網(wǎng)絡安全防護檢查報告

網(wǎng)絡平安防護檢查報告數(shù)據(jù)中心測試單位：報告日期：目錄第1章系統(tǒng)槪況31.1網(wǎng)絡構(gòu)造31.2管理制度3第2章：評測方法和工具32.1測試方式32.2測試工具32.3評分方法3符合性評測評分方法3風險評估評分方法3第3章測試內(nèi)容33.1測試內(nèi)容概述33.2掃描和滲透測試接入點33.3通信網(wǎng)絡平安管理審核3第四章符合性評測結(jié)果34.1業(yè)務平安34.2網(wǎng)絡平安34.3主機平安34.4中間件平安34.5平安域邊界平安34.6集中運維平安管系統(tǒng)平安34.7災難備份及恢復34.8管理平安34.9第三方效勞平安3第5章風險評估結(jié)果35.1存在的平安隱患3第6章綜合評分36.1符合性得分36.2風險評估36.3綜合得分3所依據(jù)的標準和規(guī)*有：>"YD/T2584-2013互聯(lián)網(wǎng)數(shù)據(jù)中心IDC平安防護要求""YD/T2585-2013互聯(lián)網(wǎng)數(shù)據(jù)中心IDC平安防護檢測要求""YD/T2669-2013第三方平安效勞能力評定準則""網(wǎng)絡和系統(tǒng)平安防護檢查評分方法"?2Q14年度通信網(wǎng)絡平安防護符合性評測表-互聯(lián)網(wǎng)數(shù)據(jù)中心IDC"還參考標準YD/T1754-2QQ8〈<電信和互聯(lián)網(wǎng)物理環(huán)境平安等級保護要求"YD/T1755-2QQ8〈<電信和互聯(lián)網(wǎng)物理環(huán)境平安等級保護檢測要求"YD/T1756-2QQ8"電信和互聯(lián)網(wǎng)管理平安等級保護要求"GB/T20274信息系統(tǒng)平安保障評估框架>GB/T20984-2007"信息平安風險評估規(guī)*"第1章系統(tǒng)槪況IDC由負責管理和維護，其中各室配備了數(shù)名工程師，負責IDC設備硬、軟件維護，數(shù)據(jù)制作，故障處理、信息平安保障、機房環(huán)境動力設備和空調(diào)維護。1.1網(wǎng)絡構(gòu)造圖1-1：拓撲圖1.2管理制度1.組織架構(gòu)圖1-2:IDC信息平安管理機構(gòu)2.崗位權(quán)責分工現(xiàn)有的管理制度、規(guī)*及工作表單有："IDC機房信息平安管理制度規(guī)*""IDC機房管理方法""IDC災難備份與恢復管理方法""網(wǎng)絡平安防護演練與總結(jié)""集團客戶業(yè)務故障處理管理程序""互聯(lián)網(wǎng)與根底數(shù)據(jù)網(wǎng)通信保障應急預案""IDC網(wǎng)絡應急預案〉〉"關(guān)于調(diào)整公司跨部門組織機構(gòu)及有關(guān)領(lǐng)導的通知""網(wǎng)絡信息平安考核管理方法""通信網(wǎng)絡運行維護規(guī)程公共分冊-數(shù)據(jù)備份制度""省分公司轉(zhuǎn)職信息平安人員職責""通信網(wǎng)絡運行維護規(guī)程IP網(wǎng)設備篇""城域網(wǎng)BAS、SR設備配罝規(guī)*""IP地址管理方法""互聯(lián)網(wǎng)網(wǎng)絡平安應急預案處理細則""互聯(lián)網(wǎng)網(wǎng)絡平安應急預案處理預案〔2013修訂版〕"第2章：評測方法和工具2.1測試方式檢查通過對測試對象進展觀察、查驗、分析等活動，獲取證據(jù)以證明保護措施是否有效的一種方法。測試通過對測試對象按照預定的方法/工具使其產(chǎn)生特定的響應等活動，查看、分析測試對象的響應輸出結(jié)果，獲取證據(jù)以證明保護措施是否有效的一種方法。2.2測試工具主要使用到的測試工具有：掃描工具、滲透測試工具、抓包工具、漏洞利用驗證工具等。具體描述如下表：表3-1：測試工具序號工具名稱工具描述1綠盟漏洞掃描系統(tǒng)脆弱性掃描2科萊網(wǎng)絡協(xié)議分析工具脆弱性掃描3Nmap端口掃描4BurpSuiteWEB滲透集成工具2.3評分方法分為符合性檢測和風險評估兩局部工作。網(wǎng)絡單元平安防護檢測評分=符合性評測得分*60%+風險評估得分*40%。其中符合性評測評分和風險評估評分均采用百分制。符合性評測評分方法符合性評測評分依據(jù)網(wǎng)絡單元符合性評測表中所列制虔、措施的符合情況計分，其中每個評測項對應分值，由100分除以符合性評測表中評測項總數(shù)所得。風險評估評分方法網(wǎng)絡單元風險評估首先基于技術(shù)檢測中發(fā)現(xiàn)的平安隱患的數(shù)量、位置、危害程度進展一次扣分；然后依據(jù)發(fā)現(xiàn)的平安隱患是否可被技術(shù)檢測單位利用進展二次扣分，風險評估評分流程具體如下：1、一次扣分在技術(shù)檢測時，每發(fā)現(xiàn)一個平安隱患，根據(jù)其所處的位罝及危害程度扣除相應分值。各類平安隱患的扣分值如表3-2所示。表3-2風險評估平安隱患扣分表平安隱患類型重要設備其他設備高危漏洞無無中危漏洞無無假設口令無無其他平安隱患無無[注1]:重要設備包括內(nèi)外網(wǎng)隔離設備、內(nèi)部平安域劃分設備、互聯(lián)網(wǎng)直聯(lián)設備、網(wǎng)絡業(yè)務核心設備。[注2]:中高危漏洞以國內(nèi)外權(quán)威的CVE漏洞庫和國家互聯(lián)網(wǎng)應急中心VD漏洞庫為根本判斷依據(jù)；對于高危Web平安隱患，以國際上公認的幵放式Web應用程序平安工程〔OWASP，OpenWebApplicationSecurityProject確定最新的Top10中所列的WEB平安隱患判斷作為判斷依據(jù)。[注3]:其它平安隱患指可能導致用戶信息泄露、重要設備受控、業(yè)務中斷、網(wǎng)絡中斷等重大網(wǎng)絡平安事件的隱患。2、二次扣分在一次扣分剩余得分的根底上，依據(jù)網(wǎng)絡單元是否已被攻擊入侵或發(fā)現(xiàn)的平安隱患是否可被技術(shù)檢測單位利用，進展二次扣分。具體扣分步驟如下：如通過技術(shù)檢測，發(fā)現(xiàn)網(wǎng)絡單元中存在惡意代碼，或已被入侵而企業(yè)尚未發(fā)現(xiàn)并處罝，扣除一次扣分后剩余得分的40%。如通過技術(shù)檢測，從網(wǎng)絡單元外獲取網(wǎng)絡單元內(nèi)設備的管理員權(quán)限或獲取網(wǎng)絡單元內(nèi)數(shù)據(jù)庫信息，扣除一次扣分后剩余得分的40%。如通過技術(shù)檢測，從網(wǎng)絡單元內(nèi)獲取設備的管理員權(quán)限或獲職數(shù)據(jù)庫信息，扣除一次扣分后剩余得分的20%。最后剩余分數(shù)即為風險評估得分。第3章測試內(nèi)容3.1測試內(nèi)容概述分為符合性評測和平安風險評估兩局部，符合性評測具體內(nèi)容為：業(yè)務平安、網(wǎng)絡平安、主機平安、中間件平安、平安域邊界平安、集中運維平安管控系統(tǒng)平安、災難備份及恢復、管理平安、第三方效勞平安狀況。平安風險評估主要通過技術(shù)檢測發(fā)現(xiàn)網(wǎng)絡單元內(nèi)是否存在中高危平安漏洞、弱口令，以及可能導致用戶信息泄露、重要設備受控、業(yè)務中斷、網(wǎng)絡中斷等重大網(wǎng)絡平安事件的隱患，檢測是否存在惡意代碼或企業(yè)尚未知曉的入侵痕跡，檢測是否可以獲取設備的管理員權(quán)限、數(shù)據(jù)庫等。表4.1：網(wǎng)絡架構(gòu)測試對象序號測試對象描述1IDC檢測系統(tǒng)網(wǎng)絡架構(gòu)的合理性表4-2：IDC網(wǎng)絡設備列表設備名稱型號IP地址核心路由器表4-3：IDC網(wǎng)管系統(tǒng)主機列表主機名稱型號1P地址系統(tǒng)軟件用途數(shù)據(jù)庫效勞器Windows2003數(shù)據(jù)庫效勞器應用效勞器Windows2003應用效勞器通訊效勞器Windows2003通訊效勞器流里效勞器Windows2003流量效勞器業(yè)務/門戶管理效勞器Windows2003業(yè)務/門戶管理效勞器表4-4：IDC網(wǎng)管系統(tǒng)列表系統(tǒng)名稱主要功能IDC綜合運營管理系統(tǒng)3.2掃描和滲透測試接入點選擇從互聯(lián)網(wǎng)和內(nèi)網(wǎng)區(qū)域的測試點模擬外部用戶與內(nèi)部托管用戶進展?jié)B透測試，并從互聯(lián)網(wǎng)、托管用戶區(qū)的測試點進展漏洞掃描。3.3通信網(wǎng)絡平安管理審核該測試*圍內(nèi)涉及IDC平安管理審核，主要包括：平安管理制度，平安管理機構(gòu)，人員平安管理，平安建立管理，平安運維管理，災難備份，應急預案等相關(guān)制度管理文檔。第四章符合性評測結(jié)果本次符合性評分主要依據(jù)網(wǎng)絡單元符合性評測表的符合情況得分，其中每個評測項對應分值，由100分除以符合性評測表中評測項總數(shù)所得。本次對IDC系統(tǒng)符合性檢測項數(shù)為89項，單項分值為(100/89)1.12分。4.1業(yè)務平安序號檢查內(nèi)容檢查點評測結(jié)果分值實際扣分說明1應按照合同保證IDC用戶業(yè)務的平安是否按照合同要求保證IDC用戶業(yè)務平安符合1.120與用戶簽署相關(guān)協(xié)設，臺同中對網(wǎng)絡平安及業(yè)務平安逬行相關(guān)描述和約定。但目前客戶沒有提出過單獨的業(yè)務平安要求4.2網(wǎng)絡平安序號檢查內(nèi)容檢查點評測結(jié)果分值實際扣分說明1審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息。審計記錄是否包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息符合1.120IDC內(nèi)網(wǎng)絡設備syslog審計日志存儲在本機中，日志記錄信息包含事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息4.3主機平安序號評測內(nèi)容評測項評測結(jié)果分值實際扣分說明1應對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進展身份標識和鑒別是否對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進展身份標識和鑒別符合1.120操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)自身實現(xiàn)對用戶的身份標識和鑒別功能4.4中間件平安序號檢查內(nèi)容檢查點評測結(jié)果分值實際扣分說明1應實現(xiàn)操作系統(tǒng)和中間用戶的權(quán)限別離，中間件應使用獨立用戶；應實現(xiàn)中間件用戶和互聯(lián)網(wǎng)數(shù)據(jù)中心的IDC應用程序用戶的權(quán)限別離是否實現(xiàn)操作系統(tǒng)和中間件用戶的權(quán)限別離，中間件是否使用獨立用戶不適應N/AN/A網(wǎng)管系統(tǒng)使用CS架構(gòu)，無中間件4.5平安域邊界平安序號檢查內(nèi)容檢查點評測結(jié)果分值實際扣分說明1啟用其他設備〔主機隔離等〕進展平安邊界劃分、隔離的應盡量實現(xiàn)嚴格的訪問控制策略查看配置并技術(shù)檢測驗證訪問控制措施符合1.120使用交換機ACL規(guī)則進展訪問控制4.6集中運維平安管系統(tǒng)平安序號評測內(nèi)容評測項評測結(jié)果分值實際扣分說明1互聯(lián)網(wǎng)數(shù)據(jù)中心〔IDC〕集中運維平安管控系統(tǒng)應與提供互聯(lián)網(wǎng)數(shù)據(jù)中心根底設施隔離，應部署在不同網(wǎng)絡區(qū)域，網(wǎng)絡邊界處應按不同互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務需**施訪問控制策略，應只開放管理所必須的效勞及端口，防止開放較大的IP地段及效勞合平安策略管區(qū)域進項訪問4.7災難備份及恢復序號評測內(nèi)容評測項評測結(jié)果分值實際扣分說明1互聯(lián)網(wǎng)數(shù)據(jù)中心〔IDC〕網(wǎng)絡災難恢復時間應滿足行業(yè)管理，網(wǎng)絡和業(yè)務運營商應急預案的相關(guān)要求互聯(lián)網(wǎng)數(shù)據(jù)中心〔IDC〕網(wǎng)絡災難演練恢復時間是否滿足行業(yè)管理和企業(yè)應急預案的相關(guān)要求符合1.120定期進展各項演練，按客戶重要程度不同在一定時間內(nèi)恢復，滿足要求4.8管理平安序號評測內(nèi)容評測項評測結(jié)果分值實際扣分說明1至少覆蓋但不限于平安管理制度、平安管理機構(gòu)、人員平安管理、平安建立管理、平安運維管理等管理方面；是否包含至少平安管理制度、平安管理機構(gòu)、人員平安管理、平安建立管理、平安運維管理等內(nèi)容符合1.120制定了相應管理制度，包含平安管理制度、平安管理機構(gòu)、人員平安管理、平安建立管理、平安運維管理等內(nèi)容序號評測內(nèi)容評測項評測結(jié)果分值實際扣分說明4IDC應有介質(zhì)存取、驗證和轉(zhuǎn)儲管理制度，確報備份數(shù)據(jù)授權(quán)IDC是否有介質(zhì)存取、驗證和轉(zhuǎn)儲管理制度，確報備份數(shù)據(jù)授權(quán)符合1.120制定了"IDC災難備份與恢復管理方法"規(guī)定了相應內(nèi)容4.9第三方效勞平安序號評測內(nèi)容評測項評測結(jié)果分值實際扣分說明1應確保平安效勞上的選擇符合國家的有關(guān)是否將通過中國通信企業(yè)協(xié)會通信網(wǎng)絡平安效勞能力評定列為外部平安效勞提供商招標商條件之一符合1.120由提供風險評估的第三方效勞，符合響應要求第5章風險評估結(jié)果本次章節(jié)評分主要依據(jù)"網(wǎng)絡和系統(tǒng)平安防護檢查評分方法",對技術(shù)檢測中發(fā)現(xiàn)的平安隱患的數(shù)量、位置、危害程度進展扣分。5.1存在的平安隱患1.網(wǎng)管系統(tǒng)監(jiān)控終端192.168存在的主機弱口令，可直接登錄系統(tǒng)網(wǎng)管系統(tǒng)監(jiān)控終端192.168存在的主機弱口令PC/000,可直接登錄系統(tǒng)獲取系統(tǒng)權(quán)限導致效勞器受控，詳見附錄B。危害程度：弱口令所處位罝：其他設備扣分：1分建議：提示用戶修改初始口令，口令應具有一定復雜度。第6章綜合評分6.1符合性得分本次測試對IDC系統(tǒng)進展符合項檢測，共檢測89項，每項分值為1.12(100/89〉，其中項不符合要求，符合性得分為分。6.2風險評估本次主要通過系統(tǒng)\應用層掃描、手工核查、內(nèi)外網(wǎng)滲透對I