XX单位安全等级保护测评报告.docVIP

广东南方信息安全产业基地有限公司 China Information 报告摘要 2 - ************系统 安全等级测评报告 项目名称：*********************系统安全等级测评项目 委托单位：**************************** 测评单位：广东南方信息安全产业基地有限公司 二零 广东南方信息安全产业基地有限公司 China 报告摘要 1 - 报告摘要 一、测评工作概述 ********************* 在国家和广东省对信息系统安全等级保护工作的规划中，*********属于等级保护重点实施对象，根据《信息安全等级保护管理办法》、《广东省计算机信息系统安全保护条例》精神和《广东省深化信息安全等级保护工作方案》要求， 2010年10月前基本完成整改和整改验收测评工作。 因此，************选定由广东南方信息安全产业基地有限公司负责协助其开展信息系统等级保护差距测评工作。广东南方信息安全产业基地有限公司是已在国家和广东省备案的专业等级保护测评机构之一，为了推动本项目的顺利进行，其组织了由资深安全顾问带队的5人测评项目组，对**********系统进行了细致、全面的等级测评，整个测评工作做到了公正、公开、合法、合规。 此次**************系统的等级测评工作共涉及10个大类、67个分类、176个测评小项，检查设备包括Web服务器1台、Web网站系统一套、SQL数据库系统一套、赛门铁克防病毒软件一套，访谈人员4名（访谈次数13人次）。 二、等级测评结果 依据本测评报告第4、5章的结果和对******************系统基本安全保护状态的分析，我们可以判定该系统为“部分达标”，在主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面与等级保护第二级的相关要求还存在差距，需对这些差距进行整改。 三、系统存在的主要问题 序号 问题描述 问题类别 具体描述 1 主机安全 访问控制 未设定审计员等其他特权用户，无法实现特权用户的权限分离 2 安全审计 服务器主机的审计内容过于简单，无法对系统资源的异常使用等复杂度较高的安全相关事件进行有效审计 3 应用安全 访问控制 未根据不同帐户形成帐户相互制约的关系 4 通信保密性 应用系统尚未利用密码技术进行会话初始化验证，也未对通信过程中的敏感信息字段进行加密 5 资源控制 应用系统无法对单个帐户的多重并发会话进行限制 6 数据安全和备份 恢复 备份与恢复 系统无法检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏 7 安全管理制度 管理制度 还没有制定了信息安全工作的总体方针和安全策略，还没有对重要管理操作建立操作规程 8 评审和修订 没有定期组织对安全管理制度的评审工作 9 安全管理机构 岗位设置 已经设立了系统管理员、信息联络员这2种角色的负责人，但没有设立安全方面的主管、其他安全方面的职位 10 人员配备 安全管理员与系统管理员由同一人兼任 11 审核与检查 安全检查周期为不定期 12 人员安全管理 人员考核 没有定期对各岗位的人员进行安全技能和安全认知方面的考核 13 安全意识教育和培训 还没有制定针对不同员工开展相关安全意识教育、安全基础知识和安全技术培训的计划；还没有在制度中规定如何对违反违背安全策略和规定的人员进行惩戒 14 系统建设管理 安全方案设计 在系统建设时并未按照国家等级保护的相关要求进行方案设计 15 测试验收 有对系统进行测试验收，但是没有制定测试验收方案，没有形成测试验收报告 16 系统运维管理 环境管理 ******************已经对办公环境实施了部分保密性管理，但尚未写入相关管理制度中，且可以在办公区接待来访人员 17 介质管理 尚未制定相应的介质安全管理制度 18 设备管理 未建立相应的设备管理制度和操作规程 19 系统安全管理 未指定细致、全面的系统安全管理制度，还没有制定相关的系统操作手册 20 变更管理 有相关审批、通告流程，但未制定变更管理制度 21 备份与恢复管理 未制定细致、全面的备份与恢复管理制度 22 安全事件处置 未制定专门的安全事件处置预案和管理制度 23 应急预案管理 还没有制定相应的应急预案，未定期对系统相关的人员进行应急预案培训 四、系统安全建设、整改建议 依据本次测评结果和对系统可能面临的风险的分析，建议********