網(wǎng)絡(luò)安全防護(hù)檢查報告

1、網(wǎng)絡(luò)安全防護(hù)檢查報告數(shù)據(jù)中心測試單位:報告日期:目錄第1章系統(tǒng)概況 5.1.1 網(wǎng)絡(luò)結(jié)構(gòu)5.1.2 管理制度5.第2章：評測方法和工具 7.2.1 測試方式7.2.2 測試工具7.2.3 評分方法7.2.3.1 符合性評測評分方法 8.2.3.2 風(fēng)險評估評分方法 8.第3章測試內(nèi)容113.1 測試內(nèi)容概述113.2 掃描和滲透測試接入點(diǎn) 123.3 通信網(wǎng)絡(luò)安全管理審核 12第四章 符合性評測結(jié)果 144.1 業(yè)務(wù)安全144.2 網(wǎng)絡(luò)安全144.3 主機(jī)安全154.4 中間件安全154.5 安全域邊界安全164.6 集中運(yùn)維安全管系統(tǒng)安全 174.7 災(zāi)難備份及恢復(fù)174.8 管理安全184

2、.9 第三方服務(wù)安全 19第5章風(fēng)險評估結(jié)果 195.1 存在的安全隱患20第6章綜合評分205.2 符合性得分 205.3 風(fēng)險評估205.4 綜合得分21所依據(jù)的標(biāo)準(zhǔn)和規(guī)范有：?YD/T 2584-2013互聯(lián)網(wǎng)數(shù)據(jù)中心IDC安全防護(hù)要求?«YD/T 2585-2013互聯(lián)網(wǎng)數(shù)據(jù)中心IDC安全防護(hù)檢測要求?«YD/T 2669-2013第三方安全服務(wù)能力評定準(zhǔn)則?網(wǎng)絡(luò)和系統(tǒng)安全防護(hù)檢查評分方法? ?2Q14年度通信網(wǎng)絡(luò)安全防護(hù)符合性評測表-互聯(lián)網(wǎng)數(shù)據(jù)中心IDC還參考標(biāo)準(zhǔn)? YD/T 1754-2QQ8 電信和互聯(lián)網(wǎng)物理環(huán)境安全等級保護(hù)要求? YD/T 1755-2QQ8

3、 電信和互聯(lián)網(wǎng)物理環(huán)境安全等級保護(hù)檢測要求? YD/T 1756-2QQ8«電信和互聯(lián)網(wǎng)管理安全等級保護(hù)要求? GB/T 20274信息系統(tǒng)安全保障評估框架? GB/T 20984-2007信息安全風(fēng)險評估規(guī)范第1章系統(tǒng)概況IDC由負(fù)責(zé)管理和維護(hù)，其中各室配備了數(shù)名工程師，負(fù)責(zé) IDC設(shè)備硬、軟件維護(hù)，數(shù)據(jù)制作，故障處理、信息安全保障、機(jī)房環(huán)境動力設(shè)備和空調(diào)維護(hù)。1.1 網(wǎng)絡(luò)結(jié)構(gòu)圖1-1 ：拓?fù)鋱D1.2 管理制度1 .組織架構(gòu)I網(wǎng)貉與信息安全工作小組J L、信息安全工作用網(wǎng)絡(luò)安主工作生具體耿熊部門圖1-2: IDC信息安全管理機(jī)構(gòu)2 .崗位權(quán)責(zé)分工現(xiàn)有的管理制度、規(guī)范及工作表單有:I

4、DC機(jī)房信息安全管理制度規(guī)范IDC機(jī)房管理辦法IDC災(zāi)難備份與恢復(fù)管理辦法網(wǎng)絡(luò)安全防護(hù)演練與總結(jié)集團(tuán)客戶業(yè)務(wù)故障處理管理程序互聯(lián)網(wǎng)與基礎(chǔ)數(shù)據(jù)網(wǎng)通信保障應(yīng)急預(yù)案IDC網(wǎng)絡(luò)應(yīng)急預(yù)案關(guān)于調(diào)整公司跨部門組織機(jī)構(gòu)及有關(guān)領(lǐng)導(dǎo)的通知網(wǎng)絡(luò)信息安全考核管理辦法通信網(wǎng)絡(luò)運(yùn)行維護(hù)規(guī)程公共分冊-數(shù)據(jù)備份制度省分公司轉(zhuǎn)職信息安全人員職責(zé)通信網(wǎng)絡(luò)運(yùn)行維護(hù)規(guī)程IP網(wǎng)設(shè)備篇城域網(wǎng)BAS、SR設(shè)備配置規(guī)范IP地址管理辦法互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案處理細(xì)則互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案處理預(yù)案（2013修訂版）第2章：評測方法和工具2.1 測試方式檢查通過對測試對象進(jìn)行觀察、查驗、分析等活動，獲取證據(jù)以證明保護(hù)措施是否有效的一種方法。測試通

5、過對測試對象按照預(yù)定的方法/工具使其產(chǎn)生特定的響應(yīng)等活動，查看、分析測試對象的響 應(yīng)輸出結(jié)果，獲取證據(jù)以證明保護(hù)措施是否有效的一種方法。2.2 測試工具主要使用到的測試工具有：掃描工具、滲透測試工具、抓包工具、漏洞利用驗證工具等。具體 描述如下表：表3-1 :測試工具在舁 廳P工具名稱工具描述1綠盟漏洞掃描系統(tǒng)脆弱性掃描2科萊網(wǎng)絡(luò)協(xié)議分析工具脆弱性掃描3Nmap端口掃描4Burp SuiteWEB滲透集成工具2.3 評分方法分為符合性檢測和風(fēng)險評估兩部分工作。網(wǎng)絡(luò)單元安全防護(hù)檢測評分=符合性評測得分X60%+風(fēng)險評估得分X 40% 。其中符合性評測評分和風(fēng)險評估評分均采用百分制2.3.1 符合

6、性評測評分方法符合性評測評分依據(jù)網(wǎng)絡(luò)單元符合性評測表中所列制虔、措施的符合情況計分，其中每個評測項對應(yīng)分值，由100分除以符合性評測表中評測項總數(shù)所得。2.3.2 風(fēng)險評估評分方法網(wǎng)絡(luò)單元風(fēng)險評估首先基于技術(shù)檢測中發(fā)現(xiàn)的安全隱患的數(shù)量、 位置、危害程度進(jìn)行一次扣 分；然后依據(jù)發(fā)現(xiàn)的安全隱患是否可被技術(shù)檢測單位利用進(jìn)行二次扣分， 風(fēng)險評估評分流程具 體如下：1、一次扣分在技術(shù)檢測時，每發(fā)現(xiàn)一個安全隱患，根據(jù)其所處的位置及危害程度扣除相應(yīng)分值。各類安全 隱患的扣分值如表3-2所示。表3-2風(fēng)險評估安全隱患扣分表安全隱患類型重要設(shè)備其他設(shè)備高危漏洞無無中危漏洞無無若口令無無其他安全隱患無無注1:重要

7、設(shè)備包括內(nèi)外網(wǎng)隔離設(shè)備、內(nèi)部安全域劃分設(shè)備、互聯(lián)網(wǎng)直聯(lián)設(shè)備、網(wǎng)絡(luò)業(yè)務(wù) 核心設(shè)備。注2:中高危漏洞以國內(nèi)外權(quán)威的 CVE漏洞庫和國家互聯(lián)網(wǎng)應(yīng)急中心 CNVD漏洞庫為基 本判斷依據(jù)；對于高危 Web安全隱患，以國際上公認(rèn)的開放式 Web應(yīng)用程序安全項目(OWASP , Open Web Application Security Project確定最新的 Top 10 中所列的 WEB 安全隱患判斷作為判斷依據(jù)。注3:其它安全隱患指可能導(dǎo)致用戶信息泄露、重要設(shè)備受控、業(yè)務(wù)中斷、網(wǎng)絡(luò)中斷等重 大網(wǎng)絡(luò)安全事件的隱患。2、二次扣分在一次扣分剩余得分的基礎(chǔ)上，依據(jù)網(wǎng)絡(luò)單元是否已被攻擊入侵或發(fā)現(xiàn)的安全隱患是否

8、可被技術(shù)檢測單位利用，進(jìn)行二次扣分。具體扣分步驟如下：如通過技術(shù)檢測，發(fā)現(xiàn)網(wǎng)絡(luò)單元中存在惡意代碼，或已被入侵而企業(yè)尚未發(fā)現(xiàn)并處置， 扣除一次扣分后剩余得分的40%。如通過技術(shù)檢測，從網(wǎng)絡(luò)單元外獲取網(wǎng)絡(luò)單元內(nèi)設(shè)備的管理員權(quán)限或獲取網(wǎng)絡(luò)單元內(nèi)數(shù)據(jù)庫信息，扣除一次扣分后剩余得分的 40% o如通過技術(shù)檢測，從網(wǎng)絡(luò)單元內(nèi)獲取設(shè)備的管理員權(quán)限或獲職數(shù)據(jù)庫信息，扣除一次扣分后剩余得分的20% 0最后剩余分?jǐn)?shù)即為風(fēng)險評估得分第3章測試內(nèi)容3.1 測試內(nèi)容概述分為符合性評測和安全風(fēng)險評估兩部分，符合性評測具體內(nèi)容為：業(yè)務(wù)安全、網(wǎng)絡(luò)安全、主機(jī)安全、中間件安全、安全域邊界安全、集中運(yùn)維安全管控系統(tǒng)安全、災(zāi)難備份及

9、恢復(fù)、管 理安全、第三方服務(wù)安全狀況。安全風(fēng)險評估主要通過技術(shù)檢測發(fā)現(xiàn)網(wǎng)絡(luò)單元內(nèi)是否存在中高危安全漏洞、弱口令，以及可能導(dǎo)致用戶信息泄露、重要設(shè)備受控、業(yè)務(wù)中斷、網(wǎng)絡(luò)中斷等重大網(wǎng)絡(luò)安全事件的隱患，檢 測是否存在惡意代碼或企業(yè)尚未知曉的入侵痕跡，檢測是否可以獲取設(shè)備的管理員權(quán)限、數(shù)據(jù) 庫等。表4.1 :網(wǎng)絡(luò)架構(gòu)測試對象序號測試對象描述1IDC檢測系統(tǒng)網(wǎng)絡(luò)架構(gòu)的合理性表4-2 : IDC網(wǎng)絡(luò)設(shè)備列表設(shè)備名稱型號IP地址核心路由器表4-3 : IDC網(wǎng)管系統(tǒng)主機(jī)列表主機(jī)名稱型號1P地址系統(tǒng)軟件用途數(shù)據(jù)庫服務(wù)Windows數(shù)據(jù)庫服務(wù)器器2003應(yīng)用服務(wù)器Windows2003應(yīng)用服務(wù)器通訊服務(wù)器Win

10、dows2003通訊服務(wù)器流里服務(wù)器Windows2003流量服務(wù)器業(yè)務(wù)/門戶管理服務(wù)器Windows2003業(yè)務(wù)/門戶管理服務(wù)器表4-4 : IDC網(wǎng)管系統(tǒng)列表系統(tǒng)名稱主要功能IDC綜合運(yùn)營管理系統(tǒng)3.2 掃描和滲透測試接入點(diǎn)選擇從互聯(lián)網(wǎng)和內(nèi)網(wǎng)區(qū)域的測試點(diǎn)模擬外部用戶與內(nèi)部托管用戶進(jìn)行滲透測試，并從互聯(lián)網(wǎng)、托管用戶區(qū)的測試點(diǎn)進(jìn)行漏洞掃描。3.3 通信網(wǎng)絡(luò)安全管理審核該測試范圍內(nèi)涉及IDC安全管理審核，主要包括：安全管理制度，安全管理機(jī)構(gòu)，人員 安全管理，安全建設(shè)管理，安全運(yùn)維管理，災(zāi)難備份，應(yīng)急預(yù)案等相關(guān)制度管理文檔。第四章符合性評測結(jié)果本次符合性評分主要依據(jù)網(wǎng)絡(luò)單元符合性評測表的符合情況得

11、分，其中每個評測項對應(yīng)分值,由100分除以符合性評測表中評測項總數(shù)所得。本次對 IDC系統(tǒng)符合性檢測項數(shù)為89項， 單項分值為（100/89）1.12 分。4.1業(yè)務(wù)安全序號檢查內(nèi)容檢查點(diǎn)評測結(jié)果分值實際扣分說明1應(yīng)按照合同保證IDC用戶業(yè)務(wù)的安全是否按照合同要求保證IDC用戶業(yè)務(wù)安全符合1.120與用戶簽署相關(guān)協(xié)設(shè)，臺同中對網(wǎng)絡(luò)安全及業(yè)務(wù)安全進(jìn)行相關(guān)描述和約定。但目前客戶沒有提出過單獨(dú)的業(yè)務(wù)安全要求4.2網(wǎng)絡(luò)安全序號檢查內(nèi)容檢查點(diǎn)評測結(jié)果分值實際扣分說明1審計記錄應(yīng)包審計記錄是否符合1.10IDC內(nèi)網(wǎng)絡(luò)設(shè)備syslog審括事件的日期包括事件的日2計日志存儲在本機(jī)中，日和時間、用期和時間、用志

12、記錄信息包含事件的日戶、事件類型、事件是否成功及其他與審 計相關(guān)的信 息。戶、事件類型、事件是否成功及其他與審計相關(guān)的信息期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息4.3 主機(jī)安全序號評測內(nèi)容評測項評測結(jié)果分值實際扣分說明1應(yīng)對登錄操作是否對登錄操符合1.120操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)自系統(tǒng)和數(shù)據(jù)庫作系統(tǒng)和數(shù)據(jù)身實現(xiàn)對用戶的身份標(biāo)識系統(tǒng)的用戶進(jìn)庫系統(tǒng)的用戶和鑒別功能行身份標(biāo)識和進(jìn)行身份標(biāo)識鑒別和鑒別4.4 中間件安全在舁 廳P檢查內(nèi)容檢查點(diǎn)評測結(jié)果分值實際扣分說明1應(yīng)實現(xiàn)操作系統(tǒng)和是否實現(xiàn)操不適應(yīng)N/AN/A網(wǎng)管系統(tǒng)使用CS架中間用戶的權(quán)限分作系統(tǒng)和中構(gòu)，無中間件離，中間件應(yīng)使用

13、問件用戶的獨(dú)立用戶；應(yīng)實現(xiàn)權(quán)限分離，中間件用戶和互聯(lián)中間件是否網(wǎng)數(shù)據(jù)中心的IDC使用獨(dú)立用應(yīng)用程序用戶的權(quán)戶限分離4.5 安全域邊界安全序號檢查內(nèi)容檢查點(diǎn)評測結(jié)果分值實際扣分說明1啟用其他設(shè)備查看配置并技符合1.120使用交換機(jī)ACL規(guī)則進(jìn)行（主機(jī)隔離術(shù)檢測驗證訪訪問控制等）進(jìn)行安全問控制措施邊界劃分、隔離的應(yīng)盡量實現(xiàn)嚴(yán)格的訪問控制策略4.6 集中運(yùn)維安全管系統(tǒng)安全序評測內(nèi)容評評分實際說號測測值扣分明項結(jié)果1互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）集中運(yùn)維安全管控系統(tǒng)應(yīng)與提供互合管聯(lián)網(wǎng)數(shù)據(jù)中心基礎(chǔ)設(shè)施隔離，應(yīng)部署在不同網(wǎng)絡(luò)區(qū)域，網(wǎng)安區(qū)路邊界處應(yīng)按不同互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務(wù)需求實施訪問拴制全域策略，應(yīng)只開放管理所必

14、須的服務(wù)及端口，避免開放較大進(jìn)的IP地段及服務(wù)略項訪問4.7 災(zāi)難備份及恢復(fù)序評測內(nèi)容評測項評分值實說明號測際結(jié)扣果分1互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）符1.120定期進(jìn)行各項演網(wǎng)絡(luò)災(zāi)難恢復(fù)時間應(yīng)滿足網(wǎng)絡(luò)災(zāi)難演練恢復(fù)時間合練，按客戶重要行業(yè)管理，網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)宮商應(yīng)急頂不的相關(guān)要求是否滿足行業(yè)管理和企業(yè)應(yīng)急預(yù)案的相關(guān)要求程度不同在一定時間內(nèi)恢復(fù)，滿足要求4.8 管理安全序評測內(nèi)容評測項評分實說明號測值際結(jié)扣果分1至少覆蓋但不限于安全管是否包含至少安全管理制定了相應(yīng)管理制度，包含理制度、安全管理機(jī)構(gòu)、制度、安全管理機(jī)構(gòu)、符安全管理制度、安全管理機(jī)人員安全管理、安全建設(shè)人員安全管理、

15、安全建合1.120構(gòu)、人員安全管理、安全建管理、安全運(yùn)維管理等管設(shè)管理、安全運(yùn)維管理設(shè)管理、安全運(yùn)維管理等內(nèi)理方面；等內(nèi)容容序號評測內(nèi)容評測項評測結(jié)果分值實際扣分說明4IDC應(yīng)后介質(zhì)存取、驗證和轉(zhuǎn)儲管理制度，確報備份數(shù)據(jù)授權(quán)IDC是否有介質(zhì)存取、驗證和轉(zhuǎn)儲管理制度，確報備份數(shù)據(jù)授權(quán)符合1.120制定了IDC災(zāi)難備份與恢復(fù)管理辦法規(guī)定了相應(yīng)內(nèi)容4.9 第三方服務(wù)安全序評測內(nèi)容評測項評分值實說明號測際結(jié)扣果分1應(yīng)確保安全服是否將通過中國通信企業(yè)協(xié)會通符1.120由提供風(fēng)險評估務(wù)上的選擇符信網(wǎng)絡(luò)安全服務(wù)能力評定列為外合的第二方服務(wù)，符合國家的肩關(guān)部安全服務(wù)提供商招標(biāo)商條件之合響應(yīng)要求第5章風(fēng)險評估結(jié)

16、果本次章節(jié)評分主要依據(jù)網(wǎng)絡(luò)和系統(tǒng)安全防護(hù)檢查評分方法，對技術(shù)檢測中發(fā)現(xiàn)的安全隱 患的數(shù)量、位置、危害程度進(jìn)行扣分。5.1 存在的安全隱患1 .網(wǎng)管系統(tǒng)監(jiān)控終端192.168存在的主機(jī)弱口令，可直接登錄系統(tǒng)網(wǎng)管系統(tǒng)監(jiān)控終端192.168存在的主機(jī)弱口令PC/000,可直接登錄系統(tǒng)獲取系統(tǒng)權(quán)限導(dǎo)致服務(wù)器受控，詳見附錄Bo危害程度：弱口令所處位置：其他設(shè)備扣分：1分建議：提示用戶修改初始口令，口令應(yīng)具有一定復(fù)雜度。第6章綜合評分6.1 符合性得分本次測試對IDC系統(tǒng)進(jìn)行符合項檢測，共檢測 89項，每項分值為1.12 (100/89，其中項 不符合要求，符合性得分為分。6.2 風(fēng)險評估本次主要通過系統(tǒng)應(yīng)用層掃描、手工核查、內(nèi)外網(wǎng)滲透對IDC系統(tǒng)進(jìn)行安全風(fēng)險評估，共發(fā)現(xiàn)2個安全隱患：第一次扣分情況如下：100-5=9