文档文库
手机版
投诉建议
热门搜索: 心得体会 演讲稿 思想汇报
首页 > 网络安全防护检查报告模板资料

网络安全防护检查报告模板资料

发布时间:   来源:文档文库   
字号:
手机查看
编号:


网络安全防护检查报告
测评单位:报告日期:数据中心







- I -





1 系统概况 .............................................................................................. 2
1.1 网络结构 ............................................................................................. 2 1.2 管理制度 ............................................................................................. 2 2 评测方法和工具 ................................................................................... 4
2.1 测试方式 ............................................................................................. 4 2.2 测试工具 ............................................................................................. 4 2.3 评分方法 ............................................................................................. 4
2.3.1 符合性评测评分方法 ................................................................. 4 2.3.2 风险评估评分方法 ..................................................................... 4
3 测试内容 .............................................................................................. 6
3.1 测试内容概述 ...................................................................................... 6 3.2 扫描和渗透测试接入点 ........................................................................ 7 3.3 通信网络安全管理审核 ........................................................................ 7 4 符合性评测结果 ................................................................................... 8
4.1 业务安全 ............................................................................................. 8 4.2 网络安全 ............................................................................................. 8 4.3 主机安全 ............................................................................................. 8 4.4 中间件安全.......................................................................................... 9 4.5 安全域边界安全 .................................................................................. 9 4.6 集中运维安全管控系统安全................................................................. 9 4.7 灾难备份及恢复 ................................................................................ 10 4.8 管理安全 ........................................................................................... 10 4.9 第三方服务安全 ................................................................................ 11 5 风险评估结果 ..................................................................................... 12
5.1 存在的安全隐患 ................................................................................ 12 6 综合评分 ............................................................................................ 13
6.1 符合性得分........................................................................................ 13 6.2 风险评估 ........................................................................................... 13 6.3 综合得分 ........................................................................................... 13 附录A 设备扫描记录 ..................................................................................... 14

- II -
所依据的标准和规范有:
YD/T 2584-2013 互联网数据中心IDC安全防护要求》 YD/T 2585-2013 互联网数据中心IDC安全防护检测要求》 YD/T 2669-2013 第三方安全服务能力评定准则》 《网络和系统安全防护检查评分方法》
2014年度通信网络安全防护符合性评测表-互联网数据中心IDC 还参考标准
YD/T 1754-2008《电信和互联网物理环境安全等级保护要求》 YD/T 1755-2008《电信和互联网物理环境安全等级保护检测要求》 YD/T 1756-2008《电信和互联网管理安全等级保护要求》 GB/T 20274 信息系统安全保障评估框架 GB/T 20984-2007 《信息安全风险评估规范》
数据中心网络安全防护检查报告 1页共49

1 系统概况
IDC 负责管理和维护,其中各室配备了数名工程师,负责IDC设备硬、软件维护,数据制作,故障处理、信息安全保障、机房环境动力设备和空调设备维护。
1.1 网络结构

1-1IDC网络拓扑图
1.2 管理制度
1. 组织架构
网络与信息安全工作小组
信息安全工作组 网络安全工作组
具体职能部门

1-2IDC信息安全管理机构
2. 岗位权责分工
现有的管理制度、规范及工作表单有: IDC机房信息安全管理制度规范》 IDC机房管理办法》
IDC灾难备份与恢复管理办法》 《网络安全防护演练与总结》 《集团客户业务故障处理管理程序》 《互联网与基础数据网通信保障应急预案》 IDC网络应急预案》
《关于调整公司跨部门组织机构及有关领导的通知》 《网络信息安全考核管理办法》
数据中心网络安全防护检查报告 2页共49

《通信网络运行维护规程公共分册-数据备份制度》 《省分公司转职信息安全人员职责》 《通信网络运行维护规程IP网设备篇》 《城域网BASSR设备配置规范》 IP地址管理办法》
《互联网网络安全应急预案处理细则》
《互联网网络安全应急预案处理预案(2013修订版)》
数据中心网络安全防护检查报告 3页共49

2 评测方法和工具
2.1 测试方式
检查
通过对测试对象进行观察、查验、分析等活动,获取证据以证明保护措施是否有效的一种方法。
测试
通过对测试对象按照预定的方法/工具使其产生特定的响应等活动,查看、分析测试对象的响应输出结果,获取证据以证明保护措施是否有效的一种方法。 2.2 测试工具
主要使用到的测试工具有:扫描工具、渗透测试工具、抓包工具、漏洞利用验证工具等。具体描述如下表:
3-1:测试工具
序号 1 2 3 4 工具名称 绿盟漏洞扫描系统 科莱网络协议分析工具
Nmap Burp Suite 工具描述 脆弱性扫描 脆弱性扫描 端口扫描 WEB渗透集成工具
2.3 评分方法
分为符合性检测和风险评估两部分工作。网络单元安全防护检测评分=符合性评测得分×60%+风险评估得分×40%。其中符合性评测评分和风险评估评分均采用百分制。
2.3.1 符合性评测评分方法
符合性评测评分依据网络单元符合性评测表中所列制度、措施的符合情况计分,其中每个评测项对应分值,由100分除以符合性评测表中评测项总数所得。 2.3.2 风险评估评分方法
网络单元风险评估首先基于技术检测中发现的安全隐患的数量、位置、危害程度进行一次扣分;然后依据发现的安全隐患是否可被技术检测单位利用进行二次扣分。风险评估评分流程具体如下。
数据中心网络安全防护检查报告 4页共49

1、一次扣分
在技术检测时,每发现一个安全隐患,根据其所处的位置及危害程度扣除相应分值。各类安全隐患的扣分值如表3-2所示。
3-2 风险评估安全隐患扣分表
安全隐患类型 高危漏洞【注2 中危漏洞【注2 弱口令 其它安全隐患【注3
重要设备【注1



其它设备


[1]:重要设备包括内外网隔离设备、内部安全域划分设备、互联网直联设备、网络业务核心设备。
[2]:中高危漏洞以国内外权威的CVE漏洞库和国家互联网应急中心CNVD漏洞库为基本判断依据;对于高危Web安全隐患,以国际上公认的开放Web应用程序安全项目(OWASPOpen Web Application Security Project)确定最新的Top 10中所列的WEB安全隐患判断作为判断依据。
[3]:其它安全隐患指可能导致用户信息泄露、重要设备受控、业务中断、网络中断等重大网络安全事件的隐患。
2、二次扣分
在一次扣分剩余得分的基础上,依据网络单元是否已被攻击入侵或发现的安全隐患是否可被技术检测单位利用,进行二次扣分。具体扣分步骤如下:
如通过技术检测,发现网络单元中存在恶意代码,或已被入侵而企业尚未发现并处置,扣除一次扣分后剩余得分的40%
如通过技术检测,从网络单元外获取网络单元内设备的管理员权限或获取网络单元内数据库信息,扣除一次扣分后剩余得分的40%
如通过技术检测,从网络单元内获取设备的管理员权限或获取数据库信息,扣除一次扣分后剩余得分的20%
最后剩余分数即为风险评估得分。
数据中心网络安全防护检查报告 5页共49

3 测试内容
3.1 测试内容概述
分为符合性评测和安全风险评估两部分,符合性评测具体内容为:业务安全、网络安全、主机安全、中间件安全、安全域边界安全、集中运维安全管控系统安全、灾难备份及恢复、管理安全、第三方服务安全状况。
安全风险评估主要通过技术检测发现网络单元内是否存在中高危安全漏洞、弱口令,以及可能导致用户信息泄露、重要设备受控、业务中断、网络中断等重大网络安全事件的隐患,检测是否存在恶意代码或企业尚未知晓的入侵痕迹,测是否可以获取设备的管理员权限、数据库等。
4-1:网络架构测试对象
序号 测试对象
1 IDC 描述
检测系统网络架构的合理性

3-2IDC网络设备列表
设备名称 核心路由器
型号

IP地址


4-3IDC网管系统主机列表
主机名称
数据库服务 应用服务器 通讯服务器 流量服务器 业务/门户管理服务器
型号

IP地址


系统软件 Windows 2003 Windows 2003 Windows 2003 Windows 2003 Windows 2003 用途 数据库服务器 应用服务器 通讯服务器 流量服务器 业务/门户管理服务器
4-4IDC网管系统列表
系统名称
主要功能
数据中心网络安全防护检查报告 6页共49

IDC综合运营管理系统


3.2 扫描和渗透测试接入点
选择从互联网和内网区域的测试点模拟外部用户与内部托管用户进行渗透测试,并从互联网、托管用户区的测试点进行漏洞扫描。 3.3 通信网络安全管理审核
该测试范围涉及IDC安全管理审核,主要内容包括:安全管理制度、安全管理机构、人员安全管理、安全建设管理、安全运维管理、灾难备份、应急预案等相关制度管理文档。
数据中心网络安全防护检查报告 7页共49

4 符合性评测结果
本次符合性评分主要依据网络单元符合性评测表的符合情况得分,其中每个评测项对应分值,由100分除以符合性评测表中评测项总数所得。本次对IDC系统符合性检测项数为89项,单项分值为(100/891.12分。 4.1 业务安全

检查内容
检查点
评测 结果
分值
实际 扣分
说明 与用户签署相关协议,合同中对网应按照合同保证1 IDC用户业务的安全;
是否按照合同要求保证IDC用户业务安全
符合
1.12
0 络安全及业务安全进行相关描述和约定。但目前客户没有提出过单独的业务安全要

4.2 网络安全

检查内容
检查点
评测 结果
分值
实际 扣分
说明 IDC内网络设备审计记录应包括事件的日期和时间、5 户、事件类型、事件是否成功及其他与审计相关的信息。
审计记录是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
符合
1.12
0 syslog审计日志存储在本机中,日志录信息包含事件的日期和时间、用户、事件类型、件是否成功及他与审计相关的信息

4.3 主机安全

评测内容
评测项
评测 结果
分值
实际扣分
说明
数据中心网络安全防护检查报告 8页共49


评测内容
应对登录操作系统评测项 是否对登录操作系统和数据库系统的用户进行身份标识和鉴别
评测 结果
分值
实际扣分
说明
操作系统和数据1 和数据库系统的用户进行身份标识和鉴别;
符合 1.12 0 库系统自身实现对用户的身份标识和鉴别功能

4.4 中间件安全

检查内容 "应实现操作系统和中间件用户的权限分离,中间件应使用1 独立用户;应实现中间件用户和互联网数据中心IDC应用程序用户的权限分"
检查点
评测 结果
分值
实际 扣分
说明
是否实现操作系统和中间件用户的权限分离,中间件是否使用独立用户
不适用
N/A
N/A
网管系统使用CS架构,无中间件
4.5 安全域边界安全

检查内容 启用其它设备(主机隔离等)进行安6 全边界划分、隔离的应尽量实现严格的访问控制策略

检查点
评测 结果
分值
实际 扣分
说明
查看配置并技术检测验证访问控制措施
符合
1.12
0
使用交换机ACL则进行访问控
4.6 集中运维安全管控系统安全

评测内容 IDC集中运维安1 全管控系统应与提供互联网数据中心IDC各种服务的评测项 通过技术测试检IDC集中运维安全管控系统与IDC基础设施的网络隔离是否符符合
1.12 0 评测 结果
分值
实际扣分
说明 使独立网络192.168.2.0E8080E上进行访问控制策略,不允他网络对数据中心网络安全防护检查报告 9页共49


评测内容 IDC基础设施隔离,应部署在不同网络区域,网络边界处设备应按不同IDC业务需求实施访问控制策略,应只开放管理所必须的服务及端口,避免开放较大的IP地址段及服务;
评测项 合安全策略
评测 结果
分值
实际扣分
说明 管区域进行访问

4.7 灾难备份及恢复

评测内容 互联网数据中心IDC网络灾难恢复时2 理、网络和业务运营商应急预案的相关要求。
评测项 互联网数据中心IDC网络灾难演练恢复时间是否满足行业管理和企业应急预案的相关要求
符合
1.12
0 评测 结果
分值
实际扣分
说明
定期进行各项演练,按客户重要程度不同在一定时间内恢复,满足要求

4.8 管理安全

评测内容
评测项
评测 结果
分值
实际扣分
说明 制定了相应管理制度,包含安全管理制度、安全符合
1.12
0 管理机构、人员安全管理、安全建设管理、安全运维管理等内容
至少覆盖但不限于安全管理制度、安1 全管理机构、人员安全管理、安全建设管理、安全运维管理等管理方面;
是否包含至少安全管理制度、安全管理机构、人员安全管理、安全建设管理、安全运维管理等内容
数据中心网络安全防护检查报告 10页共49


评测内容 评测项
评测 结果
分值
实际扣分
说明 制定了《IDCIDC应有介质存取、IDC是否有介质4 验证和转储管理制度,确保备份数据授权
存取、验证和转储管理制度,确保备份数据授权
符合
1.12
0 难备份与恢复管理办法》规定了相应内容

4.9 第三方服务安全

评测内容
评测项
是否将通过中国应确保安全服务商1 的选择符合国家的有关规定;
通信企业协会通信网络安全服务能力评定列为外部安全服务提供商招标条件之一

评测 结果
分值
实际扣分
说明

提供风险符合
1.12
0 评估的第三方服务,符合相应要求。
数据中心网络安全防护检查报告 11页共49

5 风险评估结果
本次章节评分主要依据《网络和系统安全防护检查评分方法》,对技术检测中发现的安全隐患的数量、位置、危害程度进行扣分。 5.1 存在的安全隐患
1. 网管系统监控终端192.168 存在的主机弱口令,可直接登录系统
网管系统监控终端192.168 存在的主机弱口令PC/000可直接登录系统获取系统权限导致服务器受控,详见附录B
危害程度:弱口令 所处位置:其他设备 扣分:1
建议:提示用户修改初始口令,口令应具有一定复杂度。
数据中心网络安全防护检查报告 12页共49

6 综合评分
6.1 符合性得分
本次测试对IDC系统进行符合项检测,共检测89项,每项分值为1.12100/89),其中 项不符合要求,符合性得分为 分。 6.2 风险评估
本次主要通过系统\应用层扫描、手工核查、内外网渗透对IDC系统进行安全风险评估,共发现2个安全隐患:
第一次扣分情况如下: 100-5=95
安全隐患利用第二次扣分:
通过技术检测,从网络单元内获取服务器192.168.2.11的管理员权限,导致服务器受控,扣除一次扣分后剩余得分的20% 6.3 综合得分
IDC系统的68项符合性评测和存在的安全隐患进行评估,IDC系统网络单元安全防护检测评分为:
数据中心网络安全防护检查报告 13页共49

附录A 设备扫描记录
A-1信息汇总表
IP地址 192.168.2.12 192.168.2.13 192.168.2.11

操作系统 Windows Windows Windows

漏洞风配置风总风险险值 2 2 2

险值

2 2 2

危险程度 非常安全 非常安全 非常安全



数据中心网络安全防护检查报告 14页共49

本文来源:https://www.2haoxitong.net/k/doc/e7790374443610661ed9ad51f01dc281e53a56e4.html

《网络安全防护检查报告模板资料.doc》
将本文的Word文档下载到电脑,方便收藏和打印
推荐度:
点击下载文档

文档为doc格式

相关推荐

推荐内容

网络安全检查总结报告 网络安全检查工作总结 女性卵巢囊肿治疗方法- 疫情防控培训记录内容范文(精选6篇) 运动会入场创意宣传口号 [运动会感染口号] 新颖的运动会口号 中国共产党的九十八年来奋斗历程和基本经验 20xx年大学生社会调查报告- 中国共产党探索中国梦的奋斗历程和基本经验 “学习百年党史,传承红色基因”系列活动方案
网站内容来自网络,如有侵权请联系我们,立即删除! Copyright © 范文写作网京ICP备16605803号