编号:网络安全防护检查报告数据中心测评单位:报告日期:目录第1章系统概况..............................................................................................21.1网络结构.............................................................................................21.2管理制度.............................................................................................2第2章评测方法和工具...................................................................................42.1测试方式.............................................................................................42.2测试工具.............................................................................................42.3评分方法.............................................................................................42.3.1符合性评测评分方法.................................................................42.3.2风险评估评分方法.....................................................................4第3章测试内容..............................................................................................63.1测试内容概述......................................................................................63.2扫描和渗透测试接入点........................................................................73.3通信网络安全管理审核........................................................................7第4章符合性评测结果...................................................................................84.1业务安全.............................................................................................84.2网络安全.............................................................................................84.3主机安全.............................................................................................84.4中间件安全..........................................................................................94.5安全域边界安全..................................................................................94.6集中运维安全管控系统安全.................................................................94.7灾难备份及恢复................................................................................104.8管理安全...........................................................................................104.9第三方服务安全................................................................................11第5章风险评估结果.....................................................................................125.1存在的安全隐患................................................................................12第6章综合评分............................................................................................136.1符合性得分........................................................................................136.2风险评估...........................................................................................136.3综合得分...........................................................................................13附录A设备扫描记录.....................................................................................14所依据的标准和规范有:《YD/T2584-2013互联网数据中心IDC安全防护要求》《YD/T2585-2013互联网数据中心IDC安全防护检测要求》《YD/T2669-2013第三方安全服务能力评定准则》《网络和系统安全防护检查评分方法》《2014年度通信网络安全防护符合性评测表-互联网数据中心IDC》还参考标准YD/T1754-2008《电信和互联网物理环境安全等级保护要求》YD/T1755-2008《电信和互联网物理环境安全等级保护检测要求》YD/T1756-2008《电信和互联网管理安全等级保护要求》GB/T20274信息系统安全保障评估框架GB/T20984-2007《信息安全风险评估规范》第1章系统概况IDC由负责管理和维护,其中各室配备了数名工程师,负责IDC设备硬、软件维护,数据制作,故障处理、信息安全保障、机房环境动力设备和空调设备维护。1.1网络结构图1-1:IDC网络拓扑图1.2管理制度1.组织架构图1-2:IDC信息安全管理机构2.岗位权责分工现有的管理制度、规范及工作表单有:《IDC机房信息安全管理制度规范》《IDC机房管理办法》《IDC灾难备份与恢复管理办法》《网络安全防护演练与总结》《集团客户业务故障处理管理程序》《互联网与基础数据网通信保障应急预案》《IDC网络应急预案》《关于调整公司跨部门组织机构及有关领导的通知》《网络信息安全考核管理办法》网络与信息安全工作小组信息安全工作组网络安全工作组具体职能部门《通信网络运行维护规程公共分册-数据备份制度》《省分公司转职信息安全人员职责》《通信网络运行维护规程IP网设备篇》《城域网BAS、SR设备配置规范》《IP地址管理办法》《互联网网络安全应急预案处理细则》《互联网网络安全应急预案处理预案(2013修订版)》第2章评测方法和工具2.1测试方式检查通过对测试对象进行观察、查验、分析等活动,获取证据以证明保护措施是否有效的一种方法。测试通过对测试对象按照预定的方法/工具使其产生特定的响应等活动,查看、分析测试对象的响应输出结果,获取证据以证明保护措施是否有效的一种方法。2.2测试工具主要使用到的测试工具有:扫描工具、渗透测试工具、抓包工具、漏洞利用验证工具等。具体描述如下表:表3-1:测试工具序号工具名称工具描述1绿盟漏洞扫描系统脆弱性扫描2科莱网络协议分析工具脆弱性扫描3Nmap端口扫描4BurpSuiteWEB渗透集成工具2.3评分方法分为符合性检测和风险评估两部分工作。网络单元安全防护检测评分=符合性评测得分×60%+风险评估得分×40%。其中符合性评测评分和风险评估评分均采用百分制。2.3.1符合性评测评分方法符合性评测评分依据网络单元符合性评测表中所列制度、措施的符合情况计分,其中每个评测项对应分值,由100分除以符合性评测表中评测项总数所得。2.3.2风险评估评分方法网络单元风险评估首先基于技术检测中发现的安全隐患的数量、位置、危害程度进行一次扣分;然后依据发现的安全隐患是否可被技术检测单位利用进行二次扣分。风险评估评分流程具体如下。1、一次扣分在技术检测时,每发现一个安全隐患,根据其所处的位置及危害程度扣除相应分值。各类安全隐患的扣分值如表3-2所示。表3-2风险评估安全隐患扣分表安全隐患类型重要设备【注1】其它设备高危漏洞【注2】中危漏洞【注2】弱口令其它安全隐患【注3】[注1]:重要设备包括内外网隔离设备、内部安全域划分设备、互联网直联设备、网络业务核心设备。[注2]:中高危漏洞以国内外权威的CVE漏洞库和国家互联网应急中心CNVD漏洞库为基本判断依据;对于高危Web安全隐患,以国际上公认的开放式Web应用程序安全项目(OWASP,OpenWebApplicationSecurityProject)确定最新的Top10中所列的WEB安全隐患判断作为判断依据。[注3]:其它安全隐患指可能导致用户信息泄露、重要设备受控、业务中断、网络中断等重大网络安全事件的隐患。2、二次扣分在一次扣分剩余得分的基础上,依据网络单元是否已被攻击入侵或发现的安全隐患是否可被技术检测单位利用,进行二次扣分。具体扣分步骤如下:如通过技术检测,发现网络单元中存在恶意代码,或已被入侵而企业尚未发现并处置,扣除一次扣分后剩余得分的40%。如通过技术检测,从网络单元外获取网络单元内设备的管理员权限或获取网络单元内数据库信息,扣除一次扣分后剩余得分的40%。如通过技术检测,从网络单元内获取设备的管理员权限或获取数据库信息,扣除一次扣分后剩余得分的20%。最后剩余分数即为风险评估得分。第3章测试内容3.1测试内容概述分为符合性评测和安全风险评估两部分,符合性评测具体内容为:业务安全、网络安全、主机安全、中间件安全、安全域边界安全、集中运维安全管控系统安全、灾难备份及恢复、管理安全、第三方服务安全状况。安全风险评估主要通过技术检测发现网络单元内是否存在中高危安全漏洞、弱口令,以及可能导致用户信息泄露、重要设备受控、业务