收藏
下载资源

某单位信息系统安全等级保护测评报告(s3a3g3)

上传人:suns****4568 文档编号:78630417 上传时间:2019-02-14 格式:PDF 页数:117 大小:1.69MB
返回 下载 相关 举报
某单位信息系统安全等级保护测评报告(s3a3g3)_第1页
第1页 / 共117页
某单位信息系统安全等级保护测评报告(s3a3g3)_第2页
第2页 / 共117页
某单位信息系统安全等级保护测评报告(s3a3g3)_第3页
第3页 / 共117页
某单位信息系统安全等级保护测评报告(s3a3g3)_第4页
第4页 / 共117页
某单位信息系统安全等级保护测评报告(s3a3g3)_第5页
第5页 / 共117页
点击查看更多>>
资源描述

《某单位信息系统安全等级保护测评报告(s3a3g3)》由会员分享,可在线阅读,更多相关《某单位信息系统安全等级保护测评报告(s3a3g3)(117页珍藏版)》请在金锄头文库上搜索。

1、 报告编号: 信息系统安全信息系统安全等级等级测评测评报告报告 系统名称:系统名称: 被测单位:被测单位: 测评单位:测评单位: 报告时间:报告时间: 报告编号:错误!未找到引用源。错误!未找到引用源。 2013 版 信息系统等级测评基本信信息系统等级测评基本信息表息表 信息系统信息系统 系统名称系统名称 安全保护等级安全保护等级 备案证明编号备案证明编号 测评结论测评结论 被测单位被测单位 单位名称单位名称 单位地址单位地址 邮政编码邮政编码 联联 系系 人人 姓 名 职务/职称 所属部门 办公电话 移动电话 电子邮件 测评单位测评单位 单位名称单位名称 单位代码单位代码 通信地址通信地址

2、邮政编码邮政编码 联联 系系 人人 姓 名 职务/职称 所属部门 办公电话 移动电话 电子邮件 审核批准审核批准 编 制 人 编制日期 审 核 人 审核日期 批 准 人 批准日期 注:单位代码由受理测评机构备案的公安机关给出。注:单位代码由受理测评机构备案的公安机关给出。 声明声明 本报告是错误!未找到引用源。错误!未找到引用源。的等级测评报告。 本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。 本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。当测评工作完成后, 由于信息系统发生变更而涉及到的系统构成组件(或子系统)都应重新进行等级测评,本报告 不再适用。 本报告

3、中给出的测评结论不能作为对信息系统内部署的相关系统构成组件(或产品) 的测 评结论。 在任何情况下,若需引用本报告中的测评结果或结论都应保持其原有的意义,不得对相 关内容擅自进行增加、修改和伪造或掩盖事实。 报告编号:错误!未找到引用源。错误!未找到引用源。 2013 版 目录 -I- 目目 录录 信息系统等级测评基本信息表信息系统等级测评基本信息表 1 报告摘要报告摘要 1 1 测评项目概述测评项目概述 . 10 1.1 测评目的 10 1.2 测评依据 10 1.3 测评过程 11 1.4 报告分发范围 13 2 被测信息系统情况被测信息系统情况 14 2.1 承载的业务情况 14 2.2

4、 网络结构 14 2.3 系统构成 14 2.3.1 业务应用软件 . 14 2.3.2 关键数据类别 . 15 2.3.3 主机/存储设备 . 15 2.3.4 网络互联设备 . 15 2.3.5 安全设备 . 15 2.3.6 安全相关人员 . 15 2.3.7 安全管理文档 . 16 2.4 安全环境 17 2.5 前次测评情况 18 3 等级测评范围与方法等级测评范围与方法 19 3.1 测评指标 19 3.1.1 基本指标 . 19 3.1.2 特殊指标 . 19 3.2 测评对象 20 3.2.1 测评对象选择方法 . 20 3.2.2 测评对象选择结果 . 20 3.3 测评方法

5、 23 4 单元测评单元测评 . 24 4.1 物理安全 24 4.1.1 结果记录 . 24 4.1.2 结果汇总 . 28 4.1.3 问题分析 . 28 4.2 网络安全 29 4.2.1 结果记录 . 29 4.2.2 结果汇总 . 43 4.2.3 问题分析 . 43 4.3 主机安全 44 报告编号:错误!未找到引用源。错误!未找到引用源。 2013 版 目录 -II- 4.3.1 结果记录 . 44 4.3.2 结果汇总 . 49 4.3.3 问题分析 . 49 4.4 应用安全 50 4.4.1 结果记录 . 50 4.4.2 结果汇总 . 56 4.4.3 问题分析 . 56

6、 4.5 数据安全及备份恢复 57 4.5.1 结果记录 . 57 4.5.2 结果汇总 . 58 4.5.3 问题分析 . 59 4.6 安全管理制度 59 4.6.1 结果记录 . 59 4.6.2 结果汇总 . 61 4.6.3 问题分析 . 62 4.7 安全管理机构 62 4.7.1 结果记录 . 62 4.7.2 结果汇总 . 67 4.7.3 问题分析 . 67 4.8 人员安全管理 68 4.8.1 结果记录 . 68 4.8.2 结果汇总 . 71 4.8.3 问题分析 . 71 4.9 系统建设管理 72 4.9.1 结果记录 . 72 4.9.2 结果汇总 . 79 4.

7、9.3 问题分析 . 79 4.10 系统运维管理 80 4.10.1 结果记录 . 80 4.10.2 结果汇总 . 91 4.10.3 问题分析 . 91 5 整体测评整体测评 . 93 5.1 安全控制间安全测评 93 5.2 层面间安全测评 93 5.3 区域间安全测评 93 5.4 系统结构安全测评 93 5.4.1 整体结构的安全性测评分析 . 93 5.4.2 整体安全防范的合理性测评分析 93 6 测评结果汇总测评结果汇总 . 94 7 风险分析和评价风险分析和评价 . 96 8 等级测评结论等级测评结论 . 105 9 安全建设整改建议安全建设整改建议 106 报告编号:错误

8、!未找到引用源。错误!未找到引用源。 2013 版 目录 -III- 9.1 物理安全 106 9.2 网络安全 106 9.2.1 整体网络 . 106 9.2.2 北电交换机 . 106 9.2.3 华为NE08 106 9.2.4 天融信防火墙 . 106 9.2.5 天融信防毒墙 . 107 9.3 主机安全 107 9.4 应用安全 107 9.5 数据安全及备份恢复 108 9.6 安全管理制度 108 9.7 安全管理机构 109 9.8 人员安全管理 109 9.9 系统建设管理 110 9.10 系统运维管理 110 正文 117 第 1 页/ 共 111 页 报告摘要报告摘

9、要 一、一、测评工作概述测评工作概述 二二、系统存在的主要问题、系统存在的主要问题 1、相关人员进入机房缺乏必要的审批程序,没有人员进入机房的登记记录。 2、部分设备没有设置不易除去的标记。 3、电源线和通信线缆混绕在一起,没有隔离,易造成电磁干扰。 4、内网存在一些未授权外联网络情况,如:使用无线局域网卡非法外连、使用GPRS 无线方式非法外连、有非法主机或非授权用户读/写等。 5、北电交换机划分了VLAN,但是没有做ACL访问控制列表; 6、北电交换机没有用重要技术手段防止地址欺骗,如绑定MAC地址; 7、华为路由器没有限制ICMP数据包的大小。 8、华为路由器没有在华为NE08路由器上配

10、置限制拨号访问权限的用户数量; 9、华为路由器没有配置启用远程登录认证、 没有启用本地登录认证和没有对登录用 户进行身份鉴别的功能; 10、 华为路由器没有配置用户通过审计系统或KVM设备的验证后登陆网络设备; 11、 天融信防火墙: 没有配置安全策略来严格控制用户对有敏感标记重要信息资源 的操作; 12、 天融信防火墙: 没有对同一用户选择两种或两种以上组合的鉴别技术来进行身 份鉴别; 13、 天融信防火墙:没有配置启用远程登录认证、没有启用本地登录认证和没有对 登录用户进行身份鉴别的功能; 14、 天融信防毒墙没有配置关键字过滤。 15、 数据库没有配置登录失败处理功能。 16、 对数据库

11、进行远程管理时,没有采取必要的控制措施。 17、 没有对同一管理用户提供两种或两种以上组合的鉴别技术来提供强有力的身 份鉴别认证(如指纹、数字证书、PKI卡、动态口令、用户口令等两种组合); 正文 117 第 2 页/ 共 111 页 18、 系统管理员和数据库管理员存在兼任;没有实现最小授权原则; 19、 没有对重要信息资源设置敏感标记; 以便针对不同的机密等级实施对应的防泄 密措施; 20、 操作系统和数据库审计没有生成审计日志报表。 21、 数据库没有提供剩余信息保护功能。 22、 服务器操作系统没有对管理网络地址范围进行限制;易受非授权访问和攻击; 23、 没有超时退出或锁定功能实现资

12、源控制,可能导致出现泄密; 24、 没有对重要服务器的CPU、硬盘、内存、网络等资源的使用情况进行监控;以 便及时得知资源不足或意外情况下及时恢复; 25、 用户登陆时没有强制密码复杂度要求,密码没有最小长度限制。 26、 用户登陆时缺乏登陆失败处理措施。 27、 没有对重要信息资源设置敏感标记。 28、 安全审计功能不完善,在数据库可以查询到相关审计记录,但在业务系统上无 审计日志展示。 29、 没有提供剩余信息保护功能。 30、 没有提供抗抵赖功能。 31、 应用系统的通信双方中的一方在一段时间内未作任何响应, 缺乏相应的控制措 施。 32、 没有对系统的最大并发会话连接数进行限制。 33

13、、 没有对单个用户的多重并发会话连接进行限制。 34、 没有对一个时间段内可能的并发会话连接数进行限制。 35、 没有对一个访问帐户或一个请求进程占用的资源最大限额和最小限额进行限 制。 36、 没有对系统服务水平最小值的进行设定,并报警。 37、 没有提供优先级分配系统资源的功能。 38、 网络管理数据在传输过程中采用TELNET,没有采取加密控制措施,防止窃听、 嗅探等攻击。 39、 数据库中用户表用户密码明文存储。 正文 117 第 3 页/ 共 111 页 40、 没有制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目 标、范围、原则和安全框架等。 41、 只存在部分安全管

14、理制度文件,没有形成全面的信息安全管理制度体系。 42、 对制定和发布的文档没有进行版本控制, 没有通过正式、 有效的方式进行发布。 43、 没有组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审 定,对各类管理制度缺乏定期或不定期进行评审或修订。 44、 没有制定部门和岗位职责文件,没有明确安全管理机构各个部门和岗位的职 责。 45、 人员配备不足,系统所有的运维工作由两个管理员负责,没有设置专职的安全 管理员,没有建立人员配备要求管理文档及岗位人员信息表。 46、 没有建立审批管理制度,没有明确审批的范围,审批程序。 47、 没有建立与外联单位的联系表。 48、 没有定期对系统

15、日常运行、系统漏洞和数据备份等情况进行检查,没有制定关 于安全审核和检查管理制度。 49、 人员录用时没有要求相关人员签署保密承诺文档。 50、 没有明确区分关键岗位,未见有岗位安全协议。 51、 关键岗位人员调离,没有要求承诺相关保密义务,未见有相关人员办理调离手 续的记录。 52、 没有建立安全责任和惩戒措施的管理文档, 对违反安全策略和规定的人员的惩 戒进行说明。 53、 没有制定安全教育及技能培训和考核管理文档和安全教育和培训计划文档 54、 外部人员访问重要区域缺乏必要登记记录。没有建立外部人员访问管理文档, 对外部人员允许访问的区域、系统、设备、信息等内容进行书面的规定。 55、 没有以书面的形式描述系统的安全保护要求、策略及保护措施,形成系统的安 全方案。 56、 外包软件开发后没有进行恶意代码检查, 没有对软件源代码中可能存在的后门 进行审查。 57、 没有委托第三方测试机构对信息系统进行独立的安全性测试。 58、 三级系统之前没有做过等级保护测评。 正文 117 第

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 其它办公文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号