《网络安全防护检查报告模板》由会员分享,可在线阅读,更多相关《网络安全防护检查报告模板(27页珍藏版)》请在金锄头文库上搜索。
1、编号:网络安全防护检查报告数据中心测评单位:报告日期:- I -目 录第 1 章 系统概况21.1 网络结构21.2 管理制度2第 2 章 评测方法和工具42.1 测试方式42.2 测试工具42.3 评分方法42.3.1 符合性评测评分方法42.3.2 风险评估评分方法4第 3 章 测试内容63.1 测试内容概述63.2 扫描和渗透测试接入点73.3 通信网络安全管理审核7第 4 章 符合性评测结果84.1 业务安全84.2 网络安全84.3 主机安全84.4 中间件安全94.5 安全域边界安全94.6 集中运维安全管控系统安全94.7 灾难备份及恢复104.8 管理安全104.9 第三方服务
2、安全11第 5 章 风险评估结果125.1 存在的安全隐患12第 6 章 综合评分136.1 符合性得分136.2 风险评估136.3 综合得分13附录 A 设备扫描记录14-II-所依据的标准和规范有: YD/T 2584-2013 互联网数据中心 IDC 安全防护要求 YD/T 2585-2013 互联网数据中心 IDC 安全防护检测要求 YD/T 2669-2013 第三方安全服务能力评定准则网络和系统安全防护检查评分方法 2014 年度通信网络安全防护符合性评测表互联网数据中心 IDC 还参考标准YD/T 1754-2008电信和互联网物理环境安全等级保护要求YD/T 1755-200
3、8电信和互联网物理环境安全等级保护检测要求YD/T 1756-2008电信和互联网管理安全等级保护要求GB/T 20274 信息系统安全保障评估框架GB/T 20984-2007 信息安全风险评估规范数据中心网络安全防护检查报告第1页共49页第 1章 系统概况IDC 由负责管理和维护, 其中各室配备了数名工程师, 负责 IDC 设备硬、软件维护,数据制作,故障处理、信息安全保障、机房环境动力设备和空调设备维护。1.1 网络结构图 1-1:IDC 网络拓扑图1.2 管理制度1. 组织架构网络与信息安全工作小组信息安全工作组网络安全工作组具体职能部门图 1-2: IDC 信息安全管理机构2. 岗位
4、权责分工现有的管理制度、规范及工作表单有: IDC 机房信息安全管理制度规范 IDC 机房管理办法 IDC 灾难备份与恢复管理办法网络安全防护演练与总结集团客户业务故障处理管理程序互联网与基础数据网通信保障应急预案 IDC 网络应急预案关于调整公司跨部门组织机构及有关领导的通知网络信息安全考核管理办法数据中心网络安全防护检查报告第2页共49页通信网络运行维护规程公共分册-数据备份制度省分公司转职信息安全人员职责通信网络运行维护规程IP 网设备篇城域网 BAS、 SR 设备配置规范 IP 地址管理办法互联网网络安全应急预案处理细则互联网网络安全应急预案处理预案( 2013 修订版)数据中心网络安
5、全防护检查报告第3页共49页第 2章 评测方法和工具2.1 测试方式检查通过对测试对象进行观察、 查验、分析等活动,获取证据以证明保护措施是否有效的一种方法。测试通过对测试对象按照预定的方法/工具使其产生特定的响应等活动,查看、分析测试对象的响应输出结果,获取证据以证明保护措施是否有效的一种方法。2.2 测试工具主要使用到的测试工具有:扫描工具、渗透测试工具、抓包工具、漏洞利用验证工具等。具体描述如下表:表 3-1:测试工具序号工具名称工具描述1绿盟漏洞扫描系统脆弱性扫描2科莱网络协议分析工具脆弱性扫描3Nmap端口扫描4Burp SuiteWEB 渗透集成工具2.3 评分方法分为符合性检测和
6、风险评估两部分工作。网络单元安全防护检测评分符合性评测得分 60%风险评估得分 40%。其中符合性评测评分和风险评估评分均采用百分制。2.3.1 符合性评测评分方法符合性评测评分依据网络单元符合性评测表中所列制度、措施的符合情况计分,其中每个评测项对应分值,由100 分除以符合性评测表中评测项总数所得。2.3.2 风险评估评分方法网络单元风险评估首先基于技术检测中发现的安全隐患的数量、位置、危害程度进行一次扣分; 然后依据发现的安全隐患是否可被技术检测单位利用进行二次扣分。风险评估评分流程具体如下。数据中心网络安全防护检查报告第4页共49页1、一次扣分在技术检测时, 每发现一个安全隐患, 根据
7、其所处的位置及危害程度扣除相应分值。各类安全隐患的扣分值如表 3-2 所示。表 3-2 风险评估安全隐患扣分表安全隐患类型重要设备 【注 1】其它设备高危漏洞 【注 2】中危漏洞 【注 2】弱口令其它安全隐患【注 3】注 1:重要设备包括内外网隔离设备、内部安全域划分设备、互联网直联设备、网络业务核心设备。 注 2 :中高危漏洞以国内外权威的 CVE 漏洞库和国家互联网应急中心 CNVD 漏洞库为基本判断依据;对于高危 Web 安全隐患,以国际上公认的开放式 Web 应用程序安全项目( OWASP,Open Web Application Security Project)确定最新的 Top
8、10 中所列的 WEB 安全隐患判断作为判断依据。注 3:其它安全隐患指可能导致用户信息泄露、重要设备受控、业务中断、网络中断等重大网络安全事件的隐患。2、二次扣分在一次扣分剩余得分的基础上, 依据网络单元是否已被攻击入侵或发现的安全隐患是否可被技术检测单位利用,进行二次扣分。具体扣分步骤如下:如通过技术检测, 发现网络单元中存在恶意代码,或已被入侵而企业尚未发现并处置,扣除一次扣分后剩余得分的40%。如通过技术检测,从网络单元外获取网络单元内设备的管理员权限或获取网络单元内数据库信息,扣除一次扣分后剩余得分的40%。如通过技术检测,从网络单元内获取设备的管理员权限或获取数据库信息,扣除一次扣
9、分后剩余得分的20%。最后剩余分数即为风险评估得分。数据中心网络安全防护检查报告第5页共49页第 3章 测试内容3.1 测试内容概述分为符合性评测和安全风险评估两部分, 符合性评测具体内容为: 业务安全、网络安全、主机安全、中间件安全、安全域边界安全、集中运维安全管控系统安全、灾难备份及恢复、管理安全、第三方服务安全状况。安全风险评估主要通过技术检测发现网络单元内是否存在中高危安全漏洞、弱口令,以及可能导致用户信息泄露、重要设备受控、业务中断、网络中断等重大网络安全事件的隐患, 检测是否存在恶意代码或企业尚未知晓的入侵痕迹, 检测是否可以获取设备的管理员权限、数据库等。表 4-1:网络架构测试
10、对象序号测试对象描述1IDC检测系统网络架构的合理性表 3-2:IDC 网络设备列表设备名称型号IP 地址核心路由器表 4-3: IDC网管系统主机列表主机名称型号IP 地址系统软件用途数据库服务Windows 2003数据库服务器器应用服务器Windows 2003应用服务器通讯服务器Windows 2003通讯服务器流量服务器Windows 2003流量服务器业务 /门户管Windows 2003业务 /门户管理服务器理服务器表 4-4:IDC 网管系统列表系统名称主要功能数据中心网络安全防护检查报告第6页共49页IDC 综合运营管理系统3.2 扫描和渗透测试接入点选择从互联网和内网区域的测试点模拟外部用户与内部托管用户进行渗透测试,并从互联网、托管用户区的测试点进行漏洞扫描。3.3 通信网络安全管理审核该测试范围涉及IDC 安全管理审核,主要内容包括:安全管理制度、安全管理机构、人员安全管理、安全建设管理、安全运维管理、灾难备份、应急预案等相关制度管理文档。数据中心网络安全防护检查报告第7页共49页第 4章 符合性评测结果
