网络安全防护检查报告模板资料

均采用百分制。
2.3.1 符合性评测评分方法
符合性评测评分依据网络单元符合性评测表中所列制度、 措施的符合情况计
分，其中每个评测项对应分值，由 100 分除以符合性评测表中评测项总数所得。
2.3.2 风险评估评分方法
网络单元风险评估首先基于技术检测中发现的安全隐患的数量、 位置、危害
程度进行一次扣分； 然后依据发现的安全隐患是否可被技术检测单位利用进行二
还参考标准 YD/T 1754-2008《电信和互联网物理环境安全等级保护要求》 YD/T 1755-2008《电信和互联网物理环境安全等级保护检测要求》 YD/T 1756-2008《电信和互联网管理安全等级保护要求》 GB/T 20274 信息系统安全保障评估框架 GB/T 20984-2007 《信息安全风险评估规范》
第 6 章 综合评分 ............................................................................................ 13 6.1 符合性得分 ........................................................................................ 13 6.2 风险评估 ........................................................................................... 13 6.3 综合得分 ........................................................................................... 13
数据中心网络安全防护检查报告
第 3 页共 49 页
第 2章 评测方法和工具
2.1 测试方式 检查
通过对测试对象进行观察、 查验、分析等活动，获取证据以证明保护措施是 否有效的一种方法。
测试 通过对测试对象按照预定的方法 /工具使其产生特定的响应等活动，查看、 分析测试对象的响应输出结果，获取证据以证明保护措施是否有效的一种方法。 2.2 测试工具 主要使用到的测试工具有：扫描工具、渗透测试工具、抓包工具、漏洞利用 验证工具等。具体描述如下表：
第 3 章 测试内容 .............................................................................................. 6 3.1 测试内容概述 ...................................................................................... 6 3.2 扫描和渗透测试接入点 ........................................................................ 7 3.3 通信网络安全管理审核 ........................................................................ 7
附录 A 设备扫描记录 ..................................................................................... 14
- II -
所依据的标准和规范有： 《 YD/T 2584-2013 互联网数据中心 IDC 安全防护要求》 《 YD/T 2585-2013 互联网数据中心 IDC 安全防护检测要求》 《 YD/T 2669-2013 第三方安全服务能力评定准则》 《网络和系统安全防护检查评分方法》 《 2014 年度通信网络安全防护符合性评测表－互联网数据中心 IDC 》
次扣分。风险评估评分流程具体如下。
数据中心网络安全防护检查报告
第 4 页共 49 页
1、一次扣分 在技术检测时， 每发现一个安全隐患， 根据其所处的位置及危害程度扣除相 应分值。各类安全隐患的扣分值如表 3-2 所示。
表 3-2 风险评估安全隐患扣分表
安全隐患类型
重要设备 【注 1】
其它设备
高危漏洞 【注 2】
数据中心网络安全防护检查报告
第 2 页共 49 页
《通信网络运行维护规程公共分册 -数据备份制度》 《省分公司转职信息安全人员职责》 《通信网络运行维护规程 IP 网设备篇》 《城域网 BAS、 SR 设备配置规范》 《 IP 地址管理办法》 《互联网网络安全应急预案处理细则》 《互联网网络安全应急预案处理预案（ 2013 修订版）》
信息安全工作组
网络安全工作组
具体职能部门
图 1-2： IDC 信息安全管理机构
2. 岗位权责分工 现有的管理制度、规范及工作表单有： 《 IDC 机房信息安全管理制度规范》 《 IDC 机房管理办法》 《 IDC 灾难备份与恢复管理办法》 《网络安全防护演练与总结》 《集团客户业务故障处理管理程序》 《互联网与基础数据网通信保障应急预案》 《 IDC 网络应急预案》 《关于调整公司跨部门组织机构及有关领导的通知》 《网络信息安全考核管理办法》
表 3-1：测试工具
序号
工具名称
工具描述
1
绿盟漏洞扫描系统
2
科莱网络协议分析工具
3
Nmap
4
Burp Suite
脆弱性扫描 脆弱性扫描
端口扫描 WEB 渗透集成工具
2.3 评分方法
分为符合性检测和风险评估两部分工作。 网络单元安全防护检测评分＝符合
性评测得分× 60%＋风险评估得分× 40%。其中符合性评测评分和风险评估评分
第 2 章 评测方法和工具 ................................................................................... 4 2.1 测试方式 ............................................................................................. 4 2.2 测试工具 ............................................................................................. 4 2.3 评分方法 ............................................................................................. 4 2.3.1 符合性评测评分方法 ................................................................. 4 2.3.2 风险评估评分方法 ..................................................................... 4
数据中心网络安全防护检查报告
第 1 页共 49 页
第 1章 系统概况
IDC 由 负责管理和维护， 其中各室配备了数名工程师， 负责 IDC 设备硬、 软件维护，数据制作，故障处理、信息安全保障、机房环境动力设备和空调设备 维护。
1.1 网络结构
1.2 管理制度
1. 组织架构
图 1-1：IDC 网络拓扑图 网络与信息安全工作小组
[注 3]：其它安全隐患指可能导致用户信息泄露、重要设备受控、业务中断、 网络中断等重大网络安全事件的隐患。
2、二次扣分 在一次扣分剩余得分的基础上， 依据网络单元是否已被攻击入侵或发现的安 全隐患是否可被技术检测单位利用，进行二次扣分。具体扣分步骤如下： 如通过技术检测， 发现网络单元中存在恶意代码， 或已被入侵而企业尚未发 现并处置，扣除一次扣分后剩余得分的 40%。 如通过技术检测， 从网络单元外获取网络单元内设备的管理员权限或获取网 络单元内数据库信息，扣除一次扣分后剩余得分的 40%。 如通过技术检测，从网络单元内获取设备的管理员权限或获取数据库信息， 扣除一次扣分后剩余得分的 20%。 最后剩余分数即为风险评估得分。
第 4 章 符合性评测结果 ................................................................................... 8 4.1 业务安全 ............................................................................................. 8 4.2 网络安全 ............................................................................................. 8 4.3 主机安全 ............................................................................................. 8 4.4 中间件安全 .......................................................................................... 9 4.5 安全域边界安全 .................................................................................. 9 4.6 集中运维安全管控系统安全 ................................................................. 9 4.7 灾难备份及恢复 ................................................................................ 10 4.8 管理安全 ........................................................................................... 10 4.9 第三方服务安全 ................................................................................ 11
编号：
网络安全防护检查报告
数据中心
测评单位： 报告日期：
ቤተ መጻሕፍቲ ባይዱ-I-
目录
第 1 章 系统概况 .............................................................................................. 2 1.1 网络结构 ............................................................................................. 2 1.2 管理制度 ............................................................................................. 2
第 5 章 风险评估结果 ..................................................................................... 12 5.1 存在的安全隐患 ................................................................................ 12
中危漏洞 【注 2】
弱口令
其它安全隐患 【注 3】
[注 1]：重要设备包括内外网隔离设备、内部安全域划分设备、互联网直联 设备、网络业务核心设备。
[ 注 2] ：中高危漏洞以国内外权威的 CVE 漏洞库和国家互联网应急中心 CNVD 漏洞库为基本判断依据；对于高危 Web 安全隐患，以国际上公认的开放 式 Web 应用程序安全项目（ OWASP，Open Web Application Security Project）确 定最新的 Top 10 中所列的 WEB 安全隐患判断作为判断依据。