欢迎来到天天文库
浏览记录
ID:11903187
大小:386.26 KB
页数:112页
时间:2018-07-14
《信息系统安全等级保护测评报告》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、公安部信息安全等级保护评估中心报告编号:(-16-1303-01)信息系统安全等级测评报告公司[2015版]说明:一、每个备案信息系统单独出具测评报告。二、测评报告编号为四组数据。各组含义和编码规则如下:第一组为信息系统备案表编号,由2段16位数字组成,可以从公+安机关颁发的信息系统备案证明(或备案回执)上获得。第1段即备案证明编号的前11位(前6位为受理备案公安机关代码,后5位为受理备案的公安机关给出的备案单位的顺序编号);第2段即备案证明编号的后5位(系统编号)。第二组为年份,由2位数字组成。例如09代表2009年。第三组为测评机构代码,由四位数字组成。前两
2、位为省级行政区划数字代码的前两位或行业主管部门编号:00为公安部,11为北京,12为天津,13为河北,14为山西,15为内蒙古,21为辽宁,22为吉林,23为黑龙江,31为上海,32为江苏,33为浙江,34为安徽,35为福建,36为江西,37为山东,41为河南,42为湖北,43为湖南,44为广东,45为广西,46为海南,50为重庆,51为四川,52为贵州,53为云南,54为西藏,61为陕西,62为甘肃,63为青海,64为宁夏,65为新疆,66为新疆兵团。90为国防科工局,91为电监会,92为教育部。后两位为公安机关或行业主管部门推荐的测评机构顺序号。第四组为本年
3、度信息系统测评次数,由两位构成。例如02表示该信息系统本年度测评2次。公司[2015版]信息系统等级测评基本信息表信息系统系统名称票务系统安全保护等级第三级备案证明编号测评结论基本符合被测单位单位名称单位地址邮政编码联系人姓名职务/职称部长助理所属部门票务运营部办公电话移动电话电子邮件测评单位单位名称单位代码通信地址邮政编码联系人姓名职务/职称所属部门办公电话移动电话电子邮件审核批准编制人编制日期审核人审核日期批准人批准日期注:单位代码由受理测评机构备案的公安机关给出。[2015版]声明本报告是票务系统的安全等级测评报告。本报告测评结论的有效性建立在被测评单位提
4、供相关证据的真实性基础之上。本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。当测评工作完成后,由于信息系统发生变更而涉及到的系统构成组件(或子系统)都应重新进行等级测评,本报告不再适用。本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件(或产品)的测评结论。在任何情况下,若需引用本报告中的测评结果或结论都应保持其原有的意义,不得对相关内容擅自进行增加、修改和伪造或掩盖事实。声明[2015版]等级测评结论测评结论与综合得分系统名称票务系统保护等级第三级系统简介测评过程简介此次测评的系统为票务系统,测评对象包括系统所在机房,2台服务器,1台运
5、维终端,1套数据库,2台网络安全设备,1套应用软件,及该公司的管理制度及相关记录。在合同约定的周期内,经过系统调研、方案编制、现场测评、分析与报告编制等阶段,完成了对该系统的测评工作,经过对测评结果的整体分析,判定该系统基本符合等级保护三级系统的基本要求,但还存在个别问题,希望在安全建设整改中继续完善。测评结论基本符合综合得分84.79I[2015版]总体评价1、基础设施与网络环境票务系统相关设备部署于指挥中心机房,该机房按照国家机房相关标准建设,具备防风、防雨、防震等能力,未出现雨水渗透,屋顶、墙体、地面等破损开裂等情况,在物理访问控制方面配备门禁系统,能够鉴
6、别和控制人员出入,并配有视频监控系统,能够对机房内主要区域进行实时监控,主机房与配电室隔离,通信线缆与供电线缆隔离铺设,避免了电磁干扰,配备两台艾默生精密空调,能够对机房温湿度进行控制,同时配有环境检测系统,实时检测机房环境并提供报警功能。网络环境先对简单,电信联通双线接入,网络边界配有两台防火墙作为边界防护,通过两台核心交换做内部数据交换。2、安全责任制该系统的运营维护全部由厂商负责,厂商项目部成立了信息安全领导小组,负责信息安全工作的指导和管理,项目部设有系统管理员、网络管理员、安全管理员等重要岗位,且安全管理员为专职,通过值班体系对驻场人员进行调配,并形成
7、了有效的汇报沟通机制。同时甲方也有专人对厂商的运营维护情况进行监督。3、技术机制在机房保障机制方面,该系统配备双通信线路接入,保证网络通畅,同时边界防火墙、核心交换机、应用服务器、数据库服务器均双机热备部署,并配有存储设备存储业务数据,同时配备备份服务器对主要数据、配置文件和日志文件等进行备份,提供设备冗余,保证系统的可用性。在安全策略方面网络设备、主机、应用系统在身份验证方面身份标识唯一,密码满足复杂度要求,并定期更换,但仅采用用户名密码方式进行身份验证;在访问控制方面,根据用户角色进行了权限划分,授予用户所需的最小权限;在安全审计方面,网络设备、主机、应用系
8、统配置都相对完善,日志记
此文档下载收益归作者所有