网络安全检查报告模板.docx

编号:网络安全防护检查汇报数据中心测评单位：汇报日期：第1章系统概况错误味定义书签。1.1 网络构造错误味定义书签。1.2 管理制度错误味定义书签。第2章评测措施和工具错误味定义书签。2.1 测试方式错误味定义书签。2.2 测试工具错误味定义书签。2.3 评分措施错误味定义书签。符合性评测评分措施错误味定义书签。风险评估评分措施错误味定义书签。第3章测试内容错误味定义书签。3.1 测试内容概述错误味定义书签。3.2 扫描和渗透测试接入点错误味定义书签。3.3 通信网络安全管理审核错误!未定义书签。第4章符合性评测成果错误味定义书签。4.1 业务安全错误味定义书签。4.2 网络安全错误味定义书签。4.3 主机安全错误味定义书签。4.4 中间件安全错误味定义书签。4.5 安全域边界安全错误味定义书签。4.6 集中运维安全管控系统安全错误!未定义书签。4.7劫难备份及恢复错误!未定义书签。4.8管理安全错误!未定义书签。4.9第三方服务安全错误!未定义书签。第5章风险评估成果错误!未定义书签。5.1存在B安全隐患错误!未定义书签。第6章综合评分错误!未定义书签。6.1符合性得分错误!未定义书签。6.2风险评估错误!未定义书签。6.3综合得分错误!未定义书签。附录A设备扫描记录错误!未定义书签。所根据B¾原则和规范有:> YD/T2584-2023互联网数据中心IDC安全防护规定> YD/T2585-2023互联网数据中心IDC安全防护检测规定> YD/T2669-2023第三方安全服务能力评估准则> 网络和系统安全防护检查评分措施> 2023年度通信网络安全防护符合性评测表一互联网数据中心IDC还参照原则> YD/T1754-2023电信和互联网物理环境安全等级保护规定> YD/T1755-2023电信和互联网物理环境安全等级保护检测规定> YD/T1756-2023电信和互联网管理安全等级保护规定> GB/T20274信息系统安全保障评估框架> GB/T20984-2023信息安全风险评估规范第1章系统概况IDC由负责管理和维护，其中各室配置了数名工程师，负责IDC设备硬、软件维护，数据制作，故障处理、信息安全保障、机房环境动力设备和空调设备维护。1.1 网络构造图LLlDC网络拓扑图1.2 管理制度1 .组织架构图L2：IDC信息安全管理机构2 .岗位权责分工既有的管理制度、规范及工作表单有： UDC机房信息安全管理制度规范 UDC机房管理措施 UDC劫难备份与恢复管理措施网络安全防护演习与总结集团客户业务故障处理管理程序互联网与基础数据网通信保障应急预案UDC网络应急预案有关调整企业跨部门组织机构及有关领导的告知网络信息安全考核管理措施通信网络运行维护规程公共分册数据备份制度省分企业转职信息安全人员职责通信网络运行维护规程IP网设备篇城域网BAS,SR设备配置规范IP地址管理措施互联网网络安全应急预案处理细则互联网网络安全应急预案处理预案（2023修订版）第2章评测措施和工具2.1溜试方式检查通过对测试对象进行观测、查验、分析等活动，获取证据以证明保护措施与否有效的一种措施。测试通过对测试对象按照预定的措施/工具使其产生特定的响应等活动，查看、分析测试对象的响应输出成果，获取证据以证明保护措施与否有效的一种措施。2.2测试工具重要使用到B测试工具有：扫描工具、渗透测试工具、抓包工具、漏洞运用验证工具等。详细描述如下表：表测试工具序号工具名称工具描述1绿盟漏洞扫描系统脆弱性扫描2科莱网络协议分析工具脆弱性扫描3Nmap端口扫描4BurpSuiteWEB渗透集成工具2.3评分措施分为符合性检测和风险评估两部分工作。网络单元安全防护检测评分=符合性评测得分X60%+风险评估得分X40%。其中符合性评测评分和风险评估评分均采用百分制。2.3.1 符合性评测评分措施符合性评测评分根据网络单元符合性评测表中所列制度、措施日勺符合状况计分，其中每个评测项对应分值，由100分除以符合性评测表中评测项总数所得。2.3.2风险评估评分措施网络单元风险评估首先基于技术检测中发现B安全隐患的数量、位置、危害程度进行一次扣分；然后根据发现B安全隐患与否可被技术检测单位运用进行二次扣分。风险评估评分流程详细如下。1、一次扣分在技术检测时，每发现一种安全隐患，根据其所处的位置及危害程度扣除对应分值。各类安全隐患的扣分值如表3-2所示。表32风险评估安全隐患扣分表安全隐患类型重要设备【注1】其他设备高危漏洞【注2】中危漏洞【注2J弱口令其他安全隐患【注3】注1：重要设备包括内外网隔离设备、内部安全域划分设备、互联网直联设备、网络业务关键设备。注2：中高危漏洞以国内外权威0¾CVE漏洞库和国家互联网应急中心CNVD漏洞库为基本判断根据；对于高危Web安全隐患，以国际上公认日勺开放式Web应用程序安全项目(OWASP,OpenWebApplicationSecurityProject)确定最新的Top10中所列的WEB安全隐患判断作为判断根据。注3：其他安全隐患指也许导致顾客信息泄露、重要设备受控、业务中断、网络中断等重大网络安全事件B隐患。2、二次扣分在一次扣分剩余得分的基础上，根据网络单元与否已被袭击入侵或发现的安全隐患与否可被技术检测单位运用，进行二次扣分。详细扣分环节如下：如通过技术检测，发现网络单元中存在恶意代码，或已被入侵而企业尚未发现并处置，扣除一次扣分后剩余得分B40%。如通过技术检测，从网络单元外获取网络单元内设备的管理员权限或获取网络单元内数据库信息，扣除一次扣分后剩余得分的40%。如通过技术检测，从网络单元内获取设备的管理员权限或获取数据库信息，扣除一次扣分后剩余得分的20%。最终剩余分数即为风险评估得分。第3章测试内容3.1 测试内容概述分为符合性评测和安全风险评估两部分，符合性评测详细内容为:业务安全、网络安全、主机安全、中间件安全、安全域边界安全、集中运维安全管控系统安全、劫难备份及恢复、管理安全、第三方服务安全状况。安全风险评估重要通过技术检测发现网络单元内与否存在中高危安全漏洞、弱口令，以及也许导致顾客信息泄露、重要设备受控、业务中断、网络中断等重大网络安全事件的隐患，检测与否存在恶意代码或企业尚未知晓的入侵痕迹，检测与否可以获取设备B管理员权限、数据库等。表41：网络架构测试对象序号测试对象描述1IDC检测系统网络架构的合理性表32：IDC网络设备列表设备名称型号IP地址关键路由器表43：IDC网管系统主机列表主机名称型号IP地址系统软件用途数据库服务器Windows2023数据库服务器应用服务器Windows2023应用服务器通讯服务器Windows2023通讯服务器主机名称型号IP地址系统软件用途流量服务器Windows2023流量服务器业务/门户管理服务器Windows2023业务/门户管理服务器表44：IDC网管系统列表系统名称重要功能IDC综合运行管理系统3.2 扫描和渗透测试接入点选择从互联网和内网区域0测试点模拟外部顾客与内部托管顾客进行渗透测试，并从互联网、托管顾客区的测试点进行漏洞扫描。3.3 通信网络安全管理审核该测试范围波及IDC安全管理审核，重要内容包括：安全管理制度、安全管理机构、人员安全管理、安全建设管理、安全运维管理、劫难备份、应急预案等有关制度管理文档。第4章符合性评测成果本次符合性评分重要根据网络单元符合性评测表的符合状况得分，其中每个评测项对应分值，由100分除以符合性评测表中评测项总数所得。本次对IDC系统符合性检测项数为89项，单项分值为(100/89)1.12分。4.1 业务安全序号检查内容检查点评测成果分值实际扣分阐明1应按照协议保证IDC顾客业务的安全；与否按照协议规定保证IDC顾客业务安全符合1.120与顾客签订有关协议，协议中对网络安全及业务安全进行有关描述和约定。但目前客户没有提出过单独的业务安全规定4.2 网络安全序号检查内容检查点评测成果分值实际扣分阐明5审计记录应包括事件的日期和时间、顾客、事件类型、事件与否成功及其他与审计有关的信息。审计记录与否包括事件的日期和时间、顾客、事件类型、事件与否成功及其他与审计有关的信息符合1.120IDC内网络设备SySIog审计日志存储在本机中，日志记录信息包括事件的日期和时间、顾客、事件类型、事件与否成功及其他与审计有关的信息4.3 主机安全序号评测内容评测项评测成果分值实际扣分阐明1应对登录操作系统和数据库系统的顾客进行身份标识和鉴别；与否对登录操作系统和数据库系统的顾客进行身份标识和鉴别符合1.12O操作系统和数据库系统自身实现对顾客的身份标识和鉴别功能4.4 中间件安全序号检查内容检查点评测成果分值实际扣分阐明1”应实现操作系统和中间件顾客的权限分离，中间件应使用独立顾客;应实现中间件顾客和互联网数据中心IDC应用程序顾客的权限分离“与否实现操作系统和中间件顾客的权限分离，中间件与否使用独立顾客不合用N/AN/A网管系统使用CS架构，无中间件4.5 安全域边界安全序号检查内容检查点评测成果分值实际扣分阐明6启用其他设备（主机隔离等）进行安全边界划分、隔离时应尽量实现严格的访问控制方略查看配置并技术检测验证访问控制措施符合1.12O使用互换机ACL规则进行访问控制4.6 集中运维安全管控系统安全序号评测内容评测项评测成果分值实际扣分阐明序号评测内容评测项评测成果分值实际扣分阐明1互联网数据中心(IDC)集中运维安全管控系统应与提供互联网数据中心(IDC)多种服务的互联网数据中心(IDC)基础设施隔离，应布署在不一样网络区域，网络边界处设备应按不一样互联网数据中心(IDC)业务需求实行访问控制方略，应只开放管理所必须H勺服务及端口，防止开放较大的IP地址段及服务；通过技术测试检查IDC集中运维安全管控系统与IDC基础设施的网络隔离与否符合安全方略符合1.12O使用独立网络区域，在E8080E上进行访问控制方略,不容许其他网络对网管区域进行访问4.7 劫难备份及恢复序号评测内容评测项评测成果分值实际扣分阐明2互联网数据中心IDC网络劫难恢复时间应满足行业管理、网络和业务运行商应急预案的有关规定。互联网数据中心IDC网络劫难演习恢复时间与否满足行业管理和企业应急预案H勺有关规定符合1.12O定期进行各项演习，按客户重要程度不一样在一定期间内恢复，满足规定4.8 管理安全序号评测内容评测项评测成果分值实际扣分阐明序号评测内容评测项评测成果分值实际扣分阐明1至少覆盖但不限于安全管理制度、安全管理机构、人员安全管理、安全建设管理、安全运维管理等管理方面；与否包括至少安全管理制度、安全管理机构、人员安全管理、安全建设管理、安全运维管理等内容符合1.12O制定了对应管理制度，包括安全管理制度、安全管理机构、人员安全管理、安全建设管理、安全运维管理等内容4IDC应有介质存取、验证和转储管理制度，保证备份数据授权IDC与否有介质存取、验证和转储管理制度，保证备份数据授权符合1.12O制定了IDC劫难备份与恢复管理措施规定了对应内容4.9 第三方服务安全序号评测内容评测项评测成果分值实际扣分阐明1应保证安全服务商的选择符合国家的有关规定；与否将通过中国通信企业协会通信网络安全服务能力评估列为外部安全服务提供商招标条件之一符合1.12O由提供风险评估的第三方服务，符合对应规定。第5章风险评估成果本次章节评分重要根据网络和系统安全防护检查评分措施，对技术检测中发现的安全隐患的数量、位置、危害程度进行扣分。5.1存在的安全隐患1.网管系统监控终端192.168存在的主机弱口令，可直接登录系统网管系统监控终端192.168存在的主机弱口令PC/OOO,可直接登录系统获取系统权限导致服务器受控，详见附录B。危害程度：弱口令所处位置：其他设备扣分：1分提议：提醒顾客修改初始口令，口令应具有一定复杂度。第6章综合评分6.1 符合性得分本次测试对IDC系统进行符合项检测，共检测89项，每项分值为1.12（100/89）,其中项不符合规定，符合性得分为分。6.2 风险评估本次重要通过系统应用层扫描、手工核查、内外网渗透对IDC系统进行安全风险评估，共发现2个安全隐患：第一次扣分状况如下：100-5=95分安全隐患运用第二次扣分：通过技术检测，从网络单元内获取服务器192.168.2.11B管理员权限，导致服务器受控，扣除一次扣分后剩余得分B20%。6.3 综合得分对IDC系统的68项符合性评测和存在的安全隐患进行评估，IDC系统网络单元安全防护检测评分为:附录A设备扫描记录表A1信息汇总表IP地址操作系统漏洞风险值配置风险值总风险值危险程度Windows2无2非常安全Windows2无2非常安全Windows2无2非常安全