编号:
网络安全防护检查报告
数据中心
测评单位:
报告日期:
目录
第1章系统概况................................................
网络结构..................................................
管理制度.................................................. 第2章评测方法和工具..........................................
测试方式..................................................
测试工具..................................................
评分方法..................................................
符合性评测评分方法....................................
风险评估评分方法...................................... 第3章测试内容................................................
测试内容概述..............................................
扫描和渗透测试接入点 .....................................
通信网络安全管理审核 ..................................... 第4章符合性评测结果..........................................
业务安全..................................................
网络安全..................................................
主机安全..................................................
中间件安全................................................
安全域边界安全............................................
集中运维安全管控系统安全 .................................
灾难备份及恢复............................................
管理安全..................................................
第三方服务安全............................................ 第5章风险评估结果............................................
存在的安全隐患............................................ 第6章综合评分................................................
符合性得分................................................
风险评估..................................................
综合得分.................................................. 附录A 设备扫描记录............................................
所依据的标准和规范有:
《YD/T 2584-2013 互联网数据中心IDC安全防护要求》
《YD/T 2585-2013 互联网数据中心IDC安全防护检测要求》
《YD/T 2669-2013 第三方安全服务能力评定准则》
《网络和系统安全防护检查评分方法》
《2014年度通信网络安全防护符合性评测表-互联网数据中心IDC》
还参考标准
YD/T 1754-2008《电信和互联网物理环境安全等级保护要求》
YD/T 1755-2008《电信和互联网物理环境安全等级保护检测要求》
YD/T 1756-2008《电信和互联网管理安全等级保护要求》
GB/T 20274 信息系统安全保障评估框架
GB/T 20984-2007 《信息安全风险评估规范》
第1章 系统概况
IDC 由 负责管理和维护,其中各室配备了数名工程师,负责IDC 设备硬、软件维护,数据制作,故障处理、信息安全保障、机房环境动力设备和空调设备维护。
1.1 网络结构
图 1-1:IDC 网络拓扑图
1.2 管理制度
1. 组织架构
图 1-2:IDC 信息安全管理机构
2. 岗位权责分工
现有的管理制度、规范及工作表单有:
《IDC 机房信息安全管理制度规范》 《IDC 机房管理办法》
《IDC 灾难备份与恢复管理办法》 《网络安全防护演练与总结》 《集团客户业务故障处理管理程序》
网络与信息安全工作小组
信息安全工作组
网络安全工作组
具体职能部门
《互联网与基础数据网通信保障应急预案》
《IDC网络应急预案》
《关于调整公司跨部门组织机构及有关领导的通知》《网络信息安全考核管理办法》
《通信网络运行维护规程公共分册-数据备份制度》《省分公司转职信息安全人员职责》
《通信网络运行维护规程IP网设备篇》
《城域网BAS、SR设备配置规范》
《IP地址管理办法》
《互联网网络安全应急预案处理细则》
《互联网网络安全应急预案处理预案(2013修订版)》
第2章评测方法和工具
2.1 测试方式
检查
通过对测试对象进行观察、查验、分析等活动,获取证据以证明保护措施是否有效的一种方法。
测试
通过对测试对象按照预定的方法/工具使其产生特定的响应等活动,查看、分析测试对象的响应输出结果,获取证据以证明保护措施是否有效的一种方法。
2.2 测试工具
主要使用到的测试工具有:扫描工具、渗透测试工具、抓包工具、漏洞利用验证工具等。具体描述如下表:
表3-1:测试工具
序号工具名称工具描述
1绿盟漏洞扫描系统脆弱性扫描
2科莱网络协议分析工具脆弱性扫描
3Nmap端口扫描
4Burp Suite WEB渗透集成工具
2.3 评分方法
分为符合性检测和风险评估两部分工作。网络单元安全防护检测评分=符合性评测得分×60%+风险评估得分×40%。其中符合性评测评分和风险评估评分均采用百分制。
2.3.1 符合性评测评分方法
符合性评测评分依据网络单元符合性评测表中所列制度、措施的符合情况计分,其中每个评测项对应分值,由100分除以符合性评测表中评测项总数所得。
2.3.2 风险评估评分方法
网络单元风险评估首先基于技术检测中发现的安全隐患的数量、位置、危害程度进行一次扣分;然后依据发现的安全隐患是否可被技术检测单位利用进行二次扣分。风险评估评分流程具体如下。
1、一次扣分
在技术检测时,每发现一个安全隐患,根据其所处的位置及危害程度扣除相应分值。各类安全隐患的扣分值如表3-2所示。
表3-2 风险评估安全隐患扣分表
[注1]:重要设备包括内外网隔离设备、内部安全域划分设备、互联网直联设备、网络业务核心设备。
[注2]:中高危漏洞以国内外权威的CVE漏洞库和国家互联网应急中心CNVD漏洞库为基本判断依据;对于高危Web安全隐患,以国际上公认
的开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)确定最新的Top 10中所列的WEB安全隐患判断作为判断依据。
[注3]:其它安全隐患指可能导致用户信息泄露、重要设备受控、业务中断、网络中断等重大网络安全事件的隐患。
2、二次扣分
在一次扣分剩余得分的基础上,依据网络单元是否已被攻击入侵或发现的安全隐患是否可被技术检测单位利用,进行二次扣分。具体扣分步骤如下:
如通过技术检测,发现网络单元中存在恶意代码,或已被入侵而企业尚未发现并处置,扣除一次扣分后剩余得分的40%。
如通过技术检测,从网络单元外获取网络单元内设备的管理员权限或获取网络单元内数据库信息,扣除一次扣分后剩余得分的40%。
如通过技术检测,从网络单元内获取设备的管理员权限或获取数据库信息,扣除一次扣分后剩余得分的20%。
最后剩余分数即为风险评估得分。
第3章测试内容
3.1 测试内容概述
分为符合性评测和安全风险评估两部分,符合性评测具体内容为:业务安全、网络安全、主机安全、中间件安全、安全域边界安全、集中运维安全管控系统安全、灾难备份及恢复、管理安全、第三方服务安全状况。
安全风险评估主要通过技术检测发现网络单元内是否存在中高危安全漏洞、弱口令,以及可能导致用户信息泄露、重要设备受控、业务中断、网络中断等重大网络安全事件的隐患,检测是否存在恶意代码或企业尚未知晓的入侵痕迹,检测是否可以获取设备的管理员权限、数据库等。
表4-1:网络架构测试对象
表3-2:IDC网络设备列表
表4-3:IDC网管系统主机列表
表4-4:IDC网管系统列表
3.2 扫描和渗透测试接入点
选择从互联网和内网区域的测试点模拟外部用户与内部托管用户进行渗透测试,并从互联网、托管用户区的测试点进行漏洞扫描。
3.3 通信网络安全管理审核
该测试范围涉及IDC安全管理审核,主要内容包括:安全管理制度、安全管理机构、人员安全管理、安全建设管理、安全运维管理、灾难备份、应急预案等相关制度管理文档。
第4章符合性评测结果
本次符合性评分主要依据网络单元符合性评测表的符合情况得分,其中每个评测项对应分值,由100分除以符合性评测表中评测项总数所得。本次对IDC系统符合性检测项数为89项,单项分值为(100/89)分。
4.1 业务安全
4.2 网络安全
4.3 主机安全
4.4 中间件安全
4.5 安全域边界安全
4.6 集中运维安全管控系统安全
4.7 灾难备份及恢复
4.8 管理安全
4.9 第三方服务安全
第5章风险评估结果
本次章节评分主要依据《网络和系统安全防护检查评分方法》,对技术检测中发现的安全隐患的数量、位置、危害程度进行扣分。
5.1 存在的安全隐患
1.网管系统监控终端存在的主机弱口令,可直接登录系统
网管系统监控终端存在的主机弱口令PC/000,可直接登录系统获取系统权限导致服务器受控,详见附录B。
危害程度:弱口令
所处位置:其他设备
扣分:1分
建议:提示用户修改初始口令,口令应具有一定复杂度。
第6章综合评分
6.1 符合性得分
本次测试对IDC系统进行符合项检测,共检测89项,每项分值为(100/89),其中项不符合要求,符合性得分为分。
6.2 风险评估
本次主要通过系统\应用层扫描、手工核查、内外网渗透对IDC系统进行安全风险评估,共发现2个安全隐患:
第一次扣分情况如下:
100-5=95分
安全隐患利用第二次扣分:
导致服务器受控,扣除一次扣分后剩余得分的20%。
6.3 综合得分
对IDC系统的68项符合性评测和存在的安全隐患进行评估,IDC系统网络单元安全防护检测评分为:
附录A 设备扫描记录
表A-1信息汇总表
推荐访问:安防保密风险评估报告 安全防护 模板 检查