文档介绍：网络安全防护检查报告数据中心测试单位:报告日期:目录第1章系统槪况 4第2章:评测方法和工具 7第3章测试内容 10第四章符合性评测结果 14第5章风险评估结果 15第6章综合评分 16所依据的标准和规范有:>《YD/T2584-2013互联网数据中心IDC安全防护要求》《YD/T2585-2013互联网数据中心IDC安全防护检测要求》《YD/T2669-2013第三方安全服务能力评定准则》《网络和系统安全防护检查评分方法》«2Q14年度通信网络安全防护符合性评测表-互联网数据中心IDC》还参考标准YD/T1754-2QQ8〈<电信和互联网物理环境安全等级保护要求》YD/T1755-2QQ8〈<电信和互联网物理环境安全等级保护检测要求》YD/T1756-2QQ8《电信和互联网管理安全等级保护要求》GB/T20274信息系统安全保障评估框架>GB/T20984-2007《信息安全风险评估规范》第1章系统槪况IDC由负责管理和维护,其中各室配备了数名工程师,负责IDC设备硬、软件维护,数据制作,故障处理、信息安全保障、机房环境动力设备和空调维护。-1:-2:、规范及工作表单有:《IDC机房信息安全管理制度规范》《IDC机房管理办法》《IDC灾难备份与恢复管理办法》《网络安全防护演练与总结》《集团客户业务故障处理管理程序》《互联网与基础数据网通信保障应急预案》《IDC网络应急预案〉〉《关于调整公司跨部门组织机构及有关领导的通知》《网络信息安全考核管理办法》《通信网络运行维护规程公共分册-数据备份制度》《省分公司转职信息安全人员职责》《通信网络运行维护规程IP网设备篇》《城域网BAS、SR设备配罝规范》《IP地址管理办法》《互联网网络安全应急预案处理细则》《互联网网络安全应急预案处理预案(2013修订版)》第2章:、查验、分析等活动,获取证据以证明保护措施是否有效的一种方法。测试通过对测试对象按照预定的方法/工具使其产生特定的响应等活动,查看、分析测试对象的响应输出结果,获取证据以证明保护措施是否有效的一种方法。:扫描工具、滲透测试工具、抓包工具、漏洞利用验证工具等。具体描述如下表:表3-1:测试工具序号工具名称工具描述1绿盟***。网络单元安全防护检测评分=符合性评测得分X60%+风险评估得分X40%。其中符合性评测评分和风险评估评分均采用百分制。、措施的符合情况计分,其中每个评测项对应分值,由100分除以符合性评测表中评测项总数所得。、位置、危害程度进行一次扣分;然后依据发现的安全隐患是否可被技术检测单位利用进行二次扣分,风险评估评分流程具体如下:1、一次扣分在技术检测时,每发现一个安全隐患,根据其所处的位罝及危害程度扣除相应分值。各类安全隐患的扣分值如表3-2所示。表3-2风险评估安全隐患扣分表安全隐患类型重要设备其他设备高危漏洞无无中危漏洞无无若口令无无其他安全隐患无无[注1]:重要设备包括内外网隔离设备、内部安全域划分设备、互联网直联设备、网络业务核心设备。[注2]:VD漏洞库为基本判断依据;对于高危Web安全隐患,以国际上公认的幵放式Web应用程序安全项目(OWASP,OpenWebApplicationSecurityProject确定最新的Top10中所列的WEB安全隐患判断作为判断依据。[注3]:其它安全隐患指可能导致用户信息泄露、重要设备受控、业务中断、网络中断等重大网络安全事件的隐患。2、二次扣分在一次扣分剩余得分的基础上,依据网络单元是否已被攻击入侵或发现的安全隐患是否可被技术检测单位利用