资源描述
公安部信息安全等级保护评估中心
报告编号:
XXXX
测
评
报
告
系统名称: XX
被测单位: XX
测评单位: xx信息安全技术有限公司
报告时间:
信息系统等级测评基本信息表
信息系统
系统名称
安全保护等级
备案证明编号
测评结论
被测单位
单位名称
单位地址
邮政编码
联 系 人
姓 名
职务/职称
所属部门
办公电话
移动电话
电子邮件
测评单位
单位名称
xx信息安全技术有限公司
单位代码
通信地址
郑
邮政编码
1
联 系 人
姓 名
职务/职称
总经理
所属部门
办公电话
0
移动电话
电子邮件
审核批准
编 制 人
编制日期
20 -06-30
审 核 人
审核日期
20 -06-30
批 准 人
批准日期
20 -06-30
声 明
本次测评由XX委托xx信息安全技术有限公司负责实施。项目组人员:XX。
本报告是XX的等级测评报告。
本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。
本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。当测评工作完成后,由于信息系统发生变更而涉及到的系统构成组件(或子系统)都应重新进行等级测评,本报告不再适用。
本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件(或产品)的测评结论。
在任何情况下,若需引用本报告中的测评结果或结论都应保持其原有的意义,不得对相关内容擅自进行增加、修改和伪造或掩盖事实。
xx信息安全技术有限公司(盖章)
20 年 6月
目 录
报告摘要 1
第1章 测评项目概述 3
1.1 测评目的 3
1.2 测评依据 3
1.3 测评过程 3
1.4 报告分发范围 5
第2章 被测信息系统情况 6
2.1 网络结构 6
2.2 系统构成 7
2.2.1 业务应用软件 7
2.2.2 主机/存储设备 7
2.2.3 网络互联设备 8
2.2.4 安全设备 8
2.2.5 安全相关人员 8
2.2.6 安全管理文档 8
第3章 等级测评范围与方法 11
3.1 测评指标 11
3.1.1 基本指标 11
3.1.2 特殊指标 12
3.2 测评对象 12
3.2.1 测评对象选择方法 12
3.2.2 测评对象选择结果 12
3.3 测评方法 15
第4章 单元测评 17
4.1 物理安全 17
4.1.1 结果记录 17
4.1.2 汇总与分析 24
4.2 网络安全 25
4.2.1 结果记录 25
4.2.2 汇总与分析 36
4.3 主机安全(操作系统) 38
4.3.1 结果记录 38
4.3.2 汇总与分析 52
4.4 主机安全(数据库) 55
4.4.1 结果记录 55
4.4.2 汇总与分析 61
4.5 应用安全 62
4.5.1 结果记录 62
4.5.2 汇总与分析 71
4.6 数据安全及备份恢复 73
4.6.1 结果记录 73
4.7 安全管理制度 77
4.7.1 结果记录 77
4.7.2 汇总与分析 79
4.8 安全管理机构 80
4.8.1 结果记录 80
4.8.2 汇总与分析 84
4.9 人员安全管理 85
4.9.1 结果记录 85
4.9.2 汇总与分析 88
4.10 系统建设管理 89
4.10.1 结果记录 89
4.10.2 汇总与分析 99
4.11 系统运维管理 100
4.11.1 结果记录 100
4.11.2 汇总与分析 115
第5章 整体测评 117
5.1 安全控制间安全测评 117
5.2 层面间安全测评 118
5.3 区域间安全测评 118
5.4 关联互补分析 119
5.4.1 物理安全互补分析 119
5.4.2 网络安全互补分析 119
5.4.3 主机安全互补分析 121
5.4.4 数据安全互补分析 122
5.4.5 应用安全互补分析 123
5.4.6 安全管理互补分析 125
第6章 测评结果汇总 127
第7章 风险分析与评价 131
7.1 信息资产赋值 131
7.2 威胁分析 132
7.3 风险分析 136
第8章 等级测评结论 138
第9章 安全建设整改建议 139
9.1 物理安全 139
9.2 网络安全 139
9.3 主机安全 139
9.4 应用系统 140
9.5 安全管理 140
表索引
表 1�1 测评任务表 4
表 2�1业务应用软件 7
表 2�2主机/存储设备 7
表 2�3 网络互连设备表 8
表 2�4 安全设备 8
表 2�5 安全相关人员 9
表 2�6 安全管理文档 9
表 3�1 基本指标 12
表 3�3 机房 13
表 3�4 网络互连设备 13
表 3�5 安全设备 14
表 3�6 主机操作系统/数据库管理系统(存储) 14
表 3�7 业务库应用软件 14
表 3�8 访谈人员 14
表 3�9 安全管理文档 15
表 4�1 物理位置的选择 19
表 4�2 物理访问控制 20
表 4�3 防盗窃和防破坏 20
表 4�4防雷击 22
表 4�5 防火 22
表 4�6 防水和防潮 23
表 4�7 防静电 24
表 4�8温湿度控制 24
表 4�9电力供应 25
表 4�10电磁防护 26
表 4�11 物理安全方面的单项测评结果 27
表 4�12 结构安全 27
表 4�13 网络访问控制 29
表 4�14 安全审计 31
表 4�15边界完整性检查 33
表 4�16 网络入侵防范 33
表 4�17 恶意代码 34
表 4�18 网络设备防护 35
表 4�19 结构安全方面的单项测评结果 38
表 4�20 网络访问控制方面的单项测评结果 39
表 4�21 安全审计方面的单项测评结果 39
表 4�22 边界完整性检查方面的单项测评结果 39
表 4�23 网络入侵防范方面的单项测评结果 40
表 4�24 恶意代码防范方面的单项测评结果 40
表 4�25 网络设备防护方面的单项测评结果 40
表 4�26 身份鉴别的选择 41
表 4�27访问控制 43
表 4�28安全审计 46
表 4�29 剩余信息保护 49
表 4�30 入侵防范 50
表 4�31 恶意代码防范 51
表 4�32 资源控制 52
表 4�33 身份鉴别方面的单项测评结果 55
表 4�34 访问控制方面的单项测评结果 55
表 4�35 安全审计方面的单项测评结果 56
表 4�36 剩余信息保护方面的单项测评结果 56
表 4�37 入侵防范方面的单项测评结果 56
表 4�38 恶意代码防范方面的单项测评结果 57
表 4�39 资源控制方面的单项测评结果 57
表 4�40 身份鉴别 58
表 4�41访问控制 59
表 4�42 安全审计 61
表 4�43资源控制 62
表 4�44 身份鉴别方面的单项测评结果 63
表 4�45 访问控制方面的单项测评结果 64
表 4�46 安全审计方面的单项测评结果 64
表 4�47 资源控制方面的单项测评结果 64
表 4�48 身份鉴别 65
表 4�49 访问控制 66
表 4�50 安全审计 67
表 4�51 剩余信息保护 69
表 4�52 通信完整性 69
表 4�53通信保密性 70
表 4�54 抗抵赖 70
表 4�55 软件容错 71
表 4�56 资源控制 72
表 4�57 身份鉴别单项测评结论 74
表 4�58 访问控制单项测评结论 74
表 4�59 安全审计单项测评结论 74
表 4�60 剩余信息保护单项测评结论 75
表 4�61 通信完整性单项测评结论 75
表 4�62 通信保密性单项测评结论 75
表 4�63 抗抵赖单项测评结论 76
表 4�64 软件容错单项测评结论 76
表 4�65 资源控制单项测评结论 77
表 4�66 数据完整性 77
表 4�67 数据保密性 78
表 4�68 备份和恢复 78
表 4�69 数据完整性方面的单项测评结果 80
表 4�70 数据保密性方面的单项测评结果 80
表 4�71 数据备份与恢复方面的单项测评结果 80
表 4�72 管理制度 81
表 4�73 制定和发布 82
表 4�74 评审和修订 83
表 4�75 安全管理制度方面的单项测评结果 83
表 4�76 岗位设置 84
表 4�77 人员配备 85
表 4�78 授权和审批 85
表 4�79 沟通和合作 86
表 4�80 审核和检查 87
表 4�81 安全管理机构方面的单项测评结果 88
表 4�82 人员录用 89
表 4�83 人员离岗 90
表 4�84 人员考核 91
表 4�85 安全意识教育和培训 91
表 4�86 外部人员访问管理 92
表 4�87 人员安全管理方面的单项测评结果 93
表 4�88 系统定级 93
表 4�89 安全方案设计 94
表 4�90 产品采购和使用 96
表 4�91 自行软件开发 97
表 4�92 外包软件开发 98
表 4�93工程实施 98
表 4�94 测试验收 99
表 4�95系统交付 100
表 4�96 系统备案 101
表 4�97 等级测评 102
表 4�98安全服务商选择 103
表 4�99 系统建设管理方面的单项测评结果 104
表 4�100 环境管理 105
表 4�101 资产管理 106
表 4�102 介质管理 107
表 4�103 设备管理 108
表 4�104 监控管理和安全管理中心 109
表 4�105 网络安全管理 110
表 4�106 系统安全管理 111
表 4�107 恶意代码防范管理 113
表 4�108 密码管理 114
表 4�109 变更管理 114
表 4�110 备份与恢复管理 115
表 4�111 安全事件处理 116
表 4�112 应急预案管理 118
表 4�113 系统建设管理方面的单项测评结果 119
表 5�1 物理安全互补分析 123
表 5�2 网络安全互补分析 123
表 5�3 主机安全互补分析 125
表 5�4 数据安全互补分析 126
表 5�5 应用安全互补分析 128
表 5�6 安全管理互补分析 129
表 6�1 测评结果汇总 132
表 7�1 信息资产赋值 136
表 7�2 资产赋值 137
表 7�3 信息安全威胁分析 137
表 7�4 风险分析 141
图索引
图 2�1 XX总体架构图 6
VI
报告摘要
本次测评的对象是XX,该系统向企业用户和社会渠道提供车辆信息服务,基于XX业务信息包含:运输企业信息、运输企业车辆信息、从业人员信息、危险品车辆电子运单信息、车辆时时状态信息。该系统是对运输企业营运车辆的时时监控,运输企业可通过该系统设置形式速度、行驶区域对车辆进行管制,对违章行驶的车辆进行及时通知、及时制止。该系统以省集中结构模式,负责各地市以及相关企业及部门车辆批量数据的采集、集中存储,相关企业和部门的查询等。各车辆运营相关企业和单位可以通过网络与平台进行数据交换,满足各企业和地市平台向省平台进行数据交换的需求。
根据定级报告,XX的业务信息安全保护等级为第三级,系统服务安全保护等级为第三级,安全保护等级第三级。
本次测评工作大致分为准备阶段、现场实施阶段、报告分析编写阶段,历时10天左右;投入人员4人。测评内容涵盖等级保护安全技术要求的5个层面和安全管理要求的5个方面,涉及测评分类73类。
本次测评结果表明被测系统的信息安全保障架构已经初具规模。被测系统的信息安全技术措施已基本到位,在技术上已从物理、网络、主机和应用等层面形成了架构比较合理、设备比较齐全、措施比较到位的安全防范技术体系。被测系统的信息安全管理机制已初步形成,在安全管理上已基本能够做到策略明确、制度完善、组织严密、人员职责清晰、操作规程化、运行维护常态化、初步形成了长期、有效的安全管理机制。
本次测评也发现被测系统存在一些安全问题,主要包括:
1、 网络边界未部署入侵检测设备;
2、 未采用两种鉴别技术对管理用户身份进行鉴别。
针对被测系统存在的安全问题,结合等级保护三级相关要求,提出以下整改建议:
1、 应在网络边界部署入侵检测设备,如IDS。
2、 应采用两种或两种以上组合的鉴别技术对管理用户身份进行鉴别。
通过本次测评可以看出,被测系统基本能够满足GB/T 22239-2008 《信息安全技术 信息系统安全等级保护基本要求》第三级的要求。因此,本次XX的等级测评结论为:基本符合。
测评结果符合率为:82.15%。
第139 页 /共 146 页
第1章 测评项目概述
1.1 测评目的
根据XX定级结果情况,从《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008)中选择相应等级的测评指标,结合XX的构成特点,确定具体的测评对象,制定测评方案,通过访谈、检查和测试等方式判断其安全技术和安全管理的各个方面对测评指标的符合程度,判断被测系统的安全保护能力是否满足国家信息系统安全等级保护要求。
1.2 测评依据
1) 《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008)
2) 《信息安全技术 信息系统安全等级保护测评要求》(报批稿)
3) 《信息安全技术 信息系统安全等级保护实施指南》(报批稿)
4) 《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240-2008)
5) 《计算机信息系统安全保护等级划分准则》(GB17859-1999)
1.3 测评过程
等保测评工作流程分为三个阶段:测评准备阶段、现场实施阶段以及报告分析编写阶段。
1) 准备阶段
准备阶段主要包括:现场调研,制定评估工作方案,人员、设备调配,技术准备,保密教育等工作。
2) 现场实施阶段
依据工作方案,完成现场检测与数据采集工作。
3) 等保符合性评估与编写等保方案阶段
根据检测结果,通过定量计算、综合分析,对被检测系统做出全面评估,编写相关报告,组织专家审议。
本次项目现场工作日程安排:上午9:00---12:00、下午13:00---17:30。项目进度参照计划安排实施,根据实际情况进行合理调整。若有变更和调整,将由双方协商讨论最终确认,并由质量管理员(QA)进行跟踪记录,做到项目切实可行的可控性。本次项目整体周期为10天,具体工作时间安排如下表1-1:
表 1�1 测评任务表
序号
测评阶段
实施内容
实施时间(工作日)
1.
测评准备阶段
1.项目启动,等级测评项目确定后双方成立测评项目组;
2.双方协同梳理信息系统基本要素,xx信息安全技术有限公司获取XX信息系统基本要素和定级情况;
3.工具和表单准备;
20 .6.18-20 .6.19
2.
现场测评阶段
物理安全测评;
20 .6.20 上午
管理安全测评;
20 .6.20 上午
网络安全测评;
20 .6.20 上午
主机安全测评;
20 .6.20 下午
应用安全测评;
20 .6.20 下午
3.
报告编制阶段
对现场测评收集的数据进行分析;
20 .6.21
针对数据分析结果,从信息系统测评单项、单元和整体情况以及系统风险分析等方面进行考虑,形成最终测评报告和整改建议书;
20 .6.22-20 .6.25
对测评报告和整改建议书进行内部评审,并提交给XX。
4.
整改阶段
由XX组织相关技术人员及厂商进行整改工作,xx信息安全技术有限公司提供技术支持。
20 .6.26-20 .6.27
5.
复测阶段
整改完毕后,进行复测,并重新进行风险分析,修改初测报告形成最终测试报告。并提交给XX。
20 .6.28-20 .6.29
6.
项目验收阶段
项目成果提交验收
20 .6.30
1.4 报告分发范围
依据项目要求,本次测评交付等级测评报告一式三份,分别提交测评委托单位(两份)、测评实施单位留存。
第2章 被测信息系统情况
本次测评的对象是XX。该系统到目前为止包含业务有:运输企业信息、运输企业车辆信息、从业人员信息、危险品车辆电子运单信息、车辆时时状态信息。
第2章
2.1 网络结构
1、根据目前实际情况绘制了XX网络总体架构图如下:
图 2�1 XX总体架构图
从目前调研中了解到,整个信息系统的网络系统边界设备可定为2台神州数码DCFW-1800E-4G防火墙和2台神州数码DCS-4500-26T交换机。神州数码DCS-4500-26T交换机外联的其它系统都划分为外部网络部分,而神州数码DCFW-1800E-4G防火墙以内部分包括与各地市互联的部分都可归为中心的内部网络,与中间业务系统相关的省监控中心网络边界部分和内部网络部分都是等级保护定级的范围和对象。
基于XX业务信息包含:运输企业信息、运输企业车辆信息、从业人员信息、危险品车辆电子运单信息、车辆时时状态信息。该系统以省集中结构模式,负责各地市以及相关企业及部门车辆批量数据的采集、集中存储,相关企业和部门的查询等。
2.2 系统构成
2.2.1 业务应用软件
表 2�1业务应用软件
序号
软件名称
主要功能
重要程度
1
2.2.2 主机/存储设备
表 2�2主机/存储设备
序号
设备名称
操作系统/数据库管理系统
功能
重要程度
1
2
3
4
5
6
7
2.2.3 网络互联设备
表 2�3 网络互连设备表
序号
设备名称
用 途
重要程度
1
2
3
4
2.2.4 安全设备
表 2�4 安全设备
序号
设备名称
用 途
重要程度
1
2
2.2.5 安全相关人员
表 2�5 安全相关人员
序号
姓名
岗位/角色
联系方式
1
2
3
4
2.2.6 安全管理文档
表 2�6 安全管理文档
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
第3章 等级测评范围与方法
第3章
3.1 测评指标
测评指标包括基本指标和特殊指标两部分。
3.1.1 基本指标
依据信息系统确定的业务信息安全保护等级和系统服务安全保护等级,选择《信息安全技术 信息系统安全等级保护基本要求》中对应级别的安全要求作为等级测评的基本指标。
表 3�1 基本指标
测评指标
技术/管理
安全类
数量
S类
(3级)
A类
(3级)
G类
(3级)
小计
安全技术
物理安全
3
4
25
32
网络安全
2
0
31
33
主机安全
15
5
12
32
应用安全
16
9
6
31
数据安全
4
4
0
8
安全管理
安全管理制度
0
0
11
11
安全管理机构
0
0
20
20
人员安全管理
0
0
16
16
系统建设管理
0
0
45
45
系统运维管理
0
0
62
62
合 计
290(控制点)
3.1.2 特殊指标
被测信息系统无特殊安全要求,测评指标均按照《信息安全技术 信息系统安全等级保护基本要求》中所包含的安全要求选取。
3.2 测评对象
3.2.1 测评对象选择方法
由于被评估单位信息资产种类、数量多,在一段时间内不可能逐一进行全面检测,本次检测采用抽样方法进行,其目的是确定技术脆弱性检测的重点对象和目标。抽样检测的对象和目标必须要能代表信息系统的安全现状,否则评估结果就会偏离实际情况。对XX资产抽样时遵循了典型性、全面性两原则。具体如下:
1) 典型性原则:对同一应用中软件配置完全相同的资产抽样部分资产。
2) 全面性原则:对XX中每一类资产都要抽样。
3.2.2 测评对象选择结果
1) 机房
表 3�2 机房
序号
机房名称
物理位置
1
XX
金水东路枢纽楼1楼
2) 网络互联设备
表 3�3 网络互连设备
序号
设备名称
用 途
重要程度
1
核心主路由器
路由
很高
2
核心主交换机
IT服务域核心主交换机
很高
3) 安全设备
表 3�4 安全设备
序号
设备名称
用 途
重要程度
1
主防火墙
IT服务域主防火墙
很高
4) 主机操作系统/数据库管理系统(存储)
表 3�5 主机操作系统/数据库管理系统(存储)
序号
设备名称
操作系统/数据库管理系统
功能
重要程度
1
数据库服务器A
Windows Server 2008/
SQL Server 2008
系统基础数据存储
很高
3
中心服务器A
Windows Server 2008
数据交互服务系统
很高
5
应用服务器A
Windows Server 2008
提供WEB服务
很高
5) 业务应用软件
表 3�6 业务应用软件
序号
软件名称
主要功能
重要程度
1
XX
向企业用户和社会渠道提供车辆信息服务
很高
6) 访谈人员
表 3�7 访谈人员
序号
姓名
岗位/角色
联系方式
1
张柯
管理安全
13607663168
2
王卫平
管理安全
13373932200
3
王广祥
网络安全、数据安全、物理安全
0371-67977527
4
杨根祥
数据安全、应用安全、主机安全
0371-67977527
7) 安全管理文档
表 3�8 安全管理文档
1.
《XX信息系统安全防护总体方案》
根据信息系统自身的情况,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案的文件。
2.
《XX项目过程管理办法》
工程实施方面的管理制度,明确说明实施过程的控制方法和人员要求。
3.
《XX人员行为规范》
公司员工行为准则的书面规定。
4.
《办公室环境管理规定》
规范办公环境人员行为,包括工作人员调离办公室应立即交还该办公室钥匙、不在办公区接待来访人员、工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等。
5.
《XX资产管理办法》
对公司给系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容给出明确的管理规范。
6.
《XX存储介质使用和管理办法》
介质安全管理制度,对介质的存放环境、使用、维护和销毁等方面作出规定。
7.
《设备使用管理规程》
对设备的使用过程进行规范化管理。
8.
《XX终端系统管理规定》
对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理,按操作规程实现主要设备(包括备份和冗余设备)的启动/停止、加电/断电等操作。
9.
《网络安全管理规程》
对网络安全配置、安全策略、升级与补丁、口令更新周期等方面作出规定。
10.
《XX信息网络接入规范》
公司网络连接相关规定。
11.
《XX运行维护管理规定》
对系统安全策略、安全配置、日志管理和日常操作流程等方面作出具体规定。
12.
《XX管理信息网病毒防护规定》
对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确规定。
13.
《XX信息系统数据备份管理规定》
备份与恢复管理相关的安全管理制度,对备份信息的备份方式、备份频度、存储介质和保存期等进行规范。
14.
《XX网络与信息安全管理办法》
包括安全事件报告和处置管理制度,明确安全事件的类型,规定安全事件的现场处理、事件报告和后期恢复的管理职责等。
15.
《保密性协议评审规程》
关于保密协议评的审相关规定。
16.
《人力资源管理规程》
人力资源管理。
17.
《信息安全事件管理程序》
系统运维过程中的安全事件报告和处置管理制度,规定安全事件的现场处理、事件报告和后期恢复的管理职责。
18.
《信息安全培训规程》
对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训的相关规定及要求。
19.
《对外信息发布管理规程》
信息发布管理办法。
20.
《第三方服务管理规程》
对第三方服务的管理及要求。
21.
《软件安装管理规程》
软件安装相关要求。
22.
《软件开发过程信息安全管理规程》
软件开发管理制度,明确说明开发过程的控制方法和人员行为准则。
3.3 测评方法
安全测评的主要方法有:访谈、检查和测试。
1) 访谈
访谈是指测评人员通过与信息系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据以证明信息系统安全保护措施是否有效落实的一种方法。在访谈范围上,应基本覆盖所有的安全相关人员类型,在数量上可以抽样。
2) 检查
检查是指测评人员通过对测评对象进行观察、查验、分析等活动,获取相关证据以证明信息系统安全保护措施是否有效实施的一种方法。在检查范围上,应基本覆盖所有的对象种类(设备、文档、机制等),数量上可以抽样。
3) 测试
测试是指测评人员针对测评对象按照预定的方法/工具使其产生特定的响应,通过查看和分析响应的输出结果,获取证据以证明信息系统安全保护措施是否得以有效实施的一种方法。在测试范围上,应基本覆盖不同类型的机制,在数量上可以抽样。
第4章 单元测评
本次单元测评主要依据《信息安全技术 信息系统安全等级保护基本要求》的要求对物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面做出判定。
第4章
4.1 物理安全
4.1.1 结果记录
被测系统所在的机房,通过物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护十个安全控制点进行测评,判断测评结果与相对应要求之间的符合性。
4.1.1.1 物理位置的选择
表 4�1 物理位置的选择
要求点a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;
测评对象
现状
符合性
XX
机房位于XX,机房和办公场地具有防震,防风和防雨等能力。
符合
要求点b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁,如果不可避免,应采取有效防水措施。
测评对象
现状
符合性
XX
机房位于XX,下层和隔壁无用水设备。
符合
4.1.1.2 物理访问控制
表 4�2 物理访问控制
要求点a) 机房各出入口应安排专人值守,控制、鉴别和记录进入的人员;
测评对象
现状
符合性
XX
104机房出入口未安排专人值守。
不符合
要求点b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;
测评对象
现状
符合性
XX
来访人员需经过严格和审批流程才能进入机房,并有专人陪同,限制和监控其活动范围。
符合
要求点c) 应对机房划分区域进行管理,区域和区域之间应用物理方式隔断,在重要区域前设置交付或安装等过渡区域;
测评对象
现状
符合性
XX
机房划分为;设备间,配电间,消防间,监控室等,各区域间物理隔离。
符合
要求点d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
测评对象
现状
符合性
XX
机房配置电子门禁系统,对进出机房人员进行控制记录。
符合
4.1.1.3 防盗窃和防破坏
表 4�3 防盗窃和防破坏
要求点a) 应将主要设备放置在机房内;
测评对象
现状
符合性
XX
服务器、交换机等主要设备放置在机房可控范围内。
符合
要求点b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记;
测评对象
现状
符合性
XX
设备和主要部件固定牢靠,并设置标签等标记。
符合
要求点c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;
测评对象
现状
符合性
XX
通信线缆铺设在机房机柜顶部走线槽内。
符合
要求点d) 应对介质分类标识,存储在介质库或档案室中;
测评对象
现状
符合性
XX
对介质分类标识,并存储在档案柜内。
符合
要求点e) 应利用光、电等技术设置机房防盗报警系统;
测评对象
现状
符合性
XX
机房内设置防盗报警系统。
符合
要求点f) 应对机房设置监控报警系统。
测评对象
现状
符合性
XX
机房采用视频监控报警系统。
符合
4.1.1.4 防雷击
表 4�4防雷击
要求点a) 机房建筑应设置避雷装置;
测评对象
现状
符合性
XX
XX设置避雷装置,采用三级防雷标准。
符合
要求点b) 应设置防雷保安器,防止感应雷;
测评对象
现状
符合性
XX
电源经过配电柜接入,安装了防雷保安器,防止感应雷。
符合
要求点c) 机房应设置交流电源地线。
测评对象
现状
符合性
XX
机房设置有交流电源接地。
符合
4.1.1.5 防火
表 4�5 防火
要求点a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;
测评对象
现状
符合性
XX
机房设置了火灾自动消防系统,能够自动检测火情,自动报警,并自动灭火。
符合
要求点b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;
测评对象
现状
符合性
XX
XX采用了具有耐火等级的建筑材料。
符合
要求点c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。
测评对象
现状
符合性
XX
机房采用区域划分管理,区域与区域之间采用了有效的物理隔离措施。
符合
4.1.1.6 防水和防潮
表 4�6 防水和防潮
要求点a) 主机房尽量避开水源,与主机房无关的给排水管道不得穿过主机房,与主机房相关的给排水管道必须有可靠的防渗漏措施;
测评对象
现状
符合性
XX
机房屋顶无水管通过,进行了有效的防渗漏处理。
符合
要求点b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;
测评对象
现状
符合性
XX
机房窗体未封闭,未发现明显漏水,渗透和返潮现象。
符合
要求点c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;
测评对象
现状
符合性
XX
采用精密空调进行温,湿度控制,防止水蒸气凝露;采取地漏措施防止地下积水转移与渗透。
符合
要求点d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
测评对象
现状
符合性
XX
机房安装有进水报警装置。
符合
4.1.1.7 防静电
表 4�7 防静电
要求点a) 主要设备应采用必要的接地防静电措施;
测评对象
现状
符合性
XX
采用了机柜接地防静电措施,所有机柜外壳都接地连接。
符合
要求点b) 机房应采用防静电地板。
测评对象
现状
符合性
XX
机房未采用防静电地板。
不符合
4.1.1.8 温湿度控制
表 4�8温湿度控制
要求点a) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
测评对象
现状
符合性
XX
机房配置了恒温恒湿空调机组,温度控制在20℃左右,不超过25℃,湿度保持在50%左右且有个简易的温度湿度测量仪,显示测评时温度为20℃,湿度为44.5%。
符合
4.1.1.9 电力供应
表 4�9电力供应
要求点a) 应在机房供电线路上配置稳压器和过电压防护设备;
测评对象
现状
符合性
XX
机房供电线路都通过UPS进入机房,UPS具有稳压和过压防护功能。
符合
要求点b) 应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运行要求;
测评对象
现状
符合性
XX
采用UPS提供短期备用电力供应。
符合
要求点c) 设置冗余或并行的电力电缆线路为计算机系统供电,输入电源应采用双路自动切换供电方式;
测评对象
现状
符合性
XX
机房电力供应进行双回路电源设置,并且每年会对双路供电切换测试。
符合
要求点d) 应建立备用供电系统。
测评对象
现状
符合性
XX
设置有备用供电系统,机房有双回路电源,有UPS备用供电。
符合
4.1.1.10 电磁防护
表 4�10电磁防护
要求点a) 电源线和通信线缆应隔离铺设,避免互相干扰;
测评对象
现状
符合性
XX
电源线和通信线缆隔离铺设,避免互相干扰。
符合
要求点b) 应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;
测评对象
现状
符合性
XX
采用接地方式防止外界电磁干扰和设备寄生耦合干扰。
符合
要求点c) 应对关键设备和磁介质实施电磁屏蔽。
测评对象
现状
符合性
XX
未对关键设备和磁介质实施电磁屏蔽防护措施,所有磁介质储存在设备内,不需场外存放。
不适用
4.1.2 汇总与分析
根据对XX的现场安全测评记录,针对XX在物理安全方面的“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等测评指标,分析后判断出与其相对应的各测评项的测评结果,具体如下表所示。
表 4�11 物理安全方面的单项测评结果
序号
测评对象
测评项
a)
b)
c)
d)
e)
f)
1
物理位置选择
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
