信息管理系统安全等级测评报告.docx

信息管理系统安全等级测评报告.docx

《信息管理系统安全等级测评报告.docx》由会员分享，可在线阅读，更多相关《信息管理系统安全等级测评报告.docx（126页珍藏版）》请在冰豆网上搜索。

管理软件系统安全等级测评报告系统名称：

委托单位：

测评单位：

2010年05月系统安全等级差距测评报告报告摘要一、测评工作概述广州市财政局国库集中支付单位版系统是广州市财政局的一个等级保护二级系统。

该系统主要提供预算单位使用，主要包括上报用款计划、直接支付用款申请、开具单位授权支付令等业务。

本次测评主要依据GB/T-22239信息系统安全等级保护基本要求、信息系统安全等级保护测评准则，针对广州市财政局国库集中支付单位版系统，按照物理安全、网络安全、主机安全、应用安全、数据安全、安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理10个类别进行测评。

二、等级测评结果由于广州市财政局国库集中支付单位版系统的基本符合项和不符合项总数较多且会导致信息系统面临高等级安全风险，因此该系统的测评结论为不符合。

三、系统存在的主要问题在网络层面：

未采取措施对网络设备运行状况、网络流量、用户行为等进行日志记录，无入侵防范措施措施。

系统安全等级差距测评报告主机层面：

主机安全配置大部分为默认配置，未根据业务进行优化；未采取技术手段，定期对网络系统和业务应用系统进行漏洞扫描，不能及时发现系统自身存在的高危风险漏洞。

在应用层面：

未采取技术措施保障通信的完整性，应用层资源控制力度较弱。

四、系统安全建设、整改建议建议采取漏洞扫描、安全审计、入侵防范等措施，消除网络层面和主机层面存在的安全隐患。

报告基本信息信息系统基本情况系统名称广州市财政局国库集中支付单位版系统安全保护等级二级机房位置广州市华利路61号1008/广州市天河区穗园西街2号（穗园小区E栋西区）2楼被测单位单位名称广州市财政局单位地址广州市华利路61号1008邮政编码510623联系人姓名梁健职务/职称所属部门广州市财政信息中心办公电话020-38923041移动电话电子邮件测评单位单位名称北京启明星辰信息安全技术有限公司通信地址广州市天河区中山大道西华景路一号南方通信大厦九楼邮政编码510640联系人姓名刘平平职务/职称项目经理所属部门技术部办公电话020-38638218移动电话13924135958电子邮件Liu_报告审核批准编制人刘平平日期2010.05审核人陈凌日期2010.05批准人刘思志日期2010.05声明本报告是广州市财政局国库集中支付单位版系统的安全等级测评报告。

本报告中给出的结论仅对目标系统的当时状况有效，当测评工作完成后系统出现任何变更，涉及到的模块（或子系统）都应重新进行测评，本报告不再适用。

本报告中给出的结论不能作为对系统内相关产品的测评结论。

本报告结论的有效性建立在用户提供材料的真实性基础上。

在任何情况下，若需引用本报告中的结果或数据都应保持其本来的意义，不得擅自进行增加、修改、伪造或掩盖事实。

北京启明星辰信息安全技术有限公司2010年05月广州市财政局国库集中支付单位版系统安全等级差距测评报告北京启明星辰信息安全技术有限公司报告目录1测评项目概述.11.1测评目的.11.2测评依据.11.3测评过程.11.4报告分发范围.32被测系统情况.42.1基本信息.42.2业务应用.42.3网络结构.42.4系统构成.52.4.1业务应用软件.52.4.2关键数据类别.62.4.3主机/存储设备.62.4.4网络互联与安全设备.62.4.5安全相关人员.72.4.6安全管理文档.72.5安全环境.83等级测评范围与方法.93.1测评指标.93.1.1基本指标.93.1.2附加指标.113.2测评对象.113.2.1测评对象选择方法.113.2.2测评对象选择结果.123.3测评方法.153.3.1现场测评方法.15广州市财政局国库集中支付单位版系统安全等级差距测评报告北京启明星辰信息安全技术有限公司3.3.2风险分析方法.154等级测评内容.164.1物理安全.164.1.1结果记录.164.1.2问题分析.174.1.3单元测评结果.174.2网络安全.184.2.1结果记录.184.2.2问题分析.194.2.3单元测评结果.204.3主机安全.204.3.1结果记录.204.3.2问题分析.214.3.3单元测评结果.224.4应用安全.224.4.1结果记录.224.4.2问题分析.244.4.3单元测评结果.244.5数据安全及备份恢复.244.5.1结果记录.244.5.2问题分析.254.5.3单元测评结果.254.6安全管理制度.254.6.1结果记录.254.6.2问题分析.264.6.3单元测评结果.264.7安全管理机构.274.7.1结果记录.274.7.2问题分析.274.7.3单元测评结果.284.8人员安全管理.294.8.1结果记录.294.8.2问题分析.294.8.3单元测评结果.304.9系统建设管理.304.9.1结果记录.30广州市财政局国库集中支付单位版系统安全等级差距测评报告北京启明星辰信息安全技术有限公司4.9.2问题分析.324.9.3单元测评结果.324.10系统运维管理.334.10.1结果记录.334.10.2问题分析.364.10.3单元测评结果.364.11工具测试.375等级测评结果.385.1整体测评.385.1.1安全控制间安全测评.385.1.2层面间安全测评.415.1.3区域间安全测评.425.1.4系统结构安全测评.425.2测评结果.425.3统计图表.466风险分析和评价.476.1安全事件可能性及后果分析.476.2系统安全问题风险分析和评价表.497系统安全建设、整改建议.527.1物理安全.527.2网络安全.527.3主机安全.527.4应用安全.527.5数据安全及备份恢复.537.6安全管理制度.537.7安全管理机构.537.8人员安全管理.537.9系统建设管理.537.10系统运维管理.54广州市财政局国库集中支付单位版系统安全等级差距测评报告北京启明星辰信息安全技术有限公司附录一：

安全漏洞扫描报告.55附录二：

广州市财政局国库集中支付单位版系统等级保护评估表.104广州市财政局国库集中支付单位版系统安全等级差距测评报告北京启明星辰信息安全技术有限公司11测评项目概述1.1测评目的实施信息安全等级保护，可以有效地提高广州市财政局信息安全建设的整体水平，并且指明方向。

有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调；有利于加强对涉及国家安全、经济秩序、社会稳定和公共利益的信息系统的安全保护和管理监督；有利于明确国家、法人和其他组织、公民的安全责任，强化政府监管职能，共同落实各项安全建设和安全管理措施；有利于提高安全保护的科学性、整体性、针对性，推动信息安全产业水平，逐步探索一条适应社会主义市场经济发展的信息安全发展模式。

1.2测评依据开展测评活动所依据的合同、标准和文件：

1）信息安全等级保护管理办法（公通字200743号）2）关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（发改高技20082071号）13）GB/T22239-2008信息安全技术信息系统安全等级保护基本要求4）GB/T20984-2007信息安全技术信息安全风险评估规范5）信息安全技术信息系统安全等级保护测评要求（国标报批稿）6）被测信息系统安全等级保护定级报告7）等级测评任务书/测评合同等1.3测评过程

（一）测评工作流程图1针对“国家电子政务工程建设项目”有效2广州市财政局国库集中支付单位版系统安全等级差距测评报告北京启明星辰信息安全技术有限公司测评工作流程图如下：

（二）各阶段完成的关键任务序号阶段任务时间（工作日）1测评准备阶段测评启动会12项目计划制定，双方达成共识33测评方案制定/双方达成共识33广州市财政局国库集中支付单位版系统安全等级差距测评报告北京启明星辰信息安全技术有限公司4人员/工具/表格准备35资料收集阶段数据（资料）收集36现场勘查27工具测试（扫描/渗透等）58测评过程结果整理49分析阶段对数据进行分析510对照对应的信息系统等级技术和管理要求进行测评511测评报告阶段整理测评结果，形成报告312对报告进行评审313项目验收1总天数:

411.4报告分发范围公安网监部门：

广州市公安局网监系统主管使用运营单位：

广州市财政局系统测评机构：

北京启明星辰信息安全技术有限公司4广州市财政局国库集中支付单位版系统安全等级差距测评报告北京启明星辰信息安全技术有限公司2被测系统情况2.1基本信息系统名称广州市财政局国库集中支付单位版系统主管机构广州市财政局系统承载业务情况业务类型1生产作业2指挥调度3管理控制4内部办公5公众服务9其他业务描述提供预算单位使用，主要包括上报用款计划、直接支付用款申请、开具单位授权支付令等业务。

系统服务情况服务范围10全国11跨省（区、市）跨个20全省（区、市）21跨地（市、区）跨个30地（市、区）内99其它市本级预算单位服务对象1单位内部人员2社会公众人员3两者均包括9其他_市本级预算单位财务人员系统网络平台覆盖范围1局域网2城域网3广域网9其他网络性质1业务专网2互联网9其它系统互联情况1与其他行业系统连接2与本行业其他单位系统连接3与本单位其他系统连接9其它业务信息安全保护等级第二级系统服务安全保护等级第二级信息系统安全保护等级第二级2.2业务应用广州市财政局国库集中支付单位版系统供预算单位使用，主要包括上报用款计划、直接支付用款申请、开具单位授权支付令等业务。

2.3网络结构广州市财政局国库集中支付单位版系统构成主要有：

两台SUN280R小型机提供应用服务，两台IBMP570小型机提供数据库服务，一台H3C8512核心交换机，一台Cisco2950、两台H3C5100接入层交换机。

系统边界部署两台NetScreenSSG550、两台NetScreenISG1000防火墙设备，在业务服务器区和用户区之间配置安全访问控制策略；并在接入层H3C5100交换机上部署汉邦数据库行为系统，对5广州市财政局国库集中支付单位版系统安全等级差距测评报告北京启明星辰信息安全技术有限公司该业务系统数据库的操作进行实时监控。

目前该系统位于广州市信息办穗园小区2楼信息中心机房，由广州市财政局信息中心人员负责运维。

网络拓扑图如下：

2.4系统构成2.4.1业务应用软件序号软件名称主要功能重要程度1.oracle10g国库集中支付单位版系统数据库非常重要2.sunapplicationserver国库集中支付单位版系统中间件重要6广州市财政局国库集中支付单位版系统安全等级差距测评报告北京启明星辰信息安全技术有限公司2.4.2关键数据类别序号数据类型所属业务应用主机/存储设备重要程度1.国库集中支付单位版系统数据库广州市财政局国库集中支付单位版系统IBMP570/国库集中支付单位版系统数据库服务器非常重要2