信息安全等级测评报告资料.doc

1、公安部信息安全等级保护评估中心 报告编号： XXXX测评报告系统名称： XX 被测单位： XX 测评单位： xx信息安全技术有限公司 报告时间： 信息系统等级测评基本信息表信息系统系统名称安全保护等级备案证明编号测评结论被测单位单位名称单位地址邮政编码联 系 人姓 名职务/职称所属部门办公电话移动电话电子邮件测评单位单位名称xx信息安全技术有限公司单位代码通信地址郑邮政编码1联 系 人姓 名职务/职称总经理所属部门办公电话0移动电话电子邮件审核批准编 制 人编制日期20 -06-30审 核 人审核日期20 -06-30批 准 人批准日期20 -06-30声 明本次测评由XX委托xx信息安全技术

2、有限公司负责实施。项目组人员：XX。本报告是XX的等级测评报告。本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。当测评工作完成后，由于信息系统发生变更而涉及到的系统构成组件（或子系统）都应重新进行等级测评，本报告不再适用。本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件（或产品）的测评结论。在任何情况下，若需引用本报告中的测评结果或结论都应保持其原有的意义，不得对相关内容擅自进行增加、修改和伪造或掩盖事实。 xx信息安全技术有限公司(盖章) 20 年 6月目 录报告摘要1第1章测评项目概述31.1测评

3、目的31.2测评依据31.3测评过程31.4报告分发范围5第2章被测信息系统情况62.1网络结构62.2系统构成72.2.1业务应用软件72.2.2主机/存储设备72.2.3网络互联设备82.2.4安全设备82.2.5安全相关人员82.2.6安全管理文档8第3章等级测评范围与方法113.1测评指标113.1.1基本指标113.1.2特殊指标123.2测评对象123.2.1测评对象选择方法123.2.2测评对象选择结果123.3测评方法15第4章单元测评174.1物理安全174.1.1结果记录174.1.2汇总与分析244.2网络安全254.2.1结果记录254.2.2汇总与分析364.3主机安

4、全（操作系统）384.3.1结果记录384.3.2汇总与分析524.4主机安全（数据库）554.4.1结果记录554.4.2汇总与分析614.5应用安全624.5.1结果记录624.5.2汇总与分析714.6数据安全及备份恢复734.6.1结果记录734.7安全管理制度774.7.1结果记录774.7.2汇总与分析794.8安全管理机构804.8.1结果记录804.8.2汇总与分析844.9人员安全管理854.9.1结果记录854.9.2汇总与分析884.10系统建设管理894.10.1结果记录894.10.2汇总与分析994.11系统运维管理1004.11.1结果记录1004.11.2汇总与

5、分析115第5章整体测评1175.1安全控制间安全测评1175.2层面间安全测评1185.3区域间安全测评1185.4关联互补分析1195.4.1物理安全互补分析1195.4.2网络安全互补分析1195.4.3主机安全互补分析1215.4.4数据安全互补分析1225.4.5应用安全互补分析1235.4.6安全管理互补分析125第6章测评结果汇总127第7章风险分析与评价1317.1信息资产赋值1317.2威胁分析1327.3风险分析136第8章等级测评结论138第9章安全建设整改建议1399.1物理安全1399.2网络安全1399.3主机安全1399.4应用系统1409.5安全管理140表索引

6、表 11 测评任务表4表 21业务应用软件7表 22主机/存储设备7表 23 网络互连设备表8表 24 安全设备8表 25 安全相关人员9表 26 安全管理文档9表 31 基本指标12表 33 机房13表 34 网络互连设备13表 35 安全设备14表 36 主机操作系统/数据库管理系统（存储）14表 37 业务库应用软件14表 38 访谈人员14表 39 安全管理文档15表 41 物理位置的选择19表 42 物理访问控制20表 43 防盗窃和防破坏20表 44防雷击22表 45 防火22表 46 防水和防潮23表 47 防静电24表 48温湿度控制24表 49电力供应25表 410电磁防护2

7、6表 411 物理安全方面的单项测评结果27表 412 结构安全27表 413 网络访问控制29表 414 安全审计31表 415边界完整性检查33表 416 网络入侵防范33表 417 恶意代码34表 418 网络设备防护35表 419 结构安全方面的单项测评结果38表 420 网络访问控制方面的单项测评结果39表 421 安全审计方面的单项测评结果39表 422 边界完整性检查方面的单项测评结果39表 423 网络入侵防范方面的单项测评结果40表 424 恶意代码防范方面的单项测评结果40表 425 网络设备防护方面的单项测评结果40表 426 身份鉴别的选择41表 427访问控制43表

8、428安全审计46表 429 剩余信息保护49表 430 入侵防范50表 431 恶意代码防范51表 432 资源控制52表 433 身份鉴别方面的单项测评结果55表 434 访问控制方面的单项测评结果55表 435 安全审计方面的单项测评结果56表 436 剩余信息保护方面的单项测评结果56表 437 入侵防范方面的单项测评结果56表 438 恶意代码防范方面的单项测评结果57表 439 资源控制方面的单项测评结果57表 440 身份鉴别58表 441访问控制59表 442 安全审计61表 443资源控制62表 444 身份鉴别方面的单项测评结果63表 445 访问控制方面的单项测评结果64

9、表 446 安全审计方面的单项测评结果64表 447 资源控制方面的单项测评结果64表 448 身份鉴别65表 449 访问控制66表 450 安全审计67表 451 剩余信息保护69表 452 通信完整性69表 453通信保密性70表 454 抗抵赖70表 455 软件容错71表 456 资源控制72表 457 身份鉴别单项测评结论74表 458 访问控制单项测评结论74表 459 安全审计单项测评结论74表 460 剩余信息保护单项测评结论75表 461 通信完整性单项测评结论75表 462 通信保密性单项测评结论75表 463 抗抵赖单项测评结论76表 464 软件容错单项测评结论76表

10、 465 资源控制单项测评结论77表 466 数据完整性77表 467 数据保密性78表 468 备份和恢复78表 469 数据完整性方面的单项测评结果80表 470 数据保密性方面的单项测评结果80表 471 数据备份与恢复方面的单项测评结果80表 472 管理制度81表 473 制定和发布82表 474 评审和修订83表 475 安全管理制度方面的单项测评结果83表 476 岗位设置84表 477 人员配备85表 478 授权和审批85表 479 沟通和合作86表 480 审核和检查87表 481 安全管理机构方面的单项测评结果88表 482 人员录用89表 483 人员离岗90表 484

11、 人员考核91表 485 安全意识教育和培训91表 486 外部人员访问管理92表 487 人员安全管理方面的单项测评结果93表 488 系统定级93表 489 安全方案设计94表 490 产品采购和使用96表 491 自行软件开发97表 492 外包软件开发98表 493工程实施98表 494 测试验收99表 495系统交付100表 496 系统备案101表 497 等级测评102表 498安全服务商选择103表 499 系统建设管理方面的单项测评结果104表 4100 环境管理105表 4101 资产管理106表 4102 介质管理107表 4103 设备管理108表 4104 监控管理和

12、安全管理中心109表 4105 网络安全管理110表 4106 系统安全管理111表 4107 恶意代码防范管理113表 4108 密码管理114表 4109 变更管理114表 4110 备份与恢复管理115表 4111 安全事件处理116表 4112 应急预案管理118表 4113 系统建设管理方面的单项测评结果119表 51 物理安全互补分析123表 52 网络安全互补分析123表 53 主机安全互补分析125表 54 数据安全互补分析126表 55 应用安全互补分析128表 56 安全管理互补分析129表 61 测评结果汇总132表 71 信息资产赋值136表 72 资产赋值137表 7

13、3 信息安全威胁分析137表 74 风险分析141图索引图 21 XX总体架构图6VI报告摘要本次测评的对象是XX，该系统向企业用户和社会渠道提供车辆信息服务，基于XX业务信息包含：运输企业信息、运输企业车辆信息、从业人员信息、危险品车辆电子运单信息、车辆时时状态信息。该系统是对运输企业营运车辆的时时监控，运输企业可通过该系统设置形式速度、行驶区域对车辆进行管制，对违章行驶的车辆进行及时通知、及时制止。该系统以省集中结构模式，负责各地市以及相关企业及部门车辆批量数据的采集、集中存储，相关企业和部门的查询等。各车辆运营相关企业和单位可以通过网络与平台进行数据交换，满足各企业和地市平台向省平台进行

14、数据交换的需求。根据定级报告，XX的业务信息安全保护等级为第三级，系统服务安全保护等级为第三级，安全保护等级第三级。本次测评工作大致分为准备阶段、现场实施阶段、报告分析编写阶段，历时10天左右；投入人员4人。测评内容涵盖等级保护安全技术要求的5个层面和安全管理要求的5个方面，涉及测评分类73类。 本次测评结果表明被测系统的信息安全保障架构已经初具规模。被测系统的信息安全技术措施已基本到位，在技术上已从物理、网络、主机和应用等层面形成了架构比较合理、设备比较齐全、措施比较到位的安全防范技术体系。被测系统的信息安全管理机制已初步形成，在安全管理上已基本能够做到策略明确、制度完善、组织严密、人员职责

15、清晰、操作规程化、运行维护常态化、初步形成了长期、有效的安全管理机制。本次测评也发现被测系统存在一些安全问题，主要包括：1、 网络边界未部署入侵检测设备；2、 未采用两种鉴别技术对管理用户身份进行鉴别。针对被测系统存在的安全问题，结合等级保护三级相关要求，提出以下整改建议： 1、 应在网络边界部署入侵检测设备，如IDS。2、 应采用两种或两种以上组合的鉴别技术对管理用户身份进行鉴别。通过本次测评可以看出，被测系统基本能够满足GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求第三级的要求。因此，本次XX的等级测评结论为：基本符合。测评结果符合率为：82.15%。第139

16、页 /共 146 页第1章 测评项目概述1.1 测评目的根据XX定级结果情况，从信息安全技术 信息系统安全等级保护基本要求（GB/T 22239-2008）中选择相应等级的测评指标，结合XX的构成特点，确定具体的测评对象，制定测评方案，通过访谈、检查和测试等方式判断其安全技术和安全管理的各个方面对测评指标的符合程度，判断被测系统的安全保护能力是否满足国家信息系统安全等级保护要求。 1.2 测评依据1) 信息安全技术 信息系统安全等级保护基本要求（GB/T 22239-2008）2) 信息安全技术 信息系统安全等级保护测评要求（报批稿）3) 信息安全技术 信息系统安全等级保护实施指南（报批稿）4

17、) 信息安全技术 信息系统安全等级保护定级指南（GB/T 22240-2008）5) 计算机信息系统安全保护等级划分准则（GB17859-1999）1.3 测评过程等保测评工作流程分为三个阶段：测评准备阶段、现场实施阶段以及报告分析编写阶段。1) 准备阶段准备阶段主要包括：现场调研，制定评估工作方案，人员、设备调配，技术准备，保密教育等工作。2) 现场实施阶段依据工作方案，完成现场检测与数据采集工作。3) 等保符合性评估与编写等保方案阶段根据检测结果，通过定量计算、综合分析，对被检测系统做出全面评估，编写相关报告，组织专家审议。本次项目现场工作日程安排：上午9:00-12:00、下午13:00

18、-17:30。项目进度参照计划安排实施，根据实际情况进行合理调整。若有变更和调整，将由双方协商讨论最终确认，并由质量管理员（QA）进行跟踪记录，做到项目切实可行的可控性。本次项目整体周期为10天，具体工作时间安排如下表1-1：表 11 测评任务表序号测评阶段实施内容实施时间（工作日）1.测评准备阶段1.项目启动，等级测评项目确定后双方成立测评项目组；2.双方协同梳理信息系统基本要素，xx信息安全技术有限公司获取XX信息系统基本要素和定级情况；3.工具和表单准备；20 .6.18-20 .6.192.现场测评阶段物理安全测评；20 .6.20 上午管理安全测评；20 .6.20 上午网络安全测评

19、；20 .6.20 上午主机安全测评；20 .6.20 下午应用安全测评；20 .6.20 下午3.报告编制阶段对现场测评收集的数据进行分析；20 .6.21针对数据分析结果，从信息系统测评单项、单元和整体情况以及系统风险分析等方面进行考虑，形成最终测评报告和整改建议书；20 .6.22-20 .6.25对测评报告和整改建议书进行内部评审，并提交给XX。4.整改阶段由XX组织相关技术人员及厂商进行整改工作，xx信息安全技术有限公司提供技术支持。 20 .6.26-20 .6.275.复测阶段整改完毕后，进行复测，并重新进行风险分析，修改初测报告形成最终测试报告。并提交给XX。20 .6.28-

20、20 .6.296.项目验收阶段项目成果提交验收20 .6301.4 报告分发范围依据项目要求，本次测评交付等级测评报告一式三份，分别提交测评委托单位（两份）、测评实施单位留存。第2章 被测信息系统情况本次测评的对象是XX。该系统到目前为止包含业务有：运输企业信息、运输企业车辆信息、从业人员信息、危险品车辆电子运单信息、车辆时时状态信息。第2章2.1 网络结构1、根据目前实际情况绘制了XX网络总体架构图如下：图 21 XX总体架构图从目前调研中了解到，整个信息系统的网络系统边界设备可定为2台神州数码DCFW-1800E-4G防火墙和2台神州数码DCS-4500-26T交换机。神州数码DCS-4

21、500-26T交换机外联的其它系统都划分为外部网络部分，而神州数码DCFW-1800E-4G防火墙以内部分包括与各地市互联的部分都可归为中心的内部网络，与中间业务系统相关的省监控中心网络边界部分和内部网络部分都是等级保护定级的范围和对象。基于XX业务信息包含：运输企业信息、运输企业车辆信息、从业人员信息、危险品车辆电子运单信息、车辆时时状态信息。该系统以省集中结构模式，负责各地市以及相关企业及部门车辆批量数据的采集、集中存储，相关企业和部门的查询等。2.2 系统构成2.2.1 业务应用软件表 21业务应用软件序号软件名称主要功能重要程度12.2.2 主机/存储设备表 22主机/存储设备序号设备

22、名称操作系统/数据库管理系统功能重要程度12345672.2.3 网络互联设备表 23 网络互连设备表 序号设备名称用 途重要程度12342.2.4 安全设备表 24 安全设备序号设备名称用 途重要程度122.2.5 安全相关人员表 25 安全相关人员序号姓名岗位/角色联系方式12342.2.6 安全管理文档表 26 安全管理文档12345678910111213141516171819202122第3章 等级测评范围与方法第3章3.1 测评指标测评指标包括基本指标和特殊指标两部分。3.1.1 基本指标依据信息系统确定的业务信息安全保护等级和系统服务安全保护等级，选择信息安全技术 信息系统安全

23、等级保护基本要求中对应级别的安全要求作为等级测评的基本指标。表 31 基本指标测评指标技术/管理安全类数量S类(3级)A类(3级)G类(3级)小计安全技术物理安全342532网络安全203133主机安全1551232应用安全169631数据安全4408安全管理安全管理制度001111安全管理机构002020人员安全管理001616系统建设管理004545系统运维管理006262合 计290（控制点）3.1.2 特殊指标被测信息系统无特殊安全要求，测评指标均按照信息安全技术 信息系统安全等级保护基本要求中所包含的安全要求选取。3.2 测评对象3.2.1 测评对象选择方法由于被评估单位信息资产种类

24、、数量多，在一段时间内不可能逐一进行全面检测，本次检测采用抽样方法进行，其目的是确定技术脆弱性检测的重点对象和目标。抽样检测的对象和目标必须要能代表信息系统的安全现状，否则评估结果就会偏离实际情况。对XX资产抽样时遵循了典型性、全面性两原则。具体如下：1) 典型性原则：对同一应用中软件配置完全相同的资产抽样部分资产。2) 全面性原则：对XX中每一类资产都要抽样。3.2.2 测评对象选择结果1) 机房表 32 机房序号机房名称物理位置1XX金水东路枢纽楼1楼2) 网络互联设备表 33 网络互连设备序号设备名称用 途重要程度1核心主路由器路由很高2核心主交换机IT服务域核心主交换机很高3) 安全设

25、备表 34 安全设备序号设备名称用 途重要程度1主防火墙IT服务域主防火墙很高4) 主机操作系统/数据库管理系统（存储）表 35 主机操作系统/数据库管理系统（存储）序号设备名称操作系统/数据库管理系统功能重要程度1数据库服务器AWindows Server 2008/ SQL Server 2008系统基础数据存储很高3中心服务器AWindows Server 2008数据交互服务系统很高5应用服务器AWindows Server 2008提供WEB服务很高5) 业务应用软件表 36 业务应用软件序号软件名称主要功能重要程度1XX向企业用户和社会渠道提供车辆信息服务很高6) 访谈人员表 37

26、 访谈人员序号姓名岗位/角色联系方式1张柯管理安全136076631682王卫平管理安全133739322003王广祥网络安全、数据安全、物理安全0371-679775274杨根祥数据安全、应用安全、主机安全0371-679775277) 安全管理文档表 38 安全管理文档1.XX信息系统安全防护总体方案根据信息系统自身的情况，统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案的文件。2.XX项目过程管理办法工程实施方面的管理制度，明确说明实施过程的控制方法和人员要求。3.XX人员行为规范公司员工行为准则的书面规定。4.办公室环境管理规定规范办公环境人员

27、行为，包括工作人员调离办公室应立即交还该办公室钥匙、不在办公区接待来访人员、工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等。5.XX资产管理办法对公司给系统相关的资产清单，包括资产责任部门、重要程度和所处位置等内容给出明确的管理规范。6.XX存储介质使用和管理办法介质安全管理制度，对介质的存放环境、使用、维护和销毁等方面作出规定。7.设备使用管理规程对设备的使用过程进行规范化管理。8.XX终端系统管理规定对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理，按操作规程实现主要设备（包括备份和冗余设备）的启动/停止、加电/断电等操作。9.网络

28、安全管理规程对网络安全配置、安全策略、升级与补丁、口令更新周期等方面作出规定。10.XX信息网络接入规范公司网络连接相关规定。11.XX运行维护管理规定对系统安全策略、安全配置、日志管理和日常操作流程等方面作出具体规定。12.XX管理信息网病毒防护规定对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确规定。13.XX信息系统数据备份管理规定备份与恢复管理相关的安全管理制度，对备份信息的备份方式、备份频度、存储介质和保存期等进行规范。14.XX网络与信息安全管理办法包括安全事件报告和处置管理制度，明确安全事件的类型，规定安全事件的现场处理、事件报告和后期恢复的管理职责等。15.保密性

29、协议评审规程关于保密协议评的审相关规定。16.人力资源管理规程人力资源管理。17.信息安全事件管理程序系统运维过程中的安全事件报告和处置管理制度，规定安全事件的现场处理、事件报告和后期恢复的管理职责。18.信息安全培训规程对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训的相关规定及要求。19.对外信息发布管理规程信息发布管理办法。20.第三方服务管理规程对第三方服务的管理及要求。21.软件安装管理规程软件安装相关要求。22.软件开发过程信息安全管理规程软件开发管理制度，明确说明开发过程的控制方法和人员行为准则。3.3 测评方法安全测评的主要方法有：访谈、检查和测试。1) 访谈访谈是指

30、测评人员通过与信息系统有关人员（个人/群体）进行交流、讨论等活动，获取相关证据以证明信息系统安全保护措施是否有效落实的一种方法。在访谈范围上，应基本覆盖所有的安全相关人员类型，在数量上可以抽样。2) 检查检查是指测评人员通过对测评对象进行观察、查验、分析等活动，获取相关证据以证明信息系统安全保护措施是否有效实施的一种方法。在检查范围上，应基本覆盖所有的对象种类（设备、文档、机制等），数量上可以抽样。3) 测试测试是指测评人员针对测评对象按照预定的方法/工具使其产生特定的响应，通过查看和分析响应的输出结果，获取证据以证明信息系统安全保护措施是否得以有效实施的一种方法。在测试范围上，应基本覆盖不同

31、类型的机制，在数量上可以抽样。第4章 单元测评本次单元测评主要依据信息安全技术 信息系统安全等级保护基本要求的要求对物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面做出判定。第4章4.1 物理安全4.1.1 结果记录被测系统所在的机房，通过物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护十个安全控制点进行测评，判断测评结果与相对应要求之间的符合性。 4.1.1.1 物理位置的选择表 41 物理位置的选择要求点a) 机房和办公场地应选择在具有防震、防风

32、和防雨等能力的建筑内；测评对象现状符合性XX机房位于XX，机房和办公场地具有防震，防风和防雨等能力。符合要求点b) 机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁,如果不可避免，应采取有效防水措施。测评对象现状符合性XX机房位于XX，下层和隔壁无用水设备。符合4.1.1.2 物理访问控制表 42 物理访问控制要求点a) 机房各出入口应安排专人值守，控制、鉴别和记录进入的人员；测评对象现状符合性XX104机房出入口未安排专人值守。不符合要求点b) 需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围；测评对象现状符合性XX来访人员需经过严格和审批流程才能进入机房，并

33、有专人陪同，限制和监控其活动范围。符合要求点c) 应对机房划分区域进行管理，区域和区域之间应用物理方式隔断，在重要区域前设置交付或安装等过渡区域；测评对象现状符合性XX机房划分为；设备间，配电间，消防间，监控室等，各区域间物理隔离。符合要求点d) 重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。测评对象现状符合性XX机房配置电子门禁系统，对进出机房人员进行控制记录。符合4.1.1.3 防盗窃和防破坏表 43 防盗窃和防破坏要求点a) 应将主要设备放置在机房内；测评对象现状符合性XX服务器、交换机等主要设备放置在机房可控范围内。符合要求点b) 应将设备或主要部件进行固定，并设置明显的不易

34、除去的标记；测评对象现状符合性XX设备和主要部件固定牢靠，并设置标签等标记。符合要求点c) 应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；测评对象现状符合性XX通信线缆铺设在机房机柜顶部走线槽内。符合要求点d) 应对介质分类标识，存储在介质库或档案室中；测评对象现状符合性XX对介质分类标识，并存储在档案柜内。符合要求点e) 应利用光、电等技术设置机房防盗报警系统；测评对象现状符合性XX机房内设置防盗报警系统。符合要求点f) 应对机房设置监控报警系统。测评对象现状符合性XX机房采用视频监控报警系统。符合4.1.1.4 防雷击表 44防雷击要求点a) 机房建筑应设置避雷装置；测评对象现状符合性X

35、XXX设置避雷装置，采用三级防雷标准。符合要求点b) 应设置防雷保安器，防止感应雷；测评对象现状符合性XX电源经过配电柜接入，安装了防雷保安器，防止感应雷。符合要求点c) 机房应设置交流电源地线。测评对象现状符合性XX机房设置有交流电源接地。符合4.1.1.5 防火表 45 防火要求点a) 机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；测评对象现状符合性XX机房设置了火灾自动消防系统，能够自动检测火情，自动报警，并自动灭火。符合要求点b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料；测评对象现状符合性XXXX采用了具有耐火等级的建筑材料。符合要求点c) 机房

36、应采取区域隔离防火措施，将重要设备与其他设备隔离开。测评对象现状符合性XX机房采用区域划分管理，区域与区域之间采用了有效的物理隔离措施。符合4.1.1.6 防水和防潮表 46 防水和防潮要求点a) 主机房尽量避开水源，与主机房无关的给排水管道不得穿过主机房,与主机房相关的给排水管道必须有可靠的防渗漏措施；测评对象现状符合性XX机房屋顶无水管通过，进行了有效的防渗漏处理。符合要求点b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；测评对象现状符合性XX机房窗体未封闭，未发现明显漏水，渗透和返潮现象。符合要求点c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透；测评对象现状符合性XX采

37、用精密空调进行温，湿度控制，防止水蒸气凝露；采取地漏措施防止地下积水转移与渗透。符合要求点d) 应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。测评对象现状符合性XX机房安装有进水报警装置。符合4.1.1.7 防静电表 47 防静电要求点a) 主要设备应采用必要的接地防静电措施；测评对象现状符合性XX采用了机柜接地防静电措施，所有机柜外壳都接地连接。符合要求点b) 机房应采用防静电地板。测评对象现状符合性XX机房未采用防静电地板。 不符合4.1.1.8 温湿度控制表 48温湿度控制要求点a) 机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。测评对象现状

38、符合性XX机房配置了恒温恒湿空调机组，温度控制在20左右，不超过25，湿度保持在50左右且有个简易的温度湿度测量仪，显示测评时温度为20，湿度为44.5。符合4.1.1.9 电力供应表 49电力供应要求点a) 应在机房供电线路上配置稳压器和过电压防护设备；测评对象现状符合性XX机房供电线路都通过UPS进入机房，UPS具有稳压和过压防护功能。符合要求点b) 应提供短期的备用电力供应，至少满足主要设备在断电情况下的正常运行要求；测评对象现状符合性XX采用UPS提供短期备用电力供应。符合要求点c) 设置冗余或并行的电力电缆线路为计算机系统供电，输入电源应采用双路自动切换供电方式；测评对象现状符合性X

39、X机房电力供应进行双回路电源设置，并且每年会对双路供电切换测试。符合要求点d) 应建立备用供电系统。测评对象现状符合性XX设置有备用供电系统，机房有双回路电源，有UPS备用供电。符合4.1.1.10 电磁防护表 410电磁防护要求点a) 电源线和通信线缆应隔离铺设，避免互相干扰；测评对象现状符合性XX电源线和通信线缆隔离铺设，避免互相干扰。符合要求点b) 应采用接地方式防止外界电磁干扰和设备寄生耦合干扰；测评对象现状符合性XX采用接地方式防止外界电磁干扰和设备寄生耦合干扰。符合要求点c) 应对关键设备和磁介质实施电磁屏蔽。测评对象现状符合性XX未对关键设备和磁介质实施电磁屏蔽防护措施，所有磁介质储存在设备内，不需场外存放。不适用4.1.2 汇总与分析根据对XX的现场安全测评记录，针对XX在物理安全方面的“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等测评指标，分析后判断出与其相对应的各测评项的测评结果，具体如下表所示。表 411 物理安全方面的单项测评结果序号测评对象测评项a)b)c)d)e)f)1物理位置选择