机房等级保护差距测评报告

机房等级保护差距测评报告

信息系统等级测评基本信息表

声明

本报告是××单位平台的等级保护差距测评报告。

本报告结论的有效性建立在用户提供材料的真实性基础上。

本报告中给出的结论仅对被测信息系统当时的安全状态有效，当测评工作完成后，由于信息系统发生变更而涉及到的系统构成组件（或子系统）都应重新进行等级测评，本报告不再适用。

本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件（或产品）的测评结论。

在任何情况下，若需引用本报告中的测评结果或结论都应保持其原有的意义，不得对相关内容擅自进行增加、修改和伪造或掩盖事实。

**机构

二Ｏ一四年六月

目录错误!未找到引用源。

报告摘要

一、系统概述

$$部门于2014年5月委托**机构对其建设的××单位平台进行差距测评。

××单位平台是是社会公众了解××单位工作、是社会公众了解政府工作、开展服务事项网上办理工作重要工具，是高栏港区向社会公众发布政府信息、进行网络申办与审批工作的重要平台。

二、测评范围和主要内容

本次测评是按照GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》内第二级信息系统的安全要求进行差距测评。测试范围包括：物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理，此次测评总共测评项为175项。

三、等级测评结果

通过对××单位平台的测评，发现系统存在的主要问题有：

物理安全:

1、物理访问控制：机房内未部署视频监控系统。

2、防盗窃和防破坏：网络设备、安全设备、通信线缆均没有黏贴相应的且不易除去的标签；机房内未部署防盗报警系统。

3、防火：机房内未部署消防自动报警系统和灭火器。

4、温湿度控制：更换普通空调，采用精密空调，同时部署机房环境监控系统。

网络安全：

1、结构安全：未按照业务功能以及部门办公划分多个vlan，需要部署防火墙、WAF防火墙、入侵检测设备和安全审计系统。

2、网络设备防护：汇聚交换机均未限制管理员的登录地址；汇聚交换机现有用户口令由字母组成，不符合复杂度要求，未定期更换；交换机虽开启的日志审计功能，但未对用户的行为进行审计。日常执行远程管理时，汇集交换机未配置登录失败处理策略，未能有效阻止非法登陆。

主机安全：

1、身份鉴别：未启用密码复杂度检查功能，未启用定期更换密码功能；未启用

登录失败处理功能。

2、安全审计：服务器仅开启了默认的审核策略（用户登录信息），日志信息没

有定期保存，易受到未预期的删除、修改或覆盖等。数据库缺少第三方审计系统保证无法保证数据不受篡改。

3、资源控制：未限制可远程管理服务器的终端登录地址。

应用安全：

1、身份鉴别：未启用密码复杂度检查功能，未启用定期更换密码功能；未启用

登录失败处理功能。

2、安全审计：服务器仅开启了默认的审核策略（用户登录信息），审计信息不

完整，且未部署第三方审计系统保证审计信息不受篡改。

3、数据完整性：应用系统通信过程中应采用校验码技术保证通信过程中数据的

完整性。

4、资源控制：未限制可远程管理服务器的终端登录地址。

数据备份与恢复：

1、数据保密性：应用系统未采用加密技术，网络、主机配置的备份未采用加密

技术实现保存。

2、备份和恢复：关键网络设备、通信线路和服务器设备没有提供硬件冗余。

安全管理制度：

1、管理制度：目前建立的日常管理操作的操作规程不够全面。

安全管理机构：

1、授权和审批：关键活动建立审批流程，同时需要有相关文件记录。

人员安全管理：

1、安全意识教育和培训：未定期对相关人员进行安全知识培训，同时未明确告知相关人员的安全责任和惩戒措施内容。

系统建设管理:

1、系统定级：信息系统的定级结果未递交市网监并得到批准和定级回执。

2、外包软件开发：第三方公司未提供源代码，同时未审查开发单位提供的软件源代码中可能存在的后门。

3、测试验收：未组织对信息系统进行验收。

系统运维管理：

1、网络安全管理：缺少安全审计系统和网管系统，无法对网络设备及服务器运行日志进行信息分析、报警及审计；没有定期对网络设备进行系统版本升级及修补漏洞；

2、系统安全管理：缺少访问控制设备无法对业务进行访问控制，业务系统补丁前未在测试环境中进行测试验证并备份重要文件，直接在实际系统环境中进行补丁升级；未建立系统安全管理制度；系统管理员未定期对运行日志和审计数据进行分析。

3、恶意代码防范管理：对防恶意代码软件的授权使用、恶意代码库升级，但未定期汇报等作出书面规定。

4、应急预案管理：未制定应急预案、培训及演练。

四、系统安全建设、整改建议

参见《××单位平台整改建议》

1测评项目概述

1.1测评目的

通过等级保护安全测评发现××单位平台存在的安全隐患、漏洞等，针对存在的问题提出有效的整改建议，从而使得信息系统达到相应等级的安全标准，进而提高信息系统的安全指数，使其安全、正常、稳定的运行。

1.2测评依据

《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）；

《中共中央办公厅国务院办公厅转发<国家信息化领导小组关于加强信息处理

安全保障工作的意见>的通知》（中办发[2003]27号）；

《关于印发<关于信息安全等级保护工作的实施意见>的通知》（公通字[2004]66号文）；

《关于印发<信息安全等级保护管理办法>的通知》（公通字[2007]43号文）；

《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号文）；

《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008）；

《信息安全技术信息安全风险评估规范》（GB/T 20984-2007）；

《信息安全技术信息系统安全等级保护测评过程指南》（国标送审稿）；

《信息安全技术信息系统安全等级保护实施指南》（国标报批稿）；

《信息安全技术信息系统安全等级保护测评要求》（国标报批稿）；

《信息安全技术信息系统安全等级保护安全设计技术要求》（信安秘字[2009]059号）；

《广东省计算机信息系统安全保护条例》（2007年12月20日通过）；

《关于印发<广东省公安厅关于计算机信息系统安全保护的实施办法>的通知》（粤公通字[2008]228号文）。

《关于印发<广东省深化信息安全等级保护工作方案>的通知》（粤公通字[2009]45号文）；

……