《广州市财政局办公自动化系统安全等级测评报告》由会员分享,可在线阅读,更多相关《广州市财政局办公自动化系统安全等级测评报告(178页珍藏版)》请在金锄头文库上搜索。
1、广州市财政局办公自动化系统安全等级差距测评报告 北京启明星辰信息安全技术有限公司附件4-1.广州市财政局办公自动化系统安全等级测评报告系统名称:广州市财政局办公自动化系统委托单位:广州市财政局测评单位:北京启明星辰信息安全技术有限公司2010年05月报告摘要一、测评工作概述广州市财政局办公自动化系统是广州市财政局的一个等级保护二级系统。该系统主要提供请示报告、发文管理、收文管理、工作联系单、督办事项、接待申请、会议管理、办公会议管理、档案管理、考勤管理、标准化管理、公告等等,协同完成工作事务,尽可能充分利用各种信息资源,辅助领导决策,提高用户的办公效率和办公质量等服务。本次测评主要依据GB/T
2、-22239信息系统安全等级保护基本要求、信息系统安全等级保护测评准则,针对广州市财政局办公自动化系统,按照物理安全、网络安全、主机安全、应用安全、数据安全、安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理10个类别进行测评。二、等级测评结果由于广州市财政局办公自动化系统的基本符合项和不符合项总数较多且会导致信息系统面临高等级安全风险,因此该系统的测评结论为不符合。三、系统存在的主要问题在网络层面:网络结构不合理、未进行安全域的划分、无网络准入措施、部分网络边界未采取措施检测和清除恶意代码。主机层面:未采取措施实现操作系统和数据库系统特权用户的权限分离;数据库系统未启用审核
3、功能;未采取技术手段,定期对网络系统和业务应用系统进行漏洞扫描,不能及时发现系统自身存在的高危风险漏洞。在应用层面:未对应用层作资源控制。四、系统安全建设、整改建议建议采取安全审计、漏洞扫描、网络准入等措施,消除网络层面和主机层面存在的安全隐患。报告基本信息信息系统基本情况系统名称广州市财政局办公自动化系统安全保护等级二级机房位置广州市华利路61号1008被测单位单位名称广州市财政局单位地址广州市华利路61号1008邮政编码510623联系人姓 名梁健职务/职称所属部门广州市财政信息中心办公电话020-38923041移动电话电子邮件测评单位单位名称北京启明星辰信息安全技术有限公司通信地址广州
4、市天河区中山大道西华景路一号南方通信大厦九楼邮政编码510640联系人姓 名刘平平职务/职称项目经理所属部门技术部办公电话020-38638218移动电话13924135958电子邮件Liu_报告审核批准编制人刘平平日期2010.05审核人陈凌日期2010.05批准人刘思志日期2010.05声明本报告是广州市财政局办公自动化系统的安全等级测评报告。本报告中给出的结论仅对目标系统的当时状况有效,当测评工作完成后系统出现任何变更,涉及到的模块(或子系统)都应重新进行测评,本报告不再适用。本报告中给出的结论不能作为对系统内相关产品的测评结论。本报告结论的有效性建立在用户提供材料的真实性基础上。在任何
5、情况下,若需引用本报告中的结果或数据都应保持其本来的意义,不得擅自进行增加、修改、伪造或掩盖事实。 北京启明星辰信息安全技术有限公司 2010年05月广州市财政局办公自动化系统安全等级差距测评报告 北京启明星辰信息安全技术有限公司报告目录1测评项目概述11.1测评目的11.2测评依据11.3测评过程11.4报告分发范围32被测系统情况42.1基本信息42.2业务应用42.3网络结构42.4系统构成52.4.1业务应用软件52.4.2关键数据类别52.4.3主机/存储设备62.4.4网络互联与安全设备62.4.5安全相关人员72.4.6安全管理文档72.5安全环境83等级测评范围与方法93.1测
6、评指标93.1.1基本指标93.1.2附加指标113.2测评对象113.2.1测评对象选择方法113.2.2测评对象选择结果123.3测评方法153.3.1现场测评方法153.3.2风险分析方法154等级测评内容164.1物理安全164.1.1结果记录164.1.2问题分析184.1.3单元测评结果184.2网络安全184.2.1结果记录184.2.2问题分析214.2.3单元测评结果224.3主机安全224.3.1结果记录224.3.2问题分析234.3.3单元测评结果244.4应用安全244.4.1结果记录244.4.2问题分析264.4.3单元测评结果264.5数据安全及备份恢复274.
7、5.1结果记录274.5.2问题分析274.5.3单元测评结果274.6安全管理制度284.6.1结果记录284.6.2问题分析294.6.3单元测评结果294.7安全管理机构294.7.1结果记录294.7.2问题分析314.7.3单元测评结果314.8人员安全管理324.8.1结果记录324.8.2问题分析334.8.3单元测评结果334.9系统建设管理344.9.1结果记录344.9.2问题分析374.9.3单元测评结果374.10系统运维管理384.10.1结果记录384.10.2问题分析444.10.3单元测评结果444.11工具测试455等级测评结果465.1整体测评465.1.1
8、安全控制间安全测评465.1.2层面间安全测评495.1.3区域间安全测评505.1.4系统结构安全测评505.2测评结果515.3统计图表546风险分析和评价556.1安全事件可能性及后果分析556.2系统安全问题风险分析和评价表577系统安全建设、整改建议617.1物理安全617.2网络安全617.3主机安全627.4应用安全627.5数据安全及备份恢复627.6安全管理制度627.7安全管理机构627.8人员安全管理637.9系统建设管理637.10系统运维管理63附录一:安全漏洞扫描报告65附录二:办公自动化系统等级保护评估表144广州市财政局办公自动化系统安全等级差距测评报告 北京启
9、明星辰信息安全技术有限公司1 测评项目概述1.1 测评目的实施信息安全等级保护,可以有效地提高广州市财政局信息安全建设的整体水平,并且指明方向。有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于加强对涉及国家安全、经济秩序、社会稳定和公共利益的信息系统的安全保护和管理监督;有利于明确国家、法人和其他组织、公民的安全责任,强化政府监管职能,共同落实各项安全建设和安全管理措施;有利于提高安全保护的科学性、整体性、针对性,推动信息安全产业水平,逐步探索一条适应社会主义市场经济发展的信息安全发展模式。1.2 测评依据开展测评活动所依据的合同、标准和文件:1) 信息安全
10、等级保护管理办法(公通字200743号)2) 关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技20082071号) 针对“国家电子政务工程建设项目”有效3) GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求4) GB/T 20984-2007 信息安全技术 信息安全风险评估规范5) 信息安全技术 信息系统安全等级保护测评要求(国标报批稿)6) 被测信息系统安全等级保护定级报告7) 等级测评任务书/测评合同等1.3 测评过程(一) 测评工作流程图45测评工作流程图如下:(二) 各阶段完成的关键任务序号阶段任务时间(工作日)1测评准备阶段测评启动会12
11、项目计划制定,双方达成共识33测评方案制定/双方达成共识34人员/工具/表格准备35资料收集阶段数据(资料)收集36现场勘查27工具测试(扫描/渗透等)58测评过程结果整理49分析阶段对数据进行分析510对照对应的信息系统等级技术和管理要求进行测评511测评报告阶段整理测评结果,形成报告312对报告进行评审313项目验收1总天数:411.4 报告分发范围公安网监部门:广州市公安局网监系统主管使用运营单位:广州市财政局系统测评机构:北京启明星辰信息安全技术有限公司2 被测系统情况2.1 基本信息系统名称广州市财政局办公自动化系统主管机构广州市财政局系统承载业务情况业务类型01生产作业 02指挥调
12、度 03管理控制R4内部办公 05公众服务09其他业务描述用于处理各部门的办公业务,协同完成工作事务系统服务情况服务范围010全国 011跨省(区、市) 跨 个020全省(区、市) 021跨地(市、区) 跨 个030地(市、区)内R99其它 单位内部 服务对象R1单位内部人员 02社会公众人员 03两者均包括09其他系统网络平台覆盖范围R1局域网 02城域网 03广域网09其他网络性质R1业务专网 02互联网09其它系统互联情况01与其他行业系统连接 02与本行业其他单位系统连接03与本单位其他系统连接09其它业务信息安全保护等级第二级系统服务安全保护等级第二级信息系统安全保护等级第二级2.2
13、 业务应用办公自动化系统的主要业务包括:收发文管理用于本单位办理公文;请求报告管理用于对请求事项进行审批;公共信息发布与管理可查阅本单位的一些公共信息或会议通知等;个人事务包括个人邮箱,个人信息;系统设置主要是为方便系统管理员设置系统方便而设置的界面,并提供了系统各种必要参数的设置界面等。2.3 网络结构办公自动化系统由八台 PC及刀片服务器构成:一台Dell 2950 PC服务器(电子印章应用)、一台HP PC服务器(政务内网档案应用)、一台工控PC服务器(电子传真应用)、一台PC服务器(OA短信应用)、两台IBM 3850M2 PC服务器(OA应用)、两台IBM IBM ctohs22刀片服务器(OA数据库)。应用服务器
