网络层安全评估报告案例

XX公司XX网络安全评估报告目录

XX公司XX网络安全评估报告1

评估依据的标准1

第一章物理与环境层评估（12%）2

项目1：电源评估2

项目2：线缆评估3

项目3：物理环境评估3

第二章网络层评估（46%）3

项目1：网络架构4

项目2：访问控制6

项目3：边界整合与防护7

项目4：网络设备可靠性8

项目5：网络设备的告警机制9

项目6：安全产品部署与策略错误!未定义书签。

第三章评估总结9

估依据的标准

XX公司信息安全帐号、口令及权限管理办法

XX及网管DCN网络设备帐号与口令管理细则

ISO/IEC17799:20** 信息技术-信息安全管理实施细则

ISO/IEC 15408 信息技术—安全技术—信息技术安全评估准则ISO 7498-2 安全体系结构

第一章物理与环境层评估（12%）

项目1：电源评估

⏹评估对象：供应电源及设备中的电源模块

⏹评估手段：现场查看，工程资料查看

⏹安全因素：电源供给是否双路，机架及设备接地是否良好，电源模块容量

是否充足等

⏹评估结果：各项评估点全部满足。满分8分，评估得分8分。

项目2：线缆评估

⏹评估对象：机架内部走线及架间走线

⏹评估手段：现场查看

⏹安全因素：走线是否合理，线缆是否完好

⏹评估结果：各项评估点全部满足。满分2分，评估得分2分。

项目3：温湿度评估

⏹评估对象：机架内部

⏹评估手段：现场查看、资料查询

⏹安全因素：温度、湿度是否会超标

⏹评估结果：各项评估点全部满足。满分2分，评估得分2分。

第二章网络层评估（46%）

XX公司XX网络的核心设备主要在交通巷机房，接入设备分布在枢纽楼机房和海东、格尔木两个地市机房，相关设备均在本次评估范围之内，评估对象为

现网运行的网络架构、组网情况、网络设备的冗余度、网络安全状况。

XX公司XX网络拓扑图

如上图所示，从网络整体拓扑图看，XX公司XX采用双星形结构，网络架构层次分明，核心路由交换设备有设备冗余。地市XX以2M链路汇接至省公司M20、省网业务以FE、155M POS链路分别汇接至省公司的Cisco4003和M20。出口流量经M20、M40以155M POS链路接入北京和西安，其中西安链路为主，北京链路为辅。

项目1：网络架构

⏹评估对象：业务系统内部网络（交通巷、枢纽楼机房和地市XX网络设

备，包括汇接层及核心层交换机）

⏹评估手段：现场查看物理连接、检查数据配置、工程资料检查

⏹评估目的：达到内部网络结构清晰、层次分明，并且在架构上满足冗余备

份要求；

⏹评估结果：在3个地方出现单链路隐患。满分14分，评估分11分。

XX公司XX是互联网的一部分，在网络架构上分网络接入、汇聚、核心三层，结构分明，层次清晰。骨干网采用两套核心设备备份、骨干网汇接链路冗余，但省网业务汇聚设备NE80与核心M20之间、认证计费应用防火墙与核心交换4003之间、地市公司2948GL3与7507之间存在单链路隐患。XX目前承载多种业务，GPRS，专线接入，综合接入及部分省网业务等。防火墙存在于认证计费业务系统与XX接口处，应业务系统而存在。所以就XX而言，无核心

防火墙概念。

项目2：访问控制

⏹评估对象：业务系统内部网络（交通巷、枢纽楼机房及地市机房XX数据

网络）

⏹评估手段：现场查看物理连接、检查数据配置、工程资料检查

⏹评估结果：各项评估点全部满足。满分8分，评估得分8分。

⏹现状描述

在XX应用系统接入交换机上划分VLAN，使各个不同的应用系统之间相对独立，同时减小了内部网络的广播域，从而减小了网络风暴及一些基于广播传送的病毒的传播的可能性，内部网络架构从最里层提高了网络的安全性。核心交换机起三层路由，由于端口未作ACL限制。在VLAN间不使用ACL进行隔离可被视为可接受风险。

项目3：边界整合与防护

⏹评估对象：业务系统内部网络（交通巷、枢纽楼机房XX数据网络）与外

部网络接口

⏹评估手段：现场查看物理连接、检查数据配置、工程资料检查

⏹评估目的：达到边界清晰，合理控制各边界接口的访问

⏹评估结果：边界链路可靠性不满足。满分7分，评估得分6分

XX作为互联网，承载了多种移动业务。在XX与省网各业务系统之间，在业务侧均采用了防火墙设备进行有效的访问控制。

项目4：网络设备可靠性

⏹评估对象：业务系统内部网络设备的安全性

⏹评估手段：现场查看物理设备、检查数据配置、工程资料检查

⏹评估目的：确保在单个网络设备或链路出现故障时，流量均控制在正常负

荷中

⏹评估结果：3个地方存在单链路隐患。满分7分，评估得分6分。

项目5：网络设备的告警机制

⏹评估对象：业务系统内部网络（交通巷、枢纽楼机房XX网络）设备

⏹评估手段：现场查看物理连接、检查数据配置、工程资料检查

⏹评估目的：确保重要设备具备有效的告警机制

⏹评估结果：各项评估点全部满足，满分6分，评估得分6分

目前，一旦网络设备故障，告警可以实时发现并准确定位。

第三章评估总结

本次评估主要针对XX公司XX各项涉及网络安全的指标进行检查，评估对象为现网运行环境、网络架构的安全性。评估参照XX公司网络安全评估标准

进行，对现网的安全状况进行全方位的诊断。

XX公司XX网经过多次扩容改造和网络安全项目的实施，在电源供电、设备布线、系统架构、访问控制、告警监控、故障恢复等多方面满足XX以及承载业务的高可靠性、高可用性要求，但是存在某些重要系统/网络的单链路隐患。

根据上面的评估项目对系统进行全面检查，满分58分，评估实际得分53分，存在的安全风险如下：

1、省网各个业务系统位于枢纽楼的业务网络均通过汇聚设备NE80与XX网

络建立，目前NE80与M20之间通过1条155M POS链路连接，一旦发生故障可能会影响相关业务系统数据的传输。

2、认证计费应用系统防火墙设备与XX的核心交换4003之间存在单点隐患。

一旦发生故障，则会导致宽带小区认证计费系统不正常，影响用户上网。

3、海东和格尔木的2948GL3与7507之间存在单链路隐患。一旦发生中断，

则会导致当地节点的XX网络中断。