文档介绍:网络安全防护检查报告
数据中心
测试单位:
报告日期:
扣除相应分值。各类安全隐患的扣分值如表3-2所示。
表3-2 风险评估安全隐患扣分表
安全隐患类型
重要设备
其他设备
高危漏洞
无
无
中危漏洞
无
无
若口令
无
无
其他安全隐患
无
无
[注1]:重要设备包括外网隔离设备、部安全域划分设备、互联网直联设备、网络业务核心设备。
[注2]:中高危漏洞以国外权威的CVE漏洞库和国家互联网应急中心 CNVD漏洞库为基本判断依据;对于高危Web安全隐患,以国际上公认的幵放式 Web 应用程序安全项目(OWASP,Open Web Application Security Project确定最新的Top 10中所列的WEB安全隐患判断作为判断依据。
[注3]:其它安全隐患指可能导致用户信息泄露、重要设备受控、业务中断、网络中断等重大网络安全事件的隐患。
2、二次扣分
在一次扣分剩余得分的基础上,依据网络单元是否已被攻击入侵或发现的安全隐患是否可被技术检测单位利用,进行二次扣分。具体扣分步骤如下:
如通过技术检测,发现网络单元中存在恶意代码,或已被入侵而企业尚未发现并处罝,扣除一次扣分后剩余得分的40%。
如通过技术检测,从网络单元外获取网络单元设备的管理员权限或获取网络单元数据库信息,扣除一次扣分后剩余得分的40%。
如通过技术检测,从网络单元获取设备的管理员权限或获职数据库信息,扣除一次扣分后剩余得分的20%。
最后剩余分数即为风险评估得分。
第3章测试容
分为符合性评测和安全风险评估两部分,符合性评测具体容为:业务安全、 网络安全、主机安全、中间件安全、安全域边界安全、集中运维安全管控系统安全、灾难备份及恢复、管理安全、第三方服务安全状况。
安全风险评估主要通过技术检测发现网络单元是否存在中高危安全漏洞、 弱口令,以及可能导致用户信息泄露、重要设备受控、业务中断、网络中断等重大网络安全事件的隐患,检测是否存在恶意代码或企业尚未知晓的入侵痕迹,检测是否可以获取设备的管理员权限、数据库等。
:网络架构测试对象
序号
测试对象
描述
1
IDC
检测系统网络架构的合理性
表4-2:IDC网络设备列表
设备名称
型号
IP地址
核心路由器
表4-3:IDC网管系统主机列表
主机名称
型号
1P地址
系统软件
用途
数据库服务 器
Windows 2003
数据库服务器
应用服务器
Windows 2003
应用服务器
通讯服务器
Windows 2003
通讯服务器
流里服务器
Windows 2003
流量服务器
业务/门户管 理服务器
Windows 2003
业务/门户管理服务器
表4-4:IDC网管系统列表
系统名称
主要功能
IDC综合运营管理系统
选择从互联网和网区域的测试点模拟外部用户与部托管用户进行渗透测试,并从互联网、托管用户区的测试点进行***。
通信网络安全管理审核
该测试围涉及IDC安全管理审核,主要包括:安全管理制度,安全管理机构,人员安全管理,安全建设管理,安全运维管理,灾难备份,应急预案等相关制度管理文档。
第四章 符合性评测结果
本次符合性评分主要依据网络单元符合性评测表的符合情况得分,其中每个评测项对应分值,由100分除以符合性评测表中评测项总数所得。本次对IDC 系统符合性检测项数为89项,单项分值为(100/89)。
序号
检查容
检查点
评测结果
分值
实际扣分
说明
1
应按照合同保证 IDC用户业务的安 全
是否按照合同要求保证IDC用户业务安全
符合
0
与用户签署相关 协设,台同中对网 络安全及业务安全逬行相关描述和约定。但目前客户没有提出过单独的业务安全要 求
序号
检查容
检查点
评测结果
分值
实际扣分
说明
1
审计记录应包括事件的日期和时间、用 户、事件类型、事件是否成功及其他与 审计相关的信息。
审计记录是否包括事件的日
符合
0
IDC网络设备syslog审计日志存储在本机中,日志