电信僵木蠕监控系统扩容工程项目安全验收评估报告.docxVIP

电信僵木蠕监控系统扩容工程项目安全 验收评估报告 受中国电信分公司（以下简称“电信”）委托，信息安全技 术有限公司对电信新上线业务系统的网络单元进行网络安全风 险评估O 本次安全评估主要是通过技术手段评估“年电信僵木蠕监控 系统扩容工程”项目网络单元的安全防护情况，查验系统是否存 在严重的安全隐患。 本报告作为上线前安全评估的结果，仅对安全评估时间段内 系统现有的状况有效，评估后系统出现任何变更时，本报告结果 不再使用。考虑到安全评估工作的时间、范围限制，以及测试技 术的局限性，被测试系统可能仍存在未发现的安全风险。 本报告一式两份，一份呈送电信公司，一份留存本单位。 报告审批 委托单位信息 单位名称中国电信股份有限公司分公司 单位名称 联系人 联系电话 检测系统名称年电信僵木蠕监控系统 检测系统名称 风险评估单位信息 单位名称 信息安全技术有限公司 联系地址 邮编 联系人 电话 传真 评测组 组长 组员 组员 评测时间 年4月1日至年4月19日 审核人 （签字） 年 月 日 批准人 （签字） 年 月 日 备注 上线安全验收确认单 序号 验收内容 完成时 间 确认人 签字 备注 1 上线安全验收报告内容确认 2 验收资产上报SOC平台 3 资产接入4A系统管理 4 syslog 上报 SOC 5 验收资产安装SOC Agent 6 网元定级备案/变更 （需在系统上线后30日内完 成） 7 定级网元风险评估和符合性 评测 （需在定级备案/变更后90日 内重新进行风险评估和符合 性评测） 注：前5项必须在上线前100%完成并确认签字，后2项需在上线后对应时 限内完成并复审确认。 审核人（签字）: 审核日期: 受中国电信股份分公司委托，单位从年4月1日至年4月19日对年电信 僵木蠕监控系统扩容工程项目开展了上线前安全验收评估工作。本次检测工作主 要采用人员访谈、主机漏洞扫描和WEB漏洞扫描等手段，检测范围涉及网络架 构、安全配置、网络设备、安全防护设施、业务系统、操作系统和其他相关系统 等方面。 通过对年电信僵木蠕监控系统扩容工程项目进行的现场检测和综合评估结 果发现：中国电信股份有限公司分公司高度重视网络安全防护工作，为安全保障 工作投入了大量时间、人力和精力；制定有较为完善的安全策略、安全规范及操 作细则等相关管理制度；系统管理人员安全意识较高，具备专业的安全防护技术 和手段；网络区域划分明确，网络部署有防火墙、漏洞扫描等安全设备，并由运 维人员定期对相关网络设备、安全设备进行巡检。 本次检测过程中发现的主要安全问题及整改情况如下: 1、主机漏洞扫描：初查发现高中危漏洞。个，复查高中危漏洞0个。 2、基线扫描：启明检查项不涉及。基线扫描：绿盟检查项128,复查仍未 通过的检查项0,权重为7的有0项。 3、WEB漏洞扫描：不涉及WEB渗透测：（） 经评估年电信僵木蠕监控系统扩容工程项目满足上线要求，建议持续关注系 统安全情况，及时进行安全加固，进一步保障电信系统的安全性。 TOC \o 1-5 \h \z 安全验收任务综述 8 验收对象 8 验收目的 8 验收依据 8 验收时间 9 验收人员 9 安全验收系统情况（厂家提交） 11 \o Current Document 项目基本信息 13 拓补图 14 \o Current Document 主机设备信息表 15 \o Current Document 24网络设备信息表 16 \o Current Document IP地址规划信息表 16 \o Current Document 维护模式信息表 16 \o Current Document 账号安全检查表 17 \o Current Document 日志记录检查表 19 \o Current Document 安全验收方式 19 评估方法 20 评估工具 20 \o Current Document 安全验收评估报告 20 一次评估结果 20 综合情况 20 高中危漏洞统计 27 \o Current Document 配置核查统计 22 WEB应用检测统计 23 二次评估结果 23 综合情况 23 2.2.高中危漏洞统计 24 4.2.3.配置核查统计 24 4.24 WEB应用检测统计 24 \o Current Document 5 .总结 25 安全验收任务综述 1.1.验收对象 本次安全验收的对象是年电信僵木蠕监控系统扩容工程项目项 目；安全验收对象包括网络设备、安全设备、服务器以及相关业务系 统。 1.2.验收目的 本次现场安全评估的范围是年电信僵木蠕监控系统扩容工程项 目，重点是对网络设备、服务器、业务系统进行评估，了解年电信僵 木蠕监控系统扩容工程项目工程的安