机房等级保护差距测评报告Word下载.docx
《机房等级保护差距测评报告Word下载.docx》由会员分享,可在线阅读,更多相关《机房等级保护差距测评报告Word下载.docx(93页珍藏版)》请在冰豆网上搜索。
审核人
审核日期
批准人
批准日期
声明
本报告是×
×
单位平台的等级保护差距测评报告。
本报告结论的有效性建立在用户提供材料的真实性基础上。
本报告中给出的结论仅对被测信息系统当时的安全状态有效,当测评工作完成后,由于信息系统发生变更而涉及到的系统构成组件(或子系统)都应重新进行等级测评,本报告不再适用。
本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件(或产品)的测评结论。
在任何情况下,若需引用本报告中的测评结果或结论都应保持其原有的意义,不得对相关内容擅自进行增加、修改和伪造或掩盖事实。
**机构
二O一四年六月
报告摘要
一、系统概述
$$部门于2014年5月委托**机构对其建设的×
单位平台进行差距测评。
单位平台是是社会公众了解×
单位工作、是社会公众了解政府工作、开展服务事项网上办理工作重要工具,是高栏港区向社会公众发布政府信息、进行网络申办与审批工作的重要平台。
二、测评范围和主要内容
本次测评是按照GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》内第二级信息系统的安全要求进行差距测评。
测试范围包括:
物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理,此次测评总共测评项为175项。
三、等级测评结果
通过对×
单位平台的测评,发现系统存在的主要问题有:
物理安全:
1、物理访问控制:
机房内未部署视频监控系统。
2、防盗窃和防破坏:
网络设备、安全设备、通信线缆均没有黏贴相应的且不易除去的标签;
机房内未部署防盗报警系统。
3、防火:
机房内未部署消防自动报警系统和灭火器。
4、温湿度控制:
更换普通空调,采用精密空调,同时部署机房环境监控系统。
网络安全:
1、结构安全:
未按照业务功能以及部门办公划分多个vlan,需要部署防火墙、WAF防火墙、入侵检测设备和安全审计系统。
2、网络设备防护:
汇聚交换机均未限制管理员的登录地址;
汇聚交换机现有用户口令由字母组成,不符合复杂度要求,未定期更换;
交换机虽开启的日志审计功能,但未对用户的行为进行审计。
日常执行远程管理时,汇集交换机未配置登录失败处理策略,未能有效阻止非法登陆。
主机安全:
1、身份鉴别:
未启用密码复杂度检查功能,未启用定期更换密码功能;
未启用登录失败处理功能。
2、安全审计:
服务器仅开启了默认的审核策略(用户登录信息),日志信息没有定期保存,易受到未预期的删除、修改或覆盖等。
数据库缺少第三方审计系统保证无法保证数据不受篡改。
3、资源控制:
未限制可远程管理服务器的终端登录地址。
应用安全:
服务器仅开启了默认的审核策略(用户登录信息),审计信息不完整,且未部署第三方审计系统保证审计信息不受篡改。
3、数据完整性:
应用系统通信过程中应采用校验码技术保证通信过程中数据的完整性。
4、资源控制:
数据备份与恢复:
1、数据保密性:
应用系统未采用加密技术,网络、主机配置的备份未采用加密技术实现保存。
2、备份和恢复:
关键网络设备、通信线路和服务器设备没有提供硬件冗余。
安全管理制度:
1、管理制度:
目前建立的日常管理操作的操作规程不够全面。
安全管理机构:
1、授权和审批:
关键活动建立审批流程,同时需要有相关文件记录。
人员安全管理:
1、安全意识教育和培训:
未定期对相关人员进行安全知识培训,同时未明确告知相关人员的安全责任和惩戒措施内容。
系统建设管理:
1、系统定级:
信息系统的定级结果未递交市网监并得到批准和定级回执。
2、外包软件开发:
第三方公司未提供源代码,同时未审查开发单位提供的软件源代码中可能存在的后门。
3、测试验收:
未组织对信息系统进行验收。
系统运维管理:
1、网络安全管理:
缺少安全审计系统和网管系统,无法对网络设备及服务器运行日志进行信息分析、报警及审计;
没有定期对网络设备进行系统版本升级及修补漏洞;
2、系统安全管理:
缺少访问控制设备无法对业务进行访问控制,业务系统补丁前未在测试环境中进行测试验证并备份重要文件,直接在实际系统环境中进行补丁升级;
未建立系统安全管理制度;
系统管理员未定期对运行日志和审计数据进行分析。
3、恶意代码防范管理:
对防恶意代码软件的授权使用、恶意代码库升级,但未定期汇报等作出书面规定。
4、应急预案管理:
未制定应急预案、培训及演练。
四、系统安全建设、整改建议
参见《×
单位平台整改建议》
1测评项目概述
1.1测评目的
通过等级保护安全测评发现×
单位平台存在的安全隐患、漏洞等,针对存在的问题提出有效的整改建议,从而使得信息系统达到相应等级的安全标准,进而提高信息系统的安全指数,使其安全、正常、稳定的运行。
1.2测评依据
《中华人民共和国计算机信息系统安全保护条例》(国务院147号令);
《中共中央办公厅国务院办公厅转发<
国家信息化领导小组关于加强信息处理安全保障工作的意见>
的通知》(中办发[2003]27号);
《关于印发<
关于信息安全等级保护工作的实施意见>
的通知》(公通字[2004]66号文);
信息安全等级保护管理办法>
的通知》(公通字[2007]43号文);
《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号文);
《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008);
《信息安全技术信息安全风险评估规范》(GB/T20984-2007);
《信息安全技术信息系统安全等级保护测评过程指南》(国标送审稿);
《信息安全技术信息系统安全等级保护实施指南》(国标报批稿);
《信息安全技术信息系统安全等级保护测评要求》(国标报批稿);
《信息安全技术信息系统安全等级保护安全设计技术要求》(信安秘字[2009]059号);
《广东省计算机信息系统安全保护条例》(2007年12月20日通过);
广东省公安厅关于计算机信息系统安全保护的实施办法>
的通知》(粤公通字[2008]228号文)。
广东省深化信息安全等级保护工作方案>
的通知》(粤公通字[2009]45号文);
……
1.3测评过程
图1测评流程图
项目实施过程分为3个阶段:
1、资料审查阶段:
测评方发放等级保护测评调查表,由委托单位填写完整并提交给测评方,测评方对提交资料的完整性进行审查;
2、核查测试阶段:
测评方根据调查资料,形成针对性的等级保护测评方案,并实施现场测评,该阶段完成后,形成现场测评记录表;
3、综合评估阶段:
核查测试阶段结束后,测评方对结果记录进行整理。
在差距评估阶段,综合评估是对标准的各条要求进行符合性判断,并形成等级保护测评报告。
1.4报告分发范围
本报告一式两份,其中一份提交测评委托单位,一份由测评单位留存。
2被测系统情况
2.1基本信息
单位平台
主管机构
$$部门
系统承载
业务情况
业务类型
生产作业2指挥调度3管理控制
4内部办公5公众服务
9其他
业务描述
该系统是以民众与企业网上办事为主要目的为主要目的的业务支撑评估,是社会公众了解政府工作、开展服务事项网上办理工作重要工具,是高栏港区向社会公众发布政府信息、进行网络申办与审批工作的重要平台。
系统服务
情况
服务范围
10全国11跨省(区、市)跨个
20全省(区、市)21跨地(市、区)跨个
30地(市、区)内
99其它
服务对象
1单位内部人员2社会公众人员3两者均包括
系统网络
平台
覆盖范围
1局域网2城域网3广域网
网络性质
1业务专网2互联网
9其它
系统互联
情况
□1与其他行业系统连接□2与本行业其他单位系统连接
□3与本单位其他系统连接4其它(与其他系统无互联)
业务信息安全保护等级
系统服务安全保护等级
信息系统安全保护等级
表2-1网络系统情况表
2.2网络结构
单位平台的基础网络设施、承载系统的服务器及存储设施均部署在信息中心机房,其所在的珠海市高栏港行政服务中心电子政务外网。
系统所在珠海市高栏港行政服务中心电子政务外网出口(网络带宽为100M),系统网络由3台服务器直接接入1台汇聚交换机后接入行政服务中心网络。
其简要拓扑如下:
图2网络拓扑图
2.3系统构成
2.3.1业务应用软件
序号
软件名称
主要功能(功能模块)
重要程度
1.
政务信息网上公开,投资项目网上审批,社会事务网上办理,公共决策网上互动,政府效能网上监察
重要
2.3.2关键数据类别
数据类型
所属业务应用
各类业务信息
2.3.3主机/存储设备
设备名称
操作系统/数据库管理系统
业务应用
信息系统服务器
操作系统windows2008
/数据库系统oracle
2.
数据库服务器
数据库
3.
防病毒服务器
MCAFEE杀毒软件(企业版)
2.3.4网络互联与安全设备
用途
汇聚交换机
网络交换
2.3.5安全相关人员
岗位/角色
网络管理员
主机系统管理员
安全管理员
4.
数据库管理员
5.
应用管理员
2.3.6安全管理文档
文档名称
统筹发展局机房管理制度
信息机房设备运行管理制度
6.
2.4安全环境
信息系统可能面临的威胁如下列表:
威胁分(子)类
描述
威胁赋值
网络攻击
利用工具和技术通过网络对信息系统进行攻击和入侵
高
软硬件故障
对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断、系统本身或软件缺陷等问题
中
物理环境影响
对信息系统正常运行造成影响的物理环境问题和自然灾害
低
无作为或操作失误
应该执行而没有执行相应的操作,或无意执行了错误的操作
管理不到位
安全管理无法落实或不到位,从而破坏信息系统正常有序运行
恶意代码
故意在计算机系统上执行恶意任务的程序代码
7.
越权或滥用
通过采用一些措施,超越自己的权
升级会员 