信息管理系统安全等级测评报告Word文件下载.docx
《信息管理系统安全等级测评报告Word文件下载.docx》由会员分享,可在线阅读,更多相关《信息管理系统安全等级测评报告Word文件下载.docx(126页珍藏版)》请在冰点文库上搜索。
移动电话
电子邮件
ice@
测评单位
北京启明星辰信息安全技术有限公司
通信地址
广州市天河区中山大道西华景路一号南方通信大厦九楼
510640
刘平平
项目经理
技术部
020-38638218
13924135958
Liu_pingping@
报告审核批准
编制人
日期
2010.05
审核人
陈凌
批准人
刘思志
声明
本报告是广州市财政局国库集中支付单位版系统的安全等级测评报告。
本报告中给出的结论仅对目标系统的当时状况有效,当测评工作完成后系统出现任何变更,涉及到的模块(或子系统)都应重新进行测评,本报告不再适用。
本报告中给出的结论不能作为对系统内相关产品的测评结论。
本报告结论的有效性建立在用户提供材料的真实性基础上。
在任何情况下,若需引用本报告中的结果或数据都应保持其本来的意义,不得擅自进行增加、修改、伪造或掩盖事实。
广州市财政局国库集中支付单位版系统安全等级差距测评报告
报告目录
1测评项目概述 1
1.1测评目的 1
1.2测评依据 1
1.3测评过程 1
1.4报告分发范围 3
2被测系统情况 4
2.1基本信息 4
2.2业务应用 4
2.3网络结构 4
2.4系统构成 5
2.4.1业务应用软件 5
2.4.2关键数据类别 6
2.4.3主机/存储设备 6
2.4.4网络互联与安全设备 6
2.4.5安全相关人员 7
2.4.6安全管理文档 7
2.5安全环境 8
3等级测评范围与方法 9
3.1测评指标 9
3.1.1基本指标 9
3.1.2附加指标 11
3.2测评对象 11
3.2.1测评对象选择方法 11
3.2.2测评对象选择结果 12
3.3测评方法 15
3.3.1现场测评方法 15
3.3.2风险分析方法 15
4等级测评内容 16
4.1物理安全 16
4.1.1结果记录 16
4.1.2问题分析 17
4.1.3单元测评结果 17
4.2网络安全 18
4.2.1结果记录 18
4.2.2问题分析 19
4.2.3单元测评结果 20
4.3主机安全 20
4.3.1结果记录 20
4.3.2问题分析 21
4.3.3单元测评结果 22
4.4应用安全 22
4.4.1结果记录 22
4.4.2问题分析 24
4.4.3单元测评结果 24
4.5数据安全及备份恢复 24
4.5.1结果记录 24
4.5.2问题分析 25
4.5.3单元测评结果 25
4.6安全管理制度 25
4.6.1结果记录 25
4.6.2问题分析 26
4.6.3单元测评结果 26
4.7安全管理机构 27
4.7.1结果记录 27
4.7.2问题分析 27
4.7.3单元测评结果 28
4.8人员安全管理 29
4.8.1结果记录 29
4.8.2问题分析 29
4.8.3单元测评结果 30
4.9系统建设管理 30
4.9.1结果记录 30
4.9.2问题分析 32
4.9.3单元测评结果 32
4.10系统运维管理 33
4.10.1结果记录 33
4.10.2问题分析 36
4.10.3单元测评结果 36
4.11工具测试 37
5等级测评结果 38
5.1整体测评 38
5.1.1安全控制间安全测评 38
5.1.2层面间安全测评 41
5.1.3区域间安全测评 42
5.1.4系统结构安全测评 42
5.2测评结果 42
5.3统计图表 46
6风险分析和评价 47
6.1安全事件可能性及后果分析 47
6.2系统安全问题风险分析和评价表 49
7系统安全建设、整改建议 52
7.1物理安全 52
7.2网络安全 52
7.3主机安全 52
7.4应用安全 52
7.5数据安全及备份恢复 53
7.6安全管理制度 53
7.7安全管理机构 53
7.8人员安全管理 53
7.9系统建设管理 53
7.10系统运维管理 54
附录一:
安全漏洞扫描报告 55
附录二:
广州市财政局国库集中支付单位版系统等级保护评估表 104
1测评项目概述
1.1测评目的
实施信息安全等级保护,可以有效地提高广州市财政局信息安全建设的整体水平,并且指明方向。
有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;
有利于加强对涉及国家安全、经济秩序、社会稳定和公共利益的信息系统的安全保护和管理监督;
有利于明确国家、法人和其他组织、公民的安全责任,强化政府监管职能,共同落实各项安全建设和安全管理措施;
有利于提高安全保护的科学性、整体性、针对性,推动信息安全产业水平,逐步探索一条适应社会主义市场经济发展的信息安全发展模式。
1.2测评依据
开展测评活动所依据的合同、标准和文件:
1)《信息安全等级保护管理办法》(公通字[2007]43号)
2)《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号)1
3)GB/T22239-2008信息安全技术信息系统安全等级保护基本要求
4)GB/T20984-2007信息安全技术信息安全风险评估规范
5)《信息安全技术信息系统安全等级保护测评要求》(国标报批稿)
6)被测信息系统安全等级保护定级报告
7)等级测评任务书/测评合同等
1.3测评过程
(一)测评工作流程图
1针对“国家电子政务工程建设项目”有效
56
测评工作流程图如下:
(二)各阶段完成的关键任务
序号
阶段
任务
时间(工作日)
1
测评准备阶段
测评启动会
2
项目计划制定,双方达成共识
3
测评方案制定/双方达成共识
4
人员/工具/表格准备
5
资料收集阶段
数据(资料)收集
6
现场勘查
7
工具测试(扫描/渗透等)
8
测评过程结果整理
9
分析阶段
对数据进行分析
10
对照对应的信息系统等级技术和管理要求进行测评
11
测评报告阶段
整理测评结果,形成报告
12
对报告进行评审
13
项目验收
总天数:
41
1.4报告分发范围
公安网监部门:
广州市公安局网监
系统主管使用运营单位:
系统测评机构:
2被测系统情况
2.1基本信息
广州市财政局国库集中支付单位版系统
主管机构
系统承载业务情况
业务类型
01生产作业 02指挥调度 R3管理控制
04内部办公 05公众服务
09其他
业务描述
提供预算单位使用,主要包括上报用款计划、直接支付用款申请、开具单位授权支付令等业务。
系统服务情况
服务范围
010全国 011跨省(区、市)跨 个
020全省(区、市) 021跨地(市、区)跨 个
030地(市、区)内
R99其它市本级预算单位
服务对象
01单位内部人员02社会公众人员03两者均包括
R9其他_市本级预算单位财务人员
系统网络平台
覆盖范围
01局域网 02城域网 R3广域网
网络性质
R1业务专网 02互联网
09其它
系统互联情况
01与其他行业系统连接 02与本行业其他单位系统连接
03与本单位其他系统连接
业务信息安全保护等级
第二级
系统服务安全保护等级
信息系统安全保护等级
2.2业务应用
广州市财政局国库集中支付单位版系统供预算单位使用,主要包括上报用款计划、直接支付用款申请、开具单位授权支付令等业务。
2.3网络结构
广州市财政局国库集中支付单位版系统构成主要有:
两台SUN280R小型机提供应用服务,两台IBMP570小型机提供数据库服务,一台H3C8512核心交换机,一台Cisco2950、两台H3C5100接入层交换机。
系统边界部署两台NetScreen
SSG550、两台NetScreenISG1000防火墙设备,在业务服务器区和用户区之间配置安全访问控制策略;
并在接入层H3C 5100交换机上部署汉邦数据库行为系统,对
该业务系统数据库的操作进行实时监控。
目前该系统位于广州市信息办穗园小区2
楼信息中心机房,由广州市财政局信息中心人员负责运维。
网络拓扑图如下:
2.4系统构成
2.4.1业务应用软件
软件名称
主要功能
重要程度
1.
oracle10g
国库集中支付单位版系统数据库
非常重要
2.
sunapplicationserver
国库集中支付单位版系统中间件
重要
2.4.2关键数据类别
数据类型
所属业务应用
主机/存储设备
国库集中支付单位版系统
数据库
广州市财政局国库
集中支付单位版系统
IBMP570/国库集中支付单
位版系统数据库服务器
2.4.3主机/存储设备
设备名称
操作系统/数据库管理系统
业务应用
IBMP570
AIX5.3/oracle10g
国库集中支付单位版系统数
据库服务器
3.
SUN280R
solaris10/sunapplicationserver
国库集中支付单位版系统应
用服务器
4.
用途
Cisco2950
DMZ区接入层数据交换
Radware负载均衡器
DMZ区服务器负载均衡
H3C5100
业务应用系统区接入层数据交换
5.
业务应用系统区服务器负载均衡
2.4.4网络互联与安全设备
SSG-550-01
DMZ区安全防护
SSG-550-02
NetScreen-ISG1000-01
业务应用系统区安全防护
NetScreen-ISG1000-02
汉邦数据库行为审计
业务应用系统区数据库行为审计
2.4.5安全相关人员
姓名
岗位/角色
联系方式
2.4.6安全管理文档
文档名称
主要内容
《广州市财政局机房管理
规定》
主要包括:
机房访问控制、机房安全管理、机房卫生管理、机房设备
管理等方面内容。
《广州市财政局机房出入
管理制度》
对进出财政局机房人员进行规范化管理。
《网络病毒应急预案》
确定组织分工、启动条件、处理标准、通告机制等内容;
本单位一旦发现重大计算机病毒事件,能有效防止病毒扩散,阻止事态扩大,尽快恢复运行环境,协助生产系统恢复运行,减少突发事件损失,将影响降至最低程度,提高各部门协同应急处理能力。
《广州市财政局信息安全总体规划及数据应用安全建设项目安全管理制度及流程》
安全保密管理制度、运行环境管理制度、技术档案与软件管理制度、数据库管理制度、服务器系统管理制度、网络管理制度、应用系统管理制度、安全事件处理流程、项目开发安全管理制度、应急响应流程等内容。
广州市财政局信息安全总
管理组织机构设置,成立信息安全领导小组,信息安全工
体规划及数据应用安全建设项目安全组织管理体系
和职责
作组,人员岗位的设置及职责要求等内容。
中华人民共和国计算机信息系统安全保护条例、中华人民
共和国计算机信息网络国际联网管理暂行规定
6.
广州市财政局信息安全总体规划及数据应用安全建设项目法律法规及安全标
准
、计算机信息系统安全专用产品检测和销售许可证管理办法、计算机信息网络国际联网安全保护管理办法、商用密码管理条例、国家密码管理委员会办公室公告(第一号)、计算机病毒防治管理办法、全国人
民代表大会常务委员会关于维护互联网安全的决定、计算机信息系统
保密管理暂行规定、电子计算机机房设计规范等内容。
2.5安全环境
威胁分(子)类
描述
威胁赋值
管理制度和策略不完善、管理规程缺
失、职责不明确、监督控管机制不健全等。
安全管理无法落实或不到位,
从而破坏信息系统正常有序运行。
低
病毒、特洛伊木马、蠕虫、陷门、间
谍软件、窃听软件等
故意在计算机系统上执行恶意
任务的程序代码
很高
非授权访问网络资源、非授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息等
通过采用一些措施,超越自己的权限访问本来无权访问的资源,或者滥用自已的权限,做
出破坏信息系统的行为
中等
网络探测和信息采集、漏洞探测、嗅探(帐号、口令、权限等)、用户身份伪造和欺骗、用户或业务数据的窃取
和破坏、系统运行的控制和破坏等
利用工具和技术通过网络对信息系统进行攻击和人侵
高
内部信息泄露、外部信息泄露等
信息泄露给不应了解的他人
篡改网络配置信息、篡改系统配置信
息、篡改安全配置信息、篡改用户身
非法修改信息,破坏信息的完
整性使系统的安全性降低或信
份信息或业务数据信息等
息不可用
软件故障
软件因为故障而可用性降低或
不可用
3等级测评范围与方法
3.1测评指标
依据定级结果选择《基本要求》中对应级别的安全要求作为等级测评的基本指标。
3.1.1基本指标
安全分类
安全子类
测评项数
备注
物理安全
物理位置的选择
无
物理访问控制
防盗窃和防破坏
防雷击
防火
防水和防潮
防静电
温湿度控制
电力供应
电磁防护
网络安全
结构安全
访问控制
安全审计
边界完整性检测
入侵防范
恶意代码防范
网络设备防护
主机安全
身份鉴别
资源控制
应用安全
通信完整性
通信保密性
软件容错
数据安全及备份恢复
数据完整性
数据保密性
数据备份和恢复
安全管理机构
岗位设置
人员配备
授权和审批
沟通和合作
审核和检查
安全管理制度
管理制度
制定和发布
评审和修订
人员安全管理
人员录用
人员离岗
人员考核
安全意识教育和培训
外部人员访问管理
系统建设管理
系统定级
安全方案设计
产品采购
自行软件开发
外包软件开发
工程实施
测试验收
系统交付
系统备案
等级测评
安全服务商选择
系统运维管理
环境管理
资产管理
介质管理
设备管理
监控管理和安全管理中心
网络安全管理
系统安全管理
恶意代码防范管理
密码管理
变更管理
备份与恢复管理
安全事件处理
应急预案管理
3.1.2附加指标
3.2测评对象
3.2.1测评对象选择方法
第二级信息系统的等级测评,测评对象的种类和数量都较多,重点抽查重要的设备、设施、人员和文档等。
可以抽查的测评对象种类主要考虑以下几个方面:
1.主机房(包括其环境、设备和设施等),如果某一辅机房中放置了服务于整个信息系统或对信息系统的安全性起决定作用的设备、设施,那么也应该作为测评对象;
2.存储被测系统重要数据的介质的存放环境;
3.整个系统的网络拓扑结构;
4.安全设备,包括防火墙、入侵检测设备、防病毒网关等;
5.边界网络设备(可能会包含安全设备),包括路由器、防火墙和认证网关等;
6.对整个信息系统或其局部的安全性起决定作用的网络互联设备,如核心交换机、汇聚层交换机、核心路由器等;
7.承载被测系统核心或重要业务、数据的服务器(包括其操作系统和数据库)
;
8.重要管理终端;
9.能够代表被测系统主要使命的业务应用系统;
10.信息安全主管人员、各方面的负责人员;
11.涉及到信息系统安全的所有管理制度和记录。
在本级信息系统测评时,信息系统中配置相同的安全设备、边界网络设备、网络互联设备以及服务器应至少抽查两台作为测评对象。
3.2.2测评对象选择结果
1)网络互联设备操作系统
2)安全设备操作系统
3)业务应用软件
sunapplicationserve
升级会员 