网络安全防护检查报告

网络安全防护检查报告

数据中心

测试单位：

报告日期：

目录

第1章系统槪况 (4)

网络结构 (4)

管理制度 (4)

第2章：评测方法和工具 (6)

测试方式 (6)

测试工具 (6)

评分方法 (6)

符合性评测评分方法 (6)

风险评估评分方法 (7)

第3章测试内容 (9)

测试内容概述 (9)

扫描和渗透测试接入点 (10)

通信网络安全管理审核 (10)

第四章符合性评测结果 (11)

业务安全 (11)

网络安全 (11)

主机安全 (11)

中间件安全 (12)

安全域边界安全 (12)

集中运维安全管系统安全 (12)

灾难备份及恢复 (13)

管理安全 (13)

第三方服务安全 (14)

第5章风险评估结果 (14)

存在的安全隐患 (14)

第6章综合评分 (15)

符合性得分 (15)

风险评估 (15)

综合得分 (15)

所依据的标准和规范有：

>《YD/T 2584-2013互联网数据中心IDC安全防护要求》

《YD/T 2585-2013互联网数据中心IDC安全防护检测要求》

《YD/T 2669-2013第三方安全服务能力评定准则》

《网络和系统安全防护检查评分方法》

«2Q14年度通信网络安全防护符合性评测表-互联网数据中心IDC》还参考标准

YD/T 1754-2QQ8〈<电信和互联网物理环境安全等级保护要求》

YD/T 1755-2QQ8〈<电信和互联网物理环境安全等级保护检测要求》YD/T 1756-2QQ8《电信和互联网管理安全等级保护要求》

GB/T 20274信息系统安全保障评估框架

>GB/T 20984-2007《信息安全风险评估规范》

第1章系统槪况

IDC由负责管理和维护，其中各室配备了数名工程师，负责IDC设备硬、软件维护，数据制作，故障处理、信息安全保障、机房环境动力设备和空调维护。

网络结构

图1-1：拓扑图

管理制度

1.组织架构

图1-2: IDC信息安全管理机构

2.岗位权责分工

现有的管理制度、规范及工作表单有：

《IDC机房信息安全管理制度规范》

《IDC机房管理办法》

《IDC灾难备份与恢复管理办法》

《网络安全防护演练与总结》

《集团客户业务故障处理管理程序》

《互联网与基础数据网通信保障应急预案》

《IDC网络应急预案〉〉

《关于调整公司跨部门组织机构及有关领导的通知》

《网络信息安全考核管理办法》

《通信网络运行维护规程公共分册-数据备份制度》

《省分公司转职信息安全人员职责》

《通信网络运行维护规程IP网设备篇》

《城域网BAS、SR设备配罝规范》

《IP地址管理办法》

《互联网网络安全应急预案处理细则》

《互联网网络安全应急预案处理预案（2013修订版）》

第2章：评测方法和工具

测试方式

检查

通过对测试对象进行观察、查验、分析等活动，获取证据以证明保护措施是否有效的一种方法。

测试

通过对测试对象按照预定的方法/工具使其产生特定的响应等活动，查看、分析测试对象的响应输出结果，获取证据以证明保护措施是否有效的一种方法。

测试工具

主要使用到的测试工具有：扫描工具、滲透测试工具、抓包工具、漏洞利用验证工具等。具体描述如下表：

表3-1：测试工具

序号工具名称工具描述

1绿盟漏洞扫描系统脆弱性扫描

2科莱网络协议分析工具脆弱性扫描

3Nmap端口扫描

4Burp Suite WEB渗透集成工具

评分方法

分为符合性检测和风险评估两部分工作。网络单元安全防护检测评分=符合性评测得分X 60%+风险评估得分X 40%。其中符合性评测评分和风险评估评分均采用百分制。

符合性评测评分方法

符合性评测评分依据网络单元符合性评测表中所列制虔、措施的符合情况计分，其中每个评测项对应分值，由100分除以符合性评测表中评测项总数所得。

风险评估评分方法

网络单元风险评估首先基于技术检测中发现的安全隐患的数量、位置、危害程度进行一次扣分；然后依据发现的安全隐患是否可被技术检测单位利用进行二次扣分，风险评估评分流程具体如下：

1、一次扣分

在技术检测时，每发现一个安全隐患，根据其所处的位罝及危害程度扣除相应分值。各类安全隐患的扣分值如表3-2所示。

表3-2 风险评估安全隐患扣分表

[注1]:重要设备包括内外网隔离设备、内部安全域划分设备、互联网直联设备、网络业务核心设备。

[注2]:中高危漏洞以国内外权威的CVE漏洞库和国家互联网应急中心 CNVD漏洞库为基本判断依据；对于高危Web安全隐患，以国际上公认的幵放式 Web 应用程序安全项目（OWASP，Open Web Application Security Project确定最新的Top 10中所列的WEB安全隐患判断作为判断依据。

[注3]:其它安全隐患指可能导致用户信息泄露、重要设备受控、业务中断、网络中断等重大网络安全事件的隐患。

2、二次扣分

在一次扣分剩余得分的基础上，依据网络单元是否已被攻击入侵或发现的安全隐患是否可被技术检测单位利用，进行二次扣分。具体扣分步骤如下：