数据中心网络安全防护检查报告
第 2 页共 49 页
《通信网络运行维护规程公共分册 -数据备份制度》 《省分公司转职信息安全人员职责》 《通信网络运行维护规程 IP 网设备篇》 《城域网 BAS、 SR 设备配置规范》 《 IP 地址管理办法》 《互联网网络安全应急预案处理细则》 《互联网网络安全应急预案处理预案（ 2013 修订版）》
数据中心网络安全防护检查报告
第 3 页共 49 页
第 2章 评测方法和工具
2.1 测试方式 检查
通过对测试对象进行观察、 查验、分析等活动，获取证据以证明保护措施是 否有效的一种方法。
测试 通过对测试对象按照预定的方法 /工具使其产生特定的响应等活动，查看、 分析测试对象的响应输出结果，获取证据以证明保护措施是否有效的一种方法。 2.2 测试工具 主要使用到的测试工具有：扫描工具、渗透测试工具、抓包工具、漏洞利用 验证工具等。具体描述如下表：
信息安全工作组
网络安全工作组
具体职能部门
图 1-2： IDC 信息安全管理机构
2. 岗位权责分工 现有的管理制度、规范及工作表单有： 《 IDC 机房信息安全管理制度规范》 《 IDC 机房管理办法》 《 IDC 灾难备份与恢复管理办法》 《网络安全防护演练与总结》 《集团客户业务故障处理管理程序》 《互联网与基础数据网通信保障应急预案》 《 IDC 网络应急预案》 《关于调整公司跨部门组织机构及有关领导的通知》 《网络信息安全考核管理办法》
数据中心网络安全防护检查报告
第 1 页共 49 页
第 1章 系统概况
IDC 由 负责管理和维护， 其中各室配备了数名工程师， 负责 IDC 设备硬、 软件维护，数据制作，故障处理、信息安全保障、机房环境动力设备和空调设备 维护。
1.1 网络结构
1.2 管理制度
1. 组织架构
图 1-1：IDC 网络拓扑图 网络与信息安全工作小组
第 6 章 综合评分 ............................................................................................ 13 6.1 符合性得分 ........................................................................................ 13 6.2 风险评估 ........................................................................................... 13 6.3 综合得分 ........................................................................................... 13
均采用百分制。
2.3.1 符合性评测评分方法
符合性评测评分依据网络单元符合性评测表中所列制度、 措施的符合情况计
分，其中每个评测项对应分值，由 100 分除以符合性评测表中评测项总数所得。
2.3.2 风险评估评分方法
网络单元风险评估首先基于技术检测中发现的安全隐患的数量、 位置、危害
程度进行一次扣分； 然后依据发现的安全隐患是否可被技术检测单位利用进行二
中危漏洞 【注 2】
弱口令
其它安全隐患 【注 3】
[注 1]：重要设备包括内外网隔离设备、内部安全域划分设备、互联网直联 设备、网络业务核心设备。
[ 注 2] ：中高危漏洞以国内外权威的 CVE 漏洞库和国家互联网应急中心 CNVD 漏洞库为基本判断依据；对于高危 Web 安全隐患，以国际上公认的开放 式 Web 应用程序安全项目（ OWASP，Open Web Application Security Project）确 定最新的 Top 10 中所列的 WEB 安全隐患判断作为判断依据。
第 4 章 符合性评测结果 ................................................................................... 8 4.1 业务安全 ............................................................................................. 8 4.2 网络安全 ............................................................................................. 8 4.3 主机安全 ............................................................................................. 8 4.4 中间件安全 .......................................................................................... 9 4.5 安全域边界安全 .................................................................................. 9 4.6 集中运维安全管控系统安全 ................................................................. 9 4.7 灾难备份及恢复 ................................................................................ 10 4.8 管理安全 ........................................................................................... 10 4.9 第三方服务安全 ................................................................................ 11
表 3-1：测试工具
序号
工具名称
工具描述
1
绿盟漏洞扫描系统
2
科莱网络协议分析工具3Fra bibliotekNmap
4
Burp Suite
脆弱性扫描 脆弱性扫描
端口扫描 WEB 渗透集成工具
2.3 评分方法
分为符合性检测和风险评估两部分工作。 网络单元安全防护检测评分＝符合
性评测得分× 60%＋风险评估得分× 40%。其中符合性评测评分和风险评估评分
第 2 章 评测方法和工具 ................................................................................... 4 2.1 测试方式 ............................................................................................. 4 2.2 测试工具 ............................................................................................. 4 2.3 评分方法 ............................................................................................. 4 2.3.1 符合性评测评分方法 ................................................................. 4 2.3.2 风险评估评分方法 ..................................................................... 4
还参考标准 YD/T 1754-2008《电信和互联网物理环境安全等级保护要求》 YD/T 1755-2008《电信和互联网物理环境安全等级保护检测要求》 YD/T 1756-2008《电信和互联网管理安全等级保护要求》 GB/T 20274 信息系统安全保障评估框架 GB/T 20984-2007 《信息安全风险评估规范》
编号：
网络安全防护检查报告
数据中心
测评单位： 报告日期：
-I-
目录
第 1 章 系统概况 .............................................................................................. 2 1.1 网络结构 ............................................................................................. 2 1.2 管理制度 ............................................................................................. 2
第 3 章 测试内容 .............................................................................................. 6 3.1 测试内容概述 ...................................................................................... 6 3.2 扫描和渗透测试接入点 ........................................................................ 7 3.3 通信网络安全管理审核 ........................................................................ 7