信息安全等级保护整改方案

*****单位内部信息管理平台

等级保护整改方案目录TOC\o"1-5"\h\z\o"CurrentDocument"1概述3\o"CurrentDocument"1.1建设单位概况3\o"CurrentDocument"1.2方案编制依据5\o"CurrentDocument"1.3系统建设目标5\o"CurrentDocument"2系统现状与等保差距分析5\o"CurrentDocument"2.1系统总体现状示意图6\o"CurrentDocument"2.2物理安全现状与差距分析7\o"CurrentDocument"2.3网络安全现状与差距分析7\o"CurrentDocument"2.4主机安全现状与差距分析7\o"CurrentDocument"2.5应用安全现状与差距分析8\o"CurrentDocument"2.6安全管理现状与差距分析8\o"CurrentDocument"3系统总体设计9\o"CurrentDocument"3.1总体部署示意图9\o"CurrentDocument"3.2总体部署说明9\o"CurrentDocument"3.3总体部署效果14\o"CurrentDocument"3.4一期整改内容-高危16\o"CurrentDocument"3.5二期整改内容-非高危20\o"CurrentDocument"4硬件/软件整改建议28\o"CurrentDocument"5漏洞扫描报告311概述信息安全等级保护是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化健康发展的基本策略。信息化发展的不同阶段和不同的信息系统有着不同的安全需求，必须从实际出发，综合平衡安全成本和风险，优化信息安全资源的配置，确保重点。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。受**************单位委托，内部信息管理平台进行了全面的调研，依据我国信息系统安全等级保护系统要求开展了符合性评价后编制本文件。1.1建设单位概况1、承担保障城镇低收入家庭住房的责任。拟订住房保障相关政策并指导实施；拟订廉租住房政策及规划，会同有关部门做好国家、省有关廉租住房资金安排，监督地方组织实施；编制住房保障发展规划和年度计划并监督实施。2、承担推进住房制度改革的责任。拟订适合省情的住房政策；指导住房建设和住房制度改革；拟订全省住房建设规划并指导实施。3、承担规范住房和城乡规划建设管理秩序的责任。提出住房和城乡建设重大问题的政策建议；拟订全省住房和城乡建设行业发展规划，起草有关住房和城乡建设地方性法规和省政府规章草案；依法组织编制和实施城乡规划，拟订城乡规划的政策和制度；组织编制全省城镇体系规划，承担省政府交办的城市总体规划和区域城镇体系规划的审查报批和监督实施工作；参与土地利用总体规划纲要的审查。4、承担规范房地产市场秩序、监督管理房地产市场的责任。会同有关部门组织拟订房地产市场监管政策并监督执行；指导城镇土地使用权有偿转让和开发利用工作；提出房地产业的行业产业政策和发展规划；制定房地产开发、房屋权属管理、房屋租赁、房屋面积管理、房地产估价与经纪管理、物业管理、房屋征收拆迁的规章制度并监督执行。5、监督管理建筑市场、规范市场各方主体行为。指导全省建筑活动；组织实施房屋建筑和市政工程项目招投标活动的监督执法；拟订勘察设计、施工、工程监理的规章并监督和指导实施；拟订勘察设计、建筑业、建设监理行业发展战略、中长期规划、改革方案、产业政策制度并监督执行;拟订规范建筑市场各方主体行为和建筑工程风险管理的规章并监督执行；组织协调勘察设计企业、建筑企业参与出省和国际工程承包、建筑劳务合作。6、组织制定工程建设实施阶段的地方标准；制定和发布地方工程建设统一定额；拟订建设项目可行性研究评价方法、经济参数、建设标准和工程造价的管理制度；拟订城镇公共服务设施（不含通信设施）建设标准并监督执行；组织实施房屋和城市市政设施的抗震设计规范；组织工程建设标准设计的审定、编制和推广；指导监督各类工程建设标准定额的实施和工程造价计价；组织发布工程造价信息。7、指导城市建设管理工作。拟订城市建设管理的政策、规划并指导实施；指导城市市政公用设施建设监督管理工作；指导城市计划用水和节约用水工作；指导城市市容环境综合整治、城建监察、城管执法和城市垃圾、污水处理工作；指导城市规划区内的绿化工作；拟订全省风景名胜区的发展规划、政策并指导实施，负责风景名胜区的审查报批和监督管理；会同有关部门组织世界自然遗产项目和世界自然与文化双重遗产项目的申报工作;会同有关部门负责历史文化名城（镇、村）的保护和监督管理。8、承担规范和指导村镇建设的责任。拟订小城镇和村庄建设政策及发展规划并指导实施；指导村镇规划编制、农村住房建设和安全及危房改造；指导小城镇和村庄人居环境的改善工作；指导重点镇建设和村镇建设试点工作。9、承担建设行业稽查责任。对城乡建设领域违法违规问题实施稽查，提出改进和处理意见；对城市总体规划、历史文化名城保护规划、区域城镇体系规划及风景名胜区规划实施监督检查。10、承担建筑工程质量安全监管的责任。拟订建筑工程质量、建筑安全生产和竣工验收备案的政策、制度并监督执行；组织或参与工程重大质量、安全事故的调查处理；拟订建筑业、工程勘察设计咨询业技术政策并指导实施。11、承担推进建筑节能、城镇减排的责任。拟订住房和城乡建设科技发展规划和经济政策；会同有关部门拟订建筑节能的政策、规划并监督实施；组织实施重大建筑节能项目，推进城镇减排；组织实施重点建设科技项目的研究开发。12、承担推进墙体材料革新和发展散装水泥的职责。拟订发展应用新型墙体材料和发展散装水泥的政策、制度和规划并指导实施；负责新型墙体材料的推广应用；会同有关部门拟订新型墙体材料专项基金和散装水泥专项基金政策并组织实施。13、负责住房公积金监督管理，确保公积金的有效使用。会同有关部门拟订住房公积金政策、发展规划并组织实施；制定住房公积金缴存、使用、管理和监督制度，监督全省住房公积金和其他住房资金的管理、使用；管理住房公积金信息系统。14、开展住房和城乡建设方面的国际交流合作。15、承担省住房制度改革领导小组、省建筑节能与墙体材料革新领导小组的日常工作。16、承办上级交办的其他事项。1.2方案编制依据《信息安全技术网络安全等级保护基本要求》，GB/T22239-2019；《信息安全技术网络安全等级保护测评要求》，GB/T28448-2019；《中华人民共和国网络安全法》1.3系统建设目标本次安全建设设计方案应符合等级保护相关规定，具体包括物理安全措施，网络基础设施，安全基础设施，应用系统硬件、软件，安全策略，管理规范和流程，系统架构等对象。测评完成后根据测评结果并依据《中华人民共和国网络安全法》、《信息安全技术网络安全等级保护基本要求》等标准规范要求制定**************单位内部信息管理平台网络

安全等级保护整改方案。结合国家等级保护的建设规范和技术要求进行安全等级保护建设工作，最终达到国家信息和信息系统安全保护二级要求,并通过《信息安全技术网络安全等级保护基本要求》测评。2系统现状与等保差距分析2.1系统总体现状示意图内部信息管理平台网络拓扑图2.2物理安全现状与差距分析**************单位物理安全方面主要存在的问题如下：1、防火问题：要求：机房应设置灭火设备和火灾自动报警系统。差距：机房火灾自动监控报警灭火系统未开启。2.3网络安全现状与差距分析**************单位网络安全方面主要存在的问题如下：1、网络设备防护问题：要求：应对网络设备的管理员登录地址进行限制；身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。差距：未限制远程管理的客户端地址范围；未定期更换口令；未配置登录失败限制策略。未配置操作超时时间；远程管理时未关闭不安全的TELNET服务。2.4主机安全现状与差距分析**************单位安全方面主要存在的问题如下：1、身份鉴别问题：要求：操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；差距：未限制密码最短长度和使用期限，用户密码无复杂度要求；未配置登录失败处理功能，用户非法登录次数未限制。2、访问控制问题：要求：应实现操作系统和数据库系统特权用户的权限分离。差距：操作系统和数据库系统管理用户未实现权限分离。3、安全审计问题：要求：审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。差距：审计范围不全，无法对每个登录用户审计。4、恶意代码防范问题：要求：应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库。差距：杀毒软件未更新至最新版。2.5应用安全现状与差距分析**************单位应用系统安全方面主要存在的问题如下：1.身份鉴别问题：要求：应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施。差距：未见有登录失败处理功能，用户登录失败次数未限制。2.6安全管理现状与差距分析**************单位数据安全存在的问题主要是：1、应急预案管理问题：要求：应对系统相关的人员进行应急预案培训，应急预案的培训应至少每年举办一次。差距：未提供应急演练记录。3系统总体设计3.1总体部署示意图安全管理区桌面淮入网塔版杀毒软件堡食机EB

数推阵审

il安全管理申心3.2总体部署说明安全管理区桌面淮入网塔版杀毒软件堡食机EB

数推阵审

il安全管理申心**************单位重要信息系统安全坚持“安全第一、预防为主，管理和技术并重，综合防范”的总体方针，依照“分级、分域”总体安全防护策略，执行信息系统安全等级保护制度，保证重要信息系统业务信息和网络的机密性、完整性、可用性、可控性，实现信息系统安全可控、能控、在控。1、实现网络系统结构冗余设计，加强边界出口线路冗余性，保证网络的稳定性和可扩展型。建议增加1台核心交换机，通过虚拟化的方式实现双机热备，使得主干链路冗余。I尚佑*安全管理诫堂伽帝人IM陆酸某触0机计I尚佑*安全管理诫堂伽帝人IM陆酸某触0机计2、加强网络访问控制，优化防火墙配置。加强边界隔离措施。在重要接入边界增加两台下一代防火墙（双机热备）进行隔离。在服务器区前端部署两台下一代防火墙（双机热备）进行隔离防护。根据应用访问需求，制定详细的访问控制策略，对现有和新增的防火墙加强访问控制粒度，控制到端口级，同时可以通过防火墙的流量控制及连接数控制功能，限制网络最大流量数及网络连接数;下一代防火墙开启网络防病毒功能实现对恶意代码进行检测和清除，下一代防火墙开启IPS模块检测入侵行为。

安全管理区国接入区汇聚区桌血帝人中心安全管理区国接入区汇聚区桌血帝人中心3、加强身份认证、运维管理能力。通过部署堡垒机实现网络设备、主机设备的多因素身份认证，以及对运维管理人员的权限管理和操作审计。应用系统用户身份鉴别将CA认证体系扩大应用范围，覆盖重要的应用系统，实现应用系统多因素身份认证。玄至管埋L<4、加强主机入侵防御和防病毒能力。终端系统杀毒可以部署网络版主机防病毒系统，对于服务器群可以采用虚拟化杀毒。并部署漏洞扫描系统和补丁服务器，根据漏洞扫描情况，玄至管埋L<给系统进行补丁升级。lELleiTLtlL安全管理区虞而辨人FM中，白lELleiTLtlL安全管理区虞而辨人FM中，白5、边界完整性检查。通过部署桌面准入设备，限制终端用户的设备使用方式，可防止其非法外联。

I安全管理区讪界区担心娜接入区橱络lift理禺软竹RH教抵布楠汁中心I安全管理区讪界区担心娜接入区橱络lift理禺软竹RH教抵布楠汁中心6、安全管理中心的建立。通过该安全管理中心的安全监控、日志审计、风险分析等功能，实现对安全问题进行及时发现、告警、管理、分析、及统计报告等功能。安全管理队.皂而Jfr.人网弁i厢序由■软蚌临切的机〜〜安全管理队.皂而Jfr.人网弁i厢序由■软蚌临切的机〜〜核心该如众换列7、加强数据库审计能力。通过部署数据库审计，实现对数据库系统审计分析，保存审计日志超过半年。防火审□"源丽顿炊）安•令管理K边界区校，□盅血机I-一网掐加求啕敬ft£心机变个代刷1中心3.3总体部署效果防火审□"源丽顿炊）安•令管理K边界区校，□盅血机I-一网掐加求啕敬ft£心机变个代刷1中心**************单位内部信息管理平台预期实现等级保护二级系统要求能够具有抵御大规模、较强恶意攻击的能力，抵抗较为严重的自然灾害的能力，防范计算机病毒和恶意代码危害的能力；具有检测、发现、报警、记录入侵行为的能力；具有对安全事件进行响应处置，并能够追踪安全责任的能力；在系统遭到损害后，具有能够较快恢复正常运行状态的能力；对于服务保障性要求高的系统，应能快速恢复正常运行状态；具有对系统资源、用户、安全机制等进行集中控管的能力。3.4一期整改内容-高危问题编号测评对象测评项测评记录安全问题1监控中心机房机房应设置灭火设备和火灾自动报警系统经检查，机房配备有温感探头，但火灾监控报警主机未启用，机房有采用管网式气体灭火系统。机房火灾自动监控报警灭火系统未开启。2系统运维管理应对系统相关的人员进行应急预案培训，应急预案的培训应至少每年举办一次；经访谈系统运维负责人，单位内部职业资格中心有配合软件提供商武汉佳软信息技术有限公司每半年进行一次应急演练，未提供应急演练记录。未提供应急演练记录。3核心交换机、网神防火墙应对网络设备的管理员登录地址进行限制；经检查，核心交换机未限制管理员登录地址。未限制远程管理的客户端地址范围。4核心交换机、网神防火墙身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；经检查，核心交换机当前管理账户的口令长度超过8位，包含字母、数字、特殊字符，口令未定期更换。未定期更换口令。5核心交换机应具有登录失败处理功能，可采取结束会话、限制非法登录次数经检查，核心交换机未配置失败登录次数和网络连接超时。未配置登录失败限制策略。:配置操作超时时间。

问题编号测评对象测评项测评记录安全问题和当网络登录连接超时自动退出等措施；6核心交换机、网神防火墙当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；经检查，核心交换机远程管理协议为TELNETo远程管理时未关闭不安全的TELNET服务。7内部信息管理系统数据库服务器、内部信息管理系统应用服务器操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换经检查，查看该服务器操作系统“本地安全策略”->“口令策略”，口令复杂度策略已启用、口令最短长度未限制，口令使用有效期为42天。未限制密码最短长度和使用期限，用户密码无复杂度要求。8内部信息管理系统数据库服务器、内部信息管理系统应用服务器应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；经检查，查看该服务器操作系统“本地安全策略”->“帐户策略”->“帐户锁定策略”，未开启登录失败处理功能，用户非法登录次数未限制。未配置登录失败处理功能，户非法登录次数未限制。9内部信息管理系统数据库服务器应实现操作系统和数据库系统特权用户的权限分离；经检查，该服务器操作系统未见有独立的数据库管理员用户。操作系统和数据库系统管理用户未实现权限分离。10内部信息管理系、审计范围应覆盖到服务器和重要经检查，查看“本地安全策略”审计范围不全，无法对每个:

问题编号测评对象测评项测评记录安全问题内部信息管理系统应用服务器统数据库服务器客户端上的每个操作系统用户和数据库用户；->“本地策略”-“审核策略”，全部设置为“无审核”，审计范围未覆盖到每个用户。录用户审计。11内部信息管理系统数据库服务器应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；经检查，该服务器操作系统已安装360安全卫士版本号为002，病毒库更新日期是2019年3月26日，主程序和病毒库版本非最新版。杀毒软件未更新至最新版。12内部信息管理系统数据库操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换经检查，执行语句：selectlower(limit),lower(resource_name)fromdba_profiles;查看PASSWORD_VERIFY_FUNCTION字段的值显示为空，口令复杂度功能未开启，password_life_time的值未设置，口令使用有效期未设置，口令最短长度未限制。用户密码无复杂度要求，未1制用户密码使用期限。13内部信息管理系统数据库应实现操作系统和数据库系统特权用户的权限分离；经检查，该服务器操作系统未见有独立的数据库管理员用户。操作系统和数据库系统管理用户未实现权限分离。

问题编号测评对象测评项测评记录安全问题14业务终端、管理终端操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换经检查，查看该终端操作系统“本地安全策略”->“密码策略”，口令复杂度策略未启用、口令最短长度未限制，口令使用有效期未限制。未限制密码最短长度和使用期限，用户密码无复杂度要求。15业务终端、管理终端应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；经检查，查看该终端操作系统“本地安全策略”->“帐户策略”->“帐户锁定策略”，未开启登录失败处理功能，用户非法登录次数未限制。未配置登录失败处理功能，户非法登录次数未限制。16业务终端、管理终端审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；经检查，查看“本地安全策略”->“本地策略”->“审核策略”，全部设置为“无审核”，审计范围未覆盖到每个用户。审计范围不全，无法对每个:录用户审计。17内部信息管理平台应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；经检查，该应用系统未见有登录失败处理功能，未限制用户登录次数。未见有登录失败处理功能，户登录失败次数未限制。

3.5二期整改内容-非高危问题编号测评对象测评项测评记录安全问题1监控中心机房机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；经检查，机房部署在单位内部京珠高速管理处办公楼2楼。大楼具备防风防雨能力，未提供大楼抗震设计验收文档。未提供大楼抗震设计验收文档。2监控中心机房机房建筑应设置避雷装置经检查，机房所在建筑有设置避雷设施，未提供机房建筑防雷检测报告文档。未提供机房建筑防雷检测报告文档。3安全管理制度应定期对安全管理制度进行评审，对存在不足或需要改进的安全管理制度进行修订。制度刚刚建立，暂未修订未提供管理制度评审修订记录。4安全管理机构应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通；经访谈安全主管，单位内部职业资格中心综合科有不定期在中心内部召开相关信息安全知识学习和相关主管部门安全通知宣贯，未提供相关会议记录。未提供单位内部信息安全沟通会议记录。5安全管理机构安全管理员应负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况；经访谈安全主管，单位内部职业资格中心有《世行办网站安全管理规定》，其中第三部分有对网站日常运维检查工作未提供安全检查记录。

问题编号测评对象测评项测评记录安全问题进行规定。系统安全管理员有不定期对系统进行安全检查，未提供检查记录。6人员安全管理应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训；经访谈安全主管，单位内部职业资格中心有对中心员工进行安全意识教育培训，未提供相关培训记录。未提供单位信息安全知识培训记录。7人员安全管理应确保在外部人员访问受控区域前得到授权或审批，批准后由专人全程陪同或监督，并登记备案。经访谈安全主管，外部人员访问受控区域前，需先向单位内部职业资格中心综合科管理人员申请，审批通过后有专人陪同对中心进行访问。未提供外来人员访问申请审批记录。未提供外来人员访问申请审批记录。8系统建设管理应根据系统的安全保护等级选择基本安全措施，并依据风险分析的结果补充和调整安全措施；经访谈系统建设负责人，未提供系统安全设计方案。未提供系统安全设计方案。9系统建设管理应以书面形式描述对系统的安全保护要求、策略和措施等内容，形成系统的安全方案；经访谈系统建设负责人，未提供系统安全设计方案。未提供系统安全设计方案。10系统建设管理应对安全方案进行细化，形成能指导安全系统建设、安全产品采购和使用的详细设计方案；经访谈系统建设负责人，未提供系统安全设计方案。未提供系统安全设计方案。11系统建设管理应组织相关部门和有关安全技术经访谈系统建设负责人，未提未提供系统安全设计方案。

问题编号测评对象测评项测评记录安全问题专家对安全设计方案的合理性和正确性进行论证和审定，并且经过批准后，才能正式实施；供系统安全设计方案。12系统建设管理应确保提供软件设计的相关文档和使用指南；经访谈和检查，系统开发商武汉佳软信息技术有限公司未提供软件设计相关文档。未提供软件设计相关文档。13系统建设管理应要求开发单位提供软件源代码，并审查软件中可能存在的后门。经访谈系统建设负责人，系统开发商武汉佳软信息技术有限公司未提供软件源代码，未审查软件中可能存在的后门。未提供软件源代码，未审查，件中可能存在的后门。14系统建设管理应制定详细的工程实施方案，控制工程实施过程；经访谈和检查，系统开发商武汉佳软信息技术有限公司未提供工程实施方案。未提供工程实施方案。15系统建设管理在测试验收刖应根据设计方案或合同要求等制订测试验收方案，在测试验收过程中应详细记录测试验收结果，并形成测试验收报告；经访谈和检查，系统开发商武汉佳软信息技术有限公司未提供系统测试验收方案。未提供系统测试验收方案。16系统建设管理应组织相关部门和相关人员对系统测试验收报告进行审定，并签字确认。经访谈和检查，系统开发商武汉佳软信息技术有限公司未提供测试验收报告。未提供测试验收报告。17系统建设管理应制定详细的系统交付清单，并根据交付清单对所交接的设备、经访谈系统建设负责人，系统开发商武汉佳软信息技术有未提供系统交付清单。

问题编号测评对象测评项测评记录安全问题软件和文档等进行清点；限公司未提供系统交付清单。18系统建设管理应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档；经访谈系统建设负责人，系统开发商武汉佳软信息技术有限公司未提供系统使用运维文档。未提供系统使用运维文档。19系统运维管理应确保介质存放在安全的环境中，对各类介质进行控制和保护，并实行存储环境专人管理；经访谈资产管理员，单位内部职业资格中心未提供介质管理制度。未提供介质管理制度。20系统运维管理应对介质归档和查询等过程进行记录，并根据存档介质的目录清单定期盘点；经访谈资产管理员，单位内部职业资格中心未提供介质管理制度。未提供介质管理制度。21系统运维管理应对需要送出维修或销毁的介质，首先清除其中的敏感数据，防止信息的非法泄漏；经访谈资产管理员，单位内部职业资格中心未提供介质管理制度。未提供介质管理制度。22系统运维管理应根据所承载数据和软件的重要程度对介质进行分类和标识管理。经访谈资产管理员，单位内部职业资格中心未提供介质管理制度。未提供介质管理制度。

问题编号测评对象测评项测评记录安全问题23系统运维管理应建立系统安全管理制度，对系统安全策略、安全配置、日志管理和日常操作流程等方面作出具体规定；经访谈和检查，系统运维公司未提供系统安全管理制度。未提供系统安全管理制度。24系统运维管理应依据操作手册对系统进行维护，详细记录操作日志，包括重要的日常操作、运行维护记录、参数的设置和修改等内容，严禁进行未经授权的操作；经访谈系统管理员，运维公司武汉佳软信息技术有限公司有《服务器安全管理规范》中对系统维护有相关规定，但未对关键操作进行细化规定。未对系统关键操作进行细化规定。25系统运维管理应定期对运行日志和审计数据进行分析，以便及时发现异常行为。经访谈系统管理员，系统本身有日志审计功能，未纳入日志审计平台进行日志分析管理。未对系统日志进行分析。26系统运维管理应对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确规定；经访谈和检查，系统运维单位未提供恶意代码防范管理制度，仅按工作要求规定系统防未提供恶意代码防范管理制度。

问题编号测评对象测评项测评记录安全问题恶意代码特征库由运维人员每月手动升级一次。27系统运维管理应规定备份信息的备份方式、备份频度、存储介质、保存期等；经访谈和检查，单位内部职业资格中心未提供备份管理制度对信息备份方式、备份平度、存储介质等进行规定。未提供备份管理制度。28系统运维管理应制定安全事件报告和处置管理制度，明确安全事件的类型，规定安全事件的现场处理、事件报告和后期恢复的管理职责；经访谈和检查，系统网络安全由单位内部职业资格中心网络事业科负责，主机应用伸汉佳软信息技术有限公司负责。主机应用出现安全事件，由运维公司出具事件报告说明，告知单位内部职业资格中心同意后对问题进行修复，并对事件进行完整记录。未提供相关管理制度。未提供安全事件处置管理制度。29网络全局应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查经检查，网络中未对内部终端私自连接外部网络的行为进行检测和阻断。网络中未对内部终端私自连接外部网络的行为进行检测和阻断。30内部信息管理平台应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功经检查，该应用系统已启用身份鉴别、用户身份标识唯一性检查功能，但未限制用户口令未见有登录失败处理功能，：根据安全策略配置相关参数

问题编号测评对象测评项测评记录安全问题能，并根据安全策略配置相关参数。复杂的，未限制用户登录次数。31内部信息管理平台应保证无法单独中断审计进程，无法删除、修改或覆盖审计记录；经检查，该应用系统具有日志模块，该模块具有审计功能，审计进程不能中断，管理员用户操作界面可以清除日志。审计记录未受到保护，管理一可以删除审计记录。32内部信息管理平台在故障发生时，应用系统应能够继续提供一部分功能，确保能够实施必要的措施经检查，该应用系统仅部署在1台服务器中，当服务器故障发生时，不能继续提供服务。应用系统未见有应用级负载均衡设置，不具有高可用性33内部信息管理平台应能够对单个帐户的多重并发会话进行限制经检查，该应用系统单个用户可以在多台终端同时登录。未限制单个帐户的多重并发会话数。34主机数据应能够对重要信息进行备份和恢复经检查，应用服务器中重要程序文件和配置文件会在程序升级时进行全备，未定期进行恢复测试。未定期进行恢复测试。35主机数据应提供关键网络设备、通信线路和数据处理系统的硬件冗余，保证系统的可用性。经检查，数据库系统仅部署在1台服务器中，未采用双机热备方式部署，存在单点故障。数据库系统仅部署在1台服:器中。36应用数据应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏经检查，应用系统通过http协议通信，不能保证通信的数据完整性。未采用https协议通信。

问题编号测评对象测评项测评记录安全问题37应用数据应能够对重要信息进行备份和恢复经检查，数据库数据每天凌晨5点自动备份，数据库数据备份方式为完全备份，每年将备份数据拷贝至光盘中，未定期进行恢复测试。未定期进行恢复测试。38网络数据应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏经检查，核心交换机远程管理协议为TELNET、边界网神防火墙远程管理协议中有TELNET，HTTP，无法满足传输过程中的鉴别信息完整性要求。网神防火墙采用TELNET、HT进行远程管理，核心交换机i用TELNET进行远程管理，］法满足存储过程中的鉴别信息完整性要求。39网络数据应提供关键网络设备、通信线路和数据处理系统的硬件冗余，保证系统的可用性。经检查，核心交换机未采用了两台作为硬件冗余模式部署。核心交换机未采用冗余模式部署。4硬件/软件整改建议**************单位等级测评硬件软件整改建议序号类型等级测评指标规格数量备注1安全管理中心审计管理本项要求包括：a）应对审计管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全审计操作，并对这些操作进行审计；b）应通过审计管理员对审计记录进行分析，并根据分析结果进行处理，包括根据安全审计策略对审计记录进行存储、管理和查询等。支持权限分离，支持特权用户监控与审计；支持Syslog日志分析；支持事件日志监控；支持日志归档；支持事件日志报表；日志保存时间不少于180天，支持安全管理和访问地址限制等功能12下一代防火墙*网络架构本项要求包括：b）应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。访问控制本项要求包括：c）应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包进出；应支持IPS漏洞防护：基于漏洞以及攻击行为的特征库，防御包括蠕虫、木马、后门、应用层DOS/DDOS、扫描、间谍软件、漏洞攻击、缓冲区溢出、协议异常、IPS逃逸攻击等；应支持服务器防护：SQL注入、XSS、CSRF、网站路径保护、暴力破解防护、WEB服务隐藏、FTP隐藏、FTP、telnet弱口令防护、文件上传过滤、URL黑名单等多种服务器防护功能；应支持病毒防护：可以针对HTTP、FTP、SM