《(电子行业企业管理)广东联合电子收费公司现金)结算系统等级保护精品》由会员分享,可在线阅读,更多相关《(电子行业企业管理)广东联合电子收费公司现金)结算系统等级保护精品(120页珍藏版)》请在金锄头文库上搜索。
1、 广东省高速公路联网收费(现金)结算系统等级保护测评报告项目名称:广东省高速公路联网收费(现金)结算系统 委托单位: 广东联合电子收费股份有限公司 测评单位: 蓝盾信息安全技术股份有限公司 2010年 8 月 25日报告摘要一、 测评工作概述广东省高速公路联网收费(现金)结算系统于2004年6月28日由广东省发改委立项,广东联合电子收费股份有限公司建设。目前该系统由广东联合电子收费股份有限公司负责运行维护管理。广东省交通厅是该信息系统业务的主管部门,广东联合电子收费股份有限公司为该信息系统定级的责任单位。此系统由联网收费(现金)结算中心和六个区域管理点构成。联网收费(现金)结算中心设立在广州。
2、六个区域管理点分别设在汕头、开平、广州、深圳、清远和虎门。蓝盾信息安全技术股份有限公司受广东联合电子收费股份有限公司委托,对广东省高速公路联网收费(现金)结算系统进行信息系统安全等级保护测评,安排有四人现场测评项目组,分为技术核查小组及管理核查小组;针对安全技术及安全管理两大方向、十个层面进行了测评与分析,测评对象包括:广东联合电子收费股份有限公司5楼中心机房,14台交换机、2台中心防火墙、6台服务器、22台路由器和其他应用服务系统,以及相关安全管理制度,现场访谈对象4人。二、 等级测评结果依据GB/T-22239信息系统安全等级保护基本要求、信息系统安全等级保护测评准则对广东省高速公路联网收
3、费(现金)结算系统进行测评,整体测评结果为:符合项85.1%、基本符合项1.9%、不符合项10.1%、不适用项2.9%,从以上测评结果我们可以看出广东省高速公路联网收费(现金)结算系统整体信息安全措施比较完善,但与GB/T-22239信息系统安全等级保护基本要求中的第二级基本要求还有一定差距,因此我们判定广东省高速公路联网收费(现金)结算系统的测评结论为不达标。三、 系统存在的主要问题整个系统在技术安全层面的问题主要集中在网络安全、主机安全与应用安全,存在的主要问题:网络设备策略配置存在个别不到位,对于外部用户接入到内部网络的行为缺少监控与管理措施;远程控制缺乏一定的安全措施,审计日志的管理有
4、待加强;应用系统对用户并发策略不够完善,数据在传输过程中的完整性以及安全性尚存缺陷,易受到窃听及篡改。管理方面缺乏信息安全工作的总体方针和安全策略,与安全管理相配套的安全管理制度存在缺失,此类不足将大大影响信息安全措施的执行的效率与成果。四、 系统安全建设、整改建议建议在技术方面主要调整并完善网络、主机与应用的安全性;在安全管理方面需要制定总体方针和安全策略,并建立相关必要的安全管理制度。报告基本信息信息系统基本情况系统名称广东省高速公路联网收费(现金)结算系统安全保护等级二级机房位置中心机房广东联合电子收费股份有限公司(广州大道南368号大楼5楼中心机房)灾备中心东莞市虎门镇其他机房无委托单
5、位单位名称广东联合电子收费股份有限公司单位地址广州市广州大道南368号邮政编码543002联系人姓 名黎剑威职务/职称技术经理所属部门联网收费清分中心办公电话020-84281458移动电话13925073643电子邮件测评单位单位名称蓝盾信息安全技术股份有限公司通信地址广州市科韵路16号A座20-21楼邮政编码510665联系人姓 名王虎职务/职称项目经理所属部门技术部办公电话020-38468377移动电话13560147426电子邮件 报告审核批准编制人黄伟泉日期2010/8/10审核人王虎日期2010/8/15批准人日期声明声明是测评单位对于测评报告内容以及用途等有关事项做出的约定性陈
6、述,包含但不限于以下内容:本报告中给出的结论仅对目标系统的当时状况有效,当测评工作完成后系统出现任何变更,涉及到的模块(或子系统)都应重新进行测评,本报告不再适用。本报告中给出的结论不能作为对系统内相关产品的测评结论。本报告结论的有效性建立在用户提供材料的真实性基础上。在任何情况下,若需引用本报告中的结果或数据都应保持其本来的意义,不得擅自进行增加、修改、伪造或掩盖事实。 测评单位机构名称:蓝盾信息安全技术股份有限公司 2010 年 8 月报告目录1测评项目概述101.1测评目的101.2测评依据101.3测评过程101.4报告分发范围132被测系统情况142.1基本信息142.2业务应用15
7、2.3网络结构152.4系统构成162.4.1业务应用软件162.4.2关键数据类别172.4.3主机/存储设备182.4.4网络互联与安全设备192.4.5安全相关人员212.4.6安全管理文档212.5安全环境223等级测评范围与方法233.1测评指标233.1.1基本指标233.1.2附加指标273.2测评对象273.2.1测评对象选择方法273.2.2测评对象选择结果283.3测评方法293.3.1现场测评方法293.3.2风险分析方法304等级测评内容304.1物理安全(三级)304.1.1结果记录304.1.2问题分析344.1.3单元测评结果354.2网络安全(三级)354.2.
8、1结果记录354.2.2问题分析404.2.3单元测评结果404.3主机安全414.3.1数据库服务器A414.3.2通讯服务器A444.3.3应用服务器A484.4应用安全514.4.1报表统计子系统514.4.2管理点后台通信子系统544.4.3后台三层应用服务子系统574.4.4结算中心后台通信子系统604.4.5通信费拆分结算子系统634.5数据安全及备份恢复664.5.1报表统计子系统664.5.2管理点后台通信子系统674.5.3后台三层应用服务子系统684.5.4结算中心后台通信子系统694.5.5通信费拆分结算子系统704.6安全管理制度714.6.1结果记录714.6.2问题
9、分析724.6.3单元测评结果734.7安全管理机构734.7.1结果记录734.7.2问题分析744.7.3单元测评结果744.8人员安全管理754.8.1结果记录754.8.2问题分析764.8.3单元测评结果764.9系统建设管理764.9.1结果记录764.9.2问题分析804.9.3单元测评结果804.10系统运维管理814.10.1结果记录814.10.2问题分析944.10.3单元测评结果954.11工具测试954.11.1扫描工具简介954.11.2结果记录975等级测评结果1095.1整体测评1095.1.1安全控制点间安全测评1095.1.2层面间安全测评1115.1.3区
10、域间安全测评1115.1.4系统结构间安全测评1115.2测评结果1125.3统计图表1156风险分析和评价1156.1安全事故可能性分析1156.2安全事件后果分析1176.3风险分析和评价1187系统安全建设、整改建议1197.1物理安全1207.2网络安全1207.3主机安全1207.4应用安全1207.4.1报表统计子系统1207.4.2管理后台通信子系统1217.4.3后台三层应用服务子系统1217.4.4结算中心后台通信子系统1217.5数据安全及备份恢复1217.6安全管理制度1217.7安全管理机构1227.8人员安全管理1227.9系统建设管理1227.10系统运维管理122
11、附:信息系统安全等级保护备案表1231 测评项目概述1.1 测评目的描述信息系统的重要性:通过描述信息系统的基本情况,包括运营使用单位的性质,承载的主要业务和系统服务情况,进一步阐明其在国家安全、经济建设、社会生活中的重要程度,受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等。描述等级测评工作的基本情况,包括委托单位、测评单位、测评范围及预期(如,通过等级测评找出与国家标准要求之间的差距)。描述测评报告的用途(如,作为后续安全整改的依据)。1.2 测评依据开展测评活动所依据的合同、标准和文件: 1) 信息安全等级保护管理办法(公通字200743号)2) 关
12、于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技20082071号) 针对“国家电子政务工程建设项目”有效3) GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求4) GB/T 20984-2007 信息安全技术 信息安全风险评估规范5) 信息安全技术 信息系统安全等级保护测评要求(国标报批稿)6) 被测信息系统安全等级保护定级报告7) 等级测评任务书/测评合同等1.3 测评过程描述本次等级测评的工作流程(可参考信息系统安全等级保护测评过程指南),具体内容包括但不限于:(一) 测评工作流程图图5 等级测评基本工作流程等级测评项目启动信息收集与分析工具和
13、表单准备测评准备活动测评对象确定测评指标确定测评工具接入点确定测评方案编制测评内容确定测评实施手册开发方案编制活动测评实施准备现场测评和结果记录结果确认和资料归还单项测评结果判定单项测评结果汇总分析系统整体测评分析综合测评结论形成测评报告编制现场测评活动修订分析与报告编制活动沟通与洽谈(二) 各阶段完成的关键任务1、测评准备阶段: 成立项目组 测评启动会 项目计划制定 人员/工具/表格准备 相关数据(资料)收集与分析 测评方案制定2、现场测评阶段: 现场勘查 人员访谈 确定测评工具接入点 工具测试(扫描/渗透等) 测评过程结果整理3、测评分析阶段: 单项测评结果判定 单项测评结果汇总分析 系统整体测评分析 最终测评结果形成 等级测评报告编写 等级测评整改方案编写 内部方案评审(三) 工作的时间节点序号阶段任务时间(工作日)1测评准备阶段测评启动会0.52项目计划制定,双方达成共识0.53测评方案
