信息管理系统安全等级测评报告.doc

管理软件系统 安全等级测评报告 系统名称： 委托单位： 测评单位： 2010年05月 报告摘要 一、测评工作概述 广州市财政局国库集中支付单位版系统是广州市财政局的一个等级保护二级系统。该系统主要提供预算单位使用，主要包括上报用款计划、直接支付用款申请、开具单位授权支付令等业务。 本次测评主要依据GB/T-22239《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》，针对广州市财政局国库集中支付单位版系统，按照物理安全、网络安全、主机安全、应用安全、数据安全、安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理10个类别进行测评。 二、等级测评结果 由于广州市财政局国库集中支付单位版系统的基本符合项和不符合项总数较多且会导致信息系统面临高等级安全风险，因此该系统的测评结论为不符合。 三、系统存在的主要问题 在网络层面：未采取措施对网络设备运行状况、网络流量、用户行为等进行日志记录，无入侵防范措施措施。 主机层面：主机安全配置大部分为默认配置，未根据业务进行优化；未采取技术手段，定期对网络系统和业务应用系统进行漏洞扫描，不能及时发现系统自身存在的高危风险漏洞。 在应用层面：未采取技术措施保障通信的完整性，应用层资源控制力度较弱。 四、系统安全建设、整改建议 建议采取漏洞扫描、安全审计、入侵防范等措施，消除网络层面和主机层面存在的安全隐患。 报告基本信息 信息系统基本情况 系统名称 广州市财政局国库集中支付单位版系统 安全保护等级 二级 机房位置 广州市华利路61号1008/广州市天河区穗园西街2号(穗园小区E栋西区)2楼 被测单位 单位名称 广州市财政局 单位地址 广州市华利路61号1008 邮政编码 510623 联系人 姓 名 梁健 职务/职称 所属部门 广州市财政信息中心 办公电话 020 移动电话 电子邮件 ice@ 测评单位 单位名称 北京启明星辰信息安全技术有限公司 通信地址 广州市天河区中山大道西华景路一号南方通信大厦九楼 邮政编码 510640 联系人 姓 名 刘平平 职务/职称 项目经理 所属部门 技术部 办公电话 020 移动电话电子邮件 Liu_pingping@ 报告 审核批准 编制人 刘平平 日期 2010.05 审核人 陈凌 日期 2010.05 批准人 刘思志 日期 2010.05 声明 本报告是广州市财政局国库集中支付单位版系统的安全等级测评报告。 本报告中给出的结论仅对目标系统的当时状况有效，当测评工作完成后系统出现任何变更，涉及到的模块（或子系统）都应重新进行测评，本报告不再适用。 本报告中给出的结论不能作为对系统内相关产品的测评结论。 本报告结论的有效性建立在用户提供材料的真实性基础上。 在任何情况下，若需引用本报告中的结果或数据都应保持其本来的意义，不得擅自进行增加、修改、伪造或掩盖事实。 北京启明星辰信息安全技术有限公司 2010年05月 报告目录 1 测评项目概述 1 1.1 测评目的 1 1.2 测评依据 1 1.3 测评过程 1 1.4 报告分发范围 3 2 被测系统情况 4 2.1 基本信息 4 2.2 业务应用 4 2.3 网络结构 4 2.4 系统构成 5 2.4.1 业务应用软件 5 2.4.2 关键数据类别 6 2.4.3 主机/存储设备 6 2.4.4 网络互联与安全设备 6 2.4.5 安全相关人员 7 2.4.6 安全管理文档 7 2.5 安全环境 8 3 等级测评范围与方法 9 3.1 测评指标 9 3.1.1 基本指标 9 3.1.2 附加指标 11 3.2 测评对象 11 3.2.1 测评对象选择方法 11 3.2.2 测评对象选择结果 12 3.3 测评方法 15 3.3.1 现场测评方法 15 3.3.2 风险分析方法 15 4 等级测评内容 16 4.1 物理安全 16 4.1.1 结果记录 16 4.1.2 问题分析 17 4.1.3 单元测评结果 17 4.2 网络安全 18 4.2.1 结果记录 18 4.2.2 问题分析 19 4.2.3 单元测评结果 20 4.3 主机安全 20 4.3.1 结果记录 20 4.3.2 问题分析 21 4.3.3 单元测评结果 22 4.4 应用安全 22 4.4.1 结果记录 22 4.4.2 问题分析 24 4.4.3 单元测评结果 24 4.5 数据安全及备份恢复 24 4.5.1 结果记录 24 4.5.2 问题分析 25 4.5.3 单元测评结果