编号:网络安全防护检查报告。
数据中心。所依据的标准和规范有:
《yd/t 2584-2013 互联网数据中心idc安全防护要求》
《yd/t 2585-2013 互联网数据中心idc安全防护检测要求》
《yd/t 2669-2013 第三方安全服务能力评定准则》
《网络和系统安全防护检查评分方法》
《2023年度通信网络安全防护符合性评测表-互联网数据中心idc》
还参考标准。
yd/t 1754-2008《电信和互联网物理环境安全等级保护要求》
yd/t 1755-2008《电信和互联网物理环境安全等级保护检测要求》
yd/t 1756-2008《电信和互联网管理安全等级保护要求》
gb/t 20274 信息系统安全保障评估框架。
gb/t 20984-2007 《信息安全风险评估规范》
idc由负责管理和维护,其中各室配备了数名工程师,负责idc设备硬、软件维护,数据制作,故障处理、信息安全保障、机房环境动力设备和空调设备维护。
图 21:idc网络拓扑图。
1. 组织架构。
图 23:idc信息安全管理机构。
2. 岗位权责分工。
现有的管理制度、规范及工作表单有:
《idc机房信息安全管理制度规范》
《idc机房管理办法》
《idc灾难备份与恢复管理办法》
《网络安全防护演练与总结》
《集团客户业务故障处理管理程序》
《互联网与基础数据网通信保障应急预案》
《idc网络应急预案》
《关于调整公司跨部门组织机构及有关领导的通知》
《网络信息安全考核管理办法》
《通信网络运行维护规程公共分册-数据备份制度》
《省分公司转职信息安全人员职责》
《通信网络运行维护规程ip网设备篇》
《城域网bas、sr设备配置规范》
《ip地址管理办法》
《互联网网络安全应急预案处理细则》
《互联网网络安全应急预案处理预案(2013修订版)》
检查。通过对测试对象进行观察、查验、分析等活动,获取证据以证明保护措施是否有效的一种方法。
测试。通过对测试对象按照预定的方法/工具使其产生特定的响应等活动,查看、分析测试对象的响应输出结果,获取证据以证明保护措施是否有效的一种方法。
主要使用到的测试工具有:扫描工具、渗透测试工具、抓包工具、漏洞利用验证工具等。具体描述如下表:
表31:测试工具。
分为符合性检测和风险评估两部分工作。网络单元安全防护检测评分=符合性评测得分×60%+风险评估得分×40%。其中符合性评测评分和风险评估评分均采用百分制。
符合性评测评分依据网络单元符合性评测表中所列制度、措施的符合情况计分,其中每个评测项对应分值,由100分除以符合性评测表中评测项总数所得。
网络单元风险评估首先基于技术检测中发现的安全隐患的数量、位置、危害程度进行一次扣分;然后依据发现的安全隐患是否可被技术检测单位利用进行二次扣分。风险评估评分流程具体如下。
1、一次扣分。
在技术检测时,每发现一个安全隐患,根据其所处的位置及危害程度扣除相应分值。各类安全隐患的扣分值如表3-2所示。
表3-2 风险评估安全隐患扣分表。
注1]:重要设备包括内外网隔离设备、内部安全域划分设备、互联网直联设备、网络业务核心设备。
注2]:中高危漏洞以国内外权威的cve漏洞库和国家互联网应急中心cnvd漏洞库为基本判断依据;对于高危web安全隐患,以国际上公认的开放式web应用程序安全项目(owasp,open web application security project)确定最新的top 10中所列的web安全隐患判断作为判断依据。
网络安全防护检查报告
数据中心。测试单位。报告日期。目录。第1章系统槪况 4 1.1网络结构 4 1.2管理制度 4 第2章 评测方法和工具 6 2.1测试方式 6 2.2测试工具 6 2.3评分方法 6 2.3.1符合性评测评分方法 6 2.3.2风险评估评分方法 7 第3章测试内容 9 3.1测试内容概述 9 3.2...
网络安全防护检查报告
编号 数据中心。所依据的标准和规范有 yd t 2584 2013 互联网数据中心idc安全防护要求 yd t 2585 2013 互联网数据中心idc安全防护检测要求 yd t 2669 2013 第三方安全服务能力评定准则 网络和系统安全防护检查评分方法 2014年度通信网络安全防护符合性评测表...
网络安全检查自查报告
根据广西壮族自治区网络安全和信息化领导小组办公室 2015年全区网络安全检查工作方案 工作要求,我院开展了相关工作,对办公电脑 网络安全 信息系统等进行了检查,加强对办公专网信息和安全保密的管理,防止信息泄密。现将检查结果汇报如下 1.我院已采取技术措施 广西高院统一安装360内网认证 对办公内网使...