网络安全防护检查报告模板.docxVIP

编号： 网络安全防护检查报告 数据中心 测评单位： 报告日期： - I - 目 录 第 1 章 系统概况 2 1.1 网络结构 2 1.2 管理制度 2 第 2 章 评测方法和工具 4 2.1 测试方式 4 2.2 测试工具 4 2.3 评分方法 4 2.3.1 符合性评测评分方法 4 2.3.2 风险评估评分方法 4 第 3 章 测试内容 6 3.1 测试内容概述 6 3.2 扫描和渗透测试接入点 7 3.3 通信网络安全管理审核 7 第 4 章 符合性评测结果 8 4.1 业务安全 8 4.2 网络安全 8 4.3 主机安全 8 4.4 中间件安全 9 4.5 安全域边界安全 9 4.6 集中运维安全管控系统安全 9 4.7 灾难备份及恢复 10 4.8 管理安全 10 4.9 第三方服务安全 11 第 5 章 风险评估结果 12 5.1 存在的安全隐患 12 第 6 章 综合评分 13 6.1 符合性得分 13 6.2 风险评估 13 6.3 综合得分 13 附录 A 设备扫描记录 14 -II- 所依据的标准和规范有： YD/T 2584-2013 互联网数据中心 IDC 安全防护要求》 YD/T 2585-2013 互联网数据中心 IDC 安全防护检测要求》 YD/T 2669-2013 第三方安全服务能力评定准则》《网络和系统安全防护检查评分方法》 2014 年度通信网络安全防护符合性评测表－互联网数据中心 IDC 》还参考标准 YD/T 1754-2008《电信和互联网物理环境安全等级保护要求》 YD/T 1755-2008《电信和互联网物理环境安全等级保护检测要求》 YD/T 1756-2008《电信和互联网管理安全等级保护要求》 GB/T 20274 信息系统安全保障评估框架 GB/T 20984-2007 《信息安全风险评估规范》 数据中心网络安全防护检查报告 第1页共49页 第 1章 系统概况 IDC 由 负责管理和维护， 其中各室配备了数名工程师， 负责 IDC 设备硬、 软件维护，数据制作，故障处理、信息安全保障、机房环境动力设备和空调设备 维护。 1.1 网络结构 1-1：IDC 网络拓扑图 1.2 管理制度 组织架构 网络与信息安全工作小组 信息安全工作组 网络安全工作组 具体职能部门 图 1-2： IDC 信息安全管理机构 岗位权责分工 现有的管理制度、规范及工作表单有： IDC 机房信息安全管理制度规范》 IDC 机房管理办法》 IDC 灾难备份与恢复管理办法》《网络安全防护演练与总结》 《集团客户业务故障处理管理程序》 《互联网与基础数据网通信保障应急预案》 IDC 网络应急预案》 《关于调整公司跨部门组织机构及有关领导的通知》《网络信息安全考核管理办法》 数据中心网络安全防护检查报告 第2页共49页 《通信网络运行维护规程公共分册 -数据备份制度》 《省分公司转职信息安全人员职责》 《通信网络运行维护规程 IP 网设备篇》 《城域网 BAS、 SR 设备配置规范》 IP 地址管理办法》 《互联网网络安全应急预案处理细则》 《互联网网络安全应急预案处理预案（ 2013 修订版）》 数据中心网络安全防护检查报告 第3页共49页 第 2章 评测方法和工具 2.1 测试方式 检查 通过对测试对象进行观察、 查验、分析等活动，获取证据以证明保护措施是 否有效的一种方法。 测试 通过对测试对象按照预定的方法 /工具使其产生特定的响应等活动，查看、 分析测试对象的响应输出结果，获取证据以证明保护措施是否有效的一种方法。 2.2 测试工具 主要使用到的测试工具有：扫描工具、渗透测试工具、抓包工具、漏洞利用 验证工具等。具体描述如下表： 表 3-1：测试工具 序号 工具名称 工具描述 1 绿盟漏洞扫描系统 脆弱性扫描 2 科莱网络协议分析工具 脆弱性扫描 3 Nmap 端口扫描 4 Burp Suite WEB 渗透集成工具 2.3 评分方法 分为符合性检测和风险评估两部分工作。 网络单元安全防护检测评分＝符合 性评测得分× 60%＋风险评估得分× 40%。其中符合性评测评分和风险评估评分 均采用百分制。 2.3.1 符合性评测评分方法 符合性评测评分依据网络单元符合性评测表中所列制度、 措施的符合情况计 分，其中每个评测项对应分值，由 100 分除以符合性评测表中评测项总数所得。 2.3.2 风险评估评分方法 网络单元风险评估首先基于技术检测中发现的安全隐患的数量、 位置、危害 程度进行一次扣分； 然后依据发现的安全隐患是否可被技术检测单位利用进行二 次扣分。风险评估评分流程具体如下。 数据中心网络安全防护检查报告 第4页共49页 1、一次扣分 在技术检测时， 每发现一个安全隐患， 根据其所处