，檢測是否可以獲取設備的管理員權限、數據謝謝閱讀庫等。表4.1：網絡架構測試對象序號 測試對象 描述1 IDC 檢測系統網絡架構的合理性表4-2：IDC網絡設備列表設備名稱 型號 IP地址核心路由器表4-3：IDC網管系統主機列表主機名稱 型號 1P地址 系統軟件 用途數據庫服務 Windows 數據庫服務器,.器2003應用服務器Windows應用服務器2003通訊服務器Windows通訊服務器2003流里服務器Windows流量服務器2003業(yè)務/門戶管Windows業(yè)務/門戶管理理服務器2003服務器表4-4：IDC網管系統列表系統名稱 主要功能IDC綜合運營管理系統3.2掃描和滲透測試接入點選擇從互聯網和內網區(qū)域的測試點模擬外部用戶與內部托管用戶進行滲透測試，并從互聯感謝閱讀網、托管用戶區(qū)的測試點進行漏洞掃描。3.3通信網絡安全管理審核該測試范圍內涉及IDC安全管理審核，主要包括：安全管理制度，安全管理機構，人員精品文檔放心下載安全管理，安全建設管理，安全運維管理，災難備份，應急預案等相關制度管理文檔。精品文檔放心下載,.,.第四章符合性評測結果本次符合性評分主要依據網絡單元符合性評測表的符合情況得分，其中每個評測項對應分值，由100分除以符合性評測表中評測項總數所得。本次對IDC系統符合性檢測項數為89項，單項分值為(100/89)1.12分。精品文檔放心下載4.1業(yè)務安全序 檢查內容 檢查點 評測結 分值 實際扣分 說明號 果應按照合同保證IDC用戶業(yè)務的安全

是否按照合同符合1.10與用戶簽署相關協設，臺要求保證IDC2同中對網絡安全及業(yè)務用戶業(yè)務安全安全逬行相關描述和約定。但目前客戶沒有提出過單獨的業(yè)務安全要求4.2網絡安全序檢查內容檢查點評測結分值實際扣分說明號果1審計記錄應包審計記錄是否符合1.10IDC內網絡設備syslog審括事件的日期包括事件的日2計日志存儲在本機中，日和時間、用期和時間、用志記錄信息包含事件的日戶、事件類型、戶、事件類型、事件是否成功 事件是否成功及其他與審 及其他與審計計相關的信 相關的信息息。

,.期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息4.3主機安全序評測內容評測項評測結分值實際扣分說明號果1應對登錄操作是否對登錄操符合1.120操作系統和數據庫系統自系統和數據庫作系統和數據身實現對用戶的身份標識系統的用戶進庫系統的用戶和鑒別功能行身份標識和進行身份標識鑒別和鑒別4.4中間件安全序號 檢查內容 檢查點 評測結 分值 實際扣分 說明謝謝閱讀果1 應實現操作系統和 是否實現操 不適應 N/A N/A 網管系統使用CS架感謝閱讀,.中間用戶的權限分 作系統和中離，中間件應使用 間件用戶的獨立用戶；應實現 權限分離，中間件用戶和互聯 中間件是否網數據中心的IDC 使用獨立用應用程序用戶的權 戶限分離

構，無中間件4.5安全域邊界安全序檢查內容檢查點評測結分值實際扣分說明號果1啟用其他設備查看配置并技符合1.120使用交換機ACL規(guī)則進行（主機隔離術檢測驗證訪訪問控制等）進行安全問控制措施邊界劃分、隔離的應盡量實現嚴格的訪問控制策略,.4.6集中運維安全管系統安全序評測內容評評分實際說號測測值扣分明項結果1互聯網數據中心（IDC）集中運維安全管控系統應與提供互合管聯網數據中心基礎設施隔離，應部署在不同網絡區(qū)域，網安區(qū)絡邊界處應按不同互聯網數據中心業(yè)務需求實施訪問控制全域策略，應只開放管理所必須的服務及端口，避免開放較大策進的IP地段及服務略項訪問4.7災難備份及恢復序評測內容評測項評分值實說明號測際結扣果分1互聯網數據中心（IDC）互聯網數據中心（IDC）符1.120定期進行各項演網絡災難恢復時間應滿足網絡災難演練恢復時間合練，按客戶重要,.行業(yè)管理，網絡和業(yè)務運 是否滿足行業(yè)管理和企 程度不同在一定精品文檔放心下載營商應急預案的相關要求 業(yè)應急預案的相關要求 時間內恢復，滿感謝閱讀足要求4.8管理安全序 評測內容 評測項 評 分 實 說明號 測 值 際結 扣果 分1 至少覆蓋但不限于安全管 是否包含至少安全管理 制定了相應管理制度，包含精品文檔放心下載理制度、安全管理機構、 制度、安全管理機構、 安全管理制度、安全管理機精品文檔放心下載符人員安全管理、安全建設 人員安全管理、安全建 1.12 0 構、人員安全管理、安全建精品文檔放心下載合管理、安全運維管理等管 設管理、安全運維管理 設管理、安全運維管理等內感謝閱讀理方面； 等內容 容序評測內容評測項評測分實際說明號結果值扣分4IDC應有介質存取、驗證IDC是否有介質存取、驗制定了《IDC災難備份和轉儲管理制度，確報備證和轉儲管理制度，確報符合1.120與恢復管理辦法》規(guī)定份數據授權 備份數據授權 了相應內容,.4.9第三方服務安全序評測內容評測項評分值實說明號測際結扣果分1應確保安全服是否將通過中國通信企業(yè)協會通符1.120由提供風險評估務上的選擇符信網絡安全服務能力評定列為外合的第三方服務，符合國家的有關部安全服務提供商招標商條件之合響應要求一第5章風險評估結果本次章節(jié)評分主要依據《網絡和系統安全防護檢查評分方法》,對技術檢測中發(fā)現的安全隱感謝閱讀患的數量、位置、危害程度進行扣分。,.5.1存在的安全隱患1.網管系統監(jiān)控終端192.168存在的主機弱口令，可直接登錄系統感謝閱讀網管系統監(jiān)控終端192.168存在的主機弱口令PC/000,可直接登錄系統獲取系統權限導致謝謝閱讀服務器受控，詳見附錄B。危害程度：弱口令所處位罝：其他設備扣分：1分建議：提示用戶修改初始口令，口令應具有一定復雜度。第6章綜合評分6.1符合性得分本次測試對IDC系統進行符合項檢測，共檢測89項，每項分值為1.12(100/89〉，其中項謝謝閱讀不符合要求，符合性得分為分。6.2風險評估本次主要通過系統\應用層掃描、手工核查、內外網滲透對IDC系統進行安全風險評估，共精品文檔放心下載發(fā)現2個安全隱患：第一次扣分情況如下：10