1、網絡安全防護檢查報告數據中心測試單位：報告日期：目錄第 1 章系統槪況 41.1 網絡結構 41.2管理制度 4第 2 章：評測方法和工具 62.1測試方式 62.2測試工具 62.3 評分方法 62.3.1 符合性評測評分方法 62.3.2 風險評估評分方法 7第 3 章測試內容 93.1 測試內容概述 93.2 掃描和滲透測試接入點 1.03.3 通信網絡安全管理審核 1.0第四章 符合性評測結果 1.14.1 業務安全 1.14.2 網絡安全 1.14.3 主機安全 1.14.4 中間件安全 1.24.5 安全域邊界安全 1.24.6 集中運維安全管系統安全 1.24.7 災難備份及恢復

2、 1.34.8 管理安全 1.34.9 第三方服務安全 1.4第 5 章風險評估結果 1.45.1 存在的安全隱患 1.4第6章 綜合評分 1.56.1 符合性得分 1.56.2 風險評估 1.56.3 綜合得分 1.5所依據的標準和規范有：? YD/T 2584-2013 互聯網數據中心 IDC 安全防護要求? YD/T 2585-2013 互聯網數據中心 IDC 安全防護檢測要求? YD/T 2669-2013 第三方安全服務能力評定準則? 網絡和系統安全防護檢查評分方法?2Q14年度通信網絡安全防護符合性評測表-互聯網數據中心IDC還參考標準? YD/T 1754-2QQ8 電信和互聯網

3、物理環境安全等級保護要求? YD/T 1755-2QQ8 電信和互聯網物理環境安全等級保護檢測要求? YD/T 1756-2QQ8電信和互聯網管理安全等級保護要求? GB/T 20274 信息系統安全保障評估框架? GB/T 20984-2007信息安全風險評估規范第1章系統槪況IDC由負責管理和維護，其中各室配備了數名工程師，負責IDC設備硬、軟件維護，數據制作，故障處理、信息安全保障、機房環境動力設備和空調維護。1.1網絡結構圖1-1 :拓撲圖1.2管理制度1.組織架構圖1-2: IDC信息安全管理機構2.崗位權責分工現有的管理制度、規范及工作表單有：IDC機房信息安全管理制度規范IDC機

4、房管理辦法IDC災難備份與恢復管理辦法網絡安全防護演練與總結集團客戶業務故障處理管理程序互聯網與基礎數據網通信保障應急預案IDC網絡應急預案關于調整公司跨部門組織機構及有關領導的通知網絡信息安全考核管理辦法通信網絡運行維護規程公共分冊 - 數據備份制度 省分公司轉職信息安全人員職責 通信網絡運行維護規程 IP 網設備篇城域網BAS SR設備配罝規范IP 地址管理辦法 互聯網網絡安全應急預案處理細則 互聯網網絡安全應急預案處理預案（ 2013修訂版 ）第2章：評測方法和工具2.1測試方式檢查通過對測試對象進行觀察、查驗、分析等活動，獲取證據以證明保護措施是否有效的一種方法 測試通過對測試對象按照

5、預定的方法/工具使其產生特定的響應等活動，查看、分析測試對象的響 應輸出結果，獲取證據以證明保護措施是否有效的一種方法。2.2測試工具主要使用到的測試工具有：掃描工具、滲透測試工具、抓包工具、漏洞利用驗證工具等。具體 描述如下表：表3-1 :測試工具序號工具名稱工具描述1綠盟漏洞掃描系統脆弱性掃描2科萊網絡協議分析工具脆弱性掃描3Nmap端口掃描4Burp SuiteWE軫透集成工具2.3評分方法分為符合性檢測和風險評估兩部分工作。網絡單元安全防護檢測評分=符合性評測得分X60%風險評估得分X 40%其中符合性評測評分和風險評估評分 均采用百分制。2.3.1符合性評測評分方法符合性評測評分依據

6、網絡單元符合性評測表中所列制虔、措施的符合情況計分，其中每個評測項對應分值，由100分除以符合性評測表中評測項總數所得232風險評估評分方法網絡單元風險評估首先基于技術檢測中發現的安全隱患的數量、 位置、危害程度進行一次扣 分；然后依據發現的安全隱患是否可被技術檢測單位利用進行二次扣分， 風險評估評分流程具 體如下：1、一次扣分在技術檢測時，每發現一個安全隱患，根據其所處的位罝及危害程度扣除相應分值。各類安全隱患的扣分值如表3-2所示。表3-2風險評估安全隱患扣分表安全隱患類型重要設備其他設備高危漏洞無無中危漏洞無無若口令無無其他安全隱患無無注1:重要設備包括內外網隔離設備、內部安全域劃分設備

7、、互聯網直聯設備、網絡業 務核心設備。注2:中高危漏洞以國內外權威的CVES洞庫和國家互聯網應急中心 CNVDB洞庫為基本 判斷依據；對于高危 Web安全隱患，以國際上公認的幵放式 Web應用程序安全項目（OWASP Open Web Application Security Project確定最新的Top 10中所列的 WE或全隱患判斷作為判斷依據。注3:其它安全隱患指可能導致用戶信息泄露、重要設備受控、業務中斷、網絡中斷等 重大網絡安全事件的隱患。2、二次扣分在一次扣分剩余得分的基礎上，依據網絡單元是否已被攻擊入侵或發現的安全隱患是否可 被技術檢測單位利用，進行二次扣分。具體扣分步驟如下：

8、如通過技術檢測，發現網絡單元中存在惡意代碼，或已被入侵而企業尚未發現并處罝， 扣 除一次扣分后剩余得分的 40%。如通過技術檢測， 從網絡單元外獲取網絡單元內設備的管理員權限或獲取網絡單元內數據 庫信息，扣除一次扣分后剩余得分的 40%。如通過技術檢測， 從網絡單元內獲取設備的管理員權限或獲職數據庫信息， 扣除一次扣分 后剩余得分的 20%。最后剩余分數即為風險評估得分。第3章測試內容3.1測試內容概述分為符合性評測和安全風險評估兩部分，符合性評測具體內容為：業務安全、網絡安全、主機安全、中間件安全、安全域邊界安全、集中運維安全管控系統安全、災難備份及恢復、管 理安全、第三方服務安全狀況。安全

9、風險評估主要通過技術檢測發現網絡單元內是否存在中高危安全漏洞、弱口令，以及可能導致用戶信息泄露、重要設備受控、業務中斷、網絡中斷等重大網絡安全事件的隱患，檢 測是否存在惡意代碼或企業尚未知曉的入侵痕跡，檢測是否可以獲取設備的管理員權限、數據 庫等。表4.1 :網絡架構測試對象序號測試對象描述1IDC檢測系統網絡架構的合理性表4-2 : IDC網絡設備列表設備名稱型號IP地址核心路由器表4-3 : IDC網管系統主機列表主機名稱型號1P地址系統軟件用途數據庫服務器Win dows 2003數據庫服務器應用服務器Win dows 2003應用服務器通訊服務器Win dows 2003通訊服務器流里

10、服務器Win dows 2003流量服務器業務/門戶管Win dows 2003業務/門戶管理理服務器服務器表4-4 : IDC網管系統列表系統名稱主要功能IDC綜合運營管理系統3.2掃描和滲透測試接入點并從互聯人員安選擇從互聯網和內網區域的測試點模擬外部用戶與內部托管用戶進行滲透測試， 網、托管用戶區的測試點進行漏洞掃描。3.3通信網絡安全管理審核該測試范圍內涉及IDC安全管理審核，主要包括：安全管理制度，安全管理機構, 全管理，安全建設管理，安全運維管理，災難備份，應急預案等相關制度管理文檔。第四章符合性評測結果本次符合性評分主要依據網絡單元符合性評測表的符合情況得分，其中每個評測項對應分

11、值，由100分除以符合性評測表中評測項總數所得。本次對IDC系統符合性檢測項數為89項,單項分值為（100/89）1.12 分。4.1業務安全序 號檢杳內容檢杳點評測結果分值實際扣分說明1應按照合同保 證IDC用戶業 務的安全是否按照合同 要求保證IDC 用戶業務安全符合1.120與用戶簽署相關協設，臺 同中對網絡安全及業務 安全逬行相關描述和約 定。但目前客戶沒有提出 過單獨的業務安全要求4.2網絡安全序 號檢杳內容檢杳點評測結果分值實際扣分說明1審計記錄應包 括事件的日期 和時間、用 戶、事件類型、 事件是否成功 及其他與審 計相關的信 息。審計記錄是否 包括事件的日 期和時間、用 戶、事

12、件類型、 事件是否成功 及其他與審計 相關的信息符合1.120IDC內網絡設備syslog審 計日志存儲在本機中，日 志記錄信息包含事件的日 期和時間、用戶、事件類 型、事件是否成功及其他 與審計相關的信息4.3主機安全序 號評測內容評測項評測結 果分值實際扣分說明1應對登錄操作 系統和數據庫是否對登錄操 作系統和數據符合1.120操作系統和數據庫系統自 身實現對用戶的身份標識系統的用戶進 行身份標識和 鑒別庫系統的用戶 進行身份標識 和鑒別和鑒別功能4.4中間件安全序號檢杳內容檢杳點評測結果分值實際扣分說明1應實現操作系統和 中間用戶的權限分 離，中間件應使用 獨立用戶；應實現 中間件用戶和

13、互聯 網數據中心的 IDC 應用程序用戶的權 限分離是否實現操 作系統和中 間件用戶的 權限分離， 中間件是否 使用獨立用 戶不適應N/AN/A網管系統使用CS架 構，無中間件4.5安全域邊界安全序 號檢杳內容檢杳點評測結果分值實際扣分說明1啟用其他設備（主機隔離 等）進行安全 邊界劃分、隔 離的應盡量實 現嚴格的訪問 控制策略查看配置并技 術檢測驗證訪 問控制措施符合1.120使用交換機ACL規則進行 訪問控制4.6集中運維安全管系統安全序 號評測內容評 測 項評 測 結 果分 值實際 扣分說 明1倖網"頭避 管不B需n, 隹 RH r- 皿應中K? - 一 厶-_ ID拋聯所 小

14、需加務 心彳放艮 ，亍二 月 州讓皿W及 期艸tw:p段 W伽阮應地 哪寫m,P 互聯絡策的合安全策略管區域進項訪問4.7災難備份及恢復序 號評測內容評測項評測結果分 值實際扣分說明1互聯網數據中心（IDC）網 絡災難恢復時間應滿足行 業管理，網絡和業務運營 商應急預案的相關要求互聯網數據中心（IDC） 網絡災難演練恢復時間 是否滿足行業管理和企 業應急預案的相關要求符 合1.120定期進行各項演 練，按客戶重要 程度不同在一定 時間內恢復，滿 足要求4.8管理安全序 號評測內容評測項評 測 結 果分 值實 際 扣 分說明1至少覆蓋但不限于安全管 理制度、安全管理機構、 人員安全管理、安全建設

15、 管理、安全運維管理等管 理方面；是否包含至少安全管理 制度、安全管理機構、 人員安全管理、安全建 設管理、安全運維管理 等內容符合1.120制定了相應管理制度，包含 安全管理制度、安全管理機 構、人員安全管理、安全建 設管理、安全運維管理等內 容序 號評測內容評測項評測 結果分 值實際 扣分說明4IDC應有介質存取、驗證 和轉儲管理制度，確報備 份數據授權IDC是否有介質存取、驗 證和轉儲管理制度，確報 備份數據授權符合1.120制定了IDC災難備份與 恢復管理辦法規定了 相應內容4.9第三方服務安全序 號評測內容評測項評 測 結 果分 值實 際 扣 分說明1應確保安全服 務上的選擇符 合國

16、家的有關是否將通過中國通信企業協會通 信網絡安全服務能力評定列為外 部安全服務提供商招標商條件之符合1.120由提供風險評估 的第三方服務，符 合響應要求第5章風險評估結果本次章節評分主要依據網絡和系統安全防護檢查評分方法，對技術檢測中發現的安全隱患的數量、位置、危害程度進行扣分。5.1存在的安全隱患1.網管系統監控終端192.168存在的主機弱口令，可直接登錄系統網管系統監控終端192.168存在的主機弱口令PC/OOO,可直接登錄系統獲取系統權限導致服 務器受控，詳見附錄B。危害程度：弱口令所處位罝：其他設備扣分：1分建議：提示用戶修改初始口令，口令應具有一定復雜度。第6章綜合評分6.1符合性得分本次測試對IDC系統進行符合項檢測，共檢測 89項，每項分值為1.12 (100/89其中項 不符合要求，符合性得分為分。6.2風險評估本次主要通過系統 應用層掃描、手工核查、內外網滲透對 IDC系統進行安全風險評估，共 發現2個安全隱患：第一次扣分情況如下：100-