编号：网络安全防护检查报告数据中心测评单位：报告日期：目录第1章系统概况 (2)1.1 网络结构 (2)1.2 管理制度 (2)第2章评测方法和工具 (4)2.1 测试方式 (4)2.2 测试工具 (4)2.3 评分方法 (4)2.3.1 符合性评测评分方法 (4)2.3.2 风险评估评分方法 (4)第3章测试内容 (6)3.1 测试内容概述 (6)3.2 扫描和渗透测试接入点 (7)3.3 通信网络安全管理审核 (7)第4章符合性评测结果 (8)4.1 业务安全 (8)4.2 网络安全 (8)4.3 主机安全 (8)4.4 中间件安全 (9)4.5 安全域边界安全 (9)4.6 集中运维安全管控系统安全 (9)4.7 灾难备份及恢复 (10)4.8 管理安全 (10)4.9 第三方服务安全 (11)第5章风险评估结果 (12)5.1 存在的安全隐患 (12)第6章综合评分 (13)6.1 符合性得分 (13)6.2 风险评估 (13)6.3 综合得分 (13)附录A 设备扫描记录 (14)所依据的标准和规范有：➢《YD/T 2584-2013 互联网数据中心IDC安全防护要求》➢《YD/T 2585-2013 互联网数据中心IDC安全防护检测要求》➢《YD/T 2669-2013 第三方安全服务能力评定准则》➢《网络和系统安全防护检查评分方法》➢《2014年度通信网络安全防护符合性评测表－互联网数据中心IDC》还参考标准➢YD/T 1754-2008《电信和互联网物理环境安全等级保护要求》➢YD/T 1755-2008《电信和互联网物理环境安全等级保护检测要求》➢YD/T 1756-2008《电信和互联网管理安全等级保护要求》➢GB/T 20274 信息系统安全保障评估框架➢GB/T 20984-2007 《信息安全风险评估规范》第1章系统概况IDC由负责管理和维护，其中各室配备了数名工程师，负责IDC设备硬、软件维护，数据制作，故障处理、信息安全保障、机房环境动力设备和空调设备维护。

1.1 网络结构图1-1：IDC网络拓扑图1.2 管理制度1.组织架构图1-2：IDC信息安全管理机构2.岗位权责分工现有的管理制度、规范及工作表单有：●《IDC机房信息安全管理制度规范》●《IDC机房管理办法》●《IDC灾难备份与恢复管理办法》●《网络安全防护演练与总结》●《集团客户业务故障处理管理程序》●《互联网与基础数据网通信保障应急预案》●《IDC网络应急预案》●《关于调整公司跨部门组织机构及有关领导的通知》●《网络信息安全考核管理办法》●《通信网络运行维护规程公共分册-数据备份制度》●《省分公司转职信息安全人员职责》●《通信网络运行维护规程IP网设备篇》●《城域网BAS、SR设备配置规范》●《IP地址管理办法》●《互联网网络安全应急预案处理细则》●《互联网网络安全应急预案处理预案（2013修订版）》第2章评测方法和工具2.1 测试方式●检查通过对测试对象进行观察、查验、分析等活动，获取证据以证明保护措施是否有效的一种方法。

●测试通过对测试对象按照预定的方法/工具使其产生特定的响应等活动，查看、分析测试对象的响应输出结果，获取证据以证明保护措施是否有效的一种方法。

2.2 测试工具主要使用到的测试工具有：扫描工具、渗透测试工具、抓包工具、漏洞利用验证工具等。

具体描述如下表：表3-1：测试工具2.3 评分方法分为符合性检测和风险评估两部分工作。

网络单元安全防护检测评分＝符合性评测得分×60%＋风险评估得分×40%。

其中符合性评测评分和风险评估评分均采用百分制。

2.3.1 符合性评测评分方法符合性评测评分依据网络单元符合性评测表中所列制度、措施的符合情况计分，其中每个评测项对应分值，由100分除以符合性评测表中评测项总数所得。

2.3.2 风险评估评分方法网络单元风险评估首先基于技术检测中发现的安全隐患的数量、位置、危害程度进行一次扣分；然后依据发现的安全隐患是否可被技术检测单位利用进行二次扣分。

风险评估评分流程具体如下。

1、一次扣分在技术检测时，每发现一个安全隐患，根据其所处的位置及危害程度扣除相应分值。

各类安全隐患的扣分值如表3-2所示。

表3-2 风险评估安全隐患扣分表[注1]：重要设备包括内外网隔离设备、内部安全域划分设备、互联网直联设备、网络业务核心设备。

[注2]：中高危漏洞以国内外权威的CVE漏洞库和国家互联网应急中心CNVD漏洞库为基本判断依据；对于高危Web安全隐患，以国际上公认的开放式Web应用程序安全项目（OWASP，Open Web Application Security Project）确定最新的Top 10中所列的WEB安全隐患判断作为判断依据。

[注3]：其它安全隐患指可能导致用户信息泄露、重要设备受控、业务中断、网络中断等重大网络安全事件的隐患。

2、二次扣分在一次扣分剩余得分的基础上，依据网络单元是否已被攻击入侵或发现的安全隐患是否可被技术检测单位利用，进行二次扣分。

具体扣分步骤如下：如通过技术检测，发现网络单元中存在恶意代码，或已被入侵而企业尚未发现并处置，扣除一次扣分后剩余得分的40%。

如通过技术检测，从网络单元外获取网络单元内设备的管理员权限或获取网络单元内数据库信息，扣除一次扣分后剩余得分的40%。

如通过技术检测，从网络单元内获取设备的管理员权限或获取数据库信息，扣除一次扣分后剩余得分的20%。

最后剩余分数即为风险评估得分。

第3章测试内容3.1 测试内容概述分为符合性评测和安全风险评估两部分，符合性评测具体内容为：业务安全、网络安全、主机安全、中间件安全、安全域边界安全、集中运维安全管控系统安全、灾难备份及恢复、管理安全、第三方服务安全状况。

安全风险评估主要通过技术检测发现网络单元内是否存在中高危安全漏洞、弱口令，以及可能导致用户信息泄露、重要设备受控、业务中断、网络中断等重大网络安全事件的隐患，检测是否存在恶意代码或企业尚未知晓的入侵痕迹，检测是否可以获取设备的管理员权限、数据库等。

表4-1：网络架构测试对象表3-2：IDC网络设备列表表4-3：IDC网管系统主机列表表4-4：IDC网管系统列表3.2 扫描和渗透测试接入点选择从互联网和内网区域的测试点模拟外部用户与内部托管用户进行渗透测试，并从互联网、托管用户区的测试点进行漏洞扫描。

3.3 通信网络安全管理审核该测试范围涉及IDC安全管理审核，主要内容包括：安全管理制度、安全管理机构、人员安全管理、安全建设管理、安全运维管理、灾难备份、应急预案等相关制度管理文档。

第4章符合性评测结果本次符合性评分主要依据网络单元符合性评测表的符合情况得分，其中每个评测项对应分值，由100分除以符合性评测表中评测项总数所得。

本次对IDC 系统符合性检测项数为89项，单项分值为(100/89)1.12分。

4.1 业务安全4.2 网络安全4.3 主机安全4.4 中间件安全4.5 安全域边界安全4.6 集中运维安全管控系统安全4.7 灾难备份及恢复4.8 管理安全4.9 第三方服务安全第5章风险评估结果本次章节评分主要依据《网络和系统安全防护检查评分方法》，对技术检测中发现的安全隐患的数量、位置、危害程度进行扣分。

5.1 存在的安全隐患1.网管系统监控终端192.168 存在的主机弱口令，可直接登录系统网管系统监控终端192.168 存在的主机弱口令PC/000，可直接登录系统获取系统权限导致服务器受控，详见附录B。

危害程度：弱口令所处位置：其他设备扣分：1分建议：提示用户修改初始口令，口令应具有一定复杂度。

第6章综合评分6.1 符合性得分本次测试对IDC系统进行符合项检测，共检测89项，每项分值为 1.12（100/89），其中项不符合要求，符合性得分为分。

6.2 风险评估本次主要通过系统\应用层扫描、手工核查、内外网渗透对IDC系统进行安全风险评估，共发现2个安全隐患：第一次扣分情况如下：100-5=95分安全隐患利用第二次扣分：通过技术检测，从网络单元内获取服务器192.168.2.11的管理员权限，导致服务器受控，扣除一次扣分后剩余得分的20%。

6.3 综合得分对IDC系统的68项符合性评测和存在的安全隐患进行评估，IDC系统网络单元安全防护检测评分为：附录A 设备扫描记录表A-1信息汇总表赠送资料青花鱼（北京）健康产业科技有限公司2018年财务分析报告1 .主要会计数据摘要2 . 基本财务情况分析2-1 资产状况截至2011年3月31日，公司总资产20.82亿元。

2-1-1 资产构成公司总资产的构成为：流动资产10.63亿元，长期投资3.57亿元，固定资产净值5.16亿元，无形资产及其他资产1.46亿元。

主要构成内容如下：(1)流动资产：货币资金7.01亿元，其他货币资金6140万元，短期投资净值1.64亿元，应收票据2220万元，应收账款3425万元，工程施工6617万元，其他应收款1135万元。

(2)长期投资：XXXXX2亿元，XXXXX1.08亿元，XXXX3496万元。

(3)固定资产净值：XXXX净值4.8亿元，XXXXX等房屋净值2932万元。

(4)无形资产：XXXXXX摊余净值8134万元，XXXXX摊余净值5062万元。

(5)长期待摊费用：XXXXX摊余净值635万元，XXXXX摊余净值837万元。

2-1-2 资产质量(1) 货币性资产：由货币资金、其他货币资金、短期投资、应收票据构成，共计9.48亿元，具备良好的付现能力和偿还债务能力。

(2) 长期性经营资产：由XXXXX构成，共计5.61亿元，能提供长期的稳定的现金流。

(3) 短期性经营资产：由工程施工构成，共计6617万元，能在短期内转化为货币性资产并获得一定利润。

(4) 保值增值性好的长期投资：由XXXX与XXXX的股权投资构成，共计3.08亿元，不仅有较好的投资回报，而且XXXX的股权对公司的发展具有重要作用。

以上四类资产总计18.83亿元，占总资产的90%，说明公司现有的资产具有良好的质量。

2-2 负债状况截至2011年3月31日，公司负债总额10.36亿元，主要构成为：短期借款(含本年到期的长期借款)9.6亿元，长期借款5500万元，应付账款707万元，应交税费51万元。

目前贷款规模为10.15亿元，短期借款占负债总额的93%，说明短期内公司有较大的偿债压力。

结合公司现有7.62亿元的货币资金量来看，财务风险不大。

目前公司资产负债率为49.8%，自有资金与举债资金基本平衡。

2-3 经营状况及变动原因扣除XXXX影响后，2011年1-3月(以下简称本期)公司净利润605万元，与2010年同期比较(以下简称同比)减少了1050万元，下降幅度为63%。