网络安全防护检查报告模板完整.docx
《网络安全防护检查报告模板完整.docx》由会员分享,可在线阅读,更多相关《网络安全防护检查报告模板完整.docx(30页珍藏版)》请在冰点文库上搜索。
网络安全防护检查报告模板完整
编号:
网络安全防护检查报告
数据中心
测评单位:
报告日期:
所依据的标准和规范有:
Ø《YD/T2584-2021互联网数据中心IDC安全防护要求》
Ø《YD/T2585-2021互联网数据中心IDC安全防护检测要求》
Ø《YD/T2669-2021第三方安全服务能力评定准则》
Ø《网络和系统安全防护检查评分方法》
Ø《2021年度通信网络安全防护符合性评测表-互联网数据中心IDC》
还参考标准
ØYD/T1754-2021《电信和互联网物理环境安全等级保护要求》
ØYD/T1755-2021《电信和互联网物理环境安全等级保护检测要求》
ØYD/T1756-2021《电信和互联网管理安全等级保护要求》
ØGB/T20274信息系统安全保障评估框架
ØGB/T20984-2007《信息安全风险评估规范》
第1章系统概况
IDC由负责管理和维护,其中各室配备了数名工程师,负责IDC设备硬、软件维护,数据制作,故障处理、信息安全保障、机房环境动力设备和空调设备维护。
1.1网络结构
图21:
IDC网络拓扑图
1.2管理制度
1.组织架构
2.
信息安全工作组
网络安全工作组
具体职能部门
网络与信息安全工作小组
图23:
IDC信息安全管理机构
3.岗位权责分工
现有的管理制度、规范及工作表单有:
●《IDC机房信息安全管理制度规范》
●《IDC机房管理办法》
●《IDC灾难备份与恢复管理办法》
●《网络安全防护演练与总结》
●《集团客户业务故障处理管理程序》
●《互联网与基础数据网通信保障应急预案》
●《IDC网络应急预案》
●《关于调整公司跨部门组织机构及有关领导的通知》
●《网络信息安全考核管理办法》
●《通信网络运行维护规程公共分册-数据备份制度》
●《省分公司转职信息安全人员职责》
●《通信网络运行维护规程IP网设备篇》
●《城域网BAS、SR设备配置规范》
●《IP地址管理办法》
●《互联网网络安全应急预案处理细则》
●《互联网网络安全应急预案处理预案(2021修订版)》
第2章评测方法和工具
2.1测试方式
●检查
通过对测试对象进行观察、查验、分析等活动,获取证据以证明保护措施是否有效的一种方法。
●测试
通过对测试对象按照预定的方法/工具使其产生特定的响应等活动,查看、分析测试对象的响应输出结果,获取证据以证明保护措施是否有效的一种方法。
2.2测试工具
主要使用到的测试工具有:
扫描工具、渗透测试工具、抓包工具、漏洞利用验证工具等。
具体描述如下表:
表31:
测试工具
序号
工具名称
工具描述
1
绿盟漏洞扫描系统
脆弱性扫描
2
科莱网络协议分析工具
脆弱性扫描
3
Nmap
端口扫描
4
BurpSuite
WEB渗透集成工具
2.3评分方法
分为符合性检测和风险评估两部分工作。
网络单元安全防护检测评分=符合性评测得分×60%+风险评估得分×40%。
其中符合性评测评分和风险评估评分均采用百分制。
2.3.1符合性评测评分方法
符合性评测评分依据网络单元符合性评测表中所列制度、措施的符合情况计分,其中每个评测项对应分值,由100分除以符合性评测表中评测项总数所得。
2.3.2风险评估评分方法
网络单元风险评估首先基于技术检测中发现的安全隐患的数量、位置、危害程度进行一次扣分;然后依据发现的安全隐患是否可被技术检测单位利用进行二次扣分。
风险评估评分流程具体如下。
1、一次扣分
在技术检测时,每发现一个安全隐患,根据其所处的位置及危害程度扣除相应分值。
各类安全隐患的扣分值如表3-2所示。
表3-2风险评估安全隐患扣分表
安全隐患类型
重要设备【注1】
其它设备
高危漏洞【注2】
中危漏洞【注2】
弱口令
其它安全隐患【注3】
[注1]:
重要设备包括内外网隔离设备、内部安全域划分设备、互联网直联设备、网络业务核心设备。
[注2]:
中高危漏洞以国内外权威的CVE漏洞库和国家互联网应急中心CNVD漏洞库为基本判断依据;对于高危Web安全隐患,以国际上公认的开放式Web应用程序安全项目(OWASP,OpenWebApplicationSecurityProject)确定最新的Top10中所列的WEB安全隐患判断作为判断依据。
[注3]:
其它安全隐患指可能导致用户信息泄露、重要设备受控、业务中断、网络中断等重大网络安全事件的隐患。
2、二次扣分
在一次扣分剩余得分的基础上,依据网络单元是否已被攻击入侵或发现的安全隐患是否可被技术检测单位利用,进行二次扣分。
具体扣分步骤如下:
如通过技术检测,发现网络单元中存在恶意代码,或已被入侵而企业尚未发现并处置,扣除一次扣分后剩余得分的40%。
如通过技术检测,从网络单元外获取网络单元内设备的管理员权限或获取网络单元内数据库信息,扣除一次扣分后剩余得分的40%。
如通过技术检测,从网络单元内获取设备的管理员权限或获取数据库信息,扣除一次扣分后剩余得分的20%。
最后剩余分数即为风险评估得分。
第3章测试内容
3.1测试内容概述
分为符合性评测和安全风险评估两部分,符合性评测具体内容为:
业务安全、网络安全、主机安全、中间件安全、安全域边界安全、集中运维安全管控系统安全、灾难备份及恢复、管理安全、第三方服务安全状况。
安全风险评估主要通过技术检测发现网络单元内是否存在中高危安全漏洞、弱口令,以及可能导致用户信息泄露、重要设备受控、业务中断、网络中断等重大网络安全事件的隐患,检测是否存在恶意代码或企业尚未知晓的入侵痕迹,检测是否可以获取设备的管理员权限、数据库等。
表41:
网络架构测试对象
序号
测试对象
描述
1
IDC
检测系统网络架构的合理性
表42:
IDC网络设备列表
设备名称
型号
IP地址
核心路由器
表43:
IDC网管系统主机列表
主机名称
型号
IP地址
系统软件
用途
数据库服务器
Windows2003
数据库服务器
应用服务器
Windows2003
应用服务器
通讯服务器
Windows2003
通讯服务器
流量服务器
Windows2003
流量服务器
业务/门户管理服务器
Windows2003
业务/门户管理服务器
表44:
IDC网管系统列表
系统名称
主要功能
IDC综合运营管理系统
3.2扫描和渗透测试接入点
选择从互联网和内网区域的测试点模拟外部用户与内部托管用户进行渗透测试,并从互联网、托管用户区的测试点进行漏洞扫描。
3.3通信网络安全管理审核
该测试范围涉及IDC安全管理审核,主要内容包括:
安全管理制度、安全管理机构、人员安全管理、安全建设管理、安全运维管理、灾难备份、应急预案等相关制度管理文档。
第4章符合性评测结果
本次符合性评分主要依据网络单元符合性评测表的符合情况得分,其中每个评测项对应分值,由100分除以符合性评测表中评测项总数所得。
本次对IDC系统符合性检测项数为89项,单项分值为(100/89)1.12分。
4.1业务安全
序号
检查内容
检查点
评测
结果
分值
实际
扣分
说明
1
应按照合同保证IDC用户业务的安全;
是否按照合同要求保证IDC用户业务安全
符合
1.12
0
与用户签署相关协议,合同中对网络安全及业务安全进行相关描述和约定。
但目前客户没有提出过单独的业务安全要求
4.2网络安全
序号
检查内容
检查点
评测
结果
分值
实际
扣分
说明
5
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
审计记录是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
符合
1.12
0
IDC内网络设备syslog审计日志存储在本机中,日志记录信息包含事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
4.3主机安全
序号
评测内容
评测项
评测
结果
分值
实际扣分
说明
1
应对登录操作系统和数据库系统的用户进行身份标识和鉴别;
是否对登录操作系统和数据库系统的用户进行身份标识和鉴别
符合
1.12
0
操作系统和数据库系统自身实现对用户的身份标识和鉴别功能
4.4中间件安全
序号
检查内容
检查点
评测
结果
分值
实际
扣分
说明
1
"应实现操作系统和中间件用户的权限分离,中间件应使用独立用户;应实现中间件用户和互联网数据中心IDC应用程序用户的权限分离"
是否实现操作系统和中间件用户的权限分离,中间件是否使用独立用户
不适用
N/A
N/A
网管系统使用CS架构,无中间件
4.5安全域边界安全
序号
检查内容
检查点
评测
结果
分值
实际
扣分
说明
6
启用其它设备(主机隔离等)进行安全边界划分、隔离的应尽量实现严格的访问控制策略
查看配置并技术检测验证访问控制措施
符合
1.12
0
使用交换机ACL规则进行访问控制
4.6集中运维安全管控系统安全
序号
评测内容
评测项
评测
结果
分值
实际扣分
说明
1
互联网数据中心(IDC)集中运维安全管控系统应与提供互联网数据中心(IDC)各种服务的互联网数据中心(IDC)基础设施隔离,应部署在不同网络区域,网络边界处设备应按不同互联网数据中心(IDC)业务需求实施访问控制策略,应只开放管理所必须的服务及端口,避免开放较大的IP地址段及服务;
通过技术测试检验IDC集中运维安全管控系统与IDC基础设施的网络隔离是否符合安全策略
符合
1.12
0
使用独立网络区域,在E8080E上进行访问控制策略,不允许其他网络对网管区域进行访问
4.7灾难备份及恢复
序号
评测内容
评测项
评测
结果
分值
实际扣分
说明
2
互联网数据中心IDC网络灾难恢复时间应满足行业管理、网络和业务运营商应急预案的相关要求。
互联网数据中心IDC网络灾难演练恢复时间是否满足行业管理和企业应急预案的相关要求
符合
1.12
0
定期进行各项演练,按客户重要程度不同在一定时间内恢复,满足要求
4.8管理安全
序号
评测内容
评测项
评测
结果
分值
实际扣分
说明
1
至少覆盖但不限于安全管理制度、安全管理机构、人员安全管理、安全建设管理、安全运维管理等管理方面;
是否包含至少安全管理制度、安全管理机构、人员安全管理、安全建设管理、安全运维管理等内容
符合
1.12
0
制定了相应管理制度,包含安全管理制度、安全管理机构、人员安全管理、安全建设管理、安全运维管理等内容
4
IDC应有介质存取、验证和转储管理制度,确保备份数据授权
IDC是否有介质存取、验证和转储管理制度,确保备份数据授权
符合
1.12
0
制定了《IDC灾难备份与恢复管理办法》规定了相应内容
4.9第三方服务安全
序号
评测内容
评测项
评测
结果
分值
实际扣分
说明
1
应确保安全服务商的选择符合国家的有关规定;
是否将通过中国通信企业协会通信网络安全服务能力评定列为外部安全服务提供商招标条件之一
符合
1.12
0
由提供风险评估的第三方服务,符合相应要求。
第5章风险评估结果
本次章节评分主要依据《网络和系统安全防护检查评分方法》,对技术检测中发现的安全隐患的数量、位置、危害程度进行扣分。
5.1存在的安全隐患
1.网管系统监控终端192.168存在的主机弱口令,可直接登录系统
网管系统监控终端192.168存在的主机弱口令PC/000,可直接登录系统获取系统权限导致服务器受控,详见附录B。
危害程度:
弱口令
所处位置:
其他设备
扣分:
1分
建议:
提示用户修改初始口令,口令应具有一定复杂度。
第6章综合评分
6.1符合性得分
本次测试对IDC系统进行符合项检测,共检测89项,每项分值为1.12(100/89),其中项不符合要求,符合性得分为分。
6.2风险评估
本次主要通过系统\应用层扫描、手工核查、内外网渗透对IDC系统进行安全风险评估,共发现2个安全隐患:
第一次扣分情况如下:
100-5=95分
安全隐患利用第二次扣分:
通过技术检测,从网络单元内获取服务器192.168.2.11的管理员权限,导致服务器受控,扣除一次扣分后剩余得分的20%。
6.3综合得分
对IDC系统的68项符合性评测和存在的安全隐患进行评估,IDC系统网络单元安全防护检测评分为:
附录A设备扫描记录
表A-1信息汇总表
IP地址
操作系统
漏洞风险值
配置风险值
总风险值
危险程度
Windows
2
无
2
非常安全
Windows
2
无
2
非常安全
Windows
2
无
2
非常安全
网络与信息安全检查总结
根据上级网络安全管理文件精神,我站成立了网络信息安全工作领导小组,在组长李旭东站长的领导下,制定计划,明确责任,具体落实,对全站各系统网络与信息安全进行了一次全面的调查。
发现问题,分析问题,解决问题,确保了网络能更好地保持良好运行。
一、加强领导,成立了网络与信息安全工作领导小组
为进一步加强网络信息系统安全管理工作,我站成立了网络与信息系统安全工作领导小组,做到分工明确,责任具体到人。
安全工作领导小组组长为XXX,副组长XXX,成员有XXX、XXX、XXX。
分工与各自的职责如下:
站长XXX为计算机网络与信息系统安全保密工作第一责任人,全面负责计算机网络与信息安全管理工作。
副站长XXX负责计算机网络与信息安全管理工作的日常事务。
XX、XXX负责计算机网络与信息安全管理工作的日常协调、网络维护和日常技术管理工作。
二、我站信息安全工作情况
我站在信息安全管理方面,制定了一系列的管理制度。
重要岗位人员全部签订安全保密协议,制定了《人员离职离岗安全规定》、《外部人员访问审批表》。
存储介质管理,完善了《存储介质管理制度》。
运行维护管理,建立了《信息网络系统日常运行维护制度》。
1、技术防护方面
系统安装正牌的防病毒软件和防火墙,对计算机病毒、有害电子邮件采取有效防范,根据系统服务需求,按需开放端口,遵循最小服务配置原则。
一旦发生网络信息安全事故应立即报告相关方面并及时进行协调处理。
2、微软公司将自2014年4月8日起,停止WindowsXP桌面操作系统的用户支持服务,同时也停止系统和安全补丁的推送,由于我站部分计算机仍在使用XP系统,我站网络信息安全小组积极应对这一情况,对部分能够升级的电脑升级到了WIN7系统,对未能升级的内网电脑,我站联系上级信息安全部门对网络安全状况进行了评估,并修改了网络安全策略,保证了系统的安全运行。
3、应急处理方面
拥有专门的网络安全员,对突发网络信息安全事故可快速安全地处理。
4、容灾备份
对数据进行即时备份,当出现设备故障时,保证了数据完整。
三、自查发现的主要问题和面临的威胁分析
1、发现的主要问题和薄弱环节
在本次检查过程中,也暴露出了一些问题,如:
由于投入不足,光电系统出现故障,致使系统设备停止运行,虽然不会丢失数据,但是服务会出现中断。
自查中发现个别人员计算机安全意识不强。
在以后的工作中我们将继续加强对计算机安全意识教育和防范技能训练让干部职工充分认识到计算机泄密后的严重性与可怕性。
2、面临的安全威胁与风险
无
3、整体安全状况的基本判断
我站网络安全总体状况良好,未发生重大信息安全事故。
四、改进措施及整改效果
1.改进措施
为保证网络安全有效地运行,减少病毒和黑客的侵入,我站对相关网络系统操作人员就网络安全及系统安全的有关知识进行了培训。
期间,大家对实际工作中遇到的计算机方面的有关问题进行了详细的咨询,并得到了满意的答复。
2.整改效果
经过培训教育,全体干部职工对网络信息安全有了更深入的了解,并在工作中时刻注意维护信息安全。
XXXXXXX收费站
二〇一四年九月
2021年网络安全自查报告1
根据衡水市网络与信息安全协调小组印发《衡水市20xx年网络与信息安全检查方案》要求,结合实际,认真对我市信息系统安全进行了检查,现将检查情况报告如下:
一、网络与信息安全状况总体评价
今年来,市、局高度重视信息安全工作,把信息安全工作列入重要议事日程,为规范信息公开工作,落实好信息安全的相关规定,成立了信息安全工作领导小组,落实了管理机构,由专门的信息化公室负责信息安全的日常管理工作,明确了信息安全的主管领导、分管领导和具体管理人员。
相继建立健全了日常信息管理、信息安全防护管理等相关工作制度,加强了信息安全教育工作,信息安全工作领导小组定期或不定期地对我市信息安全工作进行检查,对查找出的问题及时进行整改,进一步规范了信息安全工作,确保了信息安全工作的有效开展,全市信息安全工作取得了新进展。
二、20xx年网络与信息安全主要工作情况
(一)加强领导,明确职责,抓好网络与信息安全组织管理工作。
为规范、加强信息安全工作,市领导高度重视,把该项工作列为重点工作任务,成立了由主管市长为组长,分管信息工作的局级领导为副组长,各相关市直单位为成员的信息安全工作领导小组。
做到了分工明确,责任到人,形成了主管领导负总责,具体管理人负主责,分级管理,一级抓一级,层层抓落实的领导体制和工作机制,切实把信息安全工作落到实处。
(二)做好网络与信息安全日常管理工作。
根据工作实际,我局建立健全了信息系统安全状况自查制度、信息系统安全责任制、计算机及网络保密管理等相关制度,使信息安全工作进一步规范化和制度化。
(三)落实好网络与信息安全防护管理。
健全完善了非涉密计算机保密管理制度、非涉密移动储存介质保密等管理制度。
在计算机上安装了防火墙,同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。
网络终端没有违规上国际互联网及其他的信息网的现象,单位未安装无线网络等无线设备,并安装了针对移动存储设备的专业杀毒软件。
(四)制定信息安全应急管理机制。
结合实际,我市初步建立应急预案,建立了电子公文和信息报送办理制度(试行)和电子公文和信息报送岗位责任制,严格文件的收发,完善了清点、修理、编号、签收制度;信息管理员及时对系统和软件进行更新,对重要文件、信息资源做到及时备份,数据恢复。
(五)安全教育培训情况正在逐步开展。
今年下半年,我市计划对全体计算机使用人员开展了网络与信息安全等方面的操作培训,并讲解网络安全的一些知识。
(六)认真开展信息安全检查工作。
市信息安全工作领导小组会定期或不定期地对我市网络与信息安全工作进行检查,对查找出的问题及时进行整改,确保了信息安全工作的有效展。
三、网络与信息安全自查发现的主要问题及整改情况
根据《衡水市20xx年网络与信息安全检查方案》中的具体要求,在工作自查过程中我们也发现了一些不足及待以整改的情况。
1.存在问题。
在自查过程中主要存在以下情况:
一是投入不足。
由于我市缺少专业技术人员,且市财政在信息系统安全方面可投入的资金有限,因此在网络与信息安全建设过程中投入的力量有限;二是规章制度体系初步建立,但还不完善,未能覆盖相关信息系统安全的所有方面;三是在遇到计算机病毒侵袭等突发事件上,处理不够及时。
2.整改情况。
针对以上存在的问题,我们将做好四个“继续”。
一是继续完善并执行信息安全工作制度,应经常不定期的对信息安全工作制度执行情况进行检查,对于导致不良后果的责任人,要严肃追究责任,从而提高信息人员安全防护意识;二是继续抓好制度落实,在进一步完善网络与信息安全制度的同时,安排专人密切监测,随时随地解决可能发生的信息系统安全事故;三是继续加强对全市领导干部、网络信息人员的安全意识教育,提高做好信息安全工作的主动性和自觉性;四是继续加强加大对全市信息线路、信息系统等方面的及时维护、保养、更新力度。
四、对网络与信息安全工作的意见和建议
建议省、市加大对县市区信息安全工作的指导,经常性开展信息安全教育培训,不断提高信息安全工作的现代化水平,便于工作人员进一步加强对网络与信息安全方面的防范和保密工作;建议省、市加大与对信息安全工作的资金和技术投入力度,确保工作顺利开展,保证信息安全。
2021年网络安全自查报告2
为落实“教育部办公厅关于开展网络安全检查的通知”(教技厅函[20xx]51号)、“教育部关于加强教育行业网络与信息安全工作的指导意见”(教技[20xx]4号)、陕西省教育厅“关于开展全省教育系统网络与信息安全专项检查工作的通知”(陕教保【20xx】8号),全面加强我校网络与信息安全工作,校信息化建设领导小组办公室于9月16日-25日对全校网络、信息系统和网站的安全问题组织了自查,现将自查情况汇报如下:
一、学校网络与信息安全状况
本次检查采用本单位自查、远程检查与现场抽查相结合的方式,检查内容主要包含网络与信息系统安全的组织管理、日常维护、技术防护、应急管理、技术培训等5各方面,共涉及信息系统28个、各类网站89个。
从检查情况看,我校网络与信息安全总体情况良好。
学校一贯重视信息安全工作,始终把信息安全作为信息化工作的重点内容。
网络信息安全工作机构健全、责任明确,日常管理维护工作比较规范;管理制度完善,技术防护措施得当,信息安全风险得到有效降低;比较重视信息系统(网站)系统管理员和网络安全技术人员培训,应急预案与应急处置技术队伍有落实,工作经费有一定保障,基本保证了校园网信息系统(网站)持续安全稳定运行。
但在网络安全管理、技术防护设施、网站建设与维护、信息系统等级保护工作等方面,还需要进一步加强和完善。
二、20xx年网络信息安全工作情况
1.网络信息安全组织管理
按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,学校网络信息安全工作实行“三级”管理。
学校设有信息化工作领导小组,校主要领导担任组长,信息化工作办公室设在网教中心,中心主任兼办公室主任。
领导小组全面负责学校网络信息安全工作,授权信息办对全校网络信息安全工作进行安全管理和监督责任。
网教中心作为校园网运维部门承担信息系统安全技术防护与技术保障工作。
各处室、学院承担本单位信息系统和网站信息内容的直接安全责任。
2.信息系统(网站)日常安全管理
学校建有“校园网管理条例”、“中心机