网络安全防护检查报告

编号：网络安全防护检查报告。

数据中心。所依据的标准和规范有：

《yd/t 2584-2013 互联网数据中心idc安全防护要求》

《yd/t 2585-2013 互联网数据中心idc安全防护检测要求》

《yd/t 2669-2013 第三方安全服务能力评定准则》

《网络和系统安全防护检查评分方法》

《2023年度通信网络安全防护符合性评测表－互联网数据中心idc》

还参考标准。

yd/t 1754-2008《电信和互联网物理环境安全等级保护要求》

yd/t 1755-2008《电信和互联网物理环境安全等级保护检测要求》

yd/t 1756-2008《电信和互联网管理安全等级保护要求》

gb/t 20274 信息系统安全保障评估框架。

gb/t 20984-2007 《信息安全风险评估规范》

idc由负责管理和维护，其中各室配备了数名工程师，负责idc设备硬、软件维护，数据制作，故障处理、信息安全保障、机房环境动力设备和空调设备维护。

图 21：idc网络拓扑图。

1. 组织架构。

图 23：idc信息安全管理机构。

2. 岗位权责分工。

现有的管理制度、规范及工作表单有：

《idc机房信息安全管理制度规范》

《idc机房管理办法》

《idc灾难备份与恢复管理办法》

《网络安全防护演练与总结》

《集团客户业务故障处理管理程序》

《互联网与基础数据网通信保障应急预案》

《idc网络应急预案》

《关于调整公司跨部门组织机构及有关领导的通知》

《网络信息安全考核管理办法》

《通信网络运行维护规程公共分册-数据备份制度》

《省分公司转职信息安全人员职责》

《通信网络运行维护规程ip网设备篇》

《城域网bas、sr设备配置规范》

《ip地址管理办法》

《互联网网络安全应急预案处理细则》

《互联网网络安全应急预案处理预案（2013修订版）》

检查。通过对测试对象进行观察、查验、分析等活动，获取证据以证明保护措施是否有效的一种方法。

测试。通过对测试对象按照预定的方法/工具使其产生特定的响应等活动，查看、分析测试对象的响应输出结果，获取证据以证明保护措施是否有效的一种方法。

主要使用到的测试工具有：扫描工具、渗透测试工具、抓包工具、漏洞利用验证工具等。具体描述如下表：

表31：测试工具。

分为符合性检测和风险评估两部分工作。网络单元安全防护检测评分＝符合性评测得分×60%＋风险评估得分×40%。其中符合性评测评分和风险评估评分均采用百分制。

符合性评测评分依据网络单元符合性评测表中所列制度、措施的符合情况计分，其中每个评测项对应分值，由100分除以符合性评测表中评测项总数所得。

网络单元风险评估首先基于技术检测中发现的安全隐患的数量、位置、危害程度进行一次扣分；然后依据发现的安全隐患是否可被技术检测单位利用进行二次扣分。风险评估评分流程具体如下。

1、一次扣分。

在技术检测时，每发现一个安全隐患，根据其所处的位置及危害程度扣除相应分值。各类安全隐患的扣分值如表3-2所示。

表3-2 风险评估安全隐患扣分表。

注1]：重要设备包括内外网隔离设备、内部安全域划分设备、互联网直联设备、网络业务核心设备。

注2]：中高危漏洞以国内外权威的cve漏洞库和国家互联网应急中心cnvd漏洞库为基本判断依据；对于高危web安全隐患，以国际上公认的开放式web应用程序安全项目（owasp，open web application security project）确定最新的top 10中所列的web安全隐患判断作为判断依据。

网络安全防护检查报告

数据中心。测试单位。报告日期。目录。第1章系统槪况 4 1.1网络结构 4 1.2管理制度 4 第2章 评测方法和工具 6 2.1测试方式 6 2.2测试工具 6 2.3评分方法 6 2.3.1符合性评测评分方法 6 2.3.2风险评估评分方法 7 第3章测试内容 9 3.1测试内容概述 9 3.2...

网络安全防护检查报告

编号 数据中心。所依据的标准和规范有 yd t 2584 2013 互联网数据中心idc安全防护要求 yd t 2585 2013 互联网数据中心idc安全防护检测要求 yd t 2669 2013 第三方安全服务能力评定准则 网络和系统安全防护检查评分方法 2014年度通信网络安全防护符合性评测表...

网络安全检查自查报告

根据广西壮族自治区网络安全和信息化领导小组办公室 2015年全区网络安全检查工作方案 工作要求，我院开展了相关工作，对办公电脑 网络安全 信息系统等进行了检查，加强对办公专网信息和安全保密的管理，防止信息泄密。现将检查结果汇报如下 1.我院已采取技术措施 广西高院统一安装360内网认证 对办公内网使...