机房等级保护差距测评报告.doc

机房等级保护差距测评报告 信息系统等级测评基本信息表 信息系统基本情况 系统名称 安全保护等级 第级 机房 灾备中心 委托单位 单位名称 单位地址 联系人 单位名称 通信地址 联系人 职务/职称 工程师 所属部门 办公电话 移动电话 电子邮件 审核批准 编制日期 审核人 批准人 声 明 本报告结论的有效性建立在用户提供材料的真实性基础上。 本报告中给出的结论仅对被测信息系统当时的安全状态有效，当测评工作完成后，由于信息系统发生变更而涉及到的系统构成组件（或子系统）都应重新进行等级测评，本报告不再适用。 本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件（或产品）的测评结论。 在任何情况下，若需引用本报告中的测评结果或结论都应保持其原有的意义，不得对相关内容擅自进行增加、修改和伪造或掩盖事实。 **机构 二年月  报告摘要 3 1 测评项目概述 5 1.1测评目的 5 1.2测评依据 6 1.3测评过程 7 1.4报告分发范围 7 2 被测系统情况 8 2.1基本信息 8 2.2网络结构 9 2.3系统构成 9 2.3.1业务应用软件 9 2.3.2关键数据类别 9 2.3.3主机/存储设备 10 2.3.4网络互联与安全设备 10 2.3.5安全相关人员 10 2.3.6安全管理文档 11 2.4安全环境 11 3 等级测评范围与方法 12 3.1测评指标 12 3.1.1 基本指标 12 3.1.2 附加指标 24 3.2测评对象 24 3.2.1测评对象选择方法 24 3.2.2测评对象选择结果 24 3.3测评方法 26 3.3.1现场测评方法 26 3.3.2风险分析方法 26 4 等级测评内容 27 4.1物理安全 27 4.1.1 结果记录 27 4.1.2 结果汇总 29 4.1.3 问题分析 30 4.2网络安全 30 4.2.1结果记录 30 4.2.2结果汇总 33 4.2.3问题分析 33 4.3主机安全 34 4.3.1结果记录 34 4.3.2结果汇总 39 4.3.3问题分析 40 4.4应用安全 40 4.4.1 结果记录 40 4.4.2 结果汇总 43 4.4.3 问题分析 43 4.5 数据安全及备份恢复 44 4.5.1 结果记录 44 4.5.2 结果汇总 45 4.5.3 问题分析 45 4.6 安全管理制度 45 4.6.1 结果记录 45 4.6.2 结果汇总 46 4.6.3 问题分析 46 4.7 安全管理机构 47 4.7.1 结果记录 47 4.7.2 结果汇总 48 4.7.3 问题分析 48 4.8 人员安全管理 48 4.8.1 结果记录 48 4.8.2 结果汇总 50 4.8.3 问题分析 50 4.9 系统建设管理 50 4.9.1 结果记录 50 4.9.2 结果汇总 54 4.9.3 问题分析 54 4.10 系统运维管理 55 4.10.1 结果记录 55 4.10.2 结果汇总 61 4.10.3 问题分析 61 4.11 工具测试 62 4.11.1 主机漏洞 62 5 测评结果汇总 63 5.1测评结果汇总表 63 5.2统计图表 66 6 差距改进建议 66 报告摘要 一、概述 ××单位平台是是社会公众了解××单位工作、是社会公众了解政府工作、开展服务事项网上办理工作重要工具，是高栏港区向社会公众发布政府信息、进行网络申办与审批工作的重要平台。 二、 本次测评是按照GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》内第二级信息系统的安全要求进行差距测评。测试范围包括：物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理，此次测评总共测评项为175项。 三、 通过对××单位平台的测评，发现系统存在的主要问题有： 物理安全: 1、物理访问控制： 2、防盗窃和防破坏：网络设备、安全设备、通信线缆均没有黏贴相应的且不易除去的标签；机房内未部署防盗报警系统。 3、防火：机房内未部署消防自动报警系统。 温湿度控制 网络安全： 个 2、网络设备防护：汇聚交换机均未限制管理员的登录地址；汇聚交换机现有用户口令由字母， 主机安全： 安全审计：服务器仅开启了默认的审核策略（用户登录信息），日志信息没有定期保存，易受到未预期的删除、修改或覆盖等。数据库缺少第三方审计系统保证无法保证数据不受篡改。 资源控制：未限制可远程管理服务器的终端登录地址。 应用安全： 安全审计：服务器仅开启了默认的审核策略（用户登录信息），审