信息安全等級(jí)測(cè)評(píng)報(bào)告.doc

報(bào)告編號(hào)： XXXXXXXX 測(cè)測(cè) 評(píng)評(píng) 報(bào)報(bào) 告告 系統(tǒng)名稱：系統(tǒng)名稱： XX 被測(cè)單位：被測(cè)單位： XX 測(cè)評(píng)單位：測(cè)評(píng)單位： xx 信息安全技術(shù)有限公司 報(bào)告時(shí)間：報(bào)告時(shí)間： 信息系統(tǒng)等級(jí)測(cè)評(píng)基本信息表 信息系統(tǒng)信息系統(tǒng) 系統(tǒng)名稱系統(tǒng)名稱安全保護(hù)等級(jí)安全保護(hù)等級(jí) 備案證明編號(hào)備案證明編號(hào)測(cè)評(píng)結(jié)論測(cè)評(píng)結(jié)論 被測(cè)單位被測(cè)單位 單位名稱單位名稱 單位地址單位地址郵政編碼郵政編碼 姓 名職務(wù)/職稱 所屬部門辦公電話聯(lián)聯(lián) 系系 人人 移動(dòng)電話電子郵件 測(cè)評(píng)單位測(cè)評(píng)單位 單位名稱單位名稱xx 信息安全技術(shù)有限公司單位代碼單位代碼 通信地址通信地址鄭郵政編碼郵政編碼 1 姓 名職務(wù)/職稱總經(jīng)理 所屬部門辦公電話 0 聯(lián)聯(lián) 系系 人人 移動(dòng)電話電子郵件 編 制 人編制日期 20 -06-30 審 核 人審核日期 20 -06-30 審核批準(zhǔn)審核批準(zhǔn) 批 準(zhǔn) 人批準(zhǔn)日期 20 -06-30 聲 明 本次測(cè)評(píng)由 XX 委托 xx 信息安全技術(shù)有限公司負(fù)責(zé)實(shí)施。項(xiàng)目組人員：XX。 本報(bào)告是 XX 的等級(jí)測(cè)評(píng)報(bào)告。 本報(bào)告測(cè)評(píng)結(jié)論的有效性建立在被測(cè)評(píng)單位提供相關(guān)證據(jù)的真實(shí)性基礎(chǔ)之上。 本報(bào)告中給出的測(cè)評(píng)結(jié)論僅對(duì)被測(cè)信息系統(tǒng)當(dāng)時(shí)的安全狀態(tài)有效。當(dāng)測(cè)評(píng)工作完成后， 由于信息系統(tǒng)發(fā)生變更而涉及到的系統(tǒng)構(gòu)成組件（或子系統(tǒng)）都應(yīng)重新進(jìn)行等級(jí)測(cè)評(píng)，本報(bào) 告不再適用。 本報(bào)告中給出的測(cè)評(píng)結(jié)論不能作為對(duì)信息系統(tǒng)內(nèi)部署的相關(guān)系統(tǒng)構(gòu)成組件（或產(chǎn)品）的 測(cè)評(píng)結(jié)論。 在任何情況下，若需引用本報(bào)告中的測(cè)評(píng)結(jié)果或結(jié)論都應(yīng)保持其原有的意義，不得對(duì)相 關(guān)內(nèi)容擅自進(jìn)行增加、修改和偽造或掩蓋事實(shí)。 xx 信息安全技術(shù)有限公司(蓋章) 20 年 6 月 目 錄 報(bào)告摘要1 第 1 章測(cè)評(píng)項(xiàng)目概述3 1.1 測(cè)評(píng)目的3 1.2 測(cè)評(píng)依據(jù)3 1.3 測(cè)評(píng)過(guò)程3 1.4 報(bào)告分發(fā)范圍5 第 2 章被測(cè)信息系統(tǒng)情況6 2.1 網(wǎng)絡(luò)結(jié)構(gòu)6 2.2 系統(tǒng)構(gòu)成7 2.2.1業(yè)務(wù)應(yīng)用軟件.7 2.2.2主機(jī)/存儲(chǔ)設(shè)備7 2.2.3網(wǎng)絡(luò)互聯(lián)設(shè)備.8 2.2.4安全設(shè)備.8 2.2.5安全相關(guān)人員.8 2.2.6安全管理文檔.8 第 3 章等級(jí)測(cè)評(píng)范圍與方法11 3.1 測(cè)評(píng)指標(biāo)11 3.1.1基本指標(biāo).11 3.1.2特殊指標(biāo).12 3.2 測(cè)評(píng)對(duì)象12 3.2.1測(cè)評(píng)對(duì)象選擇方法.12 3.2.2測(cè)評(píng)對(duì)象選擇結(jié)果.12 3.3 測(cè)評(píng)方法15 第 4 章單元測(cè)評(píng)17 4.1 物理安全17 4.1.1結(jié)果記錄.17 4.1.2匯總與分析.24 4.2 網(wǎng)絡(luò)安全25 4.2.1結(jié)果記錄.25 4.2.2匯總與分析.36 4.3 主機(jī)安全（操作系統(tǒng)）38 4.3.1結(jié)果記錄.38 4.3.2匯總與分析.52 4.4 主機(jī)安全（數(shù)據(jù)庫(kù)）55 4.4.1結(jié)果記錄.55 4.4.2匯總與分析.61 4.5 應(yīng)用安全62 4.5.1結(jié)果記錄.62 4.5.2匯總與分析.71 I 4.6 數(shù)據(jù)安全及備份恢復(fù)73 4.6.1結(jié)果記錄.73 4.7 安全管理制度77 4.7.1結(jié)果記錄.77 4.7.2匯總與分析.79 4.8 安全管理機(jī)構(gòu)80 4.8.1結(jié)果記錄.80 4.8.2匯總與分析.84 4.9 人員安全管理85 4.9.1結(jié)果記錄.85 4.9.2匯總與分析.88 4.10系統(tǒng)建設(shè)管理89 4.10.1 結(jié)果記錄.89 4.10.2 匯總與分析.99 4.11系統(tǒng)運(yùn)維管理100 4.11.1 結(jié)果記錄.100 4.11.2 匯總與分析.115 第 5 章整體測(cè)評(píng)117 5.1 安全控制間安全測(cè)評(píng)117 5.2 層面間安全測(cè)評(píng)118 5.3 區(qū)域間安全測(cè)評(píng)118 5.4 關(guān)聯(lián)互補(bǔ)分析119 5.4.1物理安全互補(bǔ)分析.119 5.4.2網(wǎng)絡(luò)安全互補(bǔ)分析.119 5.4.3主機(jī)安全互補(bǔ)分析.121 5.4.4數(shù)據(jù)安全互補(bǔ)分析.122 5.4.5應(yīng)用安全互補(bǔ)分析.123 5.4.6安全管理互補(bǔ)分析.125 第 6 章測(cè)評(píng)結(jié)果匯總127 第 7 章風(fēng)險(xiǎn)分析與評(píng)價(jià)131 7.1 信息資產(chǎn)賦值131 7.2 威脅分析132 7.3 風(fēng)險(xiǎn)分析136 第 8 章等級(jí)測(cè)評(píng)結(jié)論138 第 9 章安全建設(shè)整改建議139 9.1 物理安全139 9.2 網(wǎng)絡(luò)安全139 9.3 主機(jī)安全139 9.4 應(yīng)用系統(tǒng)140 9.5 安全管理140 II 表索引 表 1-1 測(cè)評(píng)任務(wù)表.4 表 2-1 業(yè)務(wù)應(yīng)用軟件7 表 2-2 主機(jī)/存儲(chǔ)設(shè)備 7 表 2-3 網(wǎng)絡(luò)互連設(shè)備表.8 表 2-4 安全設(shè)備.8 表 2-5 安全相關(guān)人員.9 表 2-6 安全管理文檔.9 表 3-1 基本指標(biāo).12 表 3-3 機(jī)房.13 表 3-4 網(wǎng)絡(luò)互連設(shè)備.13 表 3-5 安全設(shè)備.14 表 3-6 主機(jī)操作系統(tǒng)/數(shù)據(jù)庫(kù)管理系統(tǒng)（存儲(chǔ)） .14 表 3-7 業(yè)務(wù)庫(kù)應(yīng)用軟件.14 表 3-8 訪談人員.14 表 3-9 安全管理文檔.15 表 4-1 物理位置的選擇.19 表 4-2 物理訪問(wèn)控制.20 表 4-3 防盜竊和防破壞.20 表 4-4 防雷擊22 表 4-5 防火.22 表 4-6 防水和防潮.23 表 4-7 防靜電.24 表 4-8 溫濕度控制24 表 4-9 電力供應(yīng)25 表 4-10 電磁防護(hù)26 表 4-11 物理安全方面的單項(xiàng)測(cè)評(píng)結(jié)果.27 表 4-12 結(jié)構(gòu)安全.27 表 4-13 網(wǎng)絡(luò)訪問(wèn)控制.29 表 4-14 安全審計(jì).31 表 4-15 邊界完整性檢查33 表 4-16 網(wǎng)絡(luò)入侵防范.33 表 4-17 惡意代碼.34 表 4-18 網(wǎng)絡(luò)設(shè)備防護(hù).35 表 4-19 結(jié)構(gòu)安全方面的單項(xiàng)測(cè)評(píng)結(jié)果.38 表 4-20 網(wǎng)絡(luò)訪問(wèn)控制方面的單項(xiàng)測(cè)評(píng)結(jié)果.39 表 4-21 安全審計(jì)方面的單項(xiàng)測(cè)評(píng)結(jié)果.39 表 4-22 邊界完整性檢查方面的單項(xiàng)測(cè)評(píng)結(jié)果.39 表 4-23 網(wǎng)絡(luò)入侵防范方面的單項(xiàng)測(cè)評(píng)結(jié)果.40 表 4-24 惡意代碼防范方面的單項(xiàng)測(cè)評(píng)結(jié)果.40 表 4-25 網(wǎng)絡(luò)設(shè)備防護(hù)方面的單項(xiàng)測(cè)評(píng)結(jié)果.40 III 表 4-26 身份鑒別的選擇.41 表 4-27 訪問(wèn)控制43 表 4-28 安全審計(jì)46 表 4-29 剩余信息保護(hù).49 表 4-30 入侵防范.50 表 4-31 惡意代碼防范.51 表 4-32 資源控制.52 表 4-33 身份鑒別方面的單項(xiàng)測(cè)評(píng)結(jié)果.55 表 4-34 訪問(wèn)控制方面的單項(xiàng)測(cè)評(píng)結(jié)果.55 表 4-35 安全審計(jì)方面的單項(xiàng)測(cè)評(píng)結(jié)果.56 表 4-36 剩余信息保護(hù)方面的單項(xiàng)測(cè)評(píng)結(jié)果.56 表 4-37 入侵防范方面的單項(xiàng)測(cè)評(píng)結(jié)果.56 表 4-38 惡意代碼防范方面的單項(xiàng)測(cè)評(píng)結(jié)果.57 表 4-39 資源控制方面的單項(xiàng)測(cè)評(píng)結(jié)果.57 表 4-40 身份鑒別58 表 4-41 訪問(wèn)控制.59 表 4-42 安全審計(jì).61 表 4-43 資源控制62 表 4-44 身份鑒別方面的單項(xiàng)測(cè)評(píng)結(jié)果.63 表 4-45 訪問(wèn)控制方面的單項(xiàng)測(cè)評(píng)結(jié)果.64 表 4-46 安全審計(jì)方面的單項(xiàng)測(cè)評(píng)結(jié)果.64 表 4-47 資源控制方面的單項(xiàng)測(cè)評(píng)結(jié)果.64 表 4-48 身份鑒別.65 表 4-49 訪問(wèn)控制.66 表 4-50 安全審計(jì).67 表 4-51 剩余信息保護(hù).69 表 4-52 通信完整性.69 表 4-53 通信保密性70 表 4-54 抗抵賴.70 表 4-55 軟件容錯(cuò).71 表 4-56 資源控制.72 表 4-57 身份鑒別單項(xiàng)測(cè)評(píng)結(jié)論.74 表 4-58 訪問(wèn)控制單項(xiàng)測(cè)評(píng)結(jié)論.74 表 4-59 安全審計(jì)單項(xiàng)測(cè)評(píng)結(jié)論.74 表 4-60 剩余信息保護(hù)單項(xiàng)測(cè)評(píng)結(jié)論.75 表 4-61 通信完整性單項(xiàng)測(cè)評(píng)結(jié)論.75 表 4-62 通信保密性單項(xiàng)測(cè)評(píng)結(jié)論.75 表 4-63 抗抵賴單項(xiàng)測(cè)評(píng)結(jié)論.76 表 4-64 軟件容錯(cuò)單項(xiàng)測(cè)評(píng)結(jié)論.76 表 4-65 資源控制單項(xiàng)測(cè)評(píng)結(jié)論.77 表 4-66 數(shù)據(jù)完整性.77 表 4-67 數(shù)據(jù)保密性.78 表 4-68 備份和恢復(fù).78 表 4-69 數(shù)據(jù)完整性方面的單項(xiàng)測(cè)評(píng)結(jié)果.80 IV 表 4-70 數(shù)據(jù)保密性方面的單項(xiàng)測(cè)評(píng)結(jié)果.80 表 4-71 數(shù)據(jù)備份與恢復(fù)方面的單項(xiàng)測(cè)評(píng)結(jié)果.80 表 4-72 管理制度.81 表 4-73 制定和發(fā)布.82 表 4-74 評(píng)審和修訂.83 表 4-75 安全管理制度方面的單項(xiàng)測(cè)評(píng)結(jié)果.83 表 4-76 崗位設(shè)置.84 表 4-77 人員配備.85 表 4-78 授權(quán)和審批.85 表 4-79 溝通和合作.86 表 4-80 審核和檢查.87 表 4-81 安全管理機(jī)構(gòu)方面的單項(xiàng)測(cè)評(píng)結(jié)果.88 表 4-82 人員錄用.89 表 4-83 人員離崗.90 表 4-84 人員考核.91 表 4-85 安全意識(shí)教育和培訓(xùn).91 表 4-86 外部人員訪問(wèn)管理.92 表 4-87 人員安全管理方面的單項(xiàng)測(cè)評(píng)結(jié)果.93 表 4-88 系統(tǒng)定級(jí).93 表 4-89 安全方案設(shè)計(jì).94 表 4-90 產(chǎn)品采購(gòu)和使用.96 表 4-91 自行軟件開發(fā).97 表 4-92 外包軟件開發(fā).98 表 4-93 工程實(shí)施98 表 4-94 測(cè)試驗(yàn)收.99 表 4-95 系統(tǒng)交付100 表 4-96 系統(tǒng)備案.101 表 4-97 等級(jí)測(cè)評(píng).102 表 4-98 安全服務(wù)商選擇103 表 4-99 系統(tǒng)建設(shè)管理方面的單項(xiàng)測(cè)評(píng)結(jié)果.104 表 4-100 環(huán)境管理.105 表 4-101 資產(chǎn)管理.106 表 4-102 介質(zhì)管理.107 表 4-103 設(shè)備管理.108 表 4-104 監(jiān)控管理和安全管理中心.109 表 4-105 網(wǎng)絡(luò)安全管理.110 表 4-106 系統(tǒng)安全管理.111 表 4-107 惡意代碼防范管理.113 表 4-108 密碼管理.114 表 4-109 變更管理.114 表 4-110 備份與恢復(fù)管理.115 表 4-111 安全事件處理.116 表 4-112 應(yīng)急預(yù)案管理.118 表 4-113 系統(tǒng)建設(shè)管理方面的單項(xiàng)測(cè)評(píng)結(jié)果.119 V 表 5-1 物理安全互補(bǔ)分析.123 表 5-2 網(wǎng)絡(luò)安全互補(bǔ)分析.123 表 5-3 主機(jī)安全互補(bǔ)分析.125 表 5-4 數(shù)據(jù)安全互補(bǔ)分析.126 表 5-5 應(yīng)用安全互補(bǔ)分析.128 表 5-6 安全管理互補(bǔ)分析.129 表 6-1 測(cè)評(píng)結(jié)果匯總.132 表 7-1 信息資產(chǎn)賦值.136 表 7-2 資產(chǎn)賦值.137 表 7-3 信息安全威脅分析.137 表 7-4 風(fēng)險(xiǎn)分析.141 VI 圖索引 圖 2-1 XX 總體架構(gòu)圖.6 第 0 頁(yè) /共 146 頁(yè) 報(bào)告摘要 本次測(cè)評(píng)的對(duì)象是 XX，該系統(tǒng)向企業(yè)用戶和社會(huì)渠道提供車輛信息服務(wù)，基 于 XX 業(yè)務(wù)信息包含：運(yùn)輸企業(yè)信息、運(yùn)輸企業(yè)車輛信息、從業(yè)人員信息、危險(xiǎn)品 車輛電子運(yùn)單信息、車輛時(shí)時(shí)狀態(tài)信息。該系統(tǒng)是對(duì)運(yùn)輸企業(yè)營(yíng)運(yùn)車輛的時(shí)時(shí)監(jiān)控， 運(yùn)輸企業(yè)可通過(guò)該系統(tǒng)設(shè)置形式速度、行駛區(qū)域?qū)囕v進(jìn)行管制，對(duì)違章行駛的車 輛進(jìn)行及時(shí)通知、及時(shí)制止。該系統(tǒng)以省集中結(jié)構(gòu)模式，負(fù)責(zé)各地市以及相關(guān)企業(yè) 及部門車輛批量數(shù)據(jù)的采集、集中存儲(chǔ)，相關(guān)企業(yè)和部門的查詢等。各車輛運(yùn)營(yíng)相 關(guān)企業(yè)和單位可以通過(guò)網(wǎng)絡(luò)與平臺(tái)進(jìn)行數(shù)據(jù)交換，滿足各企業(yè)和地市平臺(tái)向省平臺(tái) 進(jìn)行數(shù)據(jù)交換的需求。 根據(jù)定級(jí)報(bào)告，XX 的業(yè)務(wù)信息安全保護(hù)等級(jí)為第三級(jí)，系統(tǒng)服務(wù)安全保護(hù)等 級(jí)為第三級(jí)，安全保護(hù)等級(jí)第三級(jí)。 本次測(cè)評(píng)工作大致分為準(zhǔn)備階段、現(xiàn)場(chǎng)實(shí)施階段、報(bào)告分析編寫階段，歷時(shí) 10 天左右；投入人員 4 人。測(cè)評(píng)內(nèi)容涵蓋等級(jí)保護(hù)安全技術(shù)要求的 5 個(gè)層面和安 全管理要求的 5 個(gè)方面，涉及測(cè)評(píng)分類 73 類。 本次測(cè)評(píng)結(jié)果表明被測(cè)系統(tǒng)的信息安全保障架構(gòu)已經(jīng)初具規(guī)模。被測(cè)系統(tǒng)的信 息安全技術(shù)措施已基本到位，在技術(shù)上已從物理、網(wǎng)絡(luò)、主機(jī)和應(yīng)用等層面形成了 架構(gòu)比較合理、設(shè)備比較齊全、措施比較到位的安全防范技術(shù)體系。被測(cè)系統(tǒng)的信 息安全管理機(jī)制已初步形成，在安全管理上已基本能夠做到策略明確、制度完善、 組織嚴(yán)密、人員職責(zé)清晰、操作規(guī)程化、運(yùn)行維護(hù)常態(tài)化、初步形成了長(zhǎng)期、有效 的安全管理機(jī)制。 本次測(cè)評(píng)也發(fā)現(xiàn)被測(cè)系統(tǒng)存在一些安全問(wèn)題，主要包括： 1、 網(wǎng)絡(luò)邊界未部署入侵檢測(cè)設(shè)備； 2、 未采用兩種鑒別技術(shù)對(duì)管理用戶身份進(jìn)行鑒別。 針對(duì)被測(cè)系統(tǒng)存在的安全問(wèn)題，結(jié)合等級(jí)保護(hù)三級(jí)相關(guān)要求，提出以下整改建 議： 1、 應(yīng)在網(wǎng)絡(luò)邊界部署入侵檢測(cè)設(shè)備，如 IDS。 2、 應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶身份進(jìn)行鑒別。 第 1 頁(yè) /共 146 頁(yè) 通過(guò)本次測(cè)評(píng)可以看出，被測(cè)系統(tǒng)基本能夠滿足 GB/T 22239-2008 信息安 全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求第三級(jí)的要求。因此，本次 XX 的等級(jí)測(cè) 評(píng)結(jié)論為：基本符合。 測(cè)評(píng)結(jié)果符合率為：82.15%。 第 2 頁(yè) /共 146 頁(yè) 第 1 章 測(cè)評(píng)項(xiàng)目概述 1.1 測(cè)評(píng)目的 根據(jù) XX 定級(jí)結(jié)果情況，從信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要 求 （GB/T 22239-2008）中選擇相應(yīng)等級(jí)的測(cè)評(píng)指標(biāo)，結(jié)合 XX 的構(gòu)成特點(diǎn)，確 定具體的測(cè)評(píng)對(duì)象，制定測(cè)評(píng)方案，通過(guò)訪談、檢查和測(cè)試等方式判斷其安全 技術(shù)和安全管理的各個(gè)方面對(duì)測(cè)評(píng)指標(biāo)的符合程度，判斷被測(cè)系統(tǒng)的安全保護(hù) 能力是否滿足國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)要求。 1.2 測(cè)評(píng)依據(jù) 1)信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求 （GB/T 22239- 2008） 2)信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求 （報(bào)批稿） 3)信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南 （報(bào)批稿） 4)信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南 （GB/T 22240- 2008） 5)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 （GB17859-1999） 1.3 測(cè)評(píng)過(guò)程 等保測(cè)評(píng)工作流程分為三個(gè)階段：測(cè)評(píng)準(zhǔn)備階段、現(xiàn)場(chǎng)實(shí)施階段以及報(bào)告 分析編寫階段。 1)準(zhǔn)備階段 準(zhǔn)備階段主要包括：現(xiàn)場(chǎng)調(diào)研，制定評(píng)估工作方案，人員、設(shè)備調(diào)配，技 術(shù)準(zhǔn)備，保密教育等工作。 2)現(xiàn)場(chǎng)實(shí)施階段 依據(jù)工作方案，完成現(xiàn)場(chǎng)檢測(cè)與數(shù)據(jù)采集工作。 3)等保符合性評(píng)估與編寫等保方案階段 第 3 頁(yè) /共 146 頁(yè) 根據(jù)檢測(cè)結(jié)果，通過(guò)定量計(jì)算、綜合分析，對(duì)被檢測(cè)系統(tǒng)做出全面評(píng)估， 編寫相關(guān)報(bào)告，組織專家審議。 本次項(xiàng)目現(xiàn)場(chǎng)工作日程安排：上午 9:00-12:00、下午 13:00-17:30。項(xiàng)目 進(jìn)度參照計(jì)劃安排實(shí)施，根據(jù)實(shí)際情況進(jìn)行合理調(diào)整。若有變更和調(diào)整，將由 雙方協(xié)商討論最終確認(rèn)，并由質(zhì)量管理員（QA）進(jìn)行跟蹤記錄，做到項(xiàng)目切實(shí) 可行的可控性。本次項(xiàng)目整體周期為 10 天，具體工作時(shí)間安排如下表 1-1： 表 1-1 測(cè)評(píng)任務(wù)表 序號(hào)序號(hào)測(cè)評(píng)階段測(cè)評(píng)階段實(shí)施內(nèi)容實(shí)施內(nèi)容 實(shí)施時(shí)間（工作日）實(shí)施時(shí)間（工作日） 1. 測(cè)評(píng)準(zhǔn)備階 段 1.項(xiàng)目啟動(dòng)，等級(jí)測(cè)評(píng)項(xiàng)目確定后 雙方成立測(cè)評(píng)項(xiàng)目組； 2.雙方協(xié)同梳理信息系統(tǒng)基本要素， xx 信息安全技術(shù)有限公司獲取 XX 信息系統(tǒng)基本要素和定級(jí)情況； 3.工具和表單準(zhǔn)備； 20 .6.18-20 .6.19 物理安全測(cè)評(píng)； 20 .6.20 上午 管理安全測(cè)評(píng)； 20 .6.20 上午 網(wǎng)絡(luò)安全測(cè)評(píng)； 20 .6.20 上午 主機(jī)安全測(cè)評(píng)； 20 .6.20 下午 2. 現(xiàn)場(chǎng)測(cè)評(píng)階 段 應(yīng)用安全測(cè)評(píng)； 20 .6.20 下午 對(duì)現(xiàn)場(chǎng)測(cè)評(píng)收集的數(shù)據(jù)進(jìn)行分析； 20 .6.21 3. 報(bào)告編制階 段 針對(duì)數(shù)據(jù)分析結(jié)果，從信息系統(tǒng) 測(cè)評(píng)單項(xiàng)、單元和整體情況以及 系統(tǒng)風(fēng)險(xiǎn)分析等方面進(jìn)行考慮， 20 .6.22-20 .6.25 第 4 頁(yè) /共 146 頁(yè) 序號(hào)序號(hào)測(cè)評(píng)階段測(cè)評(píng)階段實(shí)施內(nèi)容實(shí)施內(nèi)容 實(shí)施時(shí)間（工作日）實(shí)施時(shí)間（工作日） 形成最終測(cè)評(píng)報(bào)告和整改建議書； 對(duì)測(cè)評(píng)報(bào)告和整改建議書進(jìn)行內(nèi) 部評(píng)審，并提交給 XX。 4.整改階段 由 XX 組織相關(guān)技術(shù)人員及廠商 進(jìn)行整改工作，xx 信息安全技術(shù) 有限公司提供技術(shù)支持。 20 .6.26-20 .6.27 5.復(fù)測(cè)階段 整改完畢后，進(jìn)行復(fù)測(cè)，并重新 進(jìn)行風(fēng)險(xiǎn)分析，修改初測(cè)報(bào)告形 成最終測(cè)試報(bào)告。并提交給 XX。 20 .6.28-20 .6.29 6. 項(xiàng)目驗(yàn)收階 段 項(xiàng)目成果提交驗(yàn)收 20 .630 1.4 報(bào)告分發(fā)范圍 依據(jù)項(xiàng)目要求，本次測(cè)評(píng)交付等級(jí)測(cè)評(píng)報(bào)告一式三份，分別提交測(cè)評(píng)委托 單位（兩份） 、測(cè)評(píng)實(shí)施單位留存。 第 5 頁(yè) /共 146 頁(yè) 第 2 章 被測(cè)信息系統(tǒng)情況 本次測(cè)評(píng)的對(duì)象是 XX。該系統(tǒng)到目前為止包含業(yè)務(wù)有：運(yùn)輸企業(yè)信息、 運(yùn)輸企業(yè)車輛信息、從業(yè)人員信息、危險(xiǎn)品車輛電子運(yùn)單信息、車輛時(shí)時(shí)狀態(tài) 信息。 網(wǎng)絡(luò)結(jié)構(gòu) 1、根據(jù)目前實(shí)際情況繪制了 XX 網(wǎng)絡(luò)總體架構(gòu)圖如下： 圖 2-1 XX 總體架構(gòu)圖 從目前調(diào)研中了解到，整個(gè)信息系統(tǒng)的網(wǎng)絡(luò)系統(tǒng)邊界設(shè)備可定為 2 臺(tái)神州 數(shù)碼 DCFW-1800E-4G 防火墻和 2 臺(tái)神州數(shù)碼 DCS-4500-26T 交換機(jī)。神州數(shù) 碼 DCS-4500-26T 交換機(jī)外聯(lián)的其它系統(tǒng)都劃分為外部網(wǎng)絡(luò)部分，而神州數(shù)碼 DCFW-1800E-4G 防火墻以內(nèi)部分包括與各地市互聯(lián)的部分都可歸為中心的內(nèi) 部網(wǎng)絡(luò)，與中間業(yè)務(wù)系統(tǒng)相關(guān)的省監(jiān)控中心網(wǎng)絡(luò)邊界部分和內(nèi)部網(wǎng)絡(luò)部分都是 等級(jí)保護(hù)定級(jí)的范圍和對(duì)象。 基于 XX 業(yè)務(wù)信息包含：運(yùn)輸企業(yè)信息、運(yùn)輸企業(yè)車輛信息、從業(yè)人員信息、 危險(xiǎn)品車輛電子運(yùn)單信息、車輛時(shí)時(shí)狀態(tài)信息。該系統(tǒng)以省集中結(jié)構(gòu)模式，負(fù) 責(zé)各地市以及相關(guān)企業(yè)及部門車輛批量數(shù)據(jù)的采集、集中存儲(chǔ)，相關(guān)企業(yè)和部 門的查詢等。 第 6 頁(yè) /共 146 頁(yè) 2.2 系統(tǒng)構(gòu)成 2.2.1 業(yè)務(wù)應(yīng)用軟件 表 2-1 業(yè)務(wù)應(yīng)用軟件 序號(hào)序號(hào)軟件名稱軟件名稱主要功能主要功能重要程度重要程度 1 2.2.2 主機(jī)/存儲(chǔ)設(shè)備 表 2-2 主機(jī)/存儲(chǔ)設(shè)備 序序 號(hào)號(hào) 設(shè)備名稱設(shè)備名稱操作系統(tǒng)操作系統(tǒng)/數(shù)據(jù)庫(kù)管理系統(tǒng)數(shù)據(jù)庫(kù)管理系統(tǒng)功能功能重要程度重要程度 1 2 3 4 5 6 7 第 7 頁(yè) /共 146 頁(yè) 2.2.3 網(wǎng)絡(luò)互聯(lián)設(shè)備 表 2-3 網(wǎng)絡(luò)互連設(shè)備表 序號(hào)序號(hào)設(shè)備名稱設(shè)備名稱用用 途途重要程度重要程度 1 2 3 4 2.2.4 安全設(shè)備 表 2-4 安全設(shè)備 序號(hào)序號(hào)設(shè)備名稱設(shè)備名稱用用 途途重要程度重要程度 1 2 2.2.5 安全相關(guān)人員 表 2-5 安全相關(guān)人員 序號(hào)序號(hào)姓名姓名崗位崗位/ /角色角色聯(lián)系方式聯(lián)系方式 1 2 3 4 2.2.6 安全管理文檔 表 2-6 安全管理文檔 1 2 3 4 5 第 8 頁(yè) /共 146 頁(yè) 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 第 9 頁(yè) /共 146 頁(yè) 第 3 章 等級(jí)測(cè)評(píng)范圍與方法 測(cè)評(píng)指標(biāo) 測(cè)評(píng)指標(biāo)包括基本指標(biāo)和特殊指標(biāo)兩部分。 3.1.1 基本指標(biāo) 依據(jù)信息系統(tǒng)確定的業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)，選 擇信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求中對(duì)應(yīng)級(jí)別的安全要求作 為等級(jí)測(cè)評(píng)的基本指標(biāo)。 表 3-1 基本指標(biāo) 測(cè)評(píng)指標(biāo)測(cè)評(píng)指標(biāo) 數(shù)量數(shù)量 技術(shù)技術(shù)/管理管理安全類安全類S 類類 (3 級(jí)級(jí)) A 類類 (3 級(jí)級(jí)) G 類類 (3 級(jí)級(jí)) 小計(jì)小計(jì) 物理安全342532 網(wǎng)絡(luò)安全203133 主機(jī)安全1551232 應(yīng)用安全169631 安全技術(shù) 數(shù)據(jù)安全4408 安全管理制度001111 安全管理機(jī)構(gòu)002020 人員安全管理001616 系統(tǒng)建設(shè)管理004545 安全管理 系統(tǒng)運(yùn)維管理006262 合 計(jì) 290（控制點(diǎn)） 第 10 頁(yè) /共 146 頁(yè) 3.1.2 特殊指標(biāo) 被測(cè)信息系統(tǒng)無(wú)特殊安全要求，測(cè)評(píng)指標(biāo)均按照信息安全技術(shù) 信息系統(tǒng) 安全等級(jí)保護(hù)基本要求中所包含的安全要求選取。 3.2 測(cè)評(píng)對(duì)象 3.2.1 測(cè)評(píng)對(duì)象選擇方法 由于被評(píng)估單位信息資產(chǎn)種類、數(shù)量多，在一段時(shí)間內(nèi)不可能逐一進(jìn)行全 面檢測(cè)，本次檢測(cè)采用抽樣方法進(jìn)行，其目的是確定技術(shù)脆弱性檢測(cè)的重點(diǎn)對(duì) 象和目標(biāo)。抽樣檢測(cè)的對(duì)象和目標(biāo)必須要能代表信息系統(tǒng)的安全現(xiàn)狀，否則評(píng) 估結(jié)果就會(huì)偏離實(shí)際情況。對(duì) XX 資產(chǎn)抽樣時(shí)遵循了典型性、全面性兩原則。 具體如下： 1)典型性原則：對(duì)同一應(yīng)用中軟件配置完全相同的資產(chǎn)抽樣部分資產(chǎn)。 2)全面性原則：對(duì) XX 中每一類資產(chǎn)都要抽樣。 3.2.2 測(cè)評(píng)對(duì)象選擇結(jié)果 1)機(jī)房 表 3-2 機(jī)房 序號(hào)序號(hào)機(jī)房名稱機(jī)房名稱物理位置物理位置 1XX金水東路樞紐樓 1 樓 2)網(wǎng)絡(luò)互聯(lián)設(shè)備 表 3-3 網(wǎng)絡(luò)互連設(shè)備 序號(hào)序號(hào)設(shè)備名稱設(shè)備名稱用用 途途重要程度重要程度 1核心主路由器路由很高 2核心主交換機(jī) IT 服務(wù)域核心主 交換機(jī) 很高 3)安全設(shè)備 第 11 頁(yè) /共 146 頁(yè) 表 3-4 安全設(shè)備 序號(hào)序號(hào)設(shè)備名稱設(shè)備名稱用用 途途重要程度重要程度 1主防火墻IT 服務(wù)域主防火墻很高 4)主機(jī)操作系統(tǒng)/數(shù)據(jù)庫(kù)管理系統(tǒng)（存儲(chǔ)） 表 3-5 主機(jī)操作系統(tǒng)/數(shù)據(jù)庫(kù)管理系統(tǒng)（存儲(chǔ)） 序序 號(hào)號(hào) 設(shè)備名稱設(shè)備名稱 操作系統(tǒng)操作系統(tǒng)/數(shù)據(jù)庫(kù)管理系數(shù)據(jù)庫(kù)管理系 統(tǒng)統(tǒng) 功能功能 重要程重要程 度度 1 數(shù)據(jù)庫(kù)服務(wù)器 A Windows Server 2008/ SQL Server 2008 系統(tǒng)基礎(chǔ)數(shù)據(jù)存 儲(chǔ) 很高 3中心服務(wù)器 AWindows Server 2008 數(shù)據(jù)交互服務(wù)系 統(tǒng) 很高 5應(yīng)用服務(wù)器 AWindows Server 2008提供 WEB 服務(wù)很高 5)業(yè)務(wù)應(yīng)用軟件 表 3-6 業(yè)務(wù)應(yīng)用軟件 序號(hào)序號(hào)軟件名稱軟件名稱主要功能主要功能重要程度重要程度 1XX向企業(yè)用戶和社會(huì)渠道提供車輛信息服務(wù)很高 6)訪談人員 表 3-7 訪談人員 序號(hào)序號(hào)姓名姓名崗位崗位/ /角色角色聯(lián)系方式聯(lián)系方式 1張柯管理安2王衛(wèi)平管理安3王廣祥 網(wǎng)絡(luò)安全、數(shù)據(jù)安全、物理安 全4楊根祥數(shù)據(jù)安全、應(yīng)用安全、主機(jī)第 12 頁(yè) /共 146 頁(yè) 序號(hào)序號(hào)姓名姓名崗位崗位/ /角色角色聯(lián)系方式聯(lián)系方式 全 7)安全管理文檔 表 3-8 安全管理文檔 1. XX 信息系統(tǒng)安 全防護(hù)總體方案 根據(jù)信息系統(tǒng)自身的情況，統(tǒng)一考慮安全保障體系 的總體安全策略、安全技術(shù)框架、安全管理策略、 總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案的文件。 2. XX 項(xiàng)目過(guò)程管 理辦法 工程實(shí)施方面的管理制度，明確說(shuō)明實(shí)施過(guò)程的控 制方法和人員要求。 3. XX 人員行為規(guī) 范 公司員工行為準(zhǔn)則的書面規(guī)定。 4. 辦公室環(huán)境管 理規(guī)定 規(guī)范辦公環(huán)境人員行為，包括工作人員調(diào)離辦公室 應(yīng)立即交還該辦公室鑰匙、不在辦公區(qū)接待來(lái)訪人 員、工作人員離開座位應(yīng)確保終端計(jì)算機(jī)退出登錄 狀態(tài)和桌面上沒(méi)有包含敏感信息的紙檔文件等。 5. XX 資產(chǎn)管理辦 法 對(duì)公司給系統(tǒng)相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé)任部門、 重要程度和所處位置等內(nèi)容給出明確的管理規(guī)范。 6. XX 存儲(chǔ)介質(zhì)使 用和管理辦法 介質(zhì)安全管理制度，對(duì)介質(zhì)的存放環(huán)境、使用、維 護(hù)和銷毀等方面作出規(guī)定。 7. 設(shè)備使用管理 規(guī)程 對(duì)設(shè)備的使用過(guò)程進(jìn)行規(guī)范化管理。 8. XX 終端系統(tǒng)管 理規(guī)定 對(duì)終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè) 備的操作和使用進(jìn)行規(guī)范化管理，按操作規(guī)程實(shí)現(xiàn) 主要設(shè)備（包括備份和冗余設(shè)備）的啟動(dòng)/停止、加 電/斷電等操作。 9. 網(wǎng)絡(luò)安全管理 規(guī)程 對(duì)網(wǎng)絡(luò)安全配置、安全策略、升級(jí)與補(bǔ)丁、口令更 新周期等方面作出規(guī)定。 第 13 頁(yè) /共 146 頁(yè) 10. XX 信息網(wǎng)絡(luò)接 入規(guī)范 公司網(wǎng)絡(luò)連接相關(guān)規(guī)定。 11. XX 運(yùn)行維護(hù)管 理規(guī)定 對(duì)系統(tǒng)安全策略、安全配置、日志管理和日常操作 流程等方面作出具體規(guī)定。 12. XX 管理信息網(wǎng) 病毒防護(hù)規(guī)定 對(duì)防惡意代碼軟件的授權(quán)使用、惡意代碼庫(kù)升級(jí)、 定期匯報(bào)等作出明確規(guī)定。 13. XX 信息系統(tǒng)數(shù) 據(jù)備份管理規(guī)定 備份與恢復(fù)管理相關(guān)的安全管理制度，對(duì)備份信息 的備份方式、備份頻度、存儲(chǔ)介質(zhì)和保存期等進(jìn)行 規(guī)范。 14. XX 網(wǎng)絡(luò)與信息 安全管理辦法 包括安全事件報(bào)告和處置管理制度，明確安全事件 的類型，規(guī)定安全事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后 期恢復(fù)的管理職責(zé)等。 15. 保密性協(xié)議評(píng) 審規(guī)程 關(guān)于保密協(xié)議評(píng)的審相關(guān)規(guī)定。 16. 人力資源管理 規(guī)程 人力資源管理。 17. 信息安全事件 管理程序 系統(tǒng)運(yùn)維過(guò)程中的安全事件報(bào)告和處置管理制度， 規(guī)定安全事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù)的 管理職責(zé)。 18. 信息安全培訓(xùn) 規(guī)程 對(duì)各類人員進(jìn)行安全意識(shí)教育、崗位技能培訓(xùn)和相 關(guān)安全技術(shù)培訓(xùn)的相關(guān)規(guī)定及要求。 19. 對(duì)外信息發(fā)布 管理規(guī)程 信息發(fā)布管理辦法。 20. 第三方服務(wù)管 理規(guī)程 對(duì)第三方服務(wù)的管理及要求。 21. 軟件安裝管理 規(guī)程 軟件安裝相關(guān)要求。 22.軟件開發(fā)過(guò)程軟件開發(fā)管理制度，明確說(shuō)明開發(fā)過(guò)程的控制方法 第 14 頁(yè) /共 146 頁(yè) 信息安全管理規(guī) 程 和人員行為準(zhǔn)則。 3.3 測(cè)評(píng)方法 安全測(cè)評(píng)的主要方法有：訪談、檢查和測(cè)試。 1)訪談 訪談是指測(cè)評(píng)人員通過(guò)與信息系統(tǒng)有關(guān)人員（個(gè)人/群體）進(jìn)行交流、討論 等活動(dòng)，獲取相關(guān)證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否有效落實(shí)的一種方法。 在訪談范圍上，應(yīng)基本覆蓋所有的安全相關(guān)人員類型，在數(shù)量上可以抽樣。 2)檢查 檢查是指測(cè)評(píng)人員通過(guò)對(duì)測(cè)評(píng)對(duì)象進(jìn)行觀察、查驗(yàn)、分析等活動(dòng)，獲取相 關(guān)證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否有效實(shí)施的一種方法。在檢查范圍上， 應(yīng)基本覆蓋所有的對(duì)象種類（設(shè)備、文檔、機(jī)制等） ，數(shù)量上可以抽樣。 3)測(cè)試 測(cè)試是指測(cè)評(píng)人員針對(duì)測(cè)評(píng)對(duì)象按照預(yù)定的方法/工具使其產(chǎn)生特定的響應(yīng)， 通過(guò)查看和分析響應(yīng)的輸出結(jié)果，獲取證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否 得以有效實(shí)施的一種方法。在測(cè)試范圍上，應(yīng)基本覆蓋不同類型的機(jī)制，在數(shù) 量上可以抽樣。 第 15 頁(yè) /共 146 頁(yè) 第 4 章 單元測(cè)評(píng) 本次單元測(cè)評(píng)主要依據(jù)信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求 的要求對(duì)物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)、 安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理 等方面做出判定。 物理安全 4.1.1 結(jié)果記錄 被測(cè)系統(tǒng)所在的機(jī)房，通過(guò)物理位置選擇、物理訪問(wèn)控制、防盜竊和防破 壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防護(hù) 十個(gè)安全控制點(diǎn)進(jìn)行測(cè)評(píng)，判斷測(cè)評(píng)結(jié)果與相對(duì)應(yīng)要求之間的符合性。 物理位置的選擇 表 4-1 物理位置的選擇 要求點(diǎn)要求點(diǎn) a) 機(jī)房和辦公場(chǎng)地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)；機(jī)房和辦公場(chǎng)地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)； 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 XX 機(jī)房位于 XX，機(jī)房和辦公場(chǎng)地具有防震， 防風(fēng)和防雨等能力。 符合符合 要求點(diǎn)要求點(diǎn) b) 機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層 或隔壁或隔壁,如果不可避免，應(yīng)采取有效防水措施。如果不可避免，應(yīng)采取有效防水措施。 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 XX機(jī)房位于 XX，下層和隔壁無(wú)用水設(shè)備。符合符合 物理訪問(wèn)控制 表 4-2 物理訪問(wèn)控制 第 16 頁(yè) /共 146 頁(yè) 要求點(diǎn)要求點(diǎn) a) 機(jī)房各出入口應(yīng)安排專人值守，控制、鑒別和記錄進(jìn)入的人員；機(jī)房各出入口應(yīng)安排專人值守，控制、鑒別和記錄進(jìn)入的人員； 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 XX104 機(jī)房出入口未安排專人值守。不符合不符合 要求點(diǎn)要求點(diǎn) b) 需進(jìn)入機(jī)房的來(lái)訪人員應(yīng)經(jīng)過(guò)申請(qǐng)和審批流程，并限制和監(jiān)控其活需進(jìn)入機(jī)房的來(lái)訪人員應(yīng)經(jīng)過(guò)申請(qǐng)和審批流程，并限制和監(jiān)控其活 動(dòng)范圍；動(dòng)范圍； 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 XX 來(lái)訪人員需經(jīng)過(guò)嚴(yán)格和審批流程才能進(jìn) 入機(jī)房，并有專人陪同，限制和監(jiān)控其 活動(dòng)范圍。 符合符合 要求點(diǎn)要求點(diǎn) c) 應(yīng)對(duì)機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間應(yīng)用物理方式隔斷，在應(yīng)對(duì)機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間應(yīng)用物理方式隔斷，在 重要區(qū)域前設(shè)置交付或安裝等過(guò)渡區(qū)域；重要區(qū)域前設(shè)置交付或安裝等過(guò)渡區(qū)域； 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 XX 機(jī)房劃分為；設(shè)備間，配電間，消防間， 監(jiān)控室等，各區(qū)域間物理隔離。 符合符合 要求點(diǎn)要求點(diǎn) d) 重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 XX 機(jī)房配置電子門禁系統(tǒng)，對(duì)進(jìn)出機(jī)房人 員進(jìn)行控制記錄。 符合符合 防盜竊和防破壞 表 4-3 防盜竊和防破壞 要求點(diǎn)要求點(diǎn) a) 應(yīng)將主要設(shè)備放置在機(jī)房?jī)?nèi)；應(yīng)將主要設(shè)備放置在機(jī)房?jī)?nèi)； 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 第 17 頁(yè) /共 146 頁(yè) XX 服務(wù)器、交換機(jī)等主要設(shè)備放置在機(jī)房 可控范圍內(nèi)。 符合符合 要求點(diǎn)要求點(diǎn) b) 應(yīng)將設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)記；應(yīng)將設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)記； 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 XX 設(shè)備和主要部件固定牢靠，并設(shè)置標(biāo)簽 等標(biāo)記。 符合符合 要求點(diǎn)要求點(diǎn) c) 應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管道中；應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管道中； 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 XX 通信線纜鋪設(shè)在機(jī)房機(jī)柜頂部走線槽內(nèi)。 符合符合 要求點(diǎn)要求點(diǎn) d) 應(yīng)對(duì)介質(zhì)分類標(biāo)識(shí)，存儲(chǔ)在介質(zhì)庫(kù)或檔案室中；應(yīng)對(duì)介質(zhì)分類標(biāo)識(shí)，存儲(chǔ)在介質(zhì)庫(kù)或檔案室中； 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 XX對(duì)介質(zhì)分類標(biāo)識(shí)，并存儲(chǔ)在檔案柜內(nèi)。符合符合 要求點(diǎn)要求點(diǎn) e) 應(yīng)利用光、電等技術(shù)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)；應(yīng)利用光、電等技術(shù)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)； 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 XX機(jī)房?jī)?nèi)設(shè)置防盜報(bào)警系統(tǒng)。符合符合 要求點(diǎn)要求點(diǎn) f) 應(yīng)對(duì)機(jī)房設(shè)置監(jiān)控報(bào)警系統(tǒng)。應(yīng)對(duì)機(jī)房設(shè)置監(jiān)控報(bào)警系統(tǒng)。 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 XX機(jī)房采用視頻監(jiān)控報(bào)警系統(tǒng)。符合符合 第 18 頁(yè) /共 146 頁(yè) 防雷擊 表 4-4 防雷擊 要求點(diǎn)要求點(diǎn) a) 機(jī)房建筑應(yīng)設(shè)置避雷裝置；機(jī)房建筑應(yīng)設(shè)置避雷裝置； 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 XX XX 設(shè)置避雷裝置，采用三級(jí)防雷標(biāo)準(zhǔn)。 符合符合 要求點(diǎn)要求點(diǎn) b) 應(yīng)設(shè)置防雷保安器，防止感應(yīng)雷；應(yīng)設(shè)置防雷保安器，防止感應(yīng)雷； 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 XX 電源經(jīng)過(guò)配電柜接入，安裝了防雷保安 器，防止感應(yīng)雷。 符合符合 要求點(diǎn)要求點(diǎn) c) 機(jī)房應(yīng)設(shè)置交流電源地線。機(jī)房應(yīng)設(shè)置交流電源地線。 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 XX機(jī)房設(shè)置有交流電源接地。符合符合 防火 表 4-5 防火 要求點(diǎn)要求點(diǎn) a) 機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)，能夠自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警，并自機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)，能夠自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警，并自 動(dòng)滅火；動(dòng)滅火； 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 XX 機(jī)房設(shè)置了火災(zāi)自動(dòng)消防系統(tǒng)，能夠自 動(dòng)檢測(cè)火情，自動(dòng)報(bào)警，并自動(dòng)滅火。 符合符合 要求點(diǎn)要求點(diǎn) b) 機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級(jí)的建筑材料；機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級(jí)的建筑材料； 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 第 19 頁(yè) /共 146 頁(yè) XXXX 采用了具有耐火等級(jí)的建筑材料。符合符合 要求點(diǎn)要求點(diǎn) c) 機(jī)房應(yīng)采取區(qū)域隔離防火措施，將重要設(shè)備與其他設(shè)備隔離開。機(jī)房應(yīng)采取區(qū)域隔離防火措施，將重要設(shè)備與其他設(shè)備隔離開。 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 XX 機(jī)房采用區(qū)域劃分管理，區(qū)域與區(qū)域之 間采用了有效的物理隔離措施。 符合符合 防水和防潮 表 4-6 防水和防潮 要求點(diǎn)要求點(diǎn) a) 主機(jī)房盡量避開水源，與主機(jī)房無(wú)關(guān)的給排水管道不得穿過(guò)主機(jī)房主機(jī)房盡量避開水源，與主機(jī)房無(wú)關(guān)的給排水管道不得穿過(guò)主機(jī)房, 與主機(jī)房相關(guān)的給排水管道必須有可靠的防滲漏措施；與主機(jī)房相關(guān)的給排水管道必須有可靠的防滲漏措施； 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 XX 機(jī)房屋頂無(wú)水管通過(guò)，進(jìn)行了有效的防 滲漏處理。 符合符合 要求點(diǎn)要求點(diǎn) b) 應(yīng)采取措施防止雨水通過(guò)機(jī)房窗戶、屋頂和墻壁滲透；應(yīng)采取措施防止雨水通過(guò)機(jī)房窗戶、屋頂和墻壁滲透； 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 XX 機(jī)房窗體未封閉，未發(fā)現(xiàn)明顯漏水，滲 透和返潮現(xiàn)象。 符合符合 要求點(diǎn)要求點(diǎn) c) 應(yīng)采取措施防止機(jī)房?jī)?nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透；應(yīng)采取措施防止機(jī)房?jī)?nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透； 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 XX 采用精密空調(diào)進(jìn)行溫，濕度控制，防止 水蒸氣凝露；采取地漏措施防止地下積 水轉(zhuǎn)移與滲透。 符合符合 要求點(diǎn)要求點(diǎn) d) 應(yīng)安裝對(duì)水敏感的檢測(cè)儀表或元件，對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警。應(yīng)安裝對(duì)水敏感的檢測(cè)儀表或元件，對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警。 第 20 頁(yè) /共 146 頁(yè) 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 XX機(jī)房安裝有進(jìn)水報(bào)警裝置。符合符合 防靜電 表 4-7 防靜電 要求點(diǎn)要求點(diǎn) a) 主要設(shè)備應(yīng)采用必要的接地防靜電措施；主要設(shè)備應(yīng)采用必要的接地防靜電措施； 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 XX 采用了機(jī)柜接地防靜電措施，所有機(jī)柜 外殼都接地連接。 符合符合 要求點(diǎn)要求點(diǎn) b) 機(jī)房應(yīng)采用防靜電地板。機(jī)房應(yīng)采用防靜電地板。 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 XX機(jī)房未采用防靜電地板。 不符合不符合 溫濕度控制 表 4-8 溫濕度控制 要求點(diǎn)要求點(diǎn) a) 機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施，使機(jī)房溫、濕度的變化在設(shè)備運(yùn) 行所允許的范圍之內(nèi)。行所允許的范圍之內(nèi)。 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 XX 機(jī)房配置了恒溫恒濕空調(diào)機(jī)組，溫度控 制在 20左右，不超過(guò) 25，濕度保持 在 50左右且有個(gè)簡(jiǎn)易的溫度濕度測(cè)量 儀，顯示測(cè)評(píng)時(shí)溫度為 20，濕度為 44.5。 符合符合 第 21 頁(yè) /共 146 頁(yè) 電力供應(yīng) 表 4-9 電力供應(yīng) 要求點(diǎn)要求點(diǎn) a) 應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備；應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備； 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 XX 機(jī)房供電線路都通過(guò) UPS 進(jìn)入機(jī)房， UPS 具有穩(wěn)壓和過(guò)壓防護(hù)功能。 符合符合 要求點(diǎn)要求點(diǎn) b) 應(yīng)提供短期的備用電力供應(yīng)，至少滿足主要設(shè)備在斷電情況下的正應(yīng)提供短期的備用電力供應(yīng)，至少滿足主要設(shè)備在斷電情況下的正 常運(yùn)行要求；常運(yùn)行要求； 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 XX采用 UPS 提供短期備用電力供應(yīng)。符合符合 要求點(diǎn)要求點(diǎn) c) 設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電，輸入電源應(yīng)采用設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電，輸入電源應(yīng)采用 雙路自動(dòng)切換供電方式；雙路自動(dòng)切換供電方式； 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 XX 機(jī)房電力供應(yīng)進(jìn)行雙回路電源設(shè)置，并 且每年會(huì)對(duì)雙路供電切換測(cè)試。 符合符合 要求點(diǎn)要求點(diǎn) d) 應(yīng)建立備用供電系統(tǒng)。應(yīng)建立備用供電系統(tǒng)。 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 XX 設(shè)置有備用供電系統(tǒng)，機(jī)房有雙回路電 源，有 UPS 備用供電。 符合符合 第 22 頁(yè) /共 146 頁(yè) 0電磁防護(hù) 表 4-10 電磁防護(hù) 要求點(diǎn)要求點(diǎn) a) 電源線和通信線纜應(yīng)隔離鋪設(shè)，避免互相干擾；電源線和通信線纜應(yīng)隔離鋪設(shè)，避免互相干擾； 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 XX 電源線和通信線纜隔離鋪設(shè)，避免互相 干擾。 符合符合 要求點(diǎn)要求點(diǎn) b) 應(yīng)采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾；應(yīng)采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾； 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 XX 采用接地方式防止外界電磁干擾和設(shè)備 寄生耦合干擾。 符合符合 要求點(diǎn)要求點(diǎn) c) 應(yīng)對(duì)關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽。應(yīng)對(duì)關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽。 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 XX 未對(duì)關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽防 護(hù)措施，所有磁介質(zhì)儲(chǔ)存在設(shè)備內(nèi)，不 需場(chǎng)外存放。 不適用不適用 4.1.2 匯總與分析 根據(jù)對(duì) XX 的現(xiàn)場(chǎng)安全測(cè)評(píng)記錄，針對(duì) XX 在物理安全方面的“物理位置 選擇” 、 “物理訪問(wèn)控制” 、 “防盜竊和防破壞” 、 “防雷擊” 、 “防火” 、 “防水和防 潮” 、 “防靜電” 、 “溫濕度控制” 、 “電力供應(yīng)”和“電磁防護(hù)”等測(cè)評(píng)指標(biāo)，分 析后判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果，具體如下表所示。 表 4-11 物理安全方面的單項(xiàng)測(cè)評(píng)結(jié)果 測(cè)評(píng)項(xiàng)測(cè)評(píng)項(xiàng)序號(hào)序號(hào) 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象 a)b)c)d)e)f) 第 23 頁(yè) /共 146 頁(yè) 1 物理位置選擇 2 物理訪問(wèn)控制 3 防盜竊和防破壞 4 防雷擊 5 防火 6 防水和防潮 7 防靜電 8 溫濕度控制 9 電力供應(yīng) 10 電磁防護(hù) XX N/A 注：“”表示符合，“”表示不符合，“”表示部分符合，“N/A”表示 不適用，“”表示該項(xiàng)控制類無(wú)此項(xiàng) 4.2 網(wǎng)絡(luò)安全 4.2.1 結(jié)果記錄 網(wǎng)絡(luò)依照安全等級(jí)保護(hù)三級(jí)要求進(jìn)行全測(cè)評(píng)，現(xiàn)場(chǎng)測(cè)評(píng)包括了結(jié)構(gòu)安全、 網(wǎng)絡(luò)訪問(wèn)控制、安全審計(jì)、邊界完整性檢查、網(wǎng)絡(luò)入侵防范、惡意代碼、網(wǎng)絡(luò) 設(shè)備防護(hù)等方面的內(nèi)容。 結(jié)構(gòu)安全 表 4-12 結(jié)構(gòu)安全 要求點(diǎn)要求點(diǎn) a)：應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰：應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰 期需要；期需要； 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 第 24 頁(yè) /共 146 頁(yè) 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 查看邊界設(shè)備和主要網(wǎng)絡(luò)設(shè)備，其性能指標(biāo)（如 CPU 利用率等）能夠滿足目前業(yè)務(wù)高峰流量情況。符合符合 要求點(diǎn)要求點(diǎn) b)：應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；：應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要； 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 查看邊界設(shè)備和主要網(wǎng)絡(luò)設(shè)備，在主要網(wǎng)絡(luò)設(shè)備 上進(jìn)行了寬帶配置，網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè) 務(wù)高峰期需求。 符合符合 要求點(diǎn)要求點(diǎn) c)：應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問(wèn)路徑；：應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問(wèn)路徑； 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 交換機(jī)使用靜態(tài)路由在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之 間進(jìn)行路由控制。 符合符合 要求點(diǎn)要求點(diǎn) d)：應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；：應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖； 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)XX 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)與當(dāng)前實(shí)際網(wǎng)絡(luò)環(huán)境一致。符合符合 要求點(diǎn)要求點(diǎn) e)：應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，：應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素， 劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地 址段；址段； 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) XX 內(nèi)核心交換機(jī)為系統(tǒng)劃分了獨(dú)立的 VLAN， 并為其劃分了子網(wǎng)，進(jìn)行了地址分配。 符合符合 第 25 頁(yè) /共 146 頁(yè) 要求點(diǎn)要求點(diǎn) f)：應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重：應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重 要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段； 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 經(jīng)查看網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，重要網(wǎng)段未部署在網(wǎng)絡(luò)邊 界處且未直接連接外部信息系統(tǒng)，重要網(wǎng)段和其 他網(wǎng)段之間部署有訪問(wèn)控制設(shè)備進(jìn)行隔離。 符合符合 要求點(diǎn)要求點(diǎn) g)：應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來(lái)指定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)：應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來(lái)指定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng) 絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)未指定帶寬分配的優(yōu)先級(jí)。不符合不符合 網(wǎng)絡(luò)訪問(wèn)控制 表 4-13 網(wǎng)絡(luò)訪問(wèn)控制 要求點(diǎn)要求點(diǎn) a)：應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，啟用訪問(wèn)控制功能；：應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，啟用訪問(wèn)控制功能； 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 經(jīng)查看網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，在網(wǎng)絡(luò)邊界處部署了神州數(shù) 碼防火墻并啟用了訪問(wèn)控制功能。 符合符合 要求點(diǎn)要求點(diǎn) b)：應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許：應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力，拒絕訪問(wèn)的能力， 控制粒度為端口級(jí)；控制粒度為端口級(jí)； 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 查看防火墻配置，在防火墻上設(shè)置了訪問(wèn)控制規(guī)則， 訪問(wèn)控制力度為端口級(jí)。 符合符合 第 26 頁(yè) /共 146 頁(yè) 要求點(diǎn)要求點(diǎn) c)：應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層：應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層 HTTP、FTP、TELNET、SMTP、POP3 等協(xié)議命令級(jí)的控制；等協(xié)議命令級(jí)的控制； 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 查看防火墻配置，對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾， 遠(yuǎn)程登錄的用戶數(shù)量是固定的。 符合符合 要求點(diǎn)要求點(diǎn) d)：應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接；：應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接； 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 系統(tǒng)未對(duì) TCP,UDP 會(huì)話超時(shí)時(shí)間進(jìn)行設(shè)置。不符合不符合 要求點(diǎn)要求點(diǎn) e)：應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；：應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)； 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 路由器上設(shè)置了網(wǎng)絡(luò)連接數(shù)與及最大流量限制。符合符合 要求點(diǎn)要求點(diǎn) f)：重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；：重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙； 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 在交換機(jī)與路由器上都設(shè)置了 IP/MAC 地址綁定。符合符合 要求點(diǎn)要求點(diǎn) g)：應(yīng)按用戶和系統(tǒng)之間的允許訪問(wèn)規(guī)則，決定允許或拒絕用戶對(duì)受控：應(yīng)按用戶和系統(tǒng)之間的允許訪問(wèn)規(guī)則，決定允許或拒絕用戶對(duì)受控 系統(tǒng)進(jìn)行資源訪問(wèn)，控制粒度為單個(gè)用戶；系統(tǒng)進(jìn)行資源訪問(wèn)，控制粒度為單個(gè)用戶； 測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象現(xiàn)狀現(xiàn)狀符合性符合性 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 防火墻和交換機(jī)已設(shè)置了訪問(wèn)控制列表，明確了允 許/拒絕訪問(wèn)的網(wǎng)絡(luò)段，控制粒度為單個(gè)用戶。 符合符合 第 27