工贸备案.docx

1、工贸备案湖南工贸技师学院门户网站安全整改方案 2018年7月4日1.1 网络结构图 2.1 网络拓扑图1、如图2.1 湖南工贸技师学院门户网站网络拓扑图所示，湖南工贸技师学院门户网站建设在XX云资源服务上，网络部分由XX云提供服务，再通过互联网提供WEB访问服务，湖南工贸职业学院购买了XX云waf防护及服务器防护等安全服务保障网站运行的安全性。安全管理相关人员列表序号姓名岗位/职责1陈开梅系统管理员1） 安全管理文档表36安全管理相关人员列表序号文档名称主要内容1湖南工贸技师学院电子设备管理细则电子设备的购置申请流程、领用流程、借用流程、回收流程、故障处理及维修流程、盘点及报废流程、入库管理、

2、出库管理。2湖南工贸技师学院电子设备类固定资产和系统软件购置审批管理规定电子设备类固定资产和系统软件购置审批流程。3湖南工贸技师学院科技信息安全管理政策科技信息安全建设和管理。4湖南工贸技师学院商务非集采项目采购流程输入非法，商务(非集采项目)采购流程中包含括号。5湖南工贸技师学院网络维护管理办法网络维护岗位职责、网络安全及规范、网络用户管理、网络维护管理、网络监控、文档管理。6湖南工贸技师学院信息安全保障及突发事件应急管理办法相关机构职责、信息系统突发事件分级、突发事件应急响应流程、应急预案与演练、突发事件紧急会议及信息安全保障日常议事流程、信息系统安全保障措施。7湖南工贸技师学院信息科技项

3、目管理办法项目管理机构及其职责、项目可行性研究、项目立项审批、项目计划和开发、项目试运行和验收、项目推广、项目后评价、项目变更和终止、项目支出和采购、项目成果的管理。8湖南工贸技师学院信息安全管理总纲信息安全管理架构模型、信息安全策略、信息安全体系维护。9湖南工贸技师学院员工信息安全手册信息安全技术术语解释、密码设置、桌面电脑安全、互联网访问使用安全、操作用户使用安全、信息保密、信息安全问题和漏洞的处理、员工岗位调整和离职、常见银行服务的使用安全、违反信息安全管理要求的罚则等。10湖南工贸技师学院信息资产安全管理政策信息资产的分类、赋值、责任人、资产识别、资产管理策略。11湖南工贸技师学院员工

4、日常信息安全违规处罚细则员工违反安全管理规定的处罚办法12湖南工贸技师学院信息科技规章制度及内部规定管理办法信息科技规章制度及内部规定的编制、起草、审核、审批、发布等管理规定。13湖南工贸技师学院信息系统事件和问题管理办法信息系统故障分级、信息系统故障管理。14湖南工贸技师学院员工违规违纪行为处罚办法员工违规违纪行为处罚管理规定。15湖南工贸技师学院固定资产管理办法资产管理部门的职责，固定资产计划、审批与构建管理，计价与核算，实物管理（验收、入库、保管、领用、维修保养、调拨、盘点、报废或处置等），效益评价，罚则。16湖南工贸技师学院计算机机房管理办法数据中心机房管理。17湖南工贸技师学院数据中

5、心机房巡检细则数据中心机房日常巡检规定。18湖南工贸技师学院人力资源安全管理政策人员录用、离岗、离职等工作的流程及管理规定。19湖南工贸技师学院信息安全事件管理政策信息安全弱点报告流程、信息安全事件报告流程、信息安全事件处置流程、信息安全事件总结流程。1.2 数据安全及备份恢复1.2.1 结果汇总针对不同安全控制点对单个测评对象在数据安全及备份恢复层面的单项测评结果进行汇总和统计。表4-5数据安全及备份恢复-单元测评结果汇总表序号测评对象符合情况安全控制点数据完整性数据保密性备份和恢复1数据安全及备份恢复符合001部分符合000不符合111不适用0001.2.2 结果分析部分符合或不符合情况统

6、计如下：1、未采用密码技术保证通信过程中数据的完整性。2、系统未采用密码技术对系统管理数据、鉴别信息和用户数据在存储过程中的完整性进行验证。3、骨干通信线路未实现冗余（如只有单条电信线路）/核心主机未实现备份冗余/核心网络设备未实现备份冗余，存在单点故障的可能。等级测评结论测评结论与综合得分系统名称湖南工贸技师学院门户网站保护等级S2A2G2系统简介湖南工贸技师学院门户网站系统主要用于介绍学校概况，学校机构、院系设置、招生就业、课程展示、教学名师、教学成果等、办公信息公布、通知、公告。网站部署于XX云，租用XX云虚拟空间，并购买了waf防护及服务器防护等安全服务。测评过程简介受湖南工贸技师学院

7、委托，中国信息安全测评中心华中测评中心(湖南省信息安全测评中心）于2018年5月10日至2018年5月25日对湖南工贸技师学院门户网站进行了系统安全等级测评工作。本次安全测评的范围主要包括湖南工贸技师学院门户网站的业务应用系统、安全管理制度和人员等等。安全测评通过静态评估、现场测试、综合评估等相关环节和阶段，从应用安全、数据安全与备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理七个方面，对湖南工贸技师学院门户网站进行综合测评。测评结论基本符合综合得分88.00分总体评价受湖南工贸技师学院委托，中国信息安全测评中心华中测评中心（湖南省信息安全测评中心）于2018年5

8、月10日至2018年5月25日对湖南工贸技师学院门户网站系统进行了安全等级保护测评工作。从门户网站系统的现场测试结果来看，湖南工贸技师学院比较重视信息系统的安全建设和运行，采取了一定程度的信息安全防护措施。基础设施与网络环境方面：网站部署在XX云，租用XX云虚拟空间，物理环境、网络安全、服务器安全不在本次等级保护测评范围之内。管理制度方面：从管理制度、管理机构、人员管理、系统建设管理和系统运维管理这五部分，制定了对应的制度和规范，形成了较完善的管理制度体系。从本次现场测评发现系统仍存一些的安全隐患，主要表现以下几个方面：应用方面： 未对整个报文或会话过程进行加密，未采用密码技术进行会话初始化验证等。管理制度方面：未对应急预案进行培训、未对网络设备进行漏洞扫描、设备安全管理制度不完善等。 通过对信息系统基本安全保护状态的分析，湖南工贸技师学院门户网站等级测评结论为基本符合。测评项符合率为89.60%，部分符合率为0.10%，不符合率为10.30%，不适用数为59。问题数总计12个，其中高风险问题0个，中风险问题数9个，低风险问题3个。整改加固计划表第 1 章 序号层面主要问题风险等级整改情况与整改加固计划说明 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21