网上办税分系统安全测评报告.docVIP

附件2 网上办税分系统安全测评报告 测评单位 被测评单位 系统名称 报告时间 目 录 综 述 1 1 概述 2 1.1工作背景 2 1.2测评依据 2 1.3测评时间 2 1.4测评工作相关单位 2 2 被测信息系统情况 3 2.1业务描述 3 2.2技术实现 3 2.2.1应用安全技术 3 2.2.2网络结构 3 2.3系统基本情况 3 2.4前次测评情况 3 3 测评方法 4 3.1 测评指标 4 3.2 测评方法 4 4 测评结果汇总 5 4.1 问题统计 5 4.2 符合性判定 5 5 发现的安全问题 7 5.1 应用和数据安全 7 5.2 网络安全 7 5.3服务器安全 7 5.4客户端安全 7 5.5专用辅助设备安全 7 5.6网络通信安全 7 附录A：测评结果 9  综 述 简要描述被测信息系统的名称、安全等级、承载的业务等基本情况。 简要描述测评范围和主要内容。 简要描述测评指标的符合性情况（测评结果的项数。其中，“符合要求”的项数，“不符合要求”的项数，“不涉及”的项数）,给出本次测评工作的结论。 简要描述测评中发现的主要问题和危害，并提出安全建设的整改建议。 1 概述 1.1工作背景 1.2测评依据 1.3测评时间 x年x月x日—x年x月x日 1.4测评工作相关单位 序号 组织 单位 姓名 岗位 1 被测评单位 xx税务局 2 3 6 测评单位 xx测评中心 7 8 9 10 2 被测信息系统情况 2.1业务描述 描述承载的业务、用户类型和数量、纳税人与服务器端业务交互过程。 2.2技术实现 2.2.1应用安全技术 在已有应用架构的基础上，重点说明采用了哪些应用安全技术措施，如何实现的该安全技术。 2.2.2网络结构 给出被测信息系统的拓扑结构示意图，并说明被测信息系统的网络结构基本情况，包括功能/安全区域划分、隔离与防护情况、关键网络和主机设备的部署情况和功能简介、与其他信息系统的互联情况、边界设备、本地备份和灾备中心的情况。 2.3系统基本情况 应用操作系统 Windows 2003 数据库操作系统 AIX Web Server WebLogic 8.1.5 DB Server Oracle 9i 开发语言 Java/JSP,C# AP与DB分开？ 两台主机 系统形式 Web/客户端模式 系统部署访问权限 外网可访问 B/S、B/S+ActiveX、C/S 开发商 xx [说明：本部分对系统基本情况进行统计，斜体部分为举例部分，请根据系统具体情况进行填写。] 2.4前次测评情况 列出前次测评发现的高危问题、中危问题和低危问题数量，列出符合率，概述存在的高危问题。 3 测评方法 根据《网上办税系统基本技术规范》，确定测评指标如下。 序号 测评类别 测评指标 测评项数 1 应用和数据安全 用户数据保护 3 2 密码应用 3 3 身份认证 21 4 会话管理 3 5 访问控制 7 6 数据验证 5 7 网络安全 区域划分 1 8 网络部署 5 9 网络配置 9 10 网络管理 10 11 服务器安全 操作系统安全 15 12 Web中间件安全 13 13 数据库安全 16 14 客户端安全 客户端运行环境安全 1 15 客户端软件 8 16 密码保护 4 17 登录控制 4 18 信息保护 4 19 专用辅助安全设备 USBKey 7 20 文件证书 4 21 手机短信/动态密码 4 22 网络通信安全 5 总计 152 3.2 测评方法 描述测评工作中采用的访谈、检查、测试等方法。 访谈：针对测评准则中检查方式为“访谈”测评项，对相应被访谈的人员进行问询，判定该项是否符合安全要求。 检查：针对测评准则中检查方式为“检查”测评项，对相应被检查的资料、文档等进行查阅，判定该项是否符合安全要求。 测试：针对测评准则中检查方式为“测试”测评项，对相应的应用、数据及软件等进行工具扫描或手工检测，判定该项是否符合安全要求。 4 测评结果汇总 4.1 问题统计 根据所发现问题严重程度由高到低排序生成问题清单，如下表所示： 序号 测评类 问题描述 问题等级 1 网络安全 xxx系统网络安全区域划分不合理 高 2 客户端安全 xxx系统本地数据库密码泄漏 高危 根据测试类别统计问题数量，如下表所示： 序号 测评类别 高危数量 中危数量 低危数量 应用和数据安全 总计 4.2 符合性判定 根据现场安全测试记录（详见附录A），针对xx系统在 “应用和数据安全”、“网络安全”