网络实验室系统等保测评报告-正文

更新时间：2024-04-26 20:12:01 阅读量：综合文库文档下载

说明：文章内容仅供预览，部分内容可能不全。下载后的文档，内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的，是否完整无缺。

泰克网络实验室推荐度：
相关推荐

内部资料注意保管

项目编号合同编号报告编号文档编号

网络实验室系统信息安全等级测评报告

系统名称：网络实验室系统被测单位：西科大测评单位：报告时间：2015

年 4

月 10 日

XXX系统信息安全等级测评报告 [2014]

说明：

一、每个备案信息系统单独出具测评报告。

二、测评报告编号为四组数据。各组含义和编码规则如下：第一组为信息系统备案表编号，由12位数字组成，可以从公安机关颁发的信息系统备案证明（或备案回执）上获得，即证书编号的前12位（前6位为受理备案公安机关代码，后6位为受理备案的公安机关给出的备案单位的顺序编号）。

第二组为年份，由2位数字组成。例如09代表2009年。第三组为测评机构代码，由四位数字组成。前两位为省级行政区划数字代码的前两位或行业主管部门编号：00为公安部，11为北京，12为天津，13为河北，14为山西，15为内蒙古，21为辽宁，22为吉林，23为黑龙江，31为上海，32为江苏，33为浙江，34为安徽，35为福建，36为江西，37为山东，41为河南，42为湖北，43为湖南，44为广东，45为广西，46为海南，50为重庆，51为四川，52为贵州，53为云南，54为西藏，61为陕西，62为甘肃，63为青海，64为宁夏，65为新疆，66为新疆兵团。90为国防科工局，91为电监会，92为教育部。后两位为公安机关或行业主管部门推荐的测评机构顺序号。

第四组为本年度信息系统测评次数，由两位构成。例如02表示该信息系统本年度测评2次。

XXX系统信息安全等级测评报告 [2014]

信息系统等级测评基本信息表

信息系统系统名称网络实验室系统安全保护等级第2级测评结论部分符合备案证明编号委托单位单位名称单位地址姓名联系人所属部门移动电话职务/职称办公电话电子邮件邮政编码测评单位单位名称通信地址姓名联系人所属部门移动电话编制人审核批准审核人审核日期职务/职称办公电话电子邮件编制日期单位代码邮政编码 XXX系统信息安全等级测评报告 [2014]

批准人批准日期信息安全等级测评报告 [2015]

声明

本报告是西科大网络实验室系统的安全等级测评报告。本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。

本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。当测评工作完成后，由于信息系统发生变更而涉及到的系统构成组件（或子系统）都应重新进行等级测评，本报告不再适用。

本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件（或产品）的测评结论。

在任何情况下，若需引用本报告中的测评结果或结论都应保持其原有的意义，不得对相关内容擅自进行增加、修改和伪造或掩盖事实。

2015年5月10日

信息安全等级测评报告 [2015]

报告摘要 .................................................................................................................................................. I

1 测评项目概述 .................................................................................................................................. 1

1.1测评目的 .............................................................................................................................................. 1 1.2测评依据 .............................................................................................................................................. 1 1.3参考依据 .............................................................................................................................................. 2 1.4测评过程 .............................................................................................................................................. 2 1.5报告分发范围 ...................................................................................................................................... 4

2 被测信息系统情况 .......................................................................................................................... 5

2.1承载的业务情况 .................................................................................................................................. 5 2.2系统构成 .............................................................................................................................................. 5

2.2.1机房 .............................................................................................................................................. 5 2.2.2主机设备 ...................................................................................................................................... 5 2.2.3安全设备 ...................................................................................................................................... 7 2.2.4安全管理文档 .............................................................................................................................. 7

2.3安全环境 ............................................................................................................................................ 15 2.4前次测评情况 .................................................................................................................................... 16

3 等级测评范围与方法 .................................................................................................................... 16

3.1测评指标 ............................................................................................................................................ 16 3.2测评对象 ............................................................................................................................................ 17

3.2.1测评对象选择方法 .................................................................................................................... 17

-I-

信息安全等级测评报告 [2015]

3.2.2测评对象选择结果 .................................................................................................................... 18

3.3测评方法 ............................................................................................................................................ 27

3.3.1现场测评方法 ............................................................................................................................ 27 3.3.2风险分析方法 ............................................................................................................................ 29

单元测评 ....................................................................................................................................... 30

4.1网络安全 ............................................................................................................................................ 30

4.1.1 4.1.2

结果汇总 ............................................................................................................................. 30 结果分析 ............................................................................................................................. 31

4.2主机安全 ............................................................................................................................................ 32

4.2.1结果汇总 .................................................................................................................................... 32 4.2.2结果分析 .................................................................................................................................... 33

4.3应用安全 ............................................................................................................................................ 34

4.3.1结果汇总 .................................................................................................................................... 34 4.3.2结果分析 .................................................................................................................................... 34

整体测评 ....................................................................................................................................... 35

5.1安全控制间安全测评 ........................................................................................................................ 36 5.2层面间安全测评 ................................................................................................................................ 36 5.3区域间安全测评 ................................................................................................................................ 37

6 测评结果汇总 ................................................................................................................................ 38

7 风险分析和评价 ............................................................................................................................ 40

8 9

安全建设/整改建议 ....................................................................................................................... 42 等级测评结论 ................................................................................................................................ 44

-II-

信息安全等级测评报告 [2015]

目录 -III-

信息安全等级测评报告 [2015]

报告摘要

西科大网络实验室系统作为西科大的重要信息系统，主要业务有：为西科大的学生提供安全的网络实验环境与流畅的实验网络。西科大“网络实验室系统”的业务信息安全等级为第二级，系统服务安全等级为第二级，系统安全保护等级为第二级。

受西科大的委托，成都市锐信安信息安全技术有限公司项目组于2014年10月8日对被测信息系统进行了等级保护现场测评。项目组人员依据GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》标准中二级要求，选取S2A2G2指标项组合，分别从管理与技术两个方面对被测信息系统进行客观的访谈、检查、测试。

本次“西科大网络实验室系统”系统测评的范围为西科大主机房，涉及安全技术要求的网络安全、主机安全、应用安全共计三个测评单元。测评应用系统1套、网络与安全设备1台，安全管理文档若干，服务器主机1台、0套VMWare vSphere ESXi系统和西科大主机房。

本次测评指标按照《GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求》中对信息系统安全保护等级第二级（S2A2G2）系统要求确定安全子类66项。通过单项测评、单元测评和整体测评，系统未发现高风险问题，依据关于印发《信息系统安全等级测评报告模版（试行）》的通知（公信安[2009]1487号）中的规定，本次测评结论为基本符合。

被测信息系统基本符合第二级信息系统等级保护的安全要求，但仍存在不足之处，希望在以后安全建设整改中继续完善。

摘要 -I-

网络实验室系统信息安全等级测评报告 [2015]

1 测评项目概述 1.1测评目的

通过对西科大“网络实验室系统”开展安全测评工作，可以全面、完整地了解当前西科大网络实验室系统的安全状况，分析系统所面临的各种风险。根据测评结果发现系统存在的安全问题，并对严重问题提出相应的风险控制策略，并为下一步进行整个系统的信息系统安全建设做前期准备。

对信息系统进行安全等级测评是国家推行等级保护制度的一个重要环节，也是对信息系统进行安全建设和管理的重要组成部分。通过对西科大“网络实验室系统”实施等级测评，可以发现信息系统的安全现状与需要达到的安全等级或目标的差异，可以在技术和管理方面进行有针对性的加强和完善，使重要信息系统安全工作有的放矢。

西科大可依据等级测评结果，并结合单位实际情况，区分轻重缓急，制定针对性的安全整改计划，通过安全整改不断提高信息系统的整体安全保护水平。

1.2测评依据

1) GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》（简称

《基本要求》）

2) GB/T 28448-2012《信息安全技术信息系统安全等级保护测评要求》（简称

《测评要求》）

3) 西科大网络实验室系统定级报告

正文第1页/共58页

网络实验室系统信息安全等级测评报告 [2015]

1.3参考依据

1) 《中华人民共和国计算机信息系统安全保护条例》(国务院147号令) 2) 关于印发《信息系统安全等级测评报告模版（试行）》的通知（公信安

[2009]1487号）

3) GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》（简称

《定级指南》）

4) GB/T 25058-2010《信息安全技术信息系统安全等级保护实施指南》（简称

《实施指南》）

5) GB/T 28449-2012《信息安全技术信息系统安全等级保护测评过程指南》

（简称《测评过程指南》）

6) 《卫生行业信息安全等级保护工作的指导意见》（卫办发〔2011〕85号）

1.4测评过程

本次测评过程分为四个阶段，即测评准备阶段、方案编制阶段、现场测评阶段、分析与报告编制阶段。

测评准备阶段，对西科大“网络实验室系统”进行前期调查，掌握信息系统的详细情况，并确定测评对象；根据信息系统的实际情况准备现场测评表与测试工具。

方案编制阶段，编制与西科大“网络实验室系统”相适应的测评内容及实施方法。测评实施阶段，按照测评方案的总体要求，严格执行测评实施手册，分步实施所有测评项目；通过单项测评和系统整体测评两个方面，了解系统的真实保护情况，获取足够证据，发现系统存在的安全问题。

正文第2页/共58页

网络实验室系统信息安全等级测评报告 [2015]

报告编制阶段，根据现场测评结果和相关标准的有关要求，通过单项测评结果判定和系统整体测评分析等方法，分析整个系统的安全保护现状与相应等级的保护要求之间的差距，综合评价被测信息系统保护状况，并形成测评报告文本。

基本工作流程图如下图1-1所示：

测评准备活动测评对象确定测评工具接入点确定等级测评项目启动信息收集与分析工具和表单准备测评指标确定方案编制活动测评内容确定测评实施手册开发测评方案编制沟通与洽谈正文

现场测评活测评实施准备现场测评和结果记录结果确认和资料归还单项测评结果判定单项测评结果汇总分析系统整体测评分析风险分析测评报告编制分析与报告编制活动修订图1-1基本工作流程图

第3页/共58页

网络实验室系统信息安全等级测评报告 [2015]

在整个等级测评过程中与项目组与西科大保持良好地沟通与访谈，促进本次测评顺利完成。

测评准备活动：时间为2015年4月08日，主要工作内容为：准备调研内容，收集调查结果和整理分析调查材料。

方案编制活动：时间为2015年4月09日-10日，主要工作内容为：制定测评方案。

现场测评活动：时间为2015年4月11日-5月1日，主要工作内容为：准备现场文档，现场测评本次测评范围内所属应用系统、服务器、相关网络安全设备并记录现场测评结果，对安全管理机构、人员安全管理、安全管理制度、系统建设安全管理、系统运维安全管理做现场测评并记录测评结果。

分析与报告编制活动：时间为2015年5月2日-5月3日，主要工作内容为：材料核查整理，等级测评报告编写。

1.5报告分发范围

本报告一式三份，其中一份提交西科大，一份提交绵阳市公安局，一份公司留存。

正文第4页/共58页

网络实验室系统信息安全等级测评报告 [2015]

2 被测信息系统情况

2.1承载的业务情况

2.2系统构成

2.2.1机房

表2-1测评对象-机房列表

序号 1 机房名称西科大主机房物理位置机房位于东六3楼 2.2.2主机设备

表2-3主机/存储设备基本情况表操作系统/数物理/逻序号设备名称辑区域统生产集群1 1号房/服务VMWare 室系统行政机物理机：网络实验*.*.*.* 关键 s 系统 Window据库管理系应用软件安装平台/ IP地址程度用系统重要所属应正文第5页/共58页

网络实验室系统信息安全等级测评报告 [2015]

操作系统/数物理/逻序号设备名称辑区域统器区 vSphere 5.5 虚拟机OS：Windows Server 2008 R2 CentOS 6.4 数据库： Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 据库管理系应用软件安装平台/ IP地址程度用系统重要所属应正文第6页/共58页

网络实验室系统信息安全等级测评报告 [2015]

2.2.3安全设备

表2-5安全设备基本情况表物理/逻辑区序号设备名称域 1 运维审计平台主机房/服务器区主机房/核心区 *.*.*.* 重要型号/版本 IP地址重要程度 2 内网防火墙 *.*.*.* 重要 2.2.4安全管理文档

表2-6安全管理文档基本情况表

序号 1 2 文档名称安全管理员岗位说明书[2014] 机房物理和环境安全管理制度主要内容安全管理员的岗位说明书机房建设安全管理、机房运行安全管理规范西科大信息安全检查工作的具体过程，明确3 信息安全检查规范各相关方的职责和工作内容，为信息安全检查工作的顺利开展提供有效的指导信息安全组织管理办法的总则，信息安全组织架4 信息安全组织管理办法构、信息安全组织职责正文第7页/共58页

网络实验室系统信息安全等级测评报告 [2015]

序号文档名称主要内容系统管理员、网络管理员、安全管理员的岗位规范，其中包含各岗位的职责，如系统管理员负责5 信息安全管理岗位管理办法主机房日常管理维护，监督并保证各个服务器应用系统的有效、安全、正常运行等信息安全方针总则，管理层承若，信息安全领导小组定位、成员组成、各个成员的工作职责与内6 信息安全方针容、服务对象，信息安全管理原则、方针评审和执行信息安全管理文件管理规定内容包含制定管理7 信息安全管理文件管理规定文件的目的、使用范围、职责与分工、工作程序等说明学校在实施信息安全管理体系过程中、产生与维护的信息安全管理体系文件的相关内容、制8 信息安全管理文件体系说明定文本，信息安全管理系统文件从信息安全管理体系范围、信息安全管理体系评审规定、信息安全管理体系记录管理规定三个方面进行体现正文第8页/共58页

网络实验室系统信息安全等级测评报告 [2015]

序号文档名称主要内容对职员的背景进行审核、招聘入职及岗位调整安全管理、人员考核、离职人员安全管理、转岗安9 人力资源安全管理规定全管理、信息安全培训与考核、信息安全惩戒、外部人员来访人员变动的范围管理、安全职责管理、员工变动10 人员变动安全管理办法的界定管理，外部人员变动管理工作范畴：实验室网络安全与维护，电脑硬件及11 网络维护员职责[2014] 操作系统安全与维护，协助各部门专用软件及医用设备专用软件的使用与维护等级保护管理办法的总则、组织机制、等级划分12 等级保护管理办法和备案、建设实施、系统测评第三方服务商服务范围、第三方服务商资质认13 第三方服务商管理办法证、第三方服务商协议签订和第三方服务商服务质量监控 14 开发代码规范[2014] 规范代码开发的各种流程产品选型和综合评分、报价方式、定标策略、记15 信息产品采购管理办法录、审核与审计正文第9页/共58页

网络实验室系统信息安全等级测评报告 [2015]

序号文档名称主要内容应用系统安全设计流程、详细风险评估、确定安16 信息系统安全设计指南全控制措施、安全控制实施技术实现和安全功能系统规格书安全方案设计、评审，外包软开发、工程管理、17 信息系统建设管理办法测试验收、系统交付的管理规定变更的分类、变更的分级、变更的审批、变更管18 变更管理制度理流程、变更回顾及改进、网络变更文档管理、系统变更文档管理、数据库变更文档和审核补丁管理流程、目的、使用对象、流程图、流程19 补丁管理流程说明确保国家秘密和医院商业秘密安全，根据国家、20 便携式计算机保密管理办法[2014] 有关规定，特制订本办法西科大信息化系统的建设实施，管理和业务运行方式发生了较大变化，计算机机房成为系统运行21 西科大信息系统计算机机房管理制度的枢纽中心。为了加强医院计算机机房的规范化管理，保障各信息系统安全、正常运行，特制订本管理制度正文第10页/共58页

网络实验室系统信息安全等级测评报告 [2015]

序号文档名称主要内容为了确保学校信息系统和信息网络的高效、稳定的运行，要求加强学校电脑及其周边设备管理，22 电脑设备管理制度规范其安全、正常、合理的应用，并制定了设备管理制度规范电子签名行为，确立电子签名的法律效力，23 电子签名数字认证证书管理制度依据2005年4月1日中华人民共和国《电子签名法》相关规定防病毒管理内容、人员职责、病毒事件的处理办24 防病毒管理策略法、整体防护的策略、各类设备的防护策略、网管病毒的扫描机房区域划分、机房安全设施管理、机房环境实施管理、机房人员出入安保管理、机房设备出入25 机房安全管理实施细则管理、机房人员管理规范、机房库房入库管理、机房库房出库管理和机房库房设备、工具临时借用管理监控的分类、监控策略原则、机房环境控制策略、26 监控管理办法设备硬件控制策略、程序及进程控制策略和网络及线路监控策略正文第11页/共58页

网络实验室系统信息安全等级测评报告 [2015]

序号文档名称主要内容保护数据信息免受威胁，从而确保业务平台的连续性，缩减业务平台有可能面临的风险，为整个35. 数据安全管理规范[2014] 业务平台部门的长期正常运行提供强有力的保障备份策略选择、数据备份、恢复与策略、数据备36. 数据备份管理规定份介质存储环境的管理和数据备份介质的管理和系统数据备份对网络安全配置、日志保存时间、安全策略、升37. 网络安全策略级与打补丁、口令更新周期等方面作出一系列规定因地震、火灾、水灾、病毒等不可抗力因素，造成了对医院网络系统构成威胁时，信息科网络维38. 网络维护紧急预案护组按事前、事中、事后三个步骤实现医院网络紧急预案。确保医院网络信息数据安全，平稳渡过紧急状况快速恢复正常网络工作秩序物理区域安全控制、设备安全控制、设备安全控39. 物理与环境安全管理办法制介质的存放环境和使用管理、介质的维修、介质40. 介质安全管理规定的存储等正文第12页/共58页

网络实验室系统信息安全等级测评报告 [2015]

序号文档名称主要内容为有效保障信息系统运行安全、计算机应用安41. 系统及应用监管管理制度全，及早发现事故隐患并处理，规范信息系统监控管理，特制定本制度系统备份说明、网络备份规范、系统备份规范、42. 系统备份恢复规范数据库备份规范、应用备份规范和记录文档信息安全时间报告、信息安全时间处理、信息安43. 信息安全事件管理办法全时间总结、信息安全弱点报告和信息安全弱点处理管理组织架构与职责、应急计划能力要求、制定44. 信息系统应急管理办法应急计划、实施应急计划和应急计划的宣传、培训和演练信息资产的分类、信息资产的敏感性标示、信息45. 信息资产分类及安全管理规定资产的使用和信息资产的保密期限风险评估术语、风险评估准则、信息资产识别、识别弱点、识别威胁、识别现有控制措施、估算风险值、确定风险等级与可接受标准、选择控制46. 信息资产风险评估管理规范项、制定风险等级与可接受标准、选择控制项、制定风险处理计划、预估残留风险、风险评估结果汇报和评价残余风险正文第13页/共58页

网络实验室系统信息安全等级测评报告 [2015]

序号文档名称主要内容加强学校信息网络安全、信息系统安全、信息数47. 学校信息保护制度据安全管理，确保学校信息数据安全、完整、正常的应用，特制定了学校信息保护制度严格按照《计算机操作规范》、《网络安全管理制48. 学校信息管理日常维护管理制度度》、《网络设备管理制度》相关要求执行学校信息日常维护管理工作学校信息系统数据是学校信息化建设的核心，是49. 学校信息数据备份制度学校持续发展、正常运营的载体，学校领导及信息科应高度的重视和认真负责的管理帐户的创建、使用、变更与取消管理办法，口令的分类、设定、生成与更改管理办法，系统用户50. 账户和口令管理办法的责任与义务，信息系统管理员的责任与义务、办公室的责任与义务为加强学校内部计算机终端安全管理工作，确保学校信息系统和信息网络的高效、稳定的运行，保障学校重要数据资源，防范系统风险，制订了51. 计算机终端安全管理办法《计算机终端安全管理办法》。所有学校从业人员、合作伙伴长期服务提供人员都必须认真执行本管理办法，切实做好计算机终端安全工作正文第14页/共58页

网络实验室系统信息安全等级测评报告 [2015]

2.3安全环境

通过对威胁类型的分类，威胁来源的分析，在对用户信息安全现状进行分析后，将通过访谈用户、系统关键文档审阅、系统运行情况检查等方式作为此系统的主要威胁数据来源，结合《风险评估规范》、历史统计和行业判断，得出可能对用户系统造成危害的潜在高发威胁列表如下：

表2-7威胁情况表

序号威胁分(子)类 1 2 恶意攻击软件故障描述利用工具和技术对信息系统进行攻击操作系统、应用软件由于设计缺陷等发生故障由于制度缺失、不完善等原因导致安全管理无法落实管理不到位或者不到位无作为或操作失误 5 断电应该执行而没有执行相应的操作，或者无意执行了错中误的操作外部电力供应中断网络、主机等系统设备由于设备老化等原因发生硬件硬件故障故障越权访问本来无权访问的资源，或者滥用自己的权限越权或滥用破坏信息系统 8 9 物理攻击泄密通过物理的接触造成对软件、硬件和数据的破坏信息泄露给不应了解的他人低低低低低中威胁赋值高中 3 4 6 7 正文第15页/共58页

网络实验室系统信息安全等级测评报告 [2015]

序号威胁分(子)类描述非法修改信息，破坏信息的完整性使系统的安全性降威胁赋值 10 篡改低或信息不可用低 11 抵赖否认所做的操作低 2.4前次测评情况

此次测评为网络实验系统首次进行等级测评。

3 等级测评范围与方法

3.1测评指标

《基本要求》中对不同等级信息系统的安全功能和措施提出了具体要求，等级测评应根据信息系统的安全保护等级从中选取相应等级的安全测评指标，并依据《测评要求》和《测评过程指南》对信息系统实施安全测评。

本次安全等级测评范围内的“西科大网络实验室系统”的安全保护等级为第二级，其中业务信息安全保护等级为第二级，系统服务安全保护等级为第二级(S2A2G2)。

表3-1测评指标统计列表（S2A2G2）

测评指标安全子类数量技术/管理安全分类 S2 A2 G2 小计正文第16页/共58页

网络实验室系统信息安全等级测评报告 [2015]

测评指标安全子类数量技术/管理安全分类 S2 物理安全网络安全安全技术主机安全应用安全数据安全及备份恢复安全管理制度安全管理机构安全管理人员安全管理系统建设管理系统运维管理合计

1 1 2 4 2 0 0 0 0 0 A2 1 0 1 2 1 0 0 0 0 0 G2 8 5 3 1 0 3 5 5 9 12 小计 10 6 6 7 3 3 5 5 9 12 66 3.2测评对象

3.2.1测评对象选择方法

测评对象包括网络互联与安全设备操作系统、应用软件系统、主机操作系统、数据库管理系统、安全相关人员、机房、介质以及管理文档。选择过程中综合考虑

正文第17页/共58页

网络实验室系统信息安全等级测评报告 [2015]

了信息系统的安全保护等级、业务应用特点和对象所在具体设备的重要情况等要素，并兼顾了工作投入与结果产出两者的平衡关系。

3.2.2测评对象选择结果

1) 机房

表3-2测评对象-机房列表

序号 2 机房名称西科大主机房物理位置机房位于西科大东六3楼 2) 主机操作系统及数据库相关软件

表3-3测评对象-主机操作系统及安全相关软件列表

操作系统/数物理/逻序号设备名称辑区域统行政机生产集群1 1号器区 R2 房/服务Server 2008 系统统 Windows 医院XXX*.*.*.* 关键 s xp系Window据库管理系应用软件安装平台/ IP地址程度用系统重要所属应3) 网络互联设备

表3-5测评对象-网络互联设备操作系统列表

序号 1 设备名称核心交换机物理/逻辑区域主机房/核心区型号/版本 IP地址重要程度 *.*.*.* 关键正文第18页/共58页

网络实验室系统信息安全等级测评报告 [2015]

4) 安全设备

表3-6测评对象-安全设备管理系统列表物理/逻辑区序号设备名称域 1 运维审计平台主机房/核心区主机房/核心区 *.*.*.* 关键型号/版本 IP地址重要程度 2 内网防火墙 *.*.*.* 关键 5) 安全管理文档

表3-7测评对象-安全管理文档列表

网络实验室系统信息安全等级测评报告 [2015]

序号文档名称主要内容信息科是受分管副院长直接领导的兼具管理职10 信息科管理制度[2014] 能的技术科室，其基本职能是负责医院信息化建设的规划、实施、运行、维护和管理培训对象包含：新员工、全体员工、安全专职人员、所有部门信息安全管理协调员和安全专职人11 年度信息安全管理培训计划员、所有部门信息安全管理协调员，各个对象培训的内容、培训类别、培训方式、学时、时间均有不同的计划对职员的背景进行审核、招聘入职及岗位调整安全管理、人员考核、离职人员安全管理、转岗安12 人力资源安全管理规定全管理、信息安全培训与考核、信息安全惩戒、外部人员来访人员变动的范围管理、安全职责管理、员工变动13 人员变动安全管理办法的界定管理，外部人员变动管理工作范畴：学校网络安全与维护，电脑硬件及操14 网络维护员职责[2014] 作系统安全与维护，协助各部门专用软件及医用设备专用软件的使用与维护正文第21页/共58页

网络实验室系统信息安全等级测评报告 [2015]

序号文档名称主要内容工作范畴：监督和管理本科室专职统计人员、病15 信息科长职责案管理人员、网络管理人员的日常工作，积极推动学校数字信息化发展保障学校计算机和网络的安全运行，特制定本管16 学校信息安全培训理规定等级保护管理办法的总则、组织机制、等级划分17 等级保护管理办法和备案、建设实施、系统测评第三方服务商服务范围、第三方服务商资质认18 第三方服务商管理办法证、第三方服务商协议签订和第三方服务商服务质量监控 19 开发代码规范[2014] 规范代码开发的各种流程产品选型和综合评分、报价方式、定标策略、记20 信息产品采购管理办法录、审核与审计应用系统安全设计流程、详细风险评估、确定安21 信息系统安全设计指南全控制措施、安全控制实施技术实现和安全功能系统规格书安全方案设计、评审，外包软开发、工程管理、22 信息系统建设管理办法测试验收、系统交付的管理规定正文第22页/共58页

网络实验室系统信息安全等级测评报告 [2015]

序号文档名称主要内容变更的分类、变更的分级、变更的审批、变更管23 变更管理制度理流程、变更回顾及改进、网络变更文档管理、系统变更文档管理、数据库变更文档和审核补丁管理流程、目的、使用对象、流程图、流程24 补丁管理流程说明确保国家秘密和医院商业秘密安全，根据国家、25 便携式计算机保密管理办法[2014] 有关规定，特制订本办法西科大信息化系统的建设实施，管理和业务运行方式发生了较大变化，计算机机房成为系统运行26 西科大信息系统计算机机房管理制度的枢纽中心。为了加强学校计算机机房的规范化管理，保障各信息系统安全、正常运行，特制订本管理制度为了确保学校信息系统和信息网络的高效、稳定的运行，要求加强学校电脑及其周边设备管理，27 电脑设备管理制度规范其安全、正常、合理的应用，并制定了设备管理制防病毒管理内容、人员职责、病毒事件的处理办28 防病毒管理策略法、整体防护的策略、各类设备的防护策略、网管病毒的扫描正文第23页/共58页

网络实验室系统信息安全等级测评报告 [2015]

序号文档名称主要内容机房区域划分、机房安全设施管理、机房环境实施管理、机房人员出入安保管理、机房设备出入29 机房安全管理实施细则管理、机房人员管理规范、机房库房入库管理、机房库房出库管理和机房库房设备、工具临时借用管监控的分类、监控策略原则、机房环境控制策略、30 监控管理办法设备硬件控制策略、程序及进程控制策略和网络及线路监控策略保护数据信息免受威胁，从而确保业务平台的连续性，缩减业务平台有可能面临的风险，为整个35. 数据安全管理规范[2014] 业务平台部门的长期正常运行提供强有力的保障备份策略选择、数据备份、恢复与策略、数据备36. 数据备份管理规定份介质存储环境的管理和数据备份介质的管理和系统数据备份对网络安全配置、日志保存时间、安全策略、升37. 网络安全策略级与打补丁、口令更新周期等方面作出一系列规定正文第24页/共58页

网络实验室系统信息安全等级测评报告 [2015]

序号文档名称主要内容因地震、火灾、水灾、病毒等不可抗力因素，造成了对学校网络系统构成威胁时，信息科网络维38. 网络维护紧急预案护组按事前、事中、事后三个步骤实现学校网络紧急预案。确保学校网络信息数据安全，平稳渡过紧急状况快速恢复正常网络工作秩序物理区域安全控制、设备安全控制、设备安全控39. 物理与环境安全管理办法制介质的存放环境和使用管理、介质的维修、介质40. 介质安全管理规定的存储等早发现事故隐患并处理，规范信息系统监控管41. 系统及应用监管管理制度理，特制定本制度系统备份说明、网络备份规范、系统备份规范、42. 系统备份恢复规范数据库备份规范、应用备份规范和记录文档信息安全时间报告、信息安全时间处理、信息安43. 信息安全事件管理办法全时间总结、信息安全弱点报告和信息安全弱点处理管理组织架构与职责、应急计划能力要求、制定44. 信息系统应急管理办法应急计划、实施应急计划和应急计划的宣传、培训和演练正文第25页/共58页

网络实验室系统信息安全等级测评报告 [2015]

序号文档名称主要内容信息资产的分类、信息资产的敏感性标示、信息45. 信息资产分类及安全管理规定资产的使用和信息资产的保密期限风险评估术语、风险评估准则、信息资产识别、识别弱点、识别威胁、识别现有控制措施、估算风险值、确定风险等级与可接受标准、选择控制46. 信息资产风险评估管理规范项、制定风险等级与可接受标准、选择控制项、制定风险处理计划、预估残留风险、风险评估结果汇报和评价残余风险加强学校信息网络安全、信息系统安全、信息数47. 学校信息保护制度据安全管理，确保学校信息数据安全、完整、正常的应用，特制定了学校信息保护制度严格按照《计算机操作规范》、《网络安全管理制48. 学校信息管理日常维护管理制度度》、《网络设备管理制度》相关要求执行学校信息日常维护管理工作学校信息系统数据是医院信息化建设的核心，是49. 学校信息数据备份制度学校持续发展、正常运营的载体，学校领导及信息科应高度的重视和认真负责的管理正文第26页/共58页

网络实验室系统信息安全等级测评报告 [2015]

序号文档名称主要内容帐户的创建、使用、变更与取消管理办法，口令的分类、设定、生成与更改管理办法，系统用户50. 账户和口令管理办法的责任与义务，信息系统管理员的责任与义务、办公室的责任与义务 6) 访谈人员

表3-8测评对象-访谈人员列表

序号 1 2 3 姓名岗位/角色网络及安全管理员系统及安全管理员系统及安全管理员 3.3测评方法

3.3.1现场测评方法

本次等级测评现场实施过程中将综合采用访谈、检查和测试等测评方法。 1) 访谈

访谈是指测评人员通过与被测信息系统有关人员（个人/群体）进行交流、询问等活动，获取证据以证明信息系统安全保护措施是否有效的一类方法。在本次测评

正文第27页/共58页

网络实验室系统信息安全等级测评报告 [2015]

过程中，访谈方法主要应用于安全管理机构测评、人员安全管理测评、系统建设管理测评和系统运维管理测评等安全管理类测评任务中。

在安全管理类测评任务中，测评人员依据定制的测评指导书（访谈问题列表）对相关人员进行访谈，获取与安全管理有关的评估证据用于判断特定的安全管理措施是否符合国家相关标准以及委托方的实际需求。

2) 检查

检查是指测评人员通过对评估对象进行观察、查验、分析等活动，获取证据以证明信息系统安全保护措施是否有效的一类方法。在本次测评过程中，检查方法的应用范围覆盖了物理安全测评、主机安全测评、网络安全测评、应用安全测评和数据安全及备份恢复等技术类测评任务，以及安全管理类测评任务。

在物理安全测评任务中，测评人员采用文档查阅与分析和现场观察等检查方法来获取测评证据（如机房的温湿度情况），用于判断目标系统在机房安全方面采用的特定安全技术措施是否符合国家相关标准以及委托方的实际需求。

在主机安全测评、网络安全测评、应用安全测评和数据安全及备份恢复等测评任务中，测评人员综合采用文档查阅与分析、安全配置核查和网络监听与分析等检查方法来获取测评证据（如相关措施的部署和配置情况，特定设备的端口开放情况等），用于判断目标系统在主机、网络和应用层面采用的特定安全技术措施是否符合国家相关标准以及委托方的实际需求。

在安全管理类测评任务中，测评人员主要采用文档查阅与分析的检查方法来获取测评证据（如制度文件的编制情况），用于判断特定的安全管理措施是否符合国家、行业相关标准的要求以及委托方的实际需求。

正文第28页/共58页

网络实验室系统信息安全等级测评报告 [2015]

3) 测试

测试是指评估人员使用预定的方法/工具使评估对象产生特定的行为，通过查看、分析这些行为的结果，获取证据以证明信息系统安全保护措施是否有效的一类方法。在本次测评过程中，测试方法主要应用在手工验证、漏洞扫描、渗透测试等测评任务中。

在网络安全、主机安全和应用安全等测评任务中，测评人员将综合采用手工验证和工具测试（如漏洞扫描、渗透测试等）方法对特定安全技术措施的有效性进行测试，测试结果用于判断目标系统在网络、主机或应用层面采用的特定技术措施是否符合国家相关标准以及委托方的实际需求，并进一步应用于对目标系统进行安全性整体分析。

3.3.2风险分析方法

本项目采用的风险分析过程包括：

1）判断信息系统安全保护能力缺失（测评结果中的部分符合项和不符合项）被威胁利用导致安全事件发生的可能性，可能性的取值范围为高、中和低。

2）判断安全事件对信息系统业务信息安全和系统服务安全造成的影响程度，影响程度取值范围为高、中和低。

3）综合1）和2）的结果对信息系统面临的风险进行汇总和分等级，风险等级的

取

值

范

围

为

高

、

中

和

低

。

正文第29页/共58页

网络实验室系统信息安全等级测评报告 [2015]

4 单元测评

单元测评内容涉及3.2.2章节“测评对象”中确定的机房、业务应用软件等具体对象，覆盖3.1章节“测评指标”中涉及的物理安全、网络安全、主机安全等10个安全指标分类。具体测评对象的测评结果记录参见本报告附录相应内容，结果汇总与问题分析如下所示。

4.1网络安全

4.1.1 结果汇总

根据现场测评结果记录，可以得到被测信息系统“网络安全”各个测评指标统计结果，具体汇总如下表所示。

表4-1网络安全-单元测评结果汇总表

安全子类序设备名称号结构安全访问控制安全整性检审计查 0/4 符合 2 核心交换机 / 0/1 符合 N/A N/A 0/1 符合 / / 1/1 不符合 1/6 / 部分符码防范防范备防护边界完恶意代入侵网络设 1 网络全局 / / / 正文第30页/共58页

网络实验室系统信息安全等级测评报告 [2015]

安全子类序设备名称号结构安全访问控制安全整性检审计查注：\表示\不适用\，\表示该级别系统无此要求。分母表示\该测评指标中的测评项个数\，分子表示\该测评指标中的不符合的测评项的个数\。码防范防范备防护边界完恶意代入侵网络设 4.1.2 结果分析

西科大网络实验室系统在网络安全方面采取了以下措施： ? 根据安全区域划分原则，学校在内网核心交换机上分VLAN；

? 主要网络设备能够满足业务高峰期需要，主要网络和安全设备内存利用率及

cpu占用率均在正常范围；网络各部分带宽满足业务高峰期需要，各通信链路高峰流量均不大于其带宽的50%；

? 在接入处部署了内网防火墙，开启了IPS和防病毒功能；内网服务器区通

过在核心交换机上设置ACL（IP+端口）进行访问控制，并使用内网防火墙的镜像模式实时入侵防御和防病毒检测；

? 在服务区部署了运维审计平台对服务器、网络设备等进行运维管理，回收了

各服务器、网络设备的登录账号和口令，所有服务器、网络设备只能通过运维审计平台进行登录运维，且在防火墙上限制了登录运维审计平台的IP，即限定了管理终端；

? 网络安全设备采用用户名/密码方式；

正文第31页/共58页

网络实验室系统信息安全等级测评报告 [2015]

? 使用用户名、密码登录，系统通过运维审计平台进行管理，web进行访问，

使用https协议。

西科大网络实验室系统在网络安全方面存在的主要问题包括： ? 内网防火墙未对登录失败采取相关措施。 ? 审计与管理未分开。

4.2主机安全

4.2.1结果汇总

根据现场测评结果记录，可以得到系统在“主机安全”方面各个安全子类的统计结果，具体汇总如下所示。

表4-2主机安全（操作系统）-单元测评结果汇总表

安全子类序设备名称号身份鉴别 2/5 1 Windows Server xp 部分符合访问控制 2/40/4部分符合符合 / 符合不符合符合 0/1 2/2 1/3部分安全审计剩余信息保护入侵防范恶意代码防范系统资源控制注：\表示\不适用\，\表示该级别系统无此要求。分母表示\该测评指标中的测评项个数\，分子表示\该测评指标中的不符合的测评项的个数\。正文第32页/共58页

网络实验室系统信息安全等级测评报告 [2015]

表4-3主机安全（数据库管理系统）-单元测评结果汇总表

4.2.2结果分析

1) 操作系统

西科大网络实验室系统主机安全方面采取了以下安全措施：其中Windows Serverxp 主机采用的措施包括:

? Windows操作系统采用用户名、密码方式登录，开启了远程管理，均通过

运维审计系统进行登录管理，通过https进行传输；

? 所有访问通过运维审计系统进行控制，无数据库用户，对每一个用户进行权

限分配，对系统默认账户进行重命名并进行口令更改，除了开启系统必须的组件用户和系统内置账户外，仅设置了系统账户；

? 通过运维审计平台对每一个操作系统用户进行审计，审计包含所有操作记

录，系统资源使用情况，对所有命令进行记录并录屏等功能，记录包含事件的日期、类型、源、消息和日志类型等，日志保持至少半年，并可对日志进行定期备份；

网络实验室系统主机安全方面还存在以下问题：其中Windows主机存在的问题包括：

? 没有完全限制每个用户对资源的最大或最小使用限度； ? 没有为用户设置密码； ? 没有将默认用户关闭； ? 没有设置超时登陆和限制。

正文第33页/共58页

网络实验室系统信息安全等级测评报告 [2015]

4.3应用安全

4.3.1结果汇总

根据现场手工核查情况，可以得到不同业务应用软件各个安全子类的统计结果，具体汇总如下表所示。

表4-4应用安全-单元测评结果汇总表

安全子类资业务应用软件号数据身份鉴别访问保密控制性审计性性性制 3/31/4部1 西科大网络安全系统 0/4分符符合合合符合不符部分符合合 1/12/40/1不符符合符合合注：\表示\不适用\，\表示该级别系统无此要求。分母表示\该测评指标中的测评项个数\，分子表示\该测评指标中的不符合的测评项的个数\。 2/20/1部分符1/2不安全完整保密完整容错控通信通信数据软件源序4.3.2结果分析

西科大网络实验室系统在应用安全方面采取了以下安全措施：

? 在用户管理界面可查看所有用户，用户身份唯一，不存在重复用户身份； ? 如新建账户与已存在账户重名，提示无法创建；在用户管理界面可查看每个

用户的授权情况，必须根据实际需求进行授权后，才具有操作权限；

正文

第34页/共58页

网络实验室系统信息安全等级测评报告 [2015]

? 在用户管理界面可查看每个用户的授权情况，必须根据实际需求进行授权

后，才具有操作权限，如信息科科长具有最大权限，护士工作站仅有部分查看权限；

? 应用系统具有审计功能，并能查看相关审计记录，自动生成报表，可以导出

excel，通过excel可以直接查看最终结果； ? 采用了校验码技术来保证通信过程中数据的完整性；

? 系统会进行报错，手动录入将会对输入数值进行限制（如病人名字不能为

空）。

西科大网络实验室系统在应用安全方面还存在以下问题 ? 没有利用密码技术进行会话初始化验证；

? Portal模块为所有功能的入口，但该模块没有容灾功能，当它逻辑故障时，

系统其他功能不能使用。但由于采用了主机层的容灾，如主机故障，Portal可在几分钟内恢复运行；

? 未对应用系统的最大并发会话连接数进行限制； ? 会话空闲时没有自动结束会话，但会锁定系统界面； ? 没有对单个用户的多重并发进行限制； ? 没有将审计和管理分开。

5 整体测评

信息系统的复杂性和多样性决定了保障信息系统的安全措施也是千变万化的，安全措施的落地不是一成不变的。有些时候，某些安全技术措施即可以在网络上实

正文第35页/共58页

网络实验室系统信息安全等级测评报告 [2015]

现也可以在主机上实现，甚至可通过较强的管理手段来弥补技术上的薄弱环节。因此，应分析安全控制措施之间的关联互补。

安全控制措施的关联互补包括安全控制间、层面间和区域间等三个方面。

5.1安全控制间安全测评

安全控制间的安全测评主要考虑同一区域内、同一层面上的不同安全控制间存在的功能增强、补充或削弱等关联作用。安全功能上的增强和补充可以使两个不同强度、不同等级的安全控制发挥更强的综合效能，可以使单个低等级安全控制在特定环境中达到高等级信息系统的安全要求。安全功能上的削弱可能会使一个安全控制的引入影响另一个安全控制的功能发挥或者给其带来新的脆弱性，使其在特定环境中不能达到该等级信息系统的安全要求。

机房安装了温湿度短信报警、烟感，定时检查机房环境，并在机房放置了一组二氧化碳灭火装置，削弱了机房没有安装自动灭火装置所带来的安全风险。

5.2层面间安全测评

层面间的安全测评主要考虑同一区域内的不同层面之间存在的功能增强、补充和削弱等关联作用。安全功能上的增强和补充可以使两个不同层面上的安全控制发挥更强的综合效能，可以使单个低等级安全控制在特定环境中达到高等级信息系统的安全要求。安全功能上的削弱会使一个层面上的安全控制影响另一个层面安全控制的功能发挥或者给其带来新的脆弱性。

西科大网络安全系统的关键网络设备和带宽均能满足业务高峰期需要，在网络边界处部署防火墙进行访问控制，防火墙带有入侵防护功能，且已开启，能够检测

正文

第36页/共58页

网络实验室系统信息安全等级测评报告 [2015]

攻击行为。同时，部署了运维审计平台对服务器、网络设备等进行运维管理，回收了各服务器、网络设备的登录账号和口令，所有服务器、网络设备只能通过运维审计平台进行登录运维，且限制了登录运维审计平台的IP，即限定了管理终端。在一定程度上削弱了主机层面资源控制和应用层面通信保密性的脆弱性。通过对ESXi密码复杂度的控制，以及几乎不使用该密码登陆ESXi，在一定程度上削弱了ESXi不能定期更改密码的脆弱性。通过对ESXi访问地址的限制，以及ESXi是基于Linux的内核，在一定程度上削弱了ESXi未安装杀毒软件的脆弱性。西科大具有成体系的管理制度，削弱降低了系统建设管理上没有在制度对外包软件需提供源代码安全及系统运维管理上介质没有归档和查询过程记录的不足。

5.3区域间安全测评

区域间的安全测评主要考虑互连互通（包括物理上和逻辑上的互连互通等）的不同区域之间存在的安全功能增强、补充和削弱等关联作用，特别是有数据交换的两个不同区域。安全功能上的增强和补充可以使两个不同区域上的安全控制发挥更强的综合效能，可以使单个低等级安全控制在特定环境中达到高等级信息系统的安全要求。安全功能上的削弱会使一个区域上的安全功能影响另一个区域安全功能的发挥或者给其带来新的脆弱性。

该院内外网物理隔离。内网进行了有效的区域划分，各区域之间接入核心交换机，并于内网各区域间进行了VLAN划分，各VLAN间通过核心交换机的访问控制列表实现安全控制，因此，该系统与其他安全区域之间不存在安全功能上的削弱。

正文第37页/共58页

网络实验室系统信息安全等级测评报告 [2015]

6 测评结果汇总

西科大网络实验室系统经整体测评后的测评结果以表格形式汇总如下。西科大网络实验室系统经整体测评后的测评结果以表格形式汇总如下。表格中使用不同颜色对测评结果进行区分，测评结果为部分符合的指标子类采用黄色标识，不符合的指标子类采用红色标识。

表6-1测评结果汇总表

符合情况序号 1 2 3 网络安全 4 5 6 7 8 9 主机安全 10 11 12 13 应用安全入侵防范恶意代码防范资源控制身份鉴别 √ √ √ √ 边界完整性检查入侵防范网络设备防护身份鉴别访问控制安全审计 √ √ √ √ √ √ 安全分类安全子类符合结构安全访问控制安全审计 √ √ √ 部分符合不符合不适用正文第38页/共58页

网络实验室系统信息安全等级测评报告 [2015]

符合情况序号 14 15 16 17 18 19 20 21 合计安全分类安全子类符合访问控制安全审计数据保密性通信完整性数据完整性通信保密性软件容错资源控制 √ √ √ √ √ 10 部分符合 √ 7 不符合 √ √ 4 不适用正文第39页/共58页

网络实验室系统信息安全等级测评报告 [2015]

7 风险分析和评价

本项目依据等级保护的相关规范和标准，采用风险分析的方法分析信息系统等级测评结果中存在的安全问题可能被威胁利用的可能性和后果，综合判定给出信息系统面临的风险值。安全问题的风险值如下：

表7-1风险分析评价表

序号问题类别安全问题关联资产关联威胁后果风险值攻击者可通过网络安1 全如设备默认没有配置登录失败策略，则该设备未对登录失败采取相关措施业务数据恶意攻击探、破解，更容易入侵系统越权访问本来无权访问的资主机安2 全没有限制每个用户对资源的最大或最小使用限度越权或滥业务数据用己的权限破坏信息系统能访问该系统应用安3 全未开启密码复杂度检测功能，部分用户密码为简单密码他人的账号业务数据容易应用安4 全没有利用密码技术进行会话初始化验证 web系统泄密被窃取泄露给不应了解的他正文

第40页/共58页

不限次数的嗅低源，或者滥用自低 web系统泄密的人员可尝试低低网络实验室系统信息安全等级测评报告 [2015]

序号问题类别安全问题关联资产关联威胁后果风险值人操作系统、应用Portal模块为所有功能的应用安5 全入口，当它故障时，系统其他功能不能使用，但主机层实现了容灾功能软件由于设计web系统软件故障缺陷等发生故障没有限制最大低应用安6 全应用系统没有限制最大并发数 web系统业务拥堵并发，容易造成dos攻击低应用安7 全应用安8 全应用安9 全会话空闲时没有自动结束会话，但会锁定系统界面信息泄露给不web系统泄密应了解的他人否认所做的操web系统抵赖作入侵电脑得到低低没有对单个用户的多重并发进行限制访问控制设置密码入侵电脑中的信息高

正文第41页/共58页

本文来源：https://www.bwwdw.com/article/giup.html

相关文章：

正在阅读：

网络实验室系统等保测评报告-正文04-26

人格测验在人事选拔中的应用_问题与对策08-15

16春《现代远程学习概论》作业答案05-22

华为ME60业务配置指导书04-14

电子政务模拟五10-15

红色电影观后感5篇04-01

论理想信念对大学生成长成才的重要意义03-08

2011年新起点理论强化班杨帆理论法学讲义-杨帆05-05

中国物流职业经理资格证书考试试题06-06

幼儿园六一游园活动游戏(含亲子游戏)汇总02-12

上一篇：图书管理系统的设计与实现第1期下一篇：地支专论