报告编号:
信息系统安全等级测评报告
系统名称:
被测单位:
测评单位:
报告时间:
报告编号:错误!未找到引用源。 [2013 版]
信息系统等级测评基本信息表
系统名称
备案证明编号
单位名称
单位地址
信息系统
被测单位
安全保护等级
测评结论
邮政编码
姓 名
职务/职称
联 系 人
所属部门
移动电话
办公电话
电子邮件
测评单位
单位名称
通信地址
单位代码
邮政编码
姓 名
联 系 人
所属部门
移动电话
编 制 人
审核批准
审 核 人
批 准 人
职务/职称
办公电话
电子邮件
编制日期
审核日期
批准日期
注:单位代码由受理测评机构备案的公安机关给出。
本报告是错误!未找到引用源。的等级测评报告。
声明
本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。
本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。当测评工作完成后,
由于信息系统发生变更而涉及到的系统构成组件(或子系统)都应重新进行等级测评,本报告
不再适用。
本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件(或产品)的测
评结论。
在任何情况下,若需引用本报告中的测评结果或结论都应保持其原有的意义,不得对相
关内容擅自进行增加、修改和伪造或掩盖事实。
报告编号:错误!未找到引用源。 [2013 版]
目 录
信息系统等级测评基本信息表 .................................................................................................................................... 1
报告摘要 ...................................................................................................................................................................... 1
1 测评项目概述 ..................................................................................................................................................... 10
1.1 测评目的 ............................................................................................................................................................ 10
1.2 测评依据 ............................................................................................................................................................ 10
1.3 测评过程 ............................................................................................................................................................ 11
1.4 报告分发范围 .................................................................................................................................................... 13
2 被测信息系统情况 .............................................................................................................................................. 14
2.1 承载的业务情况 ................................................................................................................................................ 14
2.2 网络结构 ............................................................................................................................................................ 14
2.3 系统构成 ............................................................................................................................................................ 14
2.3.1 业务应用软件 ........................................................................................................................................... 14
2.3.2 关键数据类别 ........................................................................................................................................... 15
2.3.3 主机/存储设备 ......................................................................................................................................... 15
2.3.4 网络互联设备 ........................................................................................................................................... 15
2.3.5 安全设备 ................................................................................................................................................... 15
2.3.6 安全相关人员 ........................................................................................................................................... 15
2.3.7 安全管理文档 ........................................................................................................................................... 16
2.4 安全环境 ............................................................................................................................................................ 17
2.5 前次测评情况 .................................................................................................................................................... 18
3 等级测评范围与方法 .......................................................................................................................................... 19
3.1 测评指标 ............................................................................................................................................................ 19
3.1.1 基本指标 ................................................................................................................................................... 19
3.1.2 特殊指标 ................................................................................................................................................... 19
3.2 测评对象 ............................................................................................................................................................ 20
3.2.1 测评对象选择方法 ................................................................................................................................... 20
3.2.2 测评对象选择结果 ................................................................................................................................... 20
3.3 测评方法 ............................................................................................................................................................ 23
4 单元测评 ............................................................................................................................................................. 24
4.1 物理安全 ............................................................................................................................................................ 24
4.1.1 结果记录 ................................................................................................................................................... 24
4.1.2 结果汇总 ................................................................................................................................................... 28
4.1.3 问题分析 ................................................................................................................................................... 28
4.2 网络安全 ............................................................................................................................................................ 29
4.2.1 结果记录 ................................................................................................................................................... 29
4.2.2 结果汇总 ................................................................................................................................................... 43
4.2.3 问题分析 ................................................................................................................................................... 43
4.3 主机安全 ............................................................................................................................................................ 44
目录
-I-
报告编号:错误!未找到引用源。 [2013 版]
4.3.1 结果记录 ................................................................................................................................................... 44
4.3.2 结果汇总 ................................................................................................................................................... 49
4.3.3 问题分析 ................................................................................................................................................... 49
4.4 应用安全 ............................................................................................................................................................ 50
4.4.1 结果记录 ................................................................................................................................................... 50
4.4.2 结果汇总 ................................................................................................................................................... 56
4.4.3 问题分析 ................................................................................................................................................... 56
4.5 数据安全及备份恢复 ........................................................................................................................................ 57
4.5.1 结果记录 ................................................................................................................................................... 57
4.5.2 结果汇总 ................................................................................................................................................... 58
4.5.3 问题分析 ................................................................................................................................................... 59
4.6 安全管理制度 .................................................................................................................................................... 59
4.6.1 结果记录 ................................................................................................................................................... 59
4.6.2 结果汇总 ................................................................................................................................................... 61
4.6.3 问题分析 ................................................................................................................................................... 62
4.7 安全管理机构 .................................................................................................................................................... 62
4.7.1 结果记录 ................................................................................................................................................... 62
4.7.2 结果汇总 ................................................................................................................................................... 67
4.7.3 问题分析 ................................................................................................................................................... 67
4.8 人员安全管理 .................................................................................................................................................... 68
4.8.1 结果记录 ................................................................................................................................................... 68
4.8.2 结果汇总 ................................................................................................................................................... 71
4.8.3 问题分析 ................................................................................................................................................... 71
4.9 系统建设管理 .................................................................................................................................................... 72
4.9.1 结果记录 ................................................................................................................................................... 72
4.9.2 结果汇总 ................................................................................................................................................... 79
4.9.3 问题分析 ................................................................................................................................................... 79
4.10 系统运维管理 .................................................................................................................................................... 80
4.10.1 结果记录 ................................................................................................................................................... 80
4.10.2 结果汇总 ................................................................................................................................................... 91
4.10.3 问题分析 ................................................................................................................................................... 91
5 整体测评 ............................................................................................................................................................. 93
5.1 安全控制间安全测评 ........................................................................................................................................ 93
5.2 层面间安全测评 ................................................................................................................................................ 93
5.3 区域间安全测评 ................................................................................................................................................ 93
5.4 系统结构安全测评 ............................................................................................................................................ 93
5.4.1 整体结构的安全性测评分析 ................................................................................................................... 93
5.4.2 整体安全防范的合理性测评分析............................................................................................................ 93
6 测评结果汇总 ..................................................................................................................................................... 94
7 风险分析和评价 ................................................................................................................................................. 96
8 等级测评结论 ................................................................................................................................................... 105
9 安全建设整改建议 ............................................................................................................................................ 106
目录
-II-
报告编号:错误!未找到引用源。 [2013 版]
9.1 物理安全 .......................................................................................................................................................... 106
9.2 网络安全 .......................................................................................................................................................... 106
9.2.1 整体网络 ................................................................................................................................................. 106
9.2.2 北电交换机 ............................................................................................................................................. 106
9.2.3 华为NE08 ................................................................................................................................................ 106
9.2.4 天融信防火墙 ......................................................................................................................................... 106
9.2.5 天融信防毒墙 ......................................................................................................................................... 107
9.3 主机安全 .......................................................................................................................................................... 107
9.4 应用安全 .......................................................................................................................................................... 107
9.5 数据安全及备份恢复 ...................................................................................................................................... 108
9.6 安全管理制度 .................................................................................................................................................. 108
9.7 安全管理机构 .................................................................................................................................................. 109
9.8 人员安全管理 .................................................................................................................................................. 109
9.9 系统建设管理 .................................................................................................................................................. 110
9.10 系统运维管理 .................................................................................................................................................. 110
目录
-III-
报告摘要
一、测评工作概述
二、系统存在的主要问题
1、相关人员进入机房缺乏必要的审批程序,没有人员进入机房的登记记录。
2、部分设备没有设置不易除去的标记。
3、电源线和通信线缆混绕在一起,没有隔离,易造成电磁干扰。
4、内网存在一些未授权外联网络情况,如:使用无线局域网卡非法外连、使用GPRS
无线方式非法外连、有非法主机或非授权用户读/写等。
5、北电交换机划分了VLAN,但是没有做ACL访问控制列表;
6、北电交换机没有用重要技术手段防止地址欺骗,如绑定MAC地址;
7、华为路由器没有限制ICMP数据包的大小。
8、华为路由器没有在华为NE08路由器上配置限制拨号访问权限的用户数量;
9、华为路由器没有配置启用远程登录认证、没有启用本地登录认证和没有对登录用
户进行身份鉴别的功能;
10、 华为路由器没有配置用户通过审计系统或KVM设备的验证后登陆网络设备;
11、 天融信防火墙:没有配置安全策略来严格控制用户对有敏感标记重要信息资源
的操作;
12、 天融信防火墙:没有对同一用户选择两种或两种以上组合的鉴别技术来进行身
份鉴别;
13、 天融信防火墙:没有配置启用远程登录认证、没有启用本地登录认证和没有对
登录用户进行身份鉴别的功能;
14、 天融信防毒墙没有配置关键字过滤。
15、 数据库没有配置登录失败处理功能。
16、 对数据库进行远程管理时,没有采取必要的控制措施。
17、 没有对同一管理用户提供两种或两种以上组合的鉴别技术来提供强有力的身
份鉴别认证(如指纹、数字证书、PKI卡、动态口令、用户口令等两种组合);
正文 117 第 1 页/ 共 111 页
18、 系统管理员和数据库管理员存在兼任;没有实现最小授权原则;
19、 没有对重要信息资源设置敏感标记;以便针对不同的机密等级实施对应的防泄
密措施;
20、 操作系统和数据库审计没有生成审计日志报表。
21、 数据库没有提供剩余信息保护功能。
22、 服务器操作系统没有对管理网络地址范围进行限制;易受非授权访问和攻击;
23、 没有超时退出或锁定功能实现资源控制,可能导致出现泄密;
24、 没有对重要服务器的CPU、硬盘、内存、网络等资源的使用情况进行监控;以
便及时得知资源不足或意外情况下及时恢复;
25、 用户登陆时没有强制密码复杂度要求,密码没有最小长度限制。
26、 用户登陆时缺乏登陆失败处理措施。
27、 没有对重要信息资源设置敏感标记。
28、 安全审计功能不完善,在数据库可以查询到相关审计记录,但在业务系统上无
审计日志展示。
29、 没有提供剩余信息保护功能。
30、 没有提供抗抵赖功能。
31、 应用系统的通信双方中的一方在一段时间内未作任何响应,缺乏相应的控制措
施。
32、 没有对系统的最大并发会话连接数进行限制。
33、 没有对单个用户的多重并发会话连接进行限制。
34、 没有对一个时间段内可能的并发会话连接数进行限制。
35、 没有对一个访问帐户或一个请求进程占用的资源最大限额和最小限额进行限
制。
36、 没有对系统服务水平最小值的进行设定,并报警。
37、 没有提供优先级分配系统资源的功能。
38、 网络管理数据在传输过程中采用TELNET,没有采取加密控制措施,防止窃听、
嗅探等攻击。
39、 数据库中用户表用户密码明文存储。
正文 117 第 2 页/ 共 111 页