文档文库
手机版
投诉建议
热门搜索: 心得体会 演讲稿 思想汇报
首页 > 网络安全防护检查报告模板

网络安全防护检查报告模板

发布时间:2020-12-10   来源:文档文库   
字号:
手机查看
一、单选题



编号:


网络安全防护检查报告
数据中心




测评单位: 报告日期:









 .I

一、单选题



1 系统概况 ...................................................................................................................................................2
1.1 网络结构 ..................................................................................................................................................2 1.2 管理制度 ..................................................................................................................................................2 2 评测方法和工具 .................................................................................................................................4
2.1 测试方式 ..................................................................................................................................................4 2.2 测试工具 ..................................................................................................................................................4 2.3 评分方法 ..................................................................................................................................................4
2.3.1 符合性评测评分方法 .....................................................................................................5 2.3.2 风险评估评分方法 ...........................................................................................................5
3 测试内容 ...................................................................................................................................................7
3.1 测试内容概述 ......................................................................................................................................7 3.2 扫描和渗透测试接入点 ..............................................................................................................8 3.3 通信网络安全管理审核 ..............................................................................................................8 4 符合性评测结果 .................................................................................................................................9
4.1 业务安全 ..................................................................................................................................................9 4.2 网络安全 ..................................................................................................................................................9 4.3 主机安全 ............................................................................................................................................... 10 4.4 中间件安全 ......................................................................................................................................... 10 4.5 安全域边界安全 ............................................................................................................................. 11 4.6 集中运维安全管控系统安全 ................................................................................................ 12 4.7 灾难备份及恢复 ............................................................................................................................. 13 4.8 管理安全 ............................................................................................................................................... 13
 .II

一、单选题
4.9 第三方服务安全 ............................................................................................................................. 14 5 风险评估结果 .................................................................................................................................... 15
5.1 存在的安全隐患 ............................................................................................................................. 15 6 综合评分 ................................................................................................................................................ 16
6.1 符合性得分 ......................................................................................................................................... 16 6.2 风险评估 ............................................................................................................................................... 16 6.3 综合得分 ............................................................................................................................................... 16 附录A 设备扫描记录 ................................................................................................................................... 17

 .III

一、单选题
所依据的标准和规范有:
YD/T 2584-2013 互联网数据中心IDC安全防护要求》 YD/T 2585-2013 互联网数据中心IDC安全防护检测要求》
YD/T 2669-2013 第三方安全服务能力评定准则》 《网络和系统安全防护检查评分方法》
2014年度通信网络安全防护符合性评测表-互联网数据中IDC 还参考标准
YD/T 1754-2008《电信和互联网物理环境安全等级保护要求》 YD/T 1755-2008《电信和互联网物理环境安全等级保护检测要求》 YD/T 1756-2008《电信和互联网管理安全等级保护要求》 GB/T 20274 信息系统安全保障评估框架 GB/T 20984-2007 《信息安全风险评估规范》
 .1

一、单选题
1 系统概况
IDC 负责管理和维护,其中各室配备了数名工程师,负责IDC设备硬、软件维护,数据制作,故障处理、信息安全保障、机房环境动力设备和空调设备维护。
1.1 网络结构

1-1IDC网络拓扑图
1.2 管理制度
1. 组织架构
网络与信息安全工作小组
信息安全工作组
网络安全工作组
具体职能部门

1-2IDC信息安全管理机构
2. 岗位权责分工
现有的管理制度、规范及工作表单有:
IDC机房信息安全管理制度规范》 IDC机房管理办法》
IDC灾难备份与恢复管理办法》 《网络安全防护演练与总结》 《集团客户业务故障处理管理程序》 《互联网与基础数据网通信保障应急预案》
 .2

一、单选题
IDC网络应急预案》
《关于调整公司跨部门组织机构及有关领导的通知》 《网络信息安全考核管理办法》
《通信网络运行维护规程公共分册-数据备份制度》 《省分公司转职信息安全人员职责》 《通信网络运行维护规程IP网设备篇》 《城域网BASSR设备配置规范》 IP地址管理办法》
《互联网网络安全应急预案处理细则》
《互联网网络安全应急预案处理预案(2013修订版)》
 .3

一、单选题
2 评测方法和工具
2.1 测试方式
检查
通过对测试对象进行观察、查验、分析等活动,获取证据以证明保护措施是否有效的一种方法。
测试
通过对测试对象按照预定的方法/工具使其产生特定的响应等活动,查看、分析测试对象的响应输出结果,获取证据以证明保护措施是否有效的一种方法。 2.2 测试工具
主要使用到的测试工具有:扫描工具、渗透测试工具、抓包工具、漏洞利用验证工具等。具体描述如下表:
3-1:测试工具
工具名称
1
绿盟漏洞扫描系统
科莱网络协议分析工2

3
Nmap
端口扫描 WEB渗透集4
Burp Suite
成工具 脆弱性扫描 脆弱性扫描 工具描述
2.3 评分方法
分为符合性检测和风险评估两部分工作。网络单元安全防护检测评分=符合性评测得分×60%+风险评估得分×40%其中符合性评测评分和风险评估评分均采用百分制。
 .4

一、单选题
2.3.1 符合性评测评分方法
符合性评测评分依据网络单元符合性评测表中所列制度、措施的符合情况计分,其中每个评测项对应分值,由100分除以符合性评测表中评测项总数所得。 2.3.2 风险评估评分方法
网络单元风险评估首先基于技术检测中发现的安全隐患的数量、位置、危害程度进行一次扣分;然后依据发现的安全隐患是否可被技术检测单位利用进行二次扣分。风险评估评分流程具体如下。
1、一次扣分
在技术检测时,每发现一个安全隐患,根据其所处的位置及危害程度扣除相应分值。各类安全隐患的扣分值如表3-2所示。
3-2 风险评估安全隐患扣分表
安全隐患类型 高危漏洞【注
2重要设备【注
1其它设备





3中危漏洞【注
2弱口令 其它安全隐患【注
[1]:重要设备包括内外网隔离设备、内部安全域划分设备、互联网直联设备、网络业务核心设备。
[2]:中高危漏洞以国内外权威的CVE漏洞库和国家互联网应急中心CNVD漏洞库为基本判断依据;对于高危Web安全隐患,以国际上公认的开放式Web应用程序安全项目(OWASPOpen Web Application Security Project确定最新的Top 10中所列的WEB安全隐患判断作为判断依据。
[3]:其它安全隐患指可能导致用户信息泄露、重要设备受控、业务中断、网络中断等重大网络安全事件的隐患。
2、二次扣分
5
 .
一、单选题
在一次扣分剩余得分的基础上,依据网络单元是否已被攻击入侵或发现的安全隐患是否可被技术检测单位利用,进行二次扣分。具体扣分步骤如下:
如通过技术检测,发现网络单元中存在恶意代码,或已被入侵而企业尚未发现并处置,扣除一次扣分后剩余得分的40%
如通过技术检测,从网络单元外获取网络单元内设备的管理员权限或获取网络单元内数据库信息,扣除一次扣分后剩余得分的40%
如通过技术检测,从网络单元内获取设备的管理员权限或获取数据库信息,扣除一次扣分后剩余得分的20%
最后剩余分数即为风险评估得分。
 .6

一、单选题
3 测试内容
3.1 测试内容概述
分为符合性评测和安全风险评估两部分,符合性评测具体内容为:业务安全、网络安全、主机安全、中间件安全、安全域边界安全、集中运维安全管控系统安全、灾难备份及恢复、管理安全、第三方服务安全状况。
安全风险评估主要通过技术检测发现网络单元内是否存在中高危安全漏洞、弱口令,以及可能导致用户信息泄露、重要设备受控、业务中断、网络中断等重大网络安全事件的隐患,检测是否存在恶意代码或企业尚未知晓的入侵痕迹,测是否可以获取设备的管理员权限、数据库等。
4-1:网络架构测试对象
1 C
测试对象
ID检测系统网络架构的合理性
描述

3-2IDC网络设备列表
设备名称 核心路由器
型号

IP地址


4-3IDC网管系统主机列表
主机名型号

数据库
服务器
 .IP地址 系统软件 用途
Windows 2003 数据库服务器
7

一、单选题
主机名型号

应用服
务器
通讯服
务器
流量服
务器 业务/业务/门户管理服户管理服务


Windows 2003
务器

Windows 2003
流量服务器

Windows 2003
通讯服务器

Windows 2003
应用服务器
IP地址
系统软件
用途
4-4IDC网管系统列表
系统名称
IDC综合运营管理系

主要功能

3.2 扫描和渗透测试接入点
选择从互联网和内网区域的测试点模拟外部用户与内部托管用户进行渗透测试,并从互联网、托管用户区的测试点进行漏洞扫描。 3.3 通信网络安全管理审核
该测试范围涉及IDC安全管理审核,主要内容包括:安全管理制度、安全管理机构、人员安全管理、安全建设管理、安全运维管理、灾难备份、应急预案等相关制度管理文档。
 .8

一、单选题
4 符合性评测结果
本次符合性评分主要依据网络单元符合性评测表的符合情况得分,其中每个评测项对应分值,由100分除以符合性评测表中评测项总数所得。本次对IDC系统符合性检测项数为89项,单项分值为(100/891.12分。 4.1 业务安全
检查内容

检查点



与用户签署相关协议,合同中是否按照合应按照合同保同要求保证1 IDC用户业务IDC用户业务的安全;
安全
前客户没有提出过单独的业务安全要求

.12
10
描述和约定。但目务安全进行相关对网络安全及业

说明

4.2 网络安全
检查内容

检查点

审计记录应包5
括事件的日期和时审计记录是否包括事件的日
间、用户、事件类型、期和时间、用户、 .

说明

IDC10 络设备syslog审计.12
志存储在本机
9

一、单选题
检查内容

检查点

事件是否成功及其他与审计相关的信息。
事件类型、事件是否成功及其他与审计相关的信



说明

中,日志记录信息含事件的日期和时间、用户、件类型、事件是否功及其他与审计相关的信息

4.3 主机安全
评测内容

评测项

是否对登录操作系统和数据系统和数据库系统1
的用户进行身份标行身份标识和鉴识和鉴别;


库系统的用户进
.12
份标识和鉴别功10 实现对用户的身数据库系统自身操作系统和


际扣说明

4.4 中间件安全
检查内容

检查点

 .

说明


10

一、单选题
检查内容

检查点

"应实现操作系统和中间件用户的是否实现操权限分离,中间件应作系统和中间件使用独立用户;应实1
现中间件用户和互离,中间件是否使用独立用户
IDC应用程序用户的权限分离"



说明


使N/A
NCS架构,无适用
/A
中间件
4.5 安全域边界安全
检查内容

检查点

启用其它设备(主机隔离等)进行安全边界划分、6
隔离的应尽量实现问控制措施
严格的访问控制策



说明


使10 ACL规则进行访
.12
问控制
技术检测验证访 .11

一、单选题
4.6 集中运维安全管控系统安全
评测内容

评测项

互联网数据中IDC集中运维安全管控系统应与提供互联网数据中心IDC各种服务的互联网数据通过技术测中心IDC基础试检验IDC设施隔离,应部署中运维安全管控在不同网络区域,1
网络边界处设备应础设施的网络隔按不同互联网数据离是否符合安全中心IDC业务策略
需求实施访问控制策略,应只开放管理所必须的服务及端口,避免开放较大的IP地址段及服务;
访问
管区域进系统与IDC
.12
许其他网10 行访问控制策略,E8080E上进络区域192.168.2.0使


际扣说明

 .12

一、单选题
4.7 灾难备份及恢复
评测内容

评测项

互联网数据中IDC网络灾难恢复时间应满足行2
业管理、网络和业务运营商应急预案的相关要求。
间是否满足行业管理和企业应急复,满足要求
预案的相关要求

.12
互联网数据定期进行各中心IDC网络项演练,按客户灾难演练恢复时10
重要程度不同在


际扣说明

4.8 管理安全
评测内容

评测项

制定了相应至少覆盖但不是否包含至少安全管理制度、度、安全管理机构、安全管理机构、1
人员安全管理、安员安全管理、安全全建设管理、安全建设管理、安全运运维管理等管理方维管理等内容
面;
内容
安全运维管理等安全建设管理、
.12
10
人员安全管理、安全管理机构、安全管理制度、管理制度,包含


际扣说明
 .13

一、单选题
评测内容

评测项

IDC是否IDC有介质存取、验证质存取、验证和转4
储管理制度,确保确保备份数据授备份数据授权

内容
和转储管理制度,
.12
法》规定了相应10 份与恢复管理办IDC灾难备


际扣说明

4.9 第三方服务安全
评测内容

评测项

是否将通过中国通信企业协 提供风1 务商的选择符合国家的有关规定;
会通信网络安全服务能力评定列
为外部安全服务要求。
提供商招标条件之一


际扣

说明
10
.12
险评估的第三方服务,符合相应 .14

一、单选题
5 风险评估结果
本次章节评分主要依据《网络和系统安全防护检查评分方法》,对技术检测中发现的安全隐患的数量、位置、危害程度进行扣分。 5.1 存在的安全隐患
1. 网管系统监控终端192.168 存在的主机弱口令,可直接登录系统 网管系统监控终端192.168 存在的主机弱口令PC/000可直接登录系统获取系统权限导致服务器受控,详见附录B
危害程度:弱口令 所处位置:其他设备 扣分:1
建议:提示用户修改初始口令,口令应具有一定复杂度。
 .15

一、单选题
6 综合评分
6.1 符合性得分
本次测试对IDC系统进行符合项检测,共检测89项,每项分值为1.12100/89),其中 项不符合要求,符合性得分为 分。 6.2 风险评估
本次主要通过系统\应用层扫描、手工核查、内外网渗透对IDC系统进行安全风险评估,共发现2个安全隐患:
第一次扣分情况如下: 100-5=95
安全隐患利用第二次扣分:
通过技术检测,从网络单元内获取服务器192.168.2.11的管理员权限,导致服务器受控,扣除一次扣分后剩余得分的20% 6.3 综合得分
IDC系统的68项符合性评测和存在的安全隐患进行评估,IDC系统网络单元安全防护检测评分为:
 .16

一、单选题
附录A 设备扫描记录
A-1信息汇总表
IP地址
操作系统
洞风险置风险风险值

192.168.2.12 192.168.2.13 192.168.2.11


Windows Windows Windows


2 2 2



2 2 2

非常安全 非常安全 非常安全
危险程度


 .17

一、单选题



 .18

本文来源:https://www.2haoxitong.net/k/doc/416efbcb148884868762caaedd3383c4ba4cb47b.html

《网络安全防护检查报告模板.doc》
将本文的Word文档下载到电脑,方便收藏和打印
推荐度:
点击下载文档

文档为doc格式

相关推荐

推荐内容

关于我国商业银行开展私人银行业务的分析 邀请函范模板例三篇 大班家长会反思与总结 大班家长会反思与总结 商业汇票办法 毛利率的计算方式文档 (2) 小学体育游戏的创编与运用 努力分为两种,一种是正确的努力,一种是错误的努力 金融专业世界实践报告集锦.doc 给女朋友想念的甜蜜暖心留言
网站内容来自网络,如有侵权请联系我们,立即删除! Copyright © 范文写作网京ICP备16605803号