,.網(wǎng)絡安全防護檢查報告數(shù)據(jù)中心測試單位：報告日期：,.目錄第1章系統(tǒng)槪況 51.1網(wǎng)絡結構 51.2管理制度 5第2章：評測方法和工具 72.1測試方式 72.2測試工具 72.3評分方法 72.3.1符合性評測評分方法 82.3.2風險評估評分方法 8第3章測試內(nèi)容 113.1測試內(nèi)容概述 113.2掃描和滲透測試接入點 123.3通信網(wǎng)絡安全管理審核 12第四章符合性評測結果 14,.4.1業(yè)務安全 144.2網(wǎng)絡安全 144.3主機安全 154.4中間件安全 154.5安全域邊界安全 164.6集中運維安全管系統(tǒng)安全 174.7災難備份及恢復 174.8管理安全 184.9第三方服務安全 19第5章風險評估結果 195.1存在的安全隱患 20第6章綜合評分 206.1符合性得分 206.2風險評估 206.3綜合得分 21所依據(jù)的標準和規(guī)范有：>《YD/T2584-2013互聯(lián)網(wǎng)數(shù)據(jù)中心IDC安全防護要求》謝謝閱讀《YD/T2585-2013互聯(lián)網(wǎng)數(shù)據(jù)中心IDC安全防護檢測要求》感謝閱讀《YD/T2669-2013第三方安全服務能力評定準則》感謝閱讀,.?《網(wǎng)絡和系統(tǒng)安全防護檢查評分方法》?2Q14年度通信網(wǎng)絡安全防護符合性評測表-互聯(lián)網(wǎng)數(shù)據(jù)中心IDC》還參考標準精品文檔放心下載YD/T1754-2QQ8〈<電信和互聯(lián)網(wǎng)物理環(huán)境安全等級保護要求》精品文檔放心下載YD/T1755-2QQ8〈<電信和互聯(lián)網(wǎng)物理環(huán)境安全等級保護檢測要求》感謝閱讀YD/T1756-2QQ8《電信和互聯(lián)網(wǎng)管理安全等級保護要求》感謝閱讀GB/T20274信息系統(tǒng)安全保障評估框架>GB/T20984-2007《信息安全風險評估規(guī)范》精品文檔放心下載,.第1章系統(tǒng)槪況IDC由負責管理和維護，其中各室配備了數(shù)名工程師，負責IDC設備硬、軟件維護，數(shù)精品文檔放心下載據(jù)制作，故障處理、信息安全保障、機房環(huán)境動力設備和空調(diào)維護。感謝閱讀1.1網(wǎng)絡結構圖1-1：拓撲圖1.2管理制度1.組織架構圖1-2:IDC信息安全管理機構2.崗位權責分工現(xiàn)有的管理制度、規(guī)范及工作表單有：《IDC機房信息安全管理制度規(guī)范》《IDC機房管理辦法》《IDC災難備份與恢復管理辦法》《網(wǎng)絡安全防護演練與總結》,.《集團客戶業(yè)務故障處理管理程序》《互聯(lián)網(wǎng)與基礎數(shù)據(jù)網(wǎng)通信保障應急預案》《IDC網(wǎng)絡應急預案〉〉《關于調(diào)整公司跨部門組織機構及有關領導的通知》《網(wǎng)絡信息安全考核管理辦法》《通信網(wǎng)絡運行維護規(guī)程公共分冊-數(shù)據(jù)備份制度》《省分公司轉職信息安全人員職責》《通信網(wǎng)絡運行維護規(guī)程IP網(wǎng)設備篇》《城域網(wǎng)BAS、SR設備配罝規(guī)范》《IP地址管理辦法》《互聯(lián)網(wǎng)網(wǎng)絡安全應急預案處理細則》《互聯(lián)網(wǎng)網(wǎng)絡安全應急預案處理預案（2013修訂版）》謝謝閱讀,.第2章：評測方法和工具2.1測試方式檢查通過對測試對象進行觀察、查驗、分析等活動，獲取證據(jù)以證明保護措施是否有效的一種方法。精品文檔放心下載測試通過對測試對象按照預定的方法/工具使其產(chǎn)生特定的響應等活動，查看、分析測試對象的響應輸出結果，獲取證據(jù)以證明保護措施是否有效的一種方法。精品文檔放心下載2.2測試工具主要使用到的測試工具有：掃描工具、滲透測試工具、抓包工具、漏洞利用驗證工具等。具體描述如下表：感謝閱讀表3-1：測試工具序號工具名稱工具描述1綠盟漏洞掃描系統(tǒng)脆弱性掃描2科萊網(wǎng)絡協(xié)議分析工具脆弱性掃描3Nmap端口掃描4BurpSuiteWEB滲透集成工具2.3評分方法分為符合性檢測和風險評估兩部分工作。網(wǎng)絡單元安全防護檢測評分=符合性評測得分X謝謝閱讀,.60%+風險評估得分X40%。其中符合性評測評分和風險評估評分均采用百分制。感謝閱讀2.3.1符合性評測評分方法符合性評測評分依據(jù)網(wǎng)絡單元符合性評測表中所列制虔、措施的符合情況計分，其中每個評感謝閱讀測項對應分值，由100分除以符合性評測表中評測項總數(shù)所得。感謝閱讀2.3.2風險評估評分方法網(wǎng)絡單元風險評估首先基于技術檢測中發(fā)現(xiàn)的安全隱患的數(shù)量、位置、危害程度進行一次扣分；然后依據(jù)發(fā)現(xiàn)的安全隱患是否可被技術檢測單位利用進行二次扣分，風險評估評分流程具體如下：謝謝閱讀1、一次扣分在技術檢測時，每發(fā)現(xiàn)一個安全隱患，根據(jù)其所處的位罝及危害程度扣除相應分值。各類安全隱患的扣分值如表3-2所示。感謝閱讀表3-2風險評估安全隱患扣分表安全隱患類型 重要設備 其他設備高危漏洞 無 無中危漏洞 無 無若口令 無 無其他安全隱患 無 無,.[注1]:重要設備包括內(nèi)外網(wǎng)隔離設備、內(nèi)部安全域劃分設備、互聯(lián)網(wǎng)直聯(lián)設備、網(wǎng)絡業(yè)務核心設備。感謝閱讀[注2]:中高危漏洞以國內(nèi)外權威的CVE漏洞庫和國家互聯(lián)網(wǎng)應急中心CNVD漏洞庫為基本判斷依據(jù)；對于高危Web安全隱患，以國際上公認的幵放式Web應用程序安全項目謝謝閱讀（OWASP，OpenWebApplicationSecurityProject確定最新的Top10中所列的WEB安全隱患判斷作為判斷依據(jù)。精品文檔放心下載[注3]:其它安全隱患指可能導致用戶信息泄露、重要設備受控、業(yè)務中斷、網(wǎng)絡中斷等重大網(wǎng)絡安全事件的隱患。精品文檔放心下載2、二次扣分在一次扣分剩余得分的基礎上，依據(jù)網(wǎng)絡單元是否已被攻擊入侵或發(fā)現(xiàn)的安全隱患是否可被技術檢測單位利用，進行二次扣分。具體扣分步驟如下：感謝閱讀如通過技術檢測，發(fā)現(xiàn)網(wǎng)絡單元中存在惡意代碼，或已被入侵而企業(yè)尚未發(fā)現(xiàn)并處罝，扣除一次扣分后剩余得分的40%。謝謝閱讀如通過技術檢測，從網(wǎng)絡單元外獲取網(wǎng)絡單元內(nèi)設備的管理員權限或獲取網(wǎng)絡單元內(nèi)數(shù)據(jù)庫信息，扣除一次扣分后剩余得分的40%。謝謝閱讀如通過技術檢測，從網(wǎng)絡單元內(nèi)獲取設備的管理員權限或獲職數(shù)據(jù)庫信息，扣除一次扣分后剩余得分的20%。精品文檔放心下載最后剩余分數(shù)即為風險評估得分。,.,.第3章測試內(nèi)容3.1測試內(nèi)容概述分為符合性評測和安全風險評估兩部分，符合性評測具體內(nèi)容為：業(yè)務安全、網(wǎng)絡安全、感謝閱讀主機安全、中間件安全、安全域邊界安全、集中運維安全管控系統(tǒng)安全、災難備份及恢復、管精品文檔放心下載理安全、第三方服務安全狀況。安全風險評估主要通過技術檢測發(fā)現(xiàn)網(wǎng)絡單元內(nèi)是否存在中高危安全漏洞、弱口令，以及精品文檔放心下載可能導致用戶信息泄露、重要設備受控、業(yè)務中斷、網(wǎng)絡中斷等重大網(wǎng)絡安全事件的隱患，檢謝謝閱讀測是否存在惡意代碼或企業(yè)尚未知曉的入侵痕跡，檢測是否可以獲取設備的管理員權限、數(shù)據(jù)謝謝閱讀庫等。表4.1：網(wǎng)絡架構測試對象序號 測試對象 描述1 IDC 檢測系統(tǒng)網(wǎng)絡架構的合理性表4-2：IDC網(wǎng)絡設備列表設備名稱 型號 IP地址核心路由器表4-3：IDC網(wǎng)管系統(tǒng)主機列表主機名稱 型號 1P地址 系統(tǒng)軟件 用途數(shù)據(jù)庫服務 Windows 數(shù)據(jù)庫服務器,.器2003應用服務器Windows應用服務器2003通訊服務器Windows通訊服務器2003流里服務器Windows流量服務器2003業(yè)務/門戶管Windows業(yè)務/門戶管理理服務器2003服務器表4-4：IDC網(wǎng)管系統(tǒng)列表系統(tǒng)名稱 主要功能IDC綜合運營管理系統(tǒng)3.2掃描和滲透測試接入點選擇從互聯(lián)網(wǎng)和內(nèi)網(wǎng)區(qū)域的測試點模擬外部用戶與內(nèi)部托管用戶進行滲透測試，并從互聯(lián)感謝閱讀網(wǎng)、托管用戶區(qū)的測試點進行漏洞掃描。3.3通信網(wǎng)絡安全管理審核該測試范圍內(nèi)涉及IDC安全管理審核，主要包括：安全管理制度，安全管理機構，人員精品文檔放心下載安全管理，安全建設管理，安全運維管理，災難備份，應急預案等相關制度管理文檔。精品文檔放心下載,.,.第四章符合性評測結果本次符合性評分主要依據(jù)網(wǎng)絡單元符合性評測表的符合情況得分，其中每個評測項對應分值，由100分除以符合性評測表中評測項總數(shù)所得。本次對IDC系統(tǒng)符合性檢測項數(shù)為89項，單項分值為(100/89)1.12分。精品文檔放心下載4.1業(yè)務安全序 檢查內(nèi)容 檢查點 評測結 分值 實際扣分 說明號 果應按照合同保證IDC用戶業(yè)務的安全

是否按照合同符合1.10與用戶簽署相關協(xié)設，臺要求保證IDC2同中對網(wǎng)絡安全及業(yè)務用戶業(yè)務安全安全逬行相關描述和約定。但目前客戶沒有提出過單獨的業(yè)務安全要求4.2網(wǎng)絡安全序檢查內(nèi)容檢查點評測結分值實際扣分說明號果1審計記錄應包審計記錄是否符合1.10IDC內(nèi)網(wǎng)絡設備syslog審括事件的日期包括事件的日2計日志存儲在本機中，日和時間、用期和時間、用志記錄信息包含事件的日戶、事件類型、戶、事件類型、事件是否成功 事件是否成功及其他與審 及其他與審計計相關的信 相關的信息息。

,.期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息4.3主機安全序評測內(nèi)容評測項評測結分值實際扣分說明號果1應對登錄操作是否對登錄操符合1.120操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)自系統(tǒng)和數(shù)據(jù)庫作系統(tǒng)和數(shù)據(jù)身實現(xiàn)對用戶的身份標識系統(tǒng)的用戶進庫系統(tǒng)的用戶和鑒別功能行身份標識和進行身份標識鑒別和鑒別4.4中間件安全序號 檢查內(nèi)容 檢查點 評測結 分值 實際扣分 說明謝謝閱讀果1 應實現(xiàn)操作系統(tǒng)和 是否實現(xiàn)操 不適應 N/A N/A 網(wǎng)管系統(tǒng)使用CS架感謝閱讀,.中間用戶的權限分 作系統(tǒng)和中離，中間件應使用 間件用戶的獨立用戶；應實現(xiàn) 權限分離，中間件用戶和互聯(lián) 中間件是否網(wǎng)數(shù)據(jù)中心的IDC 使用獨立用應用程序用戶的權 戶限分離

構，無中間件4.5安全域邊界安全序檢查內(nèi)容檢查點評測結分值實際扣分說明號果1啟用其他設備查看配置并技符合1.120使用交換機ACL規(guī)則進行（主機隔離術檢測驗證訪訪問控制等）進行安全問控制措施邊界劃分、隔離的應盡量實現(xiàn)嚴格的訪問控制策略,.4.6集中運維安全管系統(tǒng)安全序評測內(nèi)容評評分實際說號測測值扣分明項結果1互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）集中運維安全管控系統(tǒng)應與提供互合管聯(lián)網(wǎng)數(shù)據(jù)中心基礎設施隔離，應部署在不同網(wǎng)絡區(qū)域，網(wǎng)安區(qū)絡邊界處應按不同互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務需求實施訪問控制全域策略，應只開放管理所必須的服務及端口，避免開放較大策進的IP地段及服務略項訪問4.7災難備份及恢復序評測內(nèi)容評測項評分值實說明號測際結扣果分1互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）符1.120定期進行各項演網(wǎng)絡災難恢復時間應滿足網(wǎng)絡災難演練恢復時間合練，按客戶重要,.行業(yè)管理，網(wǎng)絡和業(yè)務運 是否滿足行業(yè)管理和企 程度不同在一定精品文檔放心下載營商應急預案的相關要求 業(yè)應急預案的相關要求 時間內(nèi)恢復，滿感謝閱讀足要求4.8管理安全序 評測內(nèi)容 評測項 評 分 實 說明號 測 值 際結 扣果 分1 至少覆蓋但不限于安全管 是否包含至少安全管理 制定了相應管理制度，包含精品文檔放心下載理制度、安全管理機構、 制度、安全管理機構、 安全管理制度、安全管理機精品文檔放心下載符人員安全管理、安全建設 人員安全管理、安全建 1.12 0 構、人員安全管理、安全建精品文檔放心下載合管理、安全運維管理等管 設管理、安全運維管理 設管理、安全運維管理等內(nèi)感謝閱讀理方面； 等內(nèi)容 容序評測內(nèi)容評測項評測分實際說明號結果值扣分4IDC應有介質(zhì)存取、驗證IDC是否有介質(zhì)存取、驗制定了《IDC災難備份和轉儲管理制度，確報備證和轉儲管理制度，確報符合1.120與恢復管理辦法》規(guī)定份數(shù)據(jù)授權 備份數(shù)據(jù)授權 了相應內(nèi)容,.4.9第三方服務安全序評測內(nèi)容評測項評分值實說明號測際結扣果分1應確保安全服是否將通過中國通信企業(yè)協(xié)會通符1.120由提供風險評估務上的選擇符信網(wǎng)絡安全服務能力評定列為外合的第三方服務，符合國家的有關部安全服務提供商招標商條件之合響應要求一第5章風險評估結果本次章節(jié)評分主要依據(jù)《網(wǎng)絡和系統(tǒng)安全防護檢查評分方法》,對技術檢測中發(fā)現(xiàn)的安全隱感謝閱讀患的數(shù)量、位置、危害程度進行扣分。,.5.1存在的安全隱患1.網(wǎng)管系統(tǒng)監(jiān)控終端192.168存在的主機弱口令，可直接登錄系統(tǒng)感謝閱讀網(wǎng)管系統(tǒng)監(jiān)控終端192.168存在的主機弱口令PC/000,可直接登錄系統(tǒng)獲取系統(tǒng)權限導致謝謝閱讀服務器受控，詳見附錄B。危害程度：弱口令所處位罝：其他設備扣分：1分建議：提示用戶修改初始口令，口令應具有一定復雜度。第6章綜合評分6.1符合性得分本次測試對IDC系統(tǒng)進行符合項檢測，共檢測89項，每項分值為1.12(100/89〉，其中項謝謝閱讀不符合要求，符合性得分為分。6.2風險評估本次主要通過系統(tǒng)\應用層掃描、手工核查、內(nèi)外網(wǎng)滲透對IDC系統(tǒng)進行安全風險評估，共精品文檔放心下載發(fā)現(xiàn)2個安全隱患：第一次扣分情況如下：10