廣州市財(cái)政局預(yù)算管理系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告

1、附件 4-5. 廣州市財(cái)政局廣州市財(cái)政局 預(yù)算管理系統(tǒng)預(yù)算管理系統(tǒng) 安全等級(jí)測(cè)評(píng)報(bào)告安全等級(jí)測(cè)評(píng)報(bào)告 系統(tǒng)名稱(chēng)：系統(tǒng)名稱(chēng)：廣州市財(cái)政局預(yù)算管理系統(tǒng) 委托單位：委托單位：廣州市財(cái)政局 測(cè)評(píng)單位：測(cè)評(píng)單位：北京啟明星辰信息安全技術(shù)有限公司 20102010 年年 0505 月月 報(bào)告摘要報(bào)告摘要 一、測(cè)評(píng)工作概述 廣州市財(cái)政局預(yù)算管理系統(tǒng)是廣州市財(cái)政局的一個(gè)等級(jí)保 護(hù)三級(jí)系統(tǒng)。該系統(tǒng)主要提供提供財(cái)政指標(biāo)管理、用款計(jì)劃管 理、資金支付、會(huì)計(jì)核算等業(yè)務(wù)。 本次測(cè)評(píng)主要依據(jù) gb/t-22239信息系統(tǒng)安全等級(jí)保護(hù)基 本要求、 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則，針對(duì)廣州市財(cái)政 局預(yù)算管理系統(tǒng)，按照物理安全、

2、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安 全、數(shù)據(jù)安全、安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、 系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理 10 個(gè)類(lèi)別進(jìn)行測(cè)評(píng)。 二、等級(jí)測(cè)評(píng)結(jié)果 由于廣州市財(cái)政局預(yù)算管理系統(tǒng)的基本符合項(xiàng)和不符合項(xiàng) 總數(shù)較多且會(huì)導(dǎo)致信息系統(tǒng)面臨高等級(jí)安全風(fēng)險(xiǎn)，因此該系統(tǒng) 的測(cè)評(píng)結(jié)論為不符合。 三、系統(tǒng)存在的主要問(wèn)題 在網(wǎng)絡(luò)層面：網(wǎng)絡(luò)結(jié)構(gòu)不合理、未進(jìn)行安全域的劃分、無(wú)網(wǎng) 絡(luò)準(zhǔn)入措施、部分網(wǎng)絡(luò)邊界未采取措施檢測(cè)和清除惡意代碼。 主機(jī)層面：主機(jī)安全配置大部分為默認(rèn)配置，未根據(jù)業(yè)務(wù) 進(jìn)行優(yōu)化；未采取技術(shù)手段，定期對(duì)網(wǎng)絡(luò)系統(tǒng)和業(yè)務(wù)應(yīng)用系統(tǒng) 進(jìn)行漏洞掃描，不能及時(shí)發(fā)現(xiàn)系統(tǒng)自身存在的高危風(fēng)險(xiǎn)漏洞。 在應(yīng)用層面：未采

3、取技術(shù)措施保障通信的完整性、保密性， 未采取技術(shù)措施保障應(yīng)用的抗抵賴性，未對(duì)應(yīng)用層作資源控制。 四、系統(tǒng)安全建設(shè)、整改建議 建議采取網(wǎng)絡(luò)層防病毒、安全審計(jì)、漏洞掃描、網(wǎng)絡(luò)準(zhǔn)入等 措施，消除網(wǎng)絡(luò)層面和主機(jī)層面存在的安全隱患。 報(bào)告基本信息 信息系統(tǒng)基本情況 系統(tǒng)名稱(chēng) 廣州市財(cái)政局 預(yù)算管理系統(tǒng) 安全保護(hù)等級(jí) 三級(jí) 機(jī)房位置 廣州市華利路 61 號(hào) 1008 被測(cè)單位 單位名稱(chēng) 廣州市財(cái)政局 單位地址 廣州市華利路 61 號(hào) 1008 郵政編碼510623 姓 名梁健職務(wù)/職稱(chēng) 所屬部門(mén) 廣州市財(cái)政信息中 心 辦公電話系人 移動(dòng)電話電子郵件 測(cè)評(píng)單位 單位名稱(chēng) 北京啟明

4、星辰信息安全技術(shù)有限公司 通信地址 廣州市天河區(qū)中山大道西華景路一號(hào)南方通信大廈九樓 郵政編碼510640 姓 名劉平平職務(wù)/職稱(chēng)項(xiàng)目經(jīng)理 所屬部門(mén)技術(shù)部辦公電話系人 移動(dòng)電話電子郵件 liu_ 編制人劉平平日期 2010.05 審核人陳凌日期 2010.05 報(bào)告 審核批準(zhǔn) 批準(zhǔn)人劉思志日期 2010.05 聲明聲明 本報(bào)告是廣州市財(cái)政局預(yù)算管理系統(tǒng)的安全等級(jí)測(cè)評(píng)報(bào)告。 本報(bào)告中給出的結(jié)論僅對(duì)目標(biāo)系統(tǒng)的當(dāng)時(shí)狀況有效，當(dāng)測(cè) 評(píng)工作完成后系統(tǒng)出現(xiàn)任何變更，涉及到的模塊（或子系統(tǒng)） 都應(yīng)重新進(jìn)行測(cè)評(píng)，本報(bào)告不再適用。 本報(bào)告中給出的結(jié)論不能作為

5、對(duì)系統(tǒng)內(nèi)相關(guān)產(chǎn)品的測(cè)評(píng)結(jié) 論。 本報(bào)告結(jié)論的有效性建立在用戶提供材料的真實(shí)性基礎(chǔ)上。 在任何情況下，若需引用本報(bào)告中的結(jié)果或數(shù)據(jù)都應(yīng)保持 其本來(lái)的意義，不得擅自進(jìn)行增加、修改、偽造或掩蓋事實(shí)。 北京啟明星辰信息安全技術(shù)有限公司 2010 年 05 月 報(bào)告目錄報(bào)告目錄 1測(cè)評(píng)項(xiàng)目概述測(cè)評(píng)項(xiàng)目概述.1 1.1測(cè)評(píng)目的測(cè)評(píng)目的 .1 1.2測(cè)評(píng)依據(jù)測(cè)評(píng)依據(jù) .1 1.3測(cè)評(píng)過(guò)程測(cè)評(píng)過(guò)程 .1 1.4報(bào)告分發(fā)范圍報(bào)告分發(fā)范圍.3 2被測(cè)系統(tǒng)情況被測(cè)系統(tǒng)情況.4 2.1基本信息基本信息 .4 2.2業(yè)務(wù)應(yīng)用業(yè)務(wù)應(yīng)用 .4 2.3網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)絡(luò)結(jié)構(gòu) .4 2.4系統(tǒng)構(gòu)成系統(tǒng)構(gòu)成 .5 2.4.1業(yè)務(wù)應(yīng)用軟

6、件.5 2.4.2關(guān)鍵數(shù)據(jù)類(lèi)別.5 2.4.3主機(jī)/存儲(chǔ)設(shè)備.6 2.4.4網(wǎng)絡(luò)互聯(lián)與安全設(shè)備.6 2.4.5安全相關(guān)人員.6 2.4.6安全管理文檔.7 2.5安全環(huán)境安全環(huán)境 .8 3等級(jí)測(cè)評(píng)范圍與方法等級(jí)測(cè)評(píng)范圍與方法.8 3.1測(cè)評(píng)指標(biāo)測(cè)評(píng)指標(biāo) .8 3.1.1基本指標(biāo).8 3.1.2附加指標(biāo).10 3.2測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象 .11 3.2.1測(cè)評(píng)對(duì)象選擇方法.11 3.2.2測(cè)評(píng)對(duì)象選擇結(jié)果.11 3.3測(cè)評(píng)方法測(cè)評(píng)方法 .14 3.3.1現(xiàn)場(chǎng)測(cè)評(píng)方法.14 3.3.2風(fēng)險(xiǎn)分析方法.14 4等級(jí)測(cè)評(píng)內(nèi)容等級(jí)測(cè)評(píng)內(nèi)容.16 4.1物理安全物理安全 .16 4.1.1結(jié)果記錄.16 4.1

7、.2問(wèn)題分析.18 4.1.3單元測(cè)評(píng)結(jié)果.18 4.2網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全 .18 4.2.1結(jié)果記錄.18 4.2.2問(wèn)題分析.21 4.2.3單元測(cè)評(píng)結(jié)果.22 4.3主機(jī)安全主機(jī)安全 .22 4.3.1結(jié)果記錄.22 4.3.2問(wèn)題分析.24 4.3.3單元測(cè)評(píng)結(jié)果.25 4.4應(yīng)用安全應(yīng)用安全 .25 4.4.1結(jié)果記錄.25 4.4.2問(wèn)題分析.29 4.4.3單元測(cè)評(píng)結(jié)果.29 4.5數(shù)據(jù)安全及備份恢復(fù)數(shù)據(jù)安全及備份恢復(fù).29 4.5.1結(jié)果記錄.29 4.5.2問(wèn)題分析.30 4.5.3單元測(cè)評(píng)結(jié)果.30 4.6安全管理制度安全管理制度.31 4.6.1結(jié)果記錄.31 4.6.2問(wèn)

8、題分析.32 4.6.3單元測(cè)評(píng)結(jié)果.32 4.7安全管理機(jī)構(gòu)安全管理機(jī)構(gòu).32 4.7.1結(jié)果記錄.32 4.7.2問(wèn)題分析.34 4.7.3單元測(cè)評(píng)結(jié)果.34 4.8人員安全管理人員安全管理.35 4.8.1結(jié)果記錄.35 4.8.2問(wèn)題分析.36 4.8.3單元測(cè)評(píng)結(jié)果.36 4.9系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理.37 4.9.1結(jié)果記錄.37 4.9.2問(wèn)題分析.40 4.9.3單元測(cè)評(píng)結(jié)果.40 4.10系統(tǒng)運(yùn)維管理系統(tǒng)運(yùn)維管理.41 4.10.1結(jié)果記錄.41 4.10.2問(wèn)題分析.47 4.10.3單元測(cè)評(píng)結(jié)果.47 4.11工具測(cè)試工具測(cè)試 .48 5等級(jí)測(cè)評(píng)結(jié)果等級(jí)測(cè)評(píng)結(jié)果.49

9、5.1整體測(cè)評(píng)整體測(cè)評(píng) .49 5.1.1安全控制間安全測(cè)評(píng).49 5.1.2層面間安全測(cè)評(píng).52 5.1.3區(qū)域間安全測(cè)評(píng).53 5.1.4系統(tǒng)結(jié)構(gòu)安全測(cè)評(píng).53 5.2測(cè)評(píng)結(jié)果測(cè)評(píng)結(jié)果 .54 5.3統(tǒng)計(jì)圖表統(tǒng)計(jì)圖表 .57 6風(fēng)險(xiǎn)分析和評(píng)價(jià)風(fēng)險(xiǎn)分析和評(píng)價(jià).58 6.1安全事件可能性及后果分析安全事件可能性及后果分析.58 6.2系統(tǒng)安全問(wèn)題風(fēng)險(xiǎn)分析和評(píng)價(jià)表系統(tǒng)安全問(wèn)題風(fēng)險(xiǎn)分析和評(píng)價(jià)表.61 7系統(tǒng)安全建設(shè)、整改建議系統(tǒng)安全建設(shè)、整改建議 .68 7.1物理安全物理安全 .68 7.2網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全 .68 7.3主機(jī)安全主機(jī)安全 .69 7.4應(yīng)用安全應(yīng)用安全 .69 7.5數(shù)據(jù)安全及

10、備份恢復(fù)數(shù)據(jù)安全及備份恢復(fù).70 7.6安全管理制度安全管理制度.70 7.7安全管理機(jī)構(gòu)安全管理機(jī)構(gòu).70 7.8人員安全管理人員安全管理.70 7.9系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理.70 7.10系統(tǒng)運(yùn)維管理系統(tǒng)運(yùn)維管理.71 附錄一：安全漏洞掃描報(bào)告附錄一：安全漏洞掃描報(bào)告.72 附錄二：預(yù)算管理系統(tǒng)等級(jí)保護(hù)評(píng)估表附錄二：預(yù)算管理系統(tǒng)等級(jí)保護(hù)評(píng)估表.118 1測(cè)評(píng)項(xiàng)目概述測(cè)評(píng)項(xiàng)目概述 1.1測(cè)評(píng)目的測(cè)評(píng)目的 實(shí)施信息安全等級(jí)保護(hù)，可以有效地提高廣州市財(cái)政局信息安全建設(shè)的整體水 平，并且指明方向。有利于在信息化建設(shè)過(guò)程中同步建設(shè)信息安全設(shè)施，保障信息 安全與信息化建設(shè)相協(xié)調(diào)；有利于加強(qiáng)對(duì)涉及國(guó)家

11、安全、經(jīng)濟(jì)秩序、社會(huì)穩(wěn)定和公 共利益的信息系統(tǒng)的安全保護(hù)和管理監(jiān)督；有利于明確國(guó)家、法人和其他組織、公 民的安全責(zé)任，強(qiáng)化政府監(jiān)管職能，共同落實(shí)各項(xiàng)安全建設(shè)和安全管理措施；有利 于提高安全保護(hù)的科學(xué)性、整體性、針對(duì)性，推動(dòng)信息安全產(chǎn)業(yè)水平，逐步探索一 條適應(yīng)社會(huì)主義市場(chǎng)經(jīng)濟(jì)發(fā)展的信息安全發(fā)展模式。 1.2測(cè)評(píng)依據(jù)測(cè)評(píng)依據(jù) 開(kāi)展測(cè)評(píng)活動(dòng)所依據(jù)的合同、標(biāo)準(zhǔn)和文件： 1) 信息安全等級(jí)保護(hù)管理辦法 （公通字200743 號(hào)） 2) 關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知 （發(fā) 改高技20082071 號(hào)）1 3) gb/t 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)

12、基本要求 4) gb/t 20984-2007 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范 5) 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求 （國(guó)標(biāo)報(bào)批稿） 6) 被測(cè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告 7) 等級(jí)測(cè)評(píng)任務(wù)書(shū)/測(cè)評(píng)合同等 1.3測(cè)評(píng)過(guò)程測(cè)評(píng)過(guò)程 （一） 測(cè)評(píng)工作流程圖 1 針對(duì)“國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目”有效 測(cè)評(píng)工作流程圖如下： （二） 各階段完成的關(guān)鍵任務(wù) 序號(hào)序號(hào)階段階段任務(wù)任務(wù)時(shí)間（工作日）時(shí)間（工作日） 1 測(cè)評(píng)啟動(dòng)會(huì) 1 2 項(xiàng)目計(jì)劃制定，雙方達(dá)成共識(shí) 3 3 測(cè)評(píng)準(zhǔn)備階段測(cè)評(píng)準(zhǔn)備階段 測(cè)評(píng)方案制定/雙方達(dá)成共識(shí) 3 4 人員/工具/表格準(zhǔn)備 3 5 數(shù)據(jù)（資料）收集 3 6 現(xiàn)

13、場(chǎng)勘查 2 7 工具測(cè)試（掃描/滲透等） 5 8 資料收集階段資料收集階段 測(cè)評(píng)過(guò)程結(jié)果整理 4 9 對(duì)數(shù)據(jù)進(jìn)行分析 5 10 分析階段分析階段 對(duì)照對(duì)應(yīng)的信息系統(tǒng)等級(jí)技術(shù)和管理要求進(jìn)行測(cè)評(píng) 5 11 整理測(cè)評(píng)結(jié)果，形成報(bào)告 3 12 對(duì)報(bào)告進(jìn)行評(píng)審 3 13 測(cè)評(píng)報(bào)告階段測(cè)評(píng)報(bào)告階段 項(xiàng)目驗(yàn)收 1 總天數(shù):41 1.4報(bào)告分發(fā)范圍報(bào)告分發(fā)范圍 公安網(wǎng)監(jiān)部門(mén)：廣州市公安局網(wǎng)監(jiān) 系統(tǒng)主管使用運(yùn)營(yíng)單位：廣州市財(cái)政局 系統(tǒng)測(cè)評(píng)機(jī)構(gòu)：北京啟明星辰信息安全技術(shù)有限公司 2被測(cè)系統(tǒng)情況被測(cè)系統(tǒng)情況 2.1基本信息基本信息 系統(tǒng)名稱(chēng)系統(tǒng)名稱(chēng)廣州市財(cái)政局預(yù)算管理系統(tǒng) 主管機(jī)構(gòu)主管機(jī)構(gòu)廣州市財(cái)政局 業(yè)務(wù)類(lèi)型 1

14、 生產(chǎn)作業(yè) 2 指揮調(diào)度 3 管理控制 4 內(nèi)部辦公 5 公眾服務(wù) 9 其他 系統(tǒng)承載系統(tǒng)承載 業(yè)務(wù)情況業(yè)務(wù)情況 業(yè)務(wù)描述主要包括財(cái)政指標(biāo)管理、用款計(jì)劃管理、資金支付、會(huì)計(jì)核算業(yè)務(wù)。 服務(wù)范圍 10 全國(guó) 11 跨?。▍^(qū)、市） 跨 個(gè) 20 全?。▍^(qū)、市） 21 跨地（市、區(qū)） 跨 個(gè) 30 地（市、區(qū)）內(nèi) 99 其它 單位內(nèi)部 系統(tǒng)服務(wù)系統(tǒng)服務(wù) 情況情況 服務(wù)對(duì)象 1 單位內(nèi)部人員 2 社會(huì)公眾人員 3 兩者均包括 9 其他 覆蓋范圍 1 局域網(wǎng) 2 城域網(wǎng) 3 廣域網(wǎng) 9 其他系統(tǒng)網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò) 平臺(tái)平臺(tái) 網(wǎng)絡(luò)性質(zhì) 1 業(yè)務(wù)專(zhuān)網(wǎng) 2 互聯(lián)網(wǎng) 9 其它 系統(tǒng)互聯(lián)系統(tǒng)互聯(lián) 情況情況 1 與其他行

15、業(yè)系統(tǒng)連接 2 與本行業(yè)其他單位系統(tǒng)連接 3 與本單位其他系統(tǒng)連接 9 其它 業(yè)務(wù)信息安全保護(hù)等級(jí)業(yè)務(wù)信息安全保護(hù)等級(jí)第三級(jí) 系統(tǒng)服務(wù)安全保護(hù)等級(jí)系統(tǒng)服務(wù)安全保護(hù)等級(jí)第三級(jí) 信息系統(tǒng)安全保護(hù)等級(jí)信息系統(tǒng)安全保護(hù)等級(jí)第三級(jí) 2.2業(yè)務(wù)應(yīng)用業(yè)務(wù)應(yīng)用 廣州市財(cái)政局預(yù)算管理系統(tǒng)主要提供財(cái)政指標(biāo)管理、用款計(jì)劃管理、資金支付、 會(huì)計(jì)核算等業(yè)務(wù)。 2.3網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)絡(luò)結(jié)構(gòu) 預(yù)算管理系統(tǒng)是 c/s 架構(gòu)，由兩臺(tái) ibm p660 小型機(jī)作負(fù)載均衡，提供數(shù)據(jù)庫(kù) 系統(tǒng)服務(wù)。數(shù)據(jù)庫(kù)服務(wù)器經(jīng) h3c 9508 核心交換機(jī)對(duì)公司內(nèi)部網(wǎng)絡(luò)用戶提供預(yù)算管 理業(yè)務(wù)；系統(tǒng)邊界部署了億陽(yáng)防火墻、中網(wǎng)網(wǎng)閘、utm 設(shè)備，保障人行金庫(kù)

16、、政務(wù) 內(nèi)網(wǎng)、政務(wù)外網(wǎng)之間預(yù)算管理數(shù)據(jù)交互的安全；數(shù)據(jù)庫(kù)服務(wù)器和本單位預(yù)算管理客 戶端之間通過(guò) utm 設(shè)置安全訪問(wèn)控制策略。目前該系統(tǒng)位于廣州市財(cái)政局 10 樓信 息中心機(jī)房，由廣州市財(cái)政局信息中心人員負(fù)責(zé)運(yùn)維。 網(wǎng)絡(luò)拓?fù)鋱D如下： 2.4系統(tǒng)系統(tǒng)構(gòu)成構(gòu)成 2.4.1 業(yè)務(wù)應(yīng)用軟件業(yè)務(wù)應(yīng)用軟件 序號(hào)序號(hào)軟件名稱(chēng)軟件名稱(chēng)主要功能主要功能重要程度重要程度 1.oracle 10g rac 預(yù)算管理數(shù)據(jù)庫(kù)非常重要 2.4.2 關(guān)鍵數(shù)據(jù)類(lèi)別關(guān)鍵數(shù)據(jù)類(lèi)別 序號(hào)序號(hào)數(shù)據(jù)類(lèi)型數(shù)據(jù)類(lèi)型所屬業(yè)務(wù)應(yīng)用所屬業(yè)務(wù)應(yīng)用主機(jī)主機(jī)/ /存儲(chǔ)設(shè)備存儲(chǔ)設(shè)備重要程度重要程度 1. 預(yù)算管理數(shù)據(jù)庫(kù)單位預(yù)算管理 ibm p660 /

17、預(yù)算管理數(shù)據(jù)庫(kù) 服務(wù)器 非常重要 2.4.3 主機(jī)主機(jī)/ /存儲(chǔ)設(shè)備存儲(chǔ)設(shè)備 序號(hào)序號(hào)設(shè)備名稱(chēng)設(shè)備名稱(chēng)操作系統(tǒng)操作系統(tǒng)/ /數(shù)據(jù)庫(kù)管理系統(tǒng)數(shù)據(jù)庫(kù)管理系統(tǒng)業(yè)務(wù)應(yīng)用業(yè)務(wù)應(yīng)用 1.ibm p660aix 5.3/ oracle 10g 預(yù)算管理數(shù)據(jù)庫(kù)服務(wù)器 2.4.4 網(wǎng)絡(luò)互聯(lián)與安全設(shè)備網(wǎng)絡(luò)互聯(lián)與安全設(shè)備 序號(hào)序號(hào)設(shè)備名稱(chēng)設(shè)備名稱(chēng)用用 途途重要程度重要程度 1.gzcz-n-idc-h9508-01 內(nèi)網(wǎng)服務(wù)器核心交換機(jī)-1非常重要 2.gzcz-n-idc-h9508-02 內(nèi)網(wǎng)服務(wù)器核心交換機(jī)-2非常重要 3.gzcz-n-idc-ad1000-01 radware 負(fù)載均衡器-01重要 4.g

18、zcz-n-idc-h5500-24-01 內(nèi)網(wǎng)服務(wù)器接入層交換機(jī)-01重要 5.gzcz-n-idc-h5500-24-02 內(nèi)網(wǎng)服務(wù)器接入層交換機(jī)-01重要 序號(hào)序號(hào)設(shè)備名稱(chēng)設(shè)備名稱(chēng)用用 途途重要程度重要程度 1. 中網(wǎng)網(wǎng)閘匯聚內(nèi)網(wǎng)業(yè)務(wù)數(shù)據(jù)供人行金庫(kù)所用非常重要 2. 中網(wǎng)網(wǎng)閘匯聚內(nèi)網(wǎng)業(yè)務(wù)數(shù)據(jù)供政務(wù)外網(wǎng)所用非常重要 3. 加密機(jī)人行金庫(kù)鏈路加密非常重要 4. 億陽(yáng)防火墻電子政務(wù)內(nèi)網(wǎng)邊界安全防護(hù)非常重要 5. 天闐 ids內(nèi)網(wǎng)服務(wù)器區(qū)安全事件檢測(cè)非常重要 6. 天清漢馬 utm內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)服務(wù)器區(qū)安全防護(hù)非常重要 2.4.5 安全相關(guān)人員安全相關(guān)人員 序號(hào)序號(hào)姓名姓名崗位崗位/ /角色角色聯(lián)

19、系方式聯(lián)系方式 2.4.6 安全管理文檔安全管理文檔 序號(hào)序號(hào)文檔名稱(chēng)文檔名稱(chēng)主要內(nèi)容主要內(nèi)容 1. 廣州市財(cái)政局機(jī)房管理 規(guī)定 主要包括：機(jī)房訪問(wèn)控制、機(jī)房安全管理、機(jī)房衛(wèi)生管理、機(jī)房設(shè)備 管理等方面內(nèi)容。 2. 廣州市財(cái)政局機(jī)房出入 管理制度 主要包括：對(duì)進(jìn)出財(cái)政局機(jī)房人員進(jìn)行規(guī)范化管理。 3. 網(wǎng)絡(luò)病毒應(yīng)急預(yù)案 主要包括：確定組織分工、啟動(dòng)條件、處理標(biāo)準(zhǔn)、通告機(jī)制等內(nèi)容； 本單位一旦發(fā)現(xiàn)重大計(jì)算機(jī)病毒事件，能有效防止病毒擴(kuò)散，阻止事 態(tài)擴(kuò)大，盡快恢復(fù)運(yùn)行環(huán)境，協(xié)助生產(chǎn)系統(tǒng)恢復(fù)運(yùn)行，減少突發(fā)事件 損失，將影響降至最低程度，提高各部門(mén)協(xié)同應(yīng)急處理能力。 4. 廣州市財(cái)政局信息安全 總體規(guī)劃及

20、數(shù)據(jù)應(yīng)用安全 建設(shè)項(xiàng)目安全管理制度及 流程 主要包括：安全保密管理制度、運(yùn)行環(huán)境管理制度、技術(shù)檔案與軟件 管理制度、數(shù)據(jù)庫(kù)管理制度、服務(wù)器系統(tǒng)管理制度、網(wǎng)絡(luò)管理制度、 應(yīng)用系統(tǒng)管理制度、安全事件處理流程、項(xiàng)目開(kāi)發(fā)安全管理制度、應(yīng) 急響應(yīng)流程等內(nèi)容。 5. 廣州市財(cái)政局信息安全總 體規(guī)劃及數(shù)據(jù)應(yīng)用安全建 設(shè)項(xiàng)目安全組織管理體系 和職責(zé) 主要包括：管理組織機(jī)構(gòu)設(shè)置，成立信息安全領(lǐng)導(dǎo)小組，信息安全工 作組，人員崗位的設(shè)置及職責(zé)要求等內(nèi)容。 6. 廣州市財(cái)政局信息安全總 體規(guī)劃及數(shù)據(jù)應(yīng)用安全建 設(shè)項(xiàng)目法律法規(guī)及安全標(biāo) 準(zhǔn) 主要包括：中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例、中華人民 共和國(guó)計(jì)算機(jī)信息網(wǎng)

21、絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定 、計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)用產(chǎn)品檢測(cè)和銷(xiāo)售許可證管理辦法、計(jì)算機(jī) 信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法、商用密碼管理?xiàng)l例、國(guó)家密碼 管理委員會(huì)辦公室公告（第一號(hào)） 、計(jì)算機(jī)病毒防治管理辦法、全國(guó)人 民代表大會(huì)常務(wù)委員會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定、計(jì)算機(jī)信息系統(tǒng) 保密管理暫行規(guī)定、電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范等內(nèi)容。 2.5安全環(huán)境安全環(huán)境 序號(hào)序號(hào)威脅分（子）類(lèi)威脅分（子）類(lèi)描述描述威脅賦值威脅賦值 1 管理制度和策略不完善、管理規(guī)程缺 失、職責(zé)不明確、監(jiān)督控管機(jī)制不健 全等。 安全管理無(wú)法落實(shí)或不到位， 從而破壞信息系統(tǒng)正常有序運(yùn) 行。 低 2 病毒、特洛伊木馬、蠕蟲(chóng)、陷門(mén)、間 諜軟

22、件、竊聽(tīng)軟件等 故意在計(jì)算機(jī)系統(tǒng)上執(zhí)行惡意 任務(wù)的程序代碼 很高 3 非授權(quán)訪問(wèn)網(wǎng)絡(luò)資源、非授權(quán)訪問(wèn)系 統(tǒng)資源、濫用權(quán)限非正常修改系統(tǒng)配 置或數(shù)據(jù)、濫用權(quán)限泄露秘密信息等 通過(guò)采用一些措施，超越自己 的權(quán)限訪問(wèn)本來(lái)無(wú)權(quán)訪問(wèn)的資 源，或者濫用自已的權(quán)限，做 出破壞信息系統(tǒng)的行為 中等 4 網(wǎng)絡(luò)探測(cè)和信息采集、漏洞探測(cè)、嗅 探(帳號(hào)、口令、權(quán)限等)、用戶身份 偽造和欺騙、用戶或業(yè)務(wù)數(shù)據(jù)的竊取 和破壞、系統(tǒng)運(yùn)行的控制和破壞等 利用工具和技術(shù)通過(guò)網(wǎng)絡(luò)對(duì)信 息系統(tǒng)進(jìn)行攻擊和人侵 高 5 內(nèi)部信息泄露、外部信息泄露等信息泄露給不應(yīng)了解的他人高 6 篡改網(wǎng)絡(luò)配置信息、篡改系統(tǒng)配置信 息、篡改安全配置信息、篡

23、改用戶身 份信息或業(yè)務(wù)數(shù)據(jù)信息等 非法修改信息，破壞信息的完 整性使系統(tǒng)的安全性降低或信 息不可用 很高 7 軟件故障軟件因?yàn)楣收隙捎眯越档突?不可用 很高 3等級(jí)測(cè)評(píng)等級(jí)測(cè)評(píng)范圍與方法范圍與方法 3.1測(cè)評(píng)指標(biāo)測(cè)評(píng)指標(biāo) 依據(jù)定級(jí)結(jié)果選擇基本要求中對(duì)應(yīng)級(jí)別的安全要求作為等級(jí)測(cè)評(píng)的基本指 標(biāo)。 3.1.1 基本指標(biāo)基本指標(biāo) 安全分類(lèi)安全分類(lèi)安全子類(lèi)安全子類(lèi)測(cè)評(píng)項(xiàng)數(shù)測(cè)評(píng)項(xiàng)數(shù)備注備注 物理位置的選擇 2 無(wú) 物理訪問(wèn)控制 4 無(wú) 防盜竊和防破壞 6 無(wú) 物理安全 防雷擊 3 無(wú) 防火 3 無(wú) 防水和防潮 4 無(wú) 防靜電 2 無(wú) 溫濕度控制 1 無(wú) 電力供應(yīng) 4 無(wú) 電磁防護(hù) 3 無(wú) 結(jié)構(gòu)安全 7

24、無(wú) 訪問(wèn)控制 8 無(wú) 安全審計(jì) 4 無(wú) 邊界完整性檢測(cè) 1 無(wú) 入侵防范 2 無(wú) 惡意代碼防范 2 無(wú) 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)設(shè)備防護(hù) 8 無(wú) 身份鑒別 6 無(wú) 訪問(wèn)控制 7 無(wú) 安全審計(jì) 6 無(wú) 剩余信息保護(hù) 2 無(wú) 入侵防范 3 無(wú) 惡意代碼防范 3 無(wú) 主機(jī)安全 資源控制 5 無(wú) 身份鑒別 5 無(wú) 訪問(wèn)控制 6 無(wú) 安全審計(jì) 4 無(wú) 剩余信息保護(hù) 2 無(wú) 通信完整性 1 無(wú) 通信保密性 2 無(wú) 抗抵賴 2 無(wú) 軟件容錯(cuò) 2 無(wú) 應(yīng)用安全 資源控制 7 無(wú) 數(shù)據(jù)完整性 2 無(wú) 數(shù)據(jù)保密性 2 無(wú)數(shù)據(jù)安全及備份恢復(fù) 數(shù)據(jù)備份和恢復(fù) 4 無(wú) 崗位設(shè)置 4 無(wú) 人員配備 3 無(wú) 授權(quán)和審批 4 無(wú) 溝通

25、和合作 5 無(wú) 安全管理機(jī)構(gòu) 審核和檢查 4 無(wú) 安全管理制度管理制度 4 無(wú) 制定和發(fā)布 5 無(wú) 評(píng)審和修訂 2 無(wú) 人員錄用 4 無(wú) 人員離崗 3 無(wú) 人員考核 3 無(wú) 安全意識(shí)教育和培訓(xùn) 4 無(wú) 人員安全管理 外部人員訪問(wèn)管理 2 無(wú) 系統(tǒng)定級(jí) 4 無(wú) 安全方案設(shè)計(jì) 5 無(wú) 產(chǎn)品采購(gòu) 4 無(wú) 自行軟件開(kāi)發(fā) 5 無(wú) 外包軟件開(kāi)發(fā) 5 無(wú) 工程實(shí)施 3 無(wú) 測(cè)試驗(yàn)收 5 無(wú) 系統(tǒng)交付 5 無(wú) 系統(tǒng)備案 3 無(wú) 等級(jí)測(cè)評(píng) 4 無(wú) 系統(tǒng)建設(shè)管理 安全服務(wù)商選擇 3 無(wú) 環(huán)境管理 4 無(wú) 資產(chǎn)管理 4 無(wú) 介質(zhì)管理 6 無(wú) 設(shè)備管理 5 無(wú) 監(jiān)控管理和安全管理中心 3 無(wú) 網(wǎng)絡(luò)安全管理 8 無(wú) 系

26、統(tǒng)安全管理 7 無(wú) 惡意代碼防范管理 4 無(wú) 密碼管理 1 無(wú) 變更管理 4 無(wú) 備份與恢復(fù)管理 5 無(wú) 安全事件處理 6 無(wú) 系統(tǒng)運(yùn)維管理 應(yīng)急預(yù)案管理 6 無(wú) 3.1.2 附加指標(biāo)附加指標(biāo) 無(wú) 3.2測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象 3.2.1 測(cè)評(píng)對(duì)象選擇方法測(cè)評(píng)對(duì)象選擇方法 第三級(jí)信息系統(tǒng)的等級(jí)測(cè)評(píng)，測(cè)評(píng)對(duì)象的種類(lèi)和數(shù)量都較多，重點(diǎn)抽查重要的 設(shè)備、設(shè)施、人員和文檔等?？梢猿椴榈臏y(cè)評(píng)對(duì)象種類(lèi)主要考慮以下幾個(gè)方面： 1主機(jī)房（包括其環(huán)境、設(shè)備和設(shè)施等），如果某一輔機(jī)房中放置了服務(wù)于 整個(gè)信息系統(tǒng)或?qū)π畔⑾到y(tǒng)的安全性起決定作用的設(shè)備、設(shè)施，那么也應(yīng) 該作為測(cè)評(píng)對(duì)象； 2存儲(chǔ)被測(cè)系統(tǒng)重要數(shù)據(jù)的介質(zhì)的存放環(huán)境

27、； 3整個(gè)系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)； 4安全設(shè)備，包括防火墻、入侵檢測(cè)設(shè)備、防病毒網(wǎng)關(guān)等； 5邊界網(wǎng)絡(luò)設(shè)備（可能會(huì)包含安全設(shè)備），包括路由器、防火墻和認(rèn)證網(wǎng)關(guān) 等； 6對(duì)整個(gè)信息系統(tǒng)或其局部的安全性起決定作用的網(wǎng)絡(luò)互聯(lián)設(shè)備，如核心交 換機(jī)、匯聚層交換機(jī)、核心路由器等； 7承載被測(cè)系統(tǒng)核心或重要業(yè)務(wù)、數(shù)據(jù)的服務(wù)器（包括其操作系統(tǒng)和數(shù)據(jù)庫(kù)） ； 8重要管理終端； 9能夠代表被測(cè)系統(tǒng)主要使命的業(yè)務(wù)應(yīng)用系統(tǒng)； 10信息安全主管人員、各方面的負(fù)責(zé)人員； 11涉及到信息系統(tǒng)安全的所有管理制度和記錄。 在本級(jí)信息系統(tǒng)測(cè)評(píng)時(shí)，信息系統(tǒng)中配置相同的安全設(shè)備、邊界網(wǎng)絡(luò)設(shè)備、網(wǎng) 絡(luò)互聯(lián)設(shè)備以及服務(wù)器應(yīng)至少抽查兩臺(tái)作為測(cè)評(píng)

28、對(duì)象。 3.2.2 測(cè)評(píng)對(duì)象選擇結(jié)果測(cè)評(píng)對(duì)象選擇結(jié)果 1)網(wǎng)絡(luò)互聯(lián)設(shè)備操作系統(tǒng)網(wǎng)絡(luò)互聯(lián)設(shè)備操作系統(tǒng) 序號(hào)序號(hào)設(shè)備名稱(chēng)設(shè)備名稱(chēng)用用 途途重要程度重要程度 1.gzcz-n-idc-h9508-01 內(nèi)網(wǎng)服務(wù)器核心交換機(jī)-1非常重要 2.gzcz-n-idc-h9508-02 內(nèi)網(wǎng)服務(wù)器核心交換機(jī)-2非常重要 序號(hào)序號(hào)設(shè)備名稱(chēng)設(shè)備名稱(chēng)用用 途途重要程度重要程度 3.gzcz-n-idc-ad1000-01 radware 負(fù)載均衡器-01重要 4.gzcz-n-idc-h5500-24-01 內(nèi)網(wǎng)服務(wù)器接入層交換機(jī)-01重要 5.gzcz-n-idc-h5500-24-02 內(nèi)網(wǎng)服務(wù)器接入層交換機(jī)

29、-01重要 2)安全設(shè)備操作系統(tǒng)安全設(shè)備操作系統(tǒng) 序號(hào)序號(hào)設(shè)備名稱(chēng)設(shè)備名稱(chēng)用用 途途重要程度重要程度 1. 中網(wǎng)網(wǎng)閘匯聚內(nèi)網(wǎng)業(yè)務(wù)數(shù)據(jù)供人行金庫(kù)所用非常重要 2. 中網(wǎng)網(wǎng)閘匯聚內(nèi)網(wǎng)業(yè)務(wù)數(shù)據(jù)供政務(wù)外網(wǎng)所用非常重要 3. 加密機(jī)人行金庫(kù)鏈路加密非常重要 4. 億陽(yáng)防火墻電子政務(wù)內(nèi)網(wǎng)邊界安全防護(hù)非常重要 5. 天闐 ids內(nèi)網(wǎng)服務(wù)器區(qū)安全事件檢測(cè)非常重要 6. 天清漢馬 utm內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)服務(wù)器區(qū)安全防護(hù)非常重要 3)業(yè)務(wù)應(yīng)用軟件業(yè)務(wù)應(yīng)用軟件 序號(hào)序號(hào)軟件名稱(chēng)軟件名稱(chēng)主要功能主要功能重要程度重要程度 1.oracle 10g rac 預(yù)算管理數(shù)據(jù)庫(kù)非常重要 4)主機(jī)（存儲(chǔ)）操作系統(tǒng)主機(jī)（存儲(chǔ)）操作系統(tǒng)

30、 序號(hào)序號(hào)設(shè)備名稱(chēng)設(shè)備名稱(chēng)操作系統(tǒng)操作系統(tǒng)/ /數(shù)據(jù)庫(kù)管理系統(tǒng)數(shù)據(jù)庫(kù)管理系統(tǒng)業(yè)務(wù)應(yīng)用業(yè)務(wù)應(yīng)用 1.ibm p660aix 5.3/ oracle 10g 預(yù)算管理數(shù)據(jù)庫(kù)服務(wù)器 5)數(shù)據(jù)庫(kù)管理系統(tǒng)數(shù)據(jù)庫(kù)管理系統(tǒng) 序號(hào)序號(hào)數(shù)據(jù)類(lèi)型數(shù)據(jù)類(lèi)型所屬業(yè)務(wù)應(yīng)用所屬業(yè)務(wù)應(yīng)用主機(jī)主機(jī)/ /存儲(chǔ)設(shè)備存儲(chǔ)設(shè)備重要程度重要程度 1. 預(yù)算管理數(shù)據(jù)庫(kù)單位預(yù)算管理 ibm p660 /預(yù)算管理數(shù)據(jù)庫(kù) 服務(wù)器 非常重要 6)訪談人員訪談人員 序號(hào)序號(hào)姓名姓名崗位崗位/ /角色角色聯(lián)系方式聯(lián)系方式 1. 梁健2. 吳世權(quán)3. 鄧璽7)安全管理

31、文檔安全管理文檔 序號(hào)序號(hào)文檔名稱(chēng)文檔名稱(chēng)主要內(nèi)容主要內(nèi)容 1. 廣州市財(cái)政局機(jī)房管理 規(guī)定 主要包括：機(jī)房訪問(wèn)控制、機(jī)房安全管理、機(jī)房衛(wèi)生管理、機(jī)房設(shè)備 管理等方面內(nèi)容。 2. 廣州市財(cái)政局機(jī)房出入 管理制度 主要包括：對(duì)進(jìn)出財(cái)政局機(jī)房人員進(jìn)行規(guī)范化管理。 3. 網(wǎng)絡(luò)病毒應(yīng)急預(yù)案 主要包括：確定組織分工、啟動(dòng)條件、處理標(biāo)準(zhǔn)、通告機(jī)制等內(nèi)容； 本單位一旦發(fā)現(xiàn)重大計(jì)算機(jī)病毒事件，能有效防止病毒擴(kuò)散，阻止事 態(tài)擴(kuò)大，盡快恢復(fù)運(yùn)行環(huán)境，協(xié)助生產(chǎn)系統(tǒng)恢復(fù)運(yùn)行，減少突發(fā)事件 損失，將影響降至最低程度，提高各部門(mén)協(xié)同應(yīng)急處理能力。 4. 廣州市財(cái)政局信息安全 總體規(guī)劃及數(shù)據(jù)應(yīng)用安全 建設(shè)項(xiàng)目安全管理制度及

32、 流程 主要包括：安全保密管理制度、運(yùn)行環(huán)境管理制度、技術(shù)檔案與軟件 管理制度、數(shù)據(jù)庫(kù)管理制度、服務(wù)器系統(tǒng)管理制度、網(wǎng)絡(luò)管理制度、 應(yīng)用系統(tǒng)管理制度、安全事件處理流程、項(xiàng)目開(kāi)發(fā)安全管理制度、應(yīng) 急響應(yīng)流程等內(nèi)容。 5. 廣州市財(cái)政局信息安全總 體規(guī)劃及數(shù)據(jù)應(yīng)用安全建 設(shè)項(xiàng)目安全組織管理體系 和職責(zé) 主要包括：管理組織機(jī)構(gòu)設(shè)置，成立信息安全領(lǐng)導(dǎo)小組，信息安全工 作組，人員崗位的設(shè)置及職責(zé)要求等內(nèi)容。 6. 廣州市財(cái)政局信息安全總 主要包括：中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例、中華人民 序號(hào)序號(hào)文檔名稱(chēng)文檔名稱(chēng)主要內(nèi)容主要內(nèi)容 體規(guī)劃及數(shù)據(jù)應(yīng)用安全建 設(shè)項(xiàng)目法律法規(guī)及安全標(biāo) 準(zhǔn) 共和國(guó)計(jì)算機(jī)

33、信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定 、計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)用產(chǎn)品檢測(cè)和銷(xiāo)售許可證管理辦法、計(jì)算機(jī) 信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法、商用密碼管理?xiàng)l例、國(guó)家密碼 管理委員會(huì)辦公室公告（第一號(hào)） 、計(jì)算機(jī)病毒防治管理辦法、全國(guó)人 民代表大會(huì)常務(wù)委員會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定、計(jì)算機(jī)信息系統(tǒng) 保密管理暫行規(guī)定、電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范等內(nèi)容。 3.3測(cè)評(píng)測(cè)評(píng)方法方法 3.3.1 現(xiàn)場(chǎng)測(cè)評(píng)方法現(xiàn)場(chǎng)測(cè)評(píng)方法 根據(jù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則，現(xiàn)場(chǎng)測(cè)評(píng)的方法包括檢查、訪談和測(cè)試 等三類(lèi)。 訪談訪談是測(cè)評(píng)人員通過(guò)與信息系統(tǒng)有關(guān)人員（個(gè)人/群體）進(jìn)行交流、討論等活 動(dòng)，獲取證據(jù)以證明信息系統(tǒng)安全等級(jí)保護(hù)措施是否有效的

34、一種方法。 檢查檢查不同于行政執(zhí)法意義上的監(jiān)督檢查，是指測(cè)評(píng)人員通過(guò)對(duì)測(cè)評(píng)對(duì)象進(jìn)行觀 察、查驗(yàn)、分析等活動(dòng)，獲取證據(jù)以證明信息系統(tǒng)安全等級(jí)保護(hù)措施是否有效的一 種方法。 測(cè)試測(cè)試是測(cè)評(píng)人員通過(guò)對(duì)測(cè)評(píng)對(duì)象按照預(yù)定的方法/工具使其產(chǎn)生特定的行為等 活動(dòng)，查看、分析輸出結(jié)果，獲取證據(jù)以證明信息系統(tǒng)安全等級(jí)保護(hù)措施是否有效 的一種方法。 3.3.2 風(fēng)險(xiǎn)分析方法風(fēng)險(xiǎn)分析方法 本項(xiàng)目依據(jù)安全事件可能性和安全事件后果對(duì)信息系統(tǒng)面臨的風(fēng)險(xiǎn)進(jìn)行分析， 分析過(guò)程包括： 1）判斷信息系統(tǒng)安全保護(hù)能力缺失（等級(jí)測(cè)評(píng)結(jié)果中的部分符合項(xiàng)和不符合 項(xiàng)）被威脅利用導(dǎo)致安全事件發(fā)生的可能性，可能性的取值范圍為高、中和低； 2

35、）判斷安全事件對(duì)信息系統(tǒng)業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全造成的影響程度， 影響程度取值范圍為高、中和低； 3）綜合 1）和 2）的結(jié)果對(duì)信息系統(tǒng)面臨的風(fēng)險(xiǎn)進(jìn)行匯總和分等級(jí)，風(fēng)險(xiǎn)等級(jí) 的取值范圍為高、中和低； 4）結(jié)合信息系統(tǒng)的安全保護(hù)等級(jí)對(duì)風(fēng)險(xiǎn)分析結(jié)果進(jìn)行評(píng)價(jià)，即對(duì)國(guó)家安全、 社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益造成的風(fēng)險(xiǎn)。 4等級(jí)測(cè)評(píng)內(nèi)容等級(jí)測(cè)評(píng)內(nèi)容 4.1物理安全物理安全 4.1.1 結(jié)果記錄結(jié)果記錄 符合性評(píng)估說(shuō)明符合性評(píng)估說(shuō)明 信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息系統(tǒng)安全等級(jí)保護(hù)基本要求 符合性符合性特殊說(shuō)明特殊說(shuō)明 a) 機(jī)房和辦公場(chǎng)地應(yīng)選擇在具 有防震、防風(fēng)和防雨等能力的建筑

36、 內(nèi)； 完全符 合 1.1.1 物 理位置的選 擇（g3） b) 機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物 的高層或地下室，以及用水設(shè)備的 下層或隔壁。 完全符 合 a) 機(jī)房出入口應(yīng)安排專(zhuān)人值守， 控制、鑒別和記錄進(jìn)入的人員； 完全符 合 工作時(shí)間進(jìn)入機(jī)房須申 請(qǐng)，并由專(zhuān)人陪同 b) 需進(jìn)入機(jī)房的來(lái)訪人員應(yīng)經(jīng) 過(guò)申請(qǐng)和審批流程，并限制和監(jiān)控 其活動(dòng)范圍； 完全符 合 c) 應(yīng)對(duì)機(jī)房劃分區(qū)域進(jìn)行管理， 區(qū)域和區(qū)域之間設(shè)置物理隔離裝置， 在重要區(qū)域前設(shè)置交付或安裝等過(guò) 渡區(qū)域； 完全符 合 1.1.2 物 理訪問(wèn)控制 （g3） d) 重要區(qū)域應(yīng)配置電子門(mén)禁系 統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。 完全符 合 a)

37、應(yīng)將主要設(shè)備放置在機(jī)房?jī)?nèi)；完全符 合 b) 應(yīng)將設(shè)備或主要部件進(jìn)行固 定，并設(shè)置明顯的不易除去的標(biāo)記； 完全符 合 c) 應(yīng)將通信線纜鋪設(shè)在隱蔽處， 可鋪設(shè)在地下或管道中； 完全符 合 d) 應(yīng)對(duì)介質(zhì)分類(lèi)標(biāo)識(shí)，存儲(chǔ)在 介質(zhì)庫(kù)或檔案室中； 部分符 合 介質(zhì)未存儲(chǔ)在介質(zhì)庫(kù)或 檔案室中 e) 應(yīng)利用光、電等技術(shù)設(shè)置機(jī) 房防盜報(bào)警系統(tǒng)； 不符合 未安裝機(jī)房防盜報(bào)警系 統(tǒng) 1.1.3 防 盜竊和防破 壞（g3） f) 應(yīng)對(duì)機(jī)房設(shè)置監(jiān)控報(bào)警系統(tǒng)。完全符 合 a) 機(jī)房建筑應(yīng)設(shè)置避雷裝置； 完全符 合 1.1 物 理安全 1.1.4 防 雷擊（g3） b) 應(yīng)設(shè)置防雷保安器，防止感 應(yīng)雷； 完全符 合 c)

38、 機(jī)房應(yīng)設(shè)置交流電源地線。 完全符 合 a) 機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系 統(tǒng)，能夠自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警， 并自動(dòng)滅火； 完全符 合 b) 機(jī)房及相關(guān)的工作房間和輔 助房應(yīng)采用具有耐火等級(jí)的建筑材 料； 完全符 合 1.1.5 防 火（g3） c) 機(jī)房應(yīng)采取區(qū)域隔離防火措 施，將重要設(shè)備與其他設(shè)備隔離開(kāi)。 完全符 合 a) 水管安裝，不得穿過(guò)機(jī)房屋 頂和活動(dòng)地板下； 完全符 合 b) 應(yīng)采取措施防止雨水通過(guò)機(jī) 房窗戶、屋頂和墻壁滲透； 完全符 合 c) 應(yīng)采取措施防止機(jī)房?jī)?nèi)水蒸 氣結(jié)露和地下積水的轉(zhuǎn)移與滲透； 完全符 合 1.1.6 防 水和防潮 （g3） d) 應(yīng)安裝對(duì)水敏感的檢測(cè)儀表 或元

39、件，對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào) 警。 完全符 合 a) 主要設(shè)備應(yīng)采用必要的接地 防靜電措施； 完全符 合 1.1.7 防 靜電（g3） b) 機(jī)房應(yīng)采用防靜電地板。 完全符 合 1.1.8 溫 濕度控制 （g3） a) 機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào) 節(jié)設(shè)施，使機(jī)房溫、濕度的變化在 設(shè)備運(yùn)行所允許的范圍之內(nèi)。 完全符 合 a) 應(yīng)在機(jī)房供電線路上配置穩(wěn) 壓器和過(guò)電壓防護(hù)設(shè)備； 完全符 合 通過(guò) ups 穩(wěn)壓供電 b) 應(yīng)提供短期的備用電力供應(yīng)， 至少滿足主要設(shè)備在斷電情況下的 正常運(yùn)行要求； 完全符 合 ups 短期電力供應(yīng) c) 應(yīng)設(shè)置冗余或并行的電力電 纜線路為計(jì)算機(jī)系統(tǒng)供電； 不符合 沒(méi)有采取冗

40、余或并行的 電力電纜線路為計(jì)算機(jī) 系統(tǒng)供電 1.1.9 電 力供應(yīng) （a3） d) 應(yīng)建立備用供電系統(tǒng)。 完全符 合 大樓備有應(yīng)急發(fā)電系統(tǒng) a) 應(yīng)采用接地方式防止外界電 磁干擾和設(shè)備寄生耦合干擾； 完全符 合 b) 電源線和通信線纜應(yīng)隔離鋪 設(shè)，避免互相干擾； 完全符 合 1.1.10 電磁防護(hù) （s3） c) 應(yīng)對(duì)關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施 電磁屏蔽。 部分符 合 部分關(guān)鍵網(wǎng)絡(luò)設(shè)備放置 屏蔽機(jī)柜中 4.1.2 問(wèn)題分析問(wèn)題分析 類(lèi)別類(lèi)別序號(hào)序號(hào)問(wèn)題描述問(wèn)題描述嚴(yán)重程度嚴(yán)重程度 1. 介質(zhì)未存儲(chǔ)在介質(zhì)庫(kù)或檔案室中中防盜竊和防 破壞 2. 未安裝機(jī)房防盜報(bào)警系統(tǒng)高 電力供應(yīng) 1. 沒(méi)有采取冗余或并行

41、的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電高 電磁防護(hù) 2. 部分關(guān)鍵網(wǎng)絡(luò)設(shè)備沒(méi)有采取電磁屏蔽措施高 4.1.3 單元測(cè)評(píng)結(jié)果單元測(cè)評(píng)結(jié)果 物理位置物理位置 的選擇的選擇 物理訪問(wèn)物理訪問(wèn) 控制控制 防盜竊和防盜竊和 防破壞防破壞 防雷防雷 擊擊 防防 火火 防水防水 防潮防潮 防靜防靜 電電 溫濕度溫濕度 控制控制 電力電力 供應(yīng)供應(yīng) 電磁電磁 防護(hù)防護(hù) 完全完全 符合符合 2443342132 部分部分 符合符合 0010000001 不符不符 合合 0010000010 不適不適 用用 0000000000 4.2網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全 4.2.1結(jié)果記錄結(jié)果記錄 符合性評(píng)估說(shuō)明符合性評(píng)估說(shuō)明 信息系統(tǒng)安

42、全等級(jí)保護(hù)基本要求信息系統(tǒng)安全等級(jí)保護(hù)基本要求 符合性符合性特殊說(shuō)明特殊說(shuō)明 a) 應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù) 處理能力具備冗余空間，滿足業(yè)務(wù) 高峰期需要； 完全符 合 b) 應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬 滿足業(yè)務(wù)高峰期需要； 完全符 合 c) 應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器 之間進(jìn)行路由控制建立安全的訪問(wèn) 路徑； 完全符 合 d) 應(yīng)繪制與當(dāng)前運(yùn)行情況相符 的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖； 完全符 合 e) 應(yīng)根據(jù)各部門(mén)的工作職能、 重要性和所涉及信息的重要程度等 因素，劃分不同的子網(wǎng)或網(wǎng)段，并 按照方便管理和控制的原則為各子 網(wǎng)、網(wǎng)段分配地址段； 完全符 合 f) 應(yīng)避免將重要網(wǎng)段部署在網(wǎng) 絡(luò)邊界處且直接連接外部信

43、息系統(tǒng)， 重要網(wǎng)段與其他網(wǎng)段之間采取可靠 的技術(shù)隔離手段； 部分符 合 重要網(wǎng)段 vlan（三級(jí)） 與其他網(wǎng)段 vlan（二級(jí)） 之間沒(méi)有采取可靠的技 術(shù)隔離手段，均能互訪 2.1 結(jié)構(gòu) 安全（g3） g) 應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次 序來(lái)指定帶寬分配優(yōu)先級(jí)別，保證 在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重 要主機(jī)。 不符合 沒(méi)有采取措施，根據(jù)業(yè) 務(wù)服務(wù)的重要次序來(lái)指 定帶寬分配優(yōu)先級(jí) a) 應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制 設(shè)備，啟用訪問(wèn)控制功能； 部分符 合 與投資評(píng)審中心邊界、 征管分局邊界連接，未 部署訪問(wèn)控制設(shè)備 b) 應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù) 據(jù)流提供明確的允許/拒絕訪問(wèn)的能 力，控制粒度為端口級(jí)；

44、完全符 合 c) 應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn) 行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層 http、ftp、telnet、smtp、p op3 等協(xié)議命令級(jí)的控制； 完全符 合 d) 應(yīng)在會(huì)話處于非活躍一定時(shí) 間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接； 完全符 合 e) 應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng) 絡(luò)連接數(shù)； 不符合 未限制網(wǎng)絡(luò)最大流量數(shù) 及網(wǎng)絡(luò)連接數(shù) f) 重要網(wǎng)段應(yīng)采取技術(shù)手段防 止地址欺騙； 不符合 重要網(wǎng)段未采取防止地 址欺騙技術(shù) 1 網(wǎng)絡(luò) 安全 2.2 訪問(wèn) 控制（g3） g) 應(yīng)按用戶和系統(tǒng)之間的允許 訪問(wèn)規(guī)則，決定允許或拒絕用戶對(duì) 部分符 合 控制粒度沒(méi)有細(xì)化到單 個(gè)用戶 受控系統(tǒng)進(jìn)行資源訪問(wèn)，控制粒度 為單個(gè)用戶；

45、h) 應(yīng)限制具有撥號(hào)訪問(wèn)權(quán)限的 用戶數(shù)量。 不適用 a) 應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備 運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等 進(jìn)行日志記錄； 完全符 合 b) 審計(jì)記錄應(yīng)包括：事件的日 期和時(shí)間、用戶、事件類(lèi)型、事件 是否成功及其他與審計(jì)相關(guān)的信息； 完全符 合 c) 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分 析，并生成審計(jì)報(bào)表； 部分符 合 未能生成審計(jì)報(bào)表 2.3 安全 審計(jì)（g3） d) 應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避 免受到未預(yù)期的刪除、修改或覆蓋 等。 完全符 合 2.4 邊界 完整性檢查 （s2） 應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用 戶未通過(guò)準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的 行為進(jìn)行檢查。 不符合 未采取措施檢測(cè)未經(jīng)準(zhǔn) 許的用

46、戶私自聯(lián)到外部 網(wǎng)絡(luò) a) 應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻 擊行為：端口掃描、強(qiáng)力攻擊、木 馬后門(mén)攻擊、拒絕服務(wù)攻擊、緩沖 區(qū)溢出攻擊、ip 碎片攻擊和網(wǎng)絡(luò)蠕 蟲(chóng)攻擊等； 完全符 合 ids 2.5 入侵 防范（g3） b) 當(dāng)檢測(cè)到攻擊行為時(shí)，記錄 攻擊源 ip、攻擊類(lèi)型、攻擊目的、 攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí) 應(yīng)提供報(bào)警。 完全符 合 ids a) 應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼 進(jìn)行檢測(cè)和清除； 部分符 合 與投資評(píng)審中心邊界、 征管分局邊界連接，未 采取惡意代碼檢測(cè)和清 除措施 2.6 惡意 代碼防范 （g3） b) 應(yīng)維護(hù)惡意代碼庫(kù)的升級(jí)和 檢測(cè)系統(tǒng)的更新。 部分符 合 與投資評(píng)審中心邊界、

47、 征管分局邊界連接，未 采取惡意代碼檢測(cè)和清 除措施 a) 應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn) 行身份鑒別； 完全符 合 b) 應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄 地址進(jìn)行限制； 完全符 合 2.7 網(wǎng)絡(luò) 設(shè)備防護(hù) （g3） c) 網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一；完全符 合 d) 主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶 選擇兩種或兩種以上組合的鑒別技 術(shù)來(lái)進(jìn)行身份鑒別； 不符合 未采取兩種或兩種以上 組合的身份鑒別措施 e) 身份鑒別信息應(yīng)具有不易被 冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求 并定期更換； 部分符 合 未定期更換口令 f) 應(yīng)具有登錄失敗處理功能， 可采取結(jié)束會(huì)話、限制非法登錄次 數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出 等措施； 完全

48、符 合 g) 當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理 時(shí)，應(yīng)采取必要措施防止鑒別信息 在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)； 不符合telnet 明文傳輸 h) 應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限 分離。 完全符 合 4.2.2 問(wèn)題分析問(wèn)題分析 類(lèi)別類(lèi)別序號(hào)序號(hào)問(wèn)題描述問(wèn)題描述嚴(yán)重程度嚴(yán)重程度 1. 重要網(wǎng)段 vlan（三級(jí)）與其他網(wǎng)段 vlan（二級(jí)）之間沒(méi)有采取 可靠的技術(shù)隔離手段，均能互訪 高 結(jié)構(gòu)安全 2. 沒(méi)有采取措施，根據(jù)業(yè)務(wù)服務(wù)的重要次序來(lái)指定帶寬分配優(yōu)先級(jí)高 1. 與投資評(píng)審中心邊界、征管分局邊界連接，未部署訪問(wèn)控制設(shè)備高 2. 未限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)高 3. 重要網(wǎng)段未采取防止地址欺騙技術(shù)高 訪問(wèn)控制

49、 4. 控制粒度沒(méi)有細(xì)化到單個(gè)用戶高 安全審計(jì) 1. 未能生成審計(jì)報(bào)表高 邊界完整性檢 查 1. 未采取措施檢測(cè)未經(jīng)準(zhǔn)許的用戶私自聯(lián)到外部網(wǎng)絡(luò) 高 惡意代碼防范 1. 未在網(wǎng)絡(luò)邊界采取措施檢測(cè)和清除惡意代碼高 1. 未采取兩種或兩種以上組合的身份鑒別措施高 2. 未定期更換口令高 網(wǎng)絡(luò)設(shè)備防護(hù) 3. 當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，沒(méi)有采取必要措施防止鑒別信息 在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng) 高 4.2.3 單元測(cè)評(píng)結(jié)果單元測(cè)評(píng)結(jié)果 結(jié)構(gòu)結(jié)構(gòu) 安全安全 訪問(wèn)訪問(wèn) 控制控制 安全安全 審計(jì)審計(jì) 邊界邊界 完整性完整性 檢測(cè)檢測(cè) 入侵入侵 防范防范 惡意代碼惡意代碼 防范防范 網(wǎng)絡(luò)網(wǎng)絡(luò) 設(shè)備設(shè)備 防護(hù)防護(hù) 完

50、全符合完全符合 5330205 部分符合部分符合 1210021 不符合不符合 1201002 不適用不適用 0100000 4.3主機(jī)安全主機(jī)安全 4.3.1 結(jié)果記錄結(jié)果記錄 符合性評(píng)估說(shuō)明符合性評(píng)估說(shuō)明 信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息系統(tǒng)安全等級(jí)保護(hù)基本要求 符合性符合性特殊說(shuō)明特殊說(shuō)明 a) 應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù) 系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別； 完全符 合 b) 操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理 用戶身份標(biāo)識(shí)應(yīng)具有不易被冒用的 特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期 更換； 部分符 合 未定期更改操作系統(tǒng)和數(shù) 據(jù)庫(kù)系統(tǒng)口令 c) 應(yīng)啟用登錄失敗處理功能， 可采取結(jié)束會(huì)話、限制非法登錄次 數(shù)和自動(dòng)

51、退出等措施； 部分符 合 未采取結(jié)束會(huì)話、限制 非法登錄次數(shù)和自動(dòng)退 出等措施 d) 當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)， 應(yīng)采取必要措施，防止鑒別信息在 網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)； 不符合telnet 明文傳輸 e) 應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng) 的不同用戶分配不同的用戶名，確 保用戶名具有唯一性。 完全符 合 1.3.1 身 份鑒別 （s3） f) 應(yīng)采用兩種或兩種以上組合 的鑒別技術(shù)對(duì)管理用戶進(jìn)行身份鑒 別。 不符合 未采用兩種或兩種以上 組合的身份鑒別技術(shù) 1.3 系 統(tǒng)安全 1.3.2 訪 問(wèn)控制 （s3） a) 應(yīng)啟用訪問(wèn)控制功能，依據(jù) 安全策略控制用戶對(duì)資源的訪問(wèn)； 完全符 合 b) 應(yīng)根據(jù)管理用

52、戶的角色分配 權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離， 僅授予管理用戶所需的最小權(quán)限； 完全符 合 c) 應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系 統(tǒng)特權(quán)用戶的權(quán)限分離； 不符合 未采取措施實(shí)現(xiàn)操作系 統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用 戶的權(quán)限分離 d) 應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問(wèn) 權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改 這些帳戶的默認(rèn)口令； 完全符 合 e) 應(yīng)及時(shí)刪除多余的、過(guò)期的 帳戶，避免共享帳戶的存在。 完全符 合 f) 應(yīng)對(duì)重要信息資源設(shè)置敏感 標(biāo)記； 完全符 合 g) 應(yīng)依據(jù)安全策略嚴(yán)格控制用 戶對(duì)有敏感標(biāo)記重要信息資源的操 作； 完全符 合 a) 審計(jì)范圍應(yīng)覆蓋到服務(wù)器和 重要客戶端上的每個(gè)操作系統(tǒng)用戶 和數(shù)據(jù)庫(kù)用戶； 不符

53、合 aix 系統(tǒng)審核配置為默 認(rèn)值，數(shù)據(jù)庫(kù)系統(tǒng)未啟 用審核功能 b) 審計(jì)內(nèi)容應(yīng)包括重要用戶行 為、系統(tǒng)資源的異常使用和重要系 統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全 相關(guān)事件； 部分符 合 無(wú)重要系統(tǒng)命令、數(shù)據(jù) 庫(kù)系統(tǒng)等重要安全事件 審計(jì)記錄 c) 審計(jì)記錄應(yīng)包括事件的日期、 時(shí)間、類(lèi)型、主體標(biāo)識(shí)、客體標(biāo)識(shí) 和結(jié)果等； 完全符 合 d) 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分 析，并生成審計(jì)報(bào)表； 部分符 合 未能生成審計(jì)報(bào)表 e) 應(yīng)保護(hù)審計(jì)進(jìn)程，避免受到 未預(yù)期的中斷； 完全符 合 1.3.3 安 全審計(jì) （g3） f) 應(yīng)保護(hù)審計(jì)記錄，避免受到 未預(yù)期的刪除、修改或覆蓋等。 部分符 合 aix 系統(tǒng)部分系統(tǒng)

54、審計(jì) 日志文件大小、覆蓋時(shí) 間為默認(rèn)配置，沒(méi)有定 期備份日志文件 a) 應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫(kù)系 統(tǒng)用戶的鑒別信息所在的存儲(chǔ)空間， 被釋放或再分配給其他用戶前得到 完全清除，無(wú)論這些信息是存放在 硬盤(pán)上還是在內(nèi)存中； 完全符 合 1.3.4 剩 余信息保護(hù) （s3） b) 應(yīng)確保系統(tǒng)內(nèi)的文件、目錄 和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空 間，被釋放或重新分配給其他用戶 前得到完全清除。 完全符 合 a) 應(yīng)能夠檢測(cè)到對(duì)重要服務(wù)器 進(jìn)行入侵的行為，能夠記錄入侵的 源 ip、攻擊的類(lèi)型、攻擊的目的、 攻擊的時(shí)間，并在發(fā)生嚴(yán)重入侵事 件時(shí)提供報(bào)警； 完全符 合 b) 應(yīng)能夠?qū)χ匾绦虻耐暾?進(jìn)行檢測(cè)，并在

55、檢測(cè)到完整性受到 破壞后具有恢復(fù)的措施； 部分符 合 未采取措施對(duì)重要程序 的完整性進(jìn)行檢測(cè) 1.3.5 入 侵防范 （g3） c) 操作系統(tǒng)應(yīng)遵循最小安裝的 原則，僅安裝需要的組件和應(yīng)用程 序，并通過(guò)設(shè)置升級(jí)服務(wù)器等方式 保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。 部分符 合 未及時(shí)更新 aix 系統(tǒng)補(bǔ) 丁 a) 應(yīng)安裝防惡意代碼軟件，并 及時(shí)更新防惡意代碼軟件版本和惡 意代碼庫(kù)； 不符合 aix 系統(tǒng)未安裝惡意防 代碼軟件 b) 主機(jī)防惡意代碼產(chǎn)品應(yīng)具有 與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意 代碼庫(kù)； 不符合 aix 系統(tǒng)未安裝惡意防 代碼軟件 1.3.6 惡 意代碼防范 （g3） c) 應(yīng)支持防惡意代碼的統(tǒng)一

56、管 理。 不符合 aix 系統(tǒng)未安裝惡意防 代碼軟件 a) 應(yīng)通過(guò)設(shè)定終端接入方式、 網(wǎng)絡(luò)地址范圍等條件限制終端登錄； 完全符 合 b) 應(yīng)根據(jù)安全策略設(shè)置登錄終 端的操作超時(shí)鎖定； 不符合 未設(shè)置登錄終端的操作 超時(shí)鎖定安全策略 c) 應(yīng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視， 包括監(jiān)視服務(wù)器的 cpu、硬盤(pán)、內(nèi) 存、網(wǎng)絡(luò)等資源的使用情況； 不符合 未采取措施對(duì)重要服務(wù) 器進(jìn)行監(jiān)視 d) 應(yīng)限制單個(gè)用戶對(duì)系統(tǒng)資源 的最大或最小使用限度； 完全符 合 操作系統(tǒng)自適應(yīng) 1.3.7 資 源控制 （a3） e) 應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降 低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和 報(bào)警。 不符合 未采取措施對(duì)系統(tǒng)的服 務(wù)水平降低

57、到預(yù)先規(guī)定 的最小值進(jìn)行檢測(cè)和報(bào) 警 4.3.2 問(wèn)題分析問(wèn)題分析 類(lèi)別類(lèi)別序號(hào)序號(hào)問(wèn)題描述問(wèn)題描述嚴(yán)重程度嚴(yán)重程度 1. 未定期更改操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)口令高 身份鑒別 2. 未采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施中 類(lèi)別類(lèi)別序號(hào)序號(hào)問(wèn)題描述問(wèn)題描述嚴(yán)重程度嚴(yán)重程度 3. 當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，沒(méi)有采取必要措施，防止鑒別 信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng) 高 4. 未采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)行身份 鑒別 高 訪問(wèn)控制 1. 未采取措施實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶的權(quán)限分離高 1. aix 系統(tǒng)審核配置為默認(rèn)值，數(shù)據(jù)庫(kù)系統(tǒng)未啟用審核功能高 2. 無(wú)重要系統(tǒng)命令、

58、數(shù)據(jù)庫(kù)系統(tǒng)等重要安全事件審計(jì)記錄高 3. 未能生成日志審計(jì)報(bào)表高 安全審計(jì) 4. 未采取措施避免審計(jì)記錄受到未預(yù)期的覆蓋高 1. 未采取措施對(duì)重要程序的完整性進(jìn)行檢測(cè)高 入侵防范 2. 未及時(shí)更新 aix 系統(tǒng)補(bǔ)丁高 惡意代碼防范 1. aix 系統(tǒng)未安裝惡意防代碼軟件高 1. 未設(shè)置登錄終端的操作超時(shí)鎖定安全策略高 2. 未采取措施對(duì)重要服務(wù)器進(jìn)行監(jiān)視高 資源控制 3. 未采取措施對(duì)系統(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行 檢測(cè)和報(bào)警 高 4.3.3 單元測(cè)評(píng)結(jié)果單元測(cè)評(píng)結(jié)果 身份鑒別身份鑒別訪問(wèn)控制訪問(wèn)控制安全審計(jì)安全審計(jì) 剩余信息剩余信息 保護(hù)保護(hù) 入侵防范入侵防范惡意代碼防范惡意代碼防

59、范資源控制資源控制 完全符合完全符合 2622103 部分符合部分符合 2030200 不符合不符合 2110033 不適用不適用 0000000 4.4應(yīng)用安全應(yīng)用安全 4.4.1 結(jié)果記錄結(jié)果記錄 符合性評(píng)估說(shuō)明符合性評(píng)估說(shuō)明 信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息系統(tǒng)安全等級(jí)保護(hù)基本要求 符合性符合性特殊說(shuō)明特殊說(shuō)明 a) 應(yīng)提供專(zhuān)用的登錄控制模塊 對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別； 完全符 合 b) 應(yīng)對(duì)同一用戶采用兩種或兩 種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身 份鑒別； 部分符 合 未采用兩種或兩種以上 組合的鑒別技術(shù)實(shí)現(xiàn)用 戶身份鑒別 c) 應(yīng)提供用戶身份標(biāo)識(shí)唯一和 鑒別信息復(fù)雜度檢查功能，保證應(yīng)

60、 用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí)， 身份鑒別信息不易被冒用； 部分符 合 未提供身份鑒別信息復(fù) 雜度檢查功能 d) 應(yīng)提供登錄失敗處理功能， 可采取結(jié)束會(huì)話、限制非法登錄次 數(shù)和自動(dòng)退出等措施； 部分符 合 未限制非法登錄次數(shù)和 自動(dòng)退出措施 1.4.1 身 份鑒別 （s3） e) 應(yīng)啟用身份鑒別、用戶身份 標(biāo)識(shí)唯一性檢查、用戶身份鑒別信 息復(fù)雜度檢查以及登錄失敗處理功 能，并根據(jù)安全策略配置相關(guān)參數(shù)。 部分符 合 未提供身份鑒別信息復(fù) 雜度檢查功能 a) 應(yīng)提供訪問(wèn)控制功能，依據(jù) 安全策略控制用戶對(duì)文件、數(shù)據(jù)庫(kù) 表等客體的訪問(wèn)； 完全符 合 b) 訪問(wèn)控制的覆蓋范圍應(yīng)包括 與資源訪問(wèn)相關(guān)的主