网络安全防护检查报告.docxVIP

网络安全防护检查报告 数据中心 测试单位： 报告日期： 目录 第 1 章系统槪况 4 网络结构 4 管理制度 4 第 2 章：评测方法和工具 6 测试方式 6 测试工具 6 评分方法 6 符合性评测评分方法 6 风险评估评分方法 7 第 3 章测试内容 9 测试内容概述 9 扫描和渗透测试接入点 10 通信网络安全管理审核 10 第四章 符合性评测结果 11 业务安全 11 网络安全 11 主机安全 11 中间件安全 12 安全域边界安全 12 集中运维安全管系统安全 12 灾难备份及恢复 13 管理安全 13 第三方服务安全 14 第 5 章风险评估结果 14 存在的安全隐患 14 第 6 章 综合评分 15 符合性得分 15 风险评估 15 综合得分 15 所依据的标准和规范有： 《 YD/T 2584-2013 互联网数据中心 IDC 安全防护要求》 《YD/T 2585-2013 互联网数据中心 IDC 安全防护检测要求》 《YD/T 2669-2013 第三方安全服务能力评定准则》 《网络和系统安全防护检查评分方法》 ?2Q14年度通信网络安全防护符合性评测表 - 互联网数据中心 IDC》 还参考标准 YD/T 1754-2QQ8〈电信和互联网物理环境安全等级保护要求》 YD/T 1755-2QQ8〈电信和互联网物理环境安全等级保护检测要求》 YD/T 1756-2QQ8《电信和互联网管理安全等级保护要求》 GB/T 20274 信息系统安全保障评估框架 GB/T 20984-2007《信息安全风险评估规范》 第 1 章系统槪况 IDC 由负责管理和维护，其中各室配备了数名工程师，负责 IDC 设备硬、软件维护，数据 制作，故障处理、信息安全保障、机房环境动力设备和空调维护。 网络结构 图 1-1 ：拓扑图 管理制度 组织架构 图 1-2: IDC 信息安全管理机构 岗位权责分工 现有的管理制度、规范及工作表单有： 《IDC 机房信息安全管理制度规范》 《IDC 机房管理办法》 《IDC 灾难备份与恢复管理办法》 《网络安全防护演练与总结》 《集团客户业务故障处理管理程序》 《互联网与基础数据网通信保障应急预案》 《IDC 网络应急预案〉〉 《关于调整公司跨部门组织机构及有关领导的通知》 《网络信息安全考核管理办法》 《通信网络运行维护规程公共分册 - 数据备份制度》 《省分公司转职信息安全人员职责》 《通信网络运行维护规程 IP 网设备篇》 《城域网 BAS、SR设备配罝规范》 《IP 地址管理办法》 《互联网网络安全应急预案处理细则》 《互联网网络安全应急预案处理预案（ 2013 修订版 ）》 第 2 章：评测方法和工具 测试方式 检查 通过对测试对象进行观察、 查验、分析等活动，获取证据以证明保护措施是否有效的一种方法。 测试 通过对测试对象按照预定的方法 / 工具使其产生特定的响应等活动，查看、分析测试对象的响 应输出结果，获取证据以证明保护措施是否有效的一种方法。 测试工具 主要使用到的测试工具有：扫描工具、渗透测试工具、抓包工具、漏洞利用验证工具等。具体描述如下表： 表 3-1 ：测试工具 序号 工具名称 工具描述 1 绿盟漏洞扫描系统 脆弱性扫描 2 科莱网络协议分析工具 脆弱性扫描 3 Nmap 端口扫描 4 Burp Suite WEB渗透集成工具 评分方法 分为符合性检测和风险评估两部分工作。网络单元安全防护检测评分 =符合 性评测得分 X 60%+风险评估得分 X 40%。其中符合性评测评分和风险评估评分 均采用百分制。 符合性评测评分方法 符合性评测评分依据网络单元符合性评测表中所列制虔、 措施的符合情况计分， 其中每个评测项对应分值，由 100 分除以符合性评测表中评测项总数所得。 风险评估评分方法 网络单元风险评估首先基于技术检测中发现的安全隐患的数量、 位置、危害程度进行一次扣 分；然后依据发现的安全隐患是否可被技术检测单位利用进行二次扣分， 风险评估评分流程具 体如下： 1、一次扣分 在技术检测时，每发现一个安全隐患，根据其所处的位罝及危害程度扣除相应分值。 各类安全 隐患的扣分值如表 3-2 所示。 表 3-2 风险评估安全隐患扣分表 安全隐患类型 重要设备 其他设备 高危漏洞 无 无 中危漏洞 无 无 若口令 无 无 其他安全隐患 无 无 [ 注 1]: 重要设备包括内外网隔离设备、内部安全域划分设备、互联网直联设备、网络业 务核心设备。 [ 注 2]: 中高危漏洞以国内外权威的 CVE漏洞库和国家互联网应急中心 CNVD漏洞库为基本判断依据；对于高危 Web安全隐患，以国际上公认的幵放式 Web 应用程序安全项目（ OWASP， Open Web Application