电信分公司4a系统升级改造支持项目项目安全验收评估报告.docxVIP

电信分公司4A系统升级改造支持项目项目安全验收评估报告 申明 受电信分公司（以下简称电信‘‘）委托，信息安全技术有 限公司对电信新上线业务系统的网络单元进行网络安全风险评 估。 本次安全评估主要是通过技术手段评估年电信公司4A系 统升级改造支持项目项目’项目网络单元的安全防护情况，查验 系统是否存在严重的安全隐患。 本报告作为上线前安全评估的结果，仅对安全评估时间段内 系统现有的状况有效，评估后系统出现任何变更时，本报告结果 不再使用。考虑到安全评估工作的时间、范围限制，以及测试技 术的局限性，被测试系统可能仍存在未发现的安全风险。 本报告一式两份，一份呈送电信公司，一份留存本单位。 报告审批 委托单位信息 单位名称 电信股份有限公司分公司 联系人 联系电话  检测系统名称 电信公司4A系统升级改造支持项目项目 风险评估单位信息 单位名称 信息安全技术有限公司 联系地址 邮编 联系人 电话 传真 评测组 组长 组员 组员 评测时间 年2月25日至年3月4日 审核人 （签字） 年 月 日 批准人 （签字） 年 月 日 备注 上线安全验收确认单 序号 验收内容 完成时间 确认人签字 1 上线安全验收报告内容确认 2 验收资产上报SOC平台 3 资产接入4A系统管理 4 syslog 上报 SOC 5 验收资产安装SOC Agent 6 网元定级备案/变更 （需在系统上线后30日内完成） 7 定级网元风险评估和符合性评测 （需在定级备案/变更后90日内重 新进行风险评估和符合性评测） 注：前5项必须在上线前100%完成并确认签字，后2项需在上线后对应时 限内完成并复审确认。 审核人（签字）: 审核日期： 概要 受电信股份分公司委托，单位从年2月25日至年3月4日对年电信公司 4A系统升级改造支持项目项目开展了上线前安全验收评估工作。本次检测工作 主要采用人员访谈、主机漏洞扫描和WEB漏洞扫描等手段，检测范围涉及网络 架构、安全配置、网络设备、安全防护设施、业务系统、操作系统和其他相关系 统等方面。 通过对年电信公司4A系统升级改造支持项目项目进行的现场检测和综合评 估结果发现：电信股份有限公司分公司高度重视网络安全防护工作，为安全保障 工作投入了大量时间、人力和精力；制定有较为完善的安全策略、安全规范及操 作细则等相关管理制度；系统管理人员安全意识较高，具备专业的安全防护技术 和手段；网络区域划分明确，网络部署有防火墙、漏洞扫描等安全设备，并由运 维人员定期对相关网络设备、安全设备进行巡检。 本次检测过程中发现的主要安全问题及整改情况如下： 1、 主机漏洞扫描：初查发现高中危漏洞685个，复查高中危漏洞3个， 其中高危0个，中危3个，经工程师研判3个中危为误报。 2、 基线扫描：启明检查项不涉及。基线扫描：绿盟检查项144,复查仍未 通过的检查项0,权重为7的有0项。 3、WEB漏洞扫描：不涉及WEB渗透测试详情见附件 经评估年电信公司4A系统升级改造支持项目项目满足上线要求，建议持续 关注系统安全情况，及时进行安全加固，进一步保障电信系统的安全性。 目录 TOC \o 1-5 \h \z 安全验收任务综述 8 \o Current Document 验收对象 8 \o Current Document 验收目的 8 \o Current Document 验收依据 8 \o Current Document 验收时间 9 \o Current Document 验收人员 9 安全验收系统情况（厂家提交） 11 \o Current Document 项目基本信息 13 拓补图 14 \o Current Document 主机设备信息表 15 \o Current Document 网络设备信息表 16 \o Current Document IP地址规划信息表 17 \o Current Document 维护模式信息表 18 \o Current Document 账号安全检查表 19 \o Current Document 日志记录检查表 20 \o Current Document 安全验收方式 20 \o Current Document 评估方法 21 \o Current Document 评估工具 21 \o Current Document 安全验收评估报告 21 \o Current Document 一次评估结果 21 \o Current Document 综合情况. 27 高中危漏洞统计 22 配置核查统计 24 \o Current Document WEB应用检测统计 38 \o Current Document 二