机房等级保护差距测评报告

机房等级保护差距测评报告
信息系统等级测评基本信息表
声明
本报告是××单位平台的等级保护差距测评报告。

本报告结论的有效性建立在用户提供材料的真实性基础上。

本报告中给出的结论仅对被测信息系统当时的安全状态有效，当测评工作完成后，由于信息系统发生变更而涉及到的系统构成组件（或子系统）都应重新进行等级测评，本报告不再适用。

本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件（或产品）的测评结论。

在任何情况下，若需引用本报告中的测评结果或结论都应保持其原有的意义，不得对相关内容擅自进行增加、修改和伪造或掩盖事实。

**机构
二Ｏ一四年六月
目录错误!未找到引用源。

报告摘要
一、系统概述
$$部门于2014年5月委托**机构对其建设的××单位平台进行差距测评。

××单位平台是是社会公众了解××单位工作、是社会公众了解政府工作、开展服务事项网上办理工作重要工具，是高栏港区向社会公众发布政府信息、进行网络申办与审批工作的重要平台。

二、测评范围和主要内容
本次测评是按照GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》内第二级信息系统的安全要求进行差距测评。

测试范围包括：物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理，此次测评总共测评项为175项。

三、等级测评结果
通过对××单位平台的测评，发现系统存在的主要问题有：
物理安全:
1、物理访问控制：机房内未部署视频监控系统。

2、防盗窃和防破坏：网络设备、安全设备、通信线缆均没有黏贴相应的且不易除去的标签；机房内未部署防盗报警系统。

3、防火：机房内未部署消防自动报警系统和灭火器。

4、温湿度控制：更换普通空调，采用精密空调，同时部署机房环境监控系统。

网络安全：
1、结构安全：未按照业务功能以及部门办公划分多个vlan，需要部署防火墙、WAF防火墙、入侵检测设备和安全审计系统。

2、网络设备防护：汇聚交换机均未限制管理员的登录地址；汇聚交换机现有用户口令由字母组成，不符合复杂度要求，未定期更换；交换机虽开启的日志审计功能，但未对用户的行为进行审计。

日常执行远程管理时，汇集交换机未配置登录失败处理策略，未能有效阻止非法登陆。

主机安全：
1、身份鉴别：未启用密码复杂度检查功能，未启用定期更换密码功能；未启用
登录失败处理功能。

2、安全审计：服务器仅开启了默认的审核策略（用户登录信息），日志信息没
有定期保存，易受到未预期的删除、修改或覆盖等。

数据库缺少第三方审计
系统保证无法保证数据不受篡改。

3、资源控制：未限制可远程管理服务器的终端登录地址。

应用安全：
1、身份鉴别：未启用密码复杂度检查功能，未启用定期更换密码功能；未启用
登录失败处理功能。

2、安全审计：服务器仅开启了默认的审核策略（用户登录信息），审计信息不
完整，且未部署第三方审计系统保证审计信息不受篡改。

3、数据完整性：应用系统通信过程中应采用校验码技术保证通信过程中数据的
完整性。

4、资源控制：未限制可远程管理服务器的终端登录地址。

数据备份与恢复：
1、数据保密性：应用系统未采用加密技术，网络、主机配置的备份未采用加密
技术实现保存。

2、备份和恢复：关键网络设备、通信线路和服务器设备没有提供硬件冗余。

安全管理制度：
1、管理制度：目前建立的日常管理操作的操作规程不够全面。

安全管理机构：
1、授权和审批：关键活动建立审批流程，同时需要有相关文件记录。

人员安全管理：
1、安全意识教育和培训：未定期对相关人员进行安全知识培训，同时未明确告知相关人员的安全责任和惩戒措施内容。

系统建设管理:
1、系统定级：信息系统的定级结果未递交市网监并得到批准和定级回执。

2、外包软件开发：第三方公司未提供源代码，同时未审查开发单位提供的软件源代码中可能存在的后门。

3、测试验收：未组织对信息系统进行验收。

系统运维管理：
1、网络安全管理：缺少安全审计系统和网管系统，无法对网络设备及服务器运行日志进行信息分析、报警及审计；没有定期对网络设备进行系统版本升级及修补漏洞；
2、系统安全管理：缺少访问控制设备无法对业务进行访问控制，业务系统补丁前未在测试环境中进行测试验证并备份重要文件，直接在实际系统环境中进行补
丁升级；未建立系统安全管理制度；系统管理员未定期对运行日志和审计数据进行分析。

3、恶意代码防范管理：对防恶意代码软件的授权使用、恶意代码库升级，但未定期汇报等作出书面规定。

4、应急预案管理：未制定应急预案、培训及演练。

四、系统安全建设、整改建议
参见《××单位平台整改建议》
1测评项目概述
1.1测评目的
通过等级保护安全测评发现××单位平台存在的安全隐患、漏洞等，针对存在的问题提出有效的整改建议，从而使得信息系统达到相应等级的安全标准，进而提高信息系统的安全指数，使其安全、正常、稳定的运行。

1.2测评依据
《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）；
《中共中央办公厅国务院办公厅转发<国家信息化领导小组关于加强信息处理安全保障工作的意见>的通知》（中办发[2003]27号）；
《关于印发<关于信息安全等级保护工作的实施意见>的通知》（公通字[2004]66号文）；
《关于印发<信息安全等级保护管理办法>的通知》（公通字[2007]43号文）；
《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号文）；
《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008）；
《信息安全技术信息安全风险评估规范》（GB/T 20984-2007）；
《信息安全技术信息系统安全等级保护测评过程指南》（国标送审稿）；
《信息安全技术信息系统安全等级保护实施指南》（国标报批稿）；
《信息安全技术信息系统安全等级保护测评要求》（国标报批稿）；
《信息安全技术信息系统安全等级保护安全设计技术要求》（信安秘字[2009]059号）；
《广东省计算机信息系统安全保护条例》（2007年12月20日通过）；
《关于印发<广东省公安厅关于计算机信息系统安全保护的实施办法>的通知》（粤公通字[2008]228号文）。

《关于印发<广东省深化信息安全等级保护工作方案>的通知》（粤公通字[2009]45号文）；
……
1.3测评过程
图1 测评流程图
项目实施过程分为3 个阶段：
1、资料审查阶段：测评方发放等级保护测评调查表，由委托单位填写完整并提交给测评方，测评方对提交资料的完整性进行审查；
2、核查测试阶段：测评方根据调查资料，形成针对性的等级保护测评方案，并实施现场测评，该阶段完成后，形成现场测评记录表；
3、综合评估阶段：核查测试阶段结束后，测评方对结果记录进行整理。

在差距评估阶段，综合评估是对标准的各条要求进行符合性判断，并形成等级保护测评报告。

1.4报告分发范围
本报告一式两份，其中一份提交测评委托单位，一份由测评单位留存。

2被测系统情况
2.1基本信息
表2-1 网络系统情况表
2.2网络结构
××单位平台的基础网络设施、承载系统的服务器及存储设施均部署在信息中心机房，其所在的珠海市高栏港行政服务中心电子政务外网。

系统所在珠海市高栏港行政服务中心电子政务外网出口（网络带宽为100 M），系统网络由3台服务器直接接入1台汇聚交换机后接入行政服务中心网络。

其简要拓扑如下：
图2 网络拓扑图
2.3系统构成
2.3.1业务应用软件
序号软件名称主要功能(功能模块) 重要程度
1.××单位平台政务信息网上公开，投资项目网
上审批，社会事务网上办理，公
共决策网上互动，政府效能网上
监察
重要
2.3.2关键数据类别
序号数据类型所属业务应用重要程度1.各类业务信息××单位平台重要
2.3.3主机/存储设备
2.3.4网络互联与安全设备
2.3.5安全相关人员
2.3.6安全管理文档
2.4安全环境
信息系统可能面临的威胁如下列表：
3等级测评范围与方法3.1测评指标
3.1.1基本指标
3.1.2附加指标
无。

3.2测评对象
3.2.1测评对象选择方法
本次等级测评中采用抽查的方法，兼顾类别与数量。

测评对象包括安全设备、业务应用软件、主机操作系统、存储设备操作系统、数据库管理系统、安全相关人员、机房、介质以及管理文档。

本次选择过程中综合考虑信息系统的安全保护等级、业务应用特点和对象所在具体设备的重要情况等要素，机房、介质和管理文档不抽样。

3.2.2测评对象选择结果
3.2.2.1物理机房
3.2.2.2网络互联与安全设备
3.2.2.3业务应用软件
3.2.2.4主机（存储）操作系统
3.2.2.5访谈人员
3.2.2.6安全管理文档
3.3测评方法
3.3.1现场测评方法
现场测评方法主要包括访谈、检查和测试等三类。

访谈：测评人员通过与信息系统有关人员（个人/群体）进行交流、讨论等活动，获取证据以证明信息系统安全保护措施是否有效的一种方法。

检查：测评人员通过对测评对象进行观察、查验、分析等活动，获取证据以证明信息系统安全保护措施是否有效的一种方法。

测试：测评人员使用预定的方法/工具使测评对象产生特定的行为，通过查看、分析这些行为的结果，获取证据以证明信息系统安全保护措施是否有效的一种方法。

3.3.2风险分析方法
本次测评依据等级保护的相关规范和标准，对测评结果中存在的安全问题可能对信息系统安全造成的影响进行风险分析，分析过程包括：
1）判断安全问题被威胁利用的可能性；
2）判断安全问题被威胁利用后，对信息系统安全造成的影响程度；
3）综合1）和2）的结果对信息系统面临的风险进行汇总和分等级，风险等级的取值范围为高、中和低；
4）结合信息系统的安全保护等级对风险分析结果进行评价，即对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的风险。

4等级测评内容
4.1物理安全
4.1.1结果记录
根据该系统物理安全备测评对象的单项测评结果，可以判定得出物理安全层面测评指标的测评结论，具体如下表所示：
4.1.2结果汇总
物理安全测评结果汇总和统计表
4.1.3问题分析
根据现场测评记录结果和上表的统计，信息系统在物理安全方面采取的安全保护措施和存在的主要问题如下：
1、物理访问控制：机房内未部署视频监控系统。

2、防盗窃和防破坏：网络设备、安全设备、通信线缆均没有黏贴相应的且不易除去的标签；机房内未部署防盗报警系统。

3、防火：机房内未部署消防自动报警系统和灭火器。

4、温湿度控制：更换普通空调，采用精密空调，同时部署机房环境监控系统。

4.2网络安全
4.2.1结果记录
根据该系统网络安全备测评对象的单项测评结果，可以判定得出网络安全层面测评指标的测评结论，具体如下表所示：
4.2.1.1网络全局
4.2.1.2汇聚交换机
4.2.2结果汇总
网络全局安全测评结果汇总和统计表
汇聚交换机安全测评结果汇总和统计表
4.2.3问题分析
根据现场测评记录结果和上表的统计，信息系统在网络安全方面采取的安全保护措施和存在的主要问题如下：
1、结构安全：未按照业务功能以及部门办公划分多个vlan，需要部署防火墙、WAF防火墙、入侵检测设备和安全审计系统。

2、网络设备防护：汇聚交换机均未限制管理员的登录地址；汇聚交换机现有用户口令由字母组成，不符合复杂度要求，未定期更换；交换机虽开启的日志审计功能，但未对用户的行为进行审计。

日常执行远程管理时，汇集交换机未配置登录失败处理策略，未能有效阻止非法登陆。

4.3主机安全
4.3.1结果记录
根据该系统主机安全测评对象的单项测评结果，可以判定得出主机安全层面测评指标的测评结论，具体如下表所示：
4.3.1.1信息系统服务器（IP:192.168.70.252）
4.3.1.2数据库服务器（IP:192.168.70.102）。