返回
xx单位安全等级保护测评报告

xx单位安全等级保护测评报告

ID:6458271

大小:1.74 MB

页数:99页

时间:2018-01-14

xx单位安全等级保护测评报告_第1页
xx单位安全等级保护测评报告_第2页
xx单位安全等级保护测评报告_第3页
xx单位安全等级保护测评报告_第4页
xx单位安全等级保护测评报告_第5页
资源描述:

《xx单位安全等级保护测评报告》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、广东南方信息安全产业基地有限公司ChinaInformationSecurityIndustryPark************系统安全等级测评报告项目名称:*********************系统安全等级测评项目委托单位:****************************测评单位:广东南方信息安全产业基地有限公司二零一零年四月十五日报告摘要-3-广东南方信息安全产业基地有限公司ChinaInformationSecurityIndustryPark报告摘要一、测评工作概述*********************在国家和广东省对信息系统

2、安全等级保护工作的规划中,*********属于等级保护重点实施对象,根据《信息安全等级保护管理办法》、《广东省计算机信息系统安全保护条例》精神和《广东省深化信息安全等级保护工作方案》要求,2010年10月前基本完成整改和整改验收测评工作。因此,************选定由广东南方信息安全产业基地有限公司负责协助其开展信息系统等级保护差距测评工作。广东南方信息安全产业基地有限公司是已在国家和广东省备案的专业等级保护测评机构之一,为了推动本项目的顺利进行,其组织了由资深安全顾问带队的5人测评项目组,对**********系统进行了细致、全面的等级测评

3、,整个测评工作做到了公正、公开、合法、合规。此次**************系统的等级测评工作共涉及10个大类、67个分类、176个测评小项,检查设备包括Web服务器1台、Web网站系统一套、SQL数据库系统一套、赛门铁克防病毒软件一套,访谈人员4名(访谈次数13人次)。二、等级测评结果依据本测评报告第4、5章的结果和对******************报告摘要-3-广东南方信息安全产业基地有限公司ChinaInformationSecurityIndustryPark系统基本安全保护状态的分析,我们可以判定该系统为“部分达标”,在主机安全、应用安

4、全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面与等级保护第二级的相关要求还存在差距,需对这些差距进行整改。三、系统存在的主要问题序号问题描述问题类别具体描述1主机安全访问控制未设定审计员等其他特权用户,无法实现特权用户的权限分离2安全审计服务器主机的审计内容过于简单,无法对系统资源的异常使用等复杂度较高的安全相关事件进行有效审计3应用安全访问控制未根据不同帐户形成帐户相互制约的关系4通信保密性应用系统尚未利用密码技术进行会话初始化验证,也未对通信过程中的敏感信息字段进行加密5资源控制应用系统无法对单

5、个帐户的多重并发会话进行限制6数据安全和备份恢复备份与恢复系统无法检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏7安全管理制度管理制度还没有制定了信息安全工作的总体方针和安全策略,还没有对重要管理操作建立操作规程8评审和修订没有定期组织对安全管理制度的评审工作9安全管理机构岗位设置已经设立了系统管理员、信息联络员这2种角色的负责人,但没有设立安全方面的主管、其他安全方面的职位10人员配备安全管理员与系统管理员由同一人兼任11审核与检查安全检查周期为不定期12人员安全管理人员考核没有定期对各岗位的人员进行安全技能和安全认知方面的考核13安全意识

6、教育和培训还没有制定针对不同员工开展相关安全意识教育、安全基础知识和安全技术培训的计划;还没有在制度中规定如何对违反违背安全策略和规定的人员进行惩戒14系统建设管理安全方案设计在系统建设时并未按照国家等级保护的相关要求进行方案设计15测试验收有对系统进行测试验收,但是没有制定测试验收方案,没有形成测试验收报告16环境管理******************已经对办公环境实施了部分报告摘要-3-广东南方信息安全产业基地有限公司ChinaInformationSecurityIndustryPark系统运维管理保密性管理,但尚未写入相关管理制度中,且可以

7、在办公区接待来访人员17介质管理尚未制定相应的介质安全管理制度18设备管理未建立相应的设备管理制度和操作规程19系统安全管理未指定细致、全面的系统安全管理制度,还没有制定相关的系统操作手册20变更管理有相关审批、通告流程,但未制定变更管理制度21备份与恢复管理未制定细致、全面的备份与恢复管理制度22安全事件处置未制定专门的安全事件处置预案和管理制度23应急预案管理还没有制定相应的应急预案,未定期对系统相关的人员进行应急预案培训四、系统安全建设、整改建议依据本次测评结果和对系统可能面临的风险的分析,建议**********加强安全管理制度的健全工作,组

8、织专业维护人员对主机、应用系统进行专业的系统加固、日常运维和应急响应;设置人员岗位,做到安全管理员和系统管理

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。