网络安全防护检查报告模板-第9篇.docx

    网络安全防护检查报告模板    第6章综合评分 (13)6.1 符合性得分 (13)6.2 风险评估 (13)6.3 综合得分 (13)附录A 设备扫描记录 (14)所依据的标准和规范有：?《YD/T 2584-2013 互联网数据中心IDC安全防护要求》?《YD/T 2585-2013 互联网数据中心IDC安全防护检测要求》?《YD/T 2669-2013 第三方安全服务能力评定准则》?《网络和系统安全防护检查评分方法》?《2014年度通信网络安全防护符合性评测表－互联网数据中心IDC》还参考标准?YD/T 1754-2008《电信和互联网物理环境安全等级保护要求》?YD/T 1755-2008《电信和互联网物理环境安全等级保护检测要求》?YD/T 1756-2008《电信和互联网管理安全等级保护要求》?GB/T 20274 信息系统安全保障评估框架?GB/T 20984-2007 《信息安全风险评估规范》第1章系统概况IDC由负责管理和维护，其中各室配备了数名工程师，负责IDC设备硬、软件维护，数据制作，故障处理、信息安全保障、机房环境动力设备和空调设备维护1.1 网络结构图1-1：IDC网络拓扑图1.2 管理制度1.组织架构网络和信息安全工作小组信息安全工作组网络安全工作组具体职能部门图1-2：IDC信息安全管理机构2.岗位权责分工现有的管理制度、规范及工作表单有：●《IDC机房信息安全管理制度规范》●《IDC机房管理办法》●《IDC灾难备份和恢复管理办法》●《网络安全防护演练和总结》●《集团客户业务故障处理管理程序》●《互联网和基础数据网通信保障应急预案》●《IDC网络应急预案》●《关于调整公司跨部门组织机构及有关领导的通知》●《网络信息安全考核管理办法》●《通信网络运行维护规程公共分册-数据备份制度》●《省分公司转职信息安全人员职责》●《通信网络运行维护规程IP网设备篇》●《城域网BAS、SR设备配置规范》●《IP地址管理办法》●《互联网网络安全应急预案处理细则》●《互联网网络安全应急预案处理预案（2013修订版）》第2章评测方法和工具2.1 测试方式●检查通过对测试对象进行观察、查验、分析等活动，获取证据以证明保护措施是否有效的一种方法。

●测试通过对测试对象按照预定的方法/工具使其产生特定的响应等活动，查看、分析测试对象的响应输出结果，获取证据以证明保护措施是否有效的一种方法2.2 测试工具主要使用到的测试工具有：扫描工具、渗透测试工具、抓包工具、漏洞利用验证工具等具体描述如下表：表3-1：测试工具序号工具名称工具描述1 绿盟漏洞扫描系统脆弱性扫描2 科莱网络协议分析工具脆弱性扫描3 Nmap 端口扫描4 Burp Suite WEB渗透集成工具2.3 评分方法分为符合性检测和风险评估两部分工作网络单元安全防护检测评分＝符合性评测得分×60%＋风险评估得分×40%其中符合性评测评分和风险评估评分均采用百分制2.3.1 符合性评测评分方法符合性评测评分依据网络单元符合性评测表中所列制度、措施的符合情况计分，其中每个评测项对应分值，由100分除以符合性评测表中评测项总数所得2.3.2 风险评估评分方法网络单元风险评估首先基于技术检测中发现的安全隐患的数量、位置、危害程度进行一次扣分；然后依据发现的安全隐患是否可被技术检测单位利用进行二次扣分风险评估评分流程具体如下1、一次扣分在技术检测时，每发现一个安全隐患，根据其所处的位置及危害程度扣除相应分值。

各类安全隐患的扣分值如表3-2所示表3-2 风险评估安全隐患扣分表安全隐患类型重要设备【注1】其它设备高危漏洞【注2】中危漏洞【注2】弱口令其它安全隐患【注3】[注1]：重要设备包括内外网隔离设备、内部安全域划分设备、互联网直联设备、网络业务核心设备[注2]：中高危漏洞以国内外权威的CVE漏洞库和国家互联网应急中心CNVD漏洞库为基本判断依据；对于高危Web安全隐患，以国际上公认的开放式Web使用程序安全项目（OWASP，Open Web Application Security Project）确定最新的Top 10中所列的WEB安全隐患判断作为判断依据[注3]：其它安全隐患指可能导致用户信息泄露、重要设备受控、业务中断、网络中断等重大网络安全事件的隐患2、二次扣分在一次扣分剩余得分的基础上，依据网络单元是否已被攻击入侵或发现的安全隐患是否可被技术检测单位利用，进行二次扣分具体扣分步骤如下：如通过技术检测，发现网络单元中存在恶意代码，或已被入侵而企业尚未发现并处置，扣除一次扣分后剩余得分的40%如通过技术检测，从网络单元外获取网络单元内设备的管理员权限或获取网络单元内数据库信息，扣除一次扣分后剩余得分的40%。

如通过技术检测，从网络单元内获取设备的管理员权限或获取数据库信息，扣除一次扣分后剩余得分的20%最后剩余分数即为风险评估得分第3章测试内容3.1 测试内容概述分为符合性评测和安全风险评估两部分，符合性评测具体内容为：业务安全、网络安全、主机安全、中间件安全、安全域边界安全、集中运维安全管控系统安全、灾难备份及恢复、管理安全、第三方服务安全状况安全风险评估主要通过技术检测发现网络单元内是否存在中高危安全漏洞、弱口令，以及可能导致用户信息泄露、重要设备受控、业务中断、网络中断等重大网络安全事件的隐患，检测是否存在恶意代码或企业尚未知晓的入侵痕迹，检测是否可以获取设备的管理员权限、数据库等表4-1：网络架构测试对象序号测试对象描述1 IDC 检测系统网络架构的合理性表3-2：IDC网络设备列表设备名称型号IP地址核心路由器表4-3：IDC网管系统主机列表主机名称型号IP地址系统软件用途数据库服务Windows 2003 数据库服务器器使用服务器Windows 2003 使用服务器通讯服务器Windows 2003 通讯服务器流量服务器Windows 2003 流量服务器业务/门户管Windows 2003 业务/门户管理服务器理服务器表4-4：IDC网管系统列表系统名称主要功能IDC综合运营管理系统3.2 扫描和渗透测试接入点选择从互联网和内网区域的测试点模拟外部用户和内部托管用户进行渗透测试，并从互联网、托管用户区的测试点进行漏洞扫描。

3.3 通信网络安全管理审核该测试范围涉及IDC安全管理审核，主要内容包括：安全管理制度、安全管理机构、人员安全管理、安全建设管理、安全运维管理、灾难备份、应急预案等相关制度管理文档第4章符合性评测结果本次符合性评分主要依据网络单元符合性评测表的符合情况得分，其中每个评测项对应分值，由100分除以符合性评测表中评测项总数所得本次对IDC 系统符合性检测项数为89项，单项分值为(100/89)1.12分4.1 业务安全序号检查内容检查点评测结果分值实际扣分说明1 应按照合同保证IDC用户业务的安全；是否按照合同要求保证IDC用户业务安全符合 1.12 0和用户签署相关协议，合同中对网络安全及业务安全进行相关描述和约定但目前客户没有提出过单独的业务安全要求4.2 网络安全序号检查内容检查点评测结果分值实际扣分说明5 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他和审计相关的信息审计记录是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他和审计相关的信息符合 1.12 0IDC内网络设备syslog审计日志存储在本机中，日志记录信息包含事件的日期和时间、用户、事件类型、事件是否成功及其他和审计相关的信息4.3 主机安全序号评测内容评测项评测结果分值实际扣分说明1 应对登录操作系统和数据库系统的用户进行身份标识和鉴别；是否对登录操作系统和数据库系统的用户进行身份标识和鉴别符合 1.12 0操作系统和数据库系统自身实现对用户的身份标识和鉴别功能4.4 中间件安全序号检查内容检查点评测结果分值实际扣分说明1 "应实现操作系统和中间件用户的权限分离，中间件应使用独立用户；应实现中间件用户和互联网数据中心IDC使用程序用户的权限分离"是否实现操作系统和中间件用户的权限分离，中间件是否使用独立用户不适用N/A N/A网管系统使用CS架构，无中间件4.5 安全域边界安全序号检查内容检查点评测结果分值实际扣分说明6 启用其它设备（主机隔离等）进行安全边界划分、隔离的应尽量实现严格的访问控制策略查看配置并技术检测验证访问控制措施符合 1.120使用交换机ACL规则进行访问控制4.6 集中运维安全管控系统安全序号评测内容评测项评测结果分值实际扣分说明1 互联网数据中心（IDC）集中运维安全管控系统应和提供互联网数据中心（IDC）各种服务的互联网数据中心（IDC）基础设施隔离，应部署在不同网络区域，网络边界处设备应按不同互联网数据中心（IDC）业务需求实施访问控制策略，应只开放管理所必通过技术测试检验IDC集中运维安全管控系统和IDC基础设施的网络隔离是否符合安全策略符合 1.12 0使用独立网络区域192.168.2.0，在E8080E上进行访问控制策略，不允许其他网络对网管区域进行访问号评测内容评测项结果分值扣分说明须的服务及端口，避免开放较大的IP地址段及服务；4.7 灾难备份及恢复序号评测内容评测项评测结果分值实际扣分说明2 互联网数据中心IDC网络灾难恢复时间应满足行业管理、网络和业务运营商应急预案的相关要求。

互联网数据中心IDC网络灾难演练恢复时间是否满足行业管理和企业应急预案的相关要求符合 1.12 0定期进行各项演练，按客户重要程度不同在一定时间内恢复，满足要求4.8 管理安全序号评测内容评测项评测结果分值实际扣分说明1 至少覆盖但不限于安全管理制度、安全管理机构、人员安全管理、安全建设管理、安全运维管理等管理方面；是否包含至少安全管理制度、安全管理机构、人员安全管理、安全建设管理、安全运维管理等内容符合 1.12 0制定了相应管理制度，包含安全管理制度、安全管理机构、人员安全管理、安全建设管理、安全运维管理等内容4 IDC应有介质存取、验证和转储管理制度，确保备份数据授权IDC是否有介质存取、验证和转储管理制度，确保备份数据授权符合 1.12 0制定了《IDC灾难备份和恢复管理办法》规定了相应内容4.9 第三方服务安全序号评测内容评测项评测结果分值实际扣分说明1 应确保安全服务商。