AA公司ChinaInformationSecurityIndustryPark報告摘要 -2- XXXXXXXXXX管理系統(tǒng)等級保護改造項目差距評估報告新垣結衣科技有限公司20XX年X月X日深信服科技有限公司 -PAGEIII-AA公司名稱目錄TOC\o"1-4"\h\z\u1 系統(tǒng)基本情況說明 41.1 系統(tǒng)定級說明 41.2 業(yè)務系統(tǒng)說明 41.3 網絡結構說明 41.4 系統(tǒng)現(xiàn)狀 51.4.1 業(yè)務應用軟件 51.4.2 關鍵數(shù)據(jù)類別 61.4.3 主機/存儲設備 61.4.4 網絡互聯(lián)與安全設備 71.4.5 安全相關人員 71.4.6 安全管理文檔 82 物理安全 82.1 結果記錄 82.2 問題分析 102.2.1 物理訪問控制 102.2.2 防盜竊和防破壞 102.2.3 電力供應 102.2.4 電磁防護 113 網絡安全 113.1 結果記錄 113.1.1 交換機_H3CS5100 113.1.2 交換機_H3CS3100 133.1.3 防火墻_NetEyeFW4120 153.1.4 入侵檢測系統(tǒng)_NetEyeIDS2100 173.1.5 負載均衡_AD6050 193.2 問題分析 223.2.1 結構安全 223.2.2 訪問控制 223.2.3 安全審計 233.2.4 邊界完整性檢查 233.2.5 惡意代碼防范 233.2.6 網絡設備防護 244 主機安全 244.1 結果記錄 244.1.1 服務器_數(shù)據(jù)庫_1（DELLPowerEdge） 244.1.2 服務器_數(shù)據(jù)庫_2（DELLPowerEdge） 264.1.3 服務器_簽名服務器_1（HPPROLIANT） 294.1.4 服務器_簽名服務器_2（HPPROLIANT） 314.1.5 服務器_WEB應用服務器_1（HPPROLIANT） 334.1.6 服務器_WEB應用服務器_2（HPPROLIANT） 354.1.7 服務器_WEB應用服務器_3（HPPROLIANT） 374.1.8 服務器_WEB應用服務器_4（HPPROLIANT） 394.1.9 服務器_WEB應用服務器_5（HPPROLIANT） 414.1.10 服務器_WEB應用服務器_6（HPPROLIANT） 434.1.11 服務器_應用服務器（銀行）_1（HPPROLIANT） 454.1.12 服務器_應用服務器（銀行）_2（HPPROLIANT） 474.2 問題分析 494.2.1 身份鑒別 494.2.2 訪問控制 494.2.3 安全審計 504.2.4 惡意代碼防范 504.2.5 資源控制 515 應用安全 515.1 結果記錄 515.2 問題分析 535.2.1 訪問控制 535.2.2 剩余信息保護 545.2.3 資源控制 546 數(shù)據(jù)安全及備份恢復 556.1 結果記錄 556.2 問題分析 556.2.1 數(shù)據(jù)保密性 556.2.2 備份與恢復 567 安全管理制度 567.1 結果記錄 567.2 問題分析 578 安全管理機構 578.1 結果記錄 578.2 問題分析 589 人員安全管理 599.1 結果記錄 599.2 問題分析 6010 系統(tǒng)建設管理 6010.1 結果記錄 6010.2 問題分析 6311 系統(tǒng)運維管理 6311.1 結果記錄 6311.2 問題分析 6812 評估結果 6912.1 評估結果 6912.2 統(tǒng)計圖表 72深信服科技有限公司 第27頁共72頁系統(tǒng)基本情況說明系統(tǒng)定級說明福建省XXXXXX綜合考慮了XXXXXX管理系統(tǒng)的業(yè)務信息和系統(tǒng)服務類型，以及其受到破壞時可能受到侵害的客體以及受侵害的程度，經福建省公安廳的批準，已將這2個系統(tǒng)等級為等級保護第三級。業(yè)務系統(tǒng)說明XXXXXX管理系統(tǒng)：2012年XXXXXX管理系統(tǒng)（網絡版）歷經系統(tǒng)開發(fā)、模擬測試、網絡、硬件設備安裝部署，于2012年12月份正式啟動試運行工作，在試點和實施過程當中發(fā)現(xiàn)系統(tǒng)仍有不足之處，需要對系統(tǒng)進行深入完善和改進，主要考慮到由于XXXXXX管理系統(tǒng)（網絡版）作為全省集中部署的網絡化財政重要業(yè)務系統(tǒng)，其具有應用面廣、用戶規(guī)模大，并涉及到財政性資金的重要數(shù)據(jù)信息，以及基于公眾網上部署的特性，因此系統(tǒng)自身和運行環(huán)境均存在一定的安全風險，在數(shù)據(jù)傳輸、安全加密、網絡監(jiān)控、防入侵等方面的必須要建立一套更有效更完善的安全保護體系和措施。網絡結構說明系統(tǒng)現(xiàn)狀業(yè)務應用軟件序號軟件名稱主要功能重要程度1XXXXXX管理系統(tǒng)XXXXXX管理系統(tǒng)應用平臺非常重要2Oracle11gXXXXXX管理系統(tǒng)數(shù)據(jù)庫管理系統(tǒng)非常重要3RedHatEnterpriseLinux6.0XXXXXX管理系統(tǒng)應用平臺非常重要4OracleLinux6.0XXXXXX管理系統(tǒng)數(shù)據(jù)庫管理系統(tǒng)非常重要關鍵數(shù)據(jù)類別序號數(shù)據(jù)類型所屬業(yè)務應用主機/存儲設備重要程度1數(shù)據(jù)庫表、配置文件、系統(tǒng)日志文件Oracle11g數(shù)據(jù)庫數(shù)據(jù)庫服務器非常重要2數(shù)據(jù)庫表、配置文件、系統(tǒng)日志文件Oracle11g數(shù)據(jù)庫數(shù)據(jù)庫服務器（2臺）非常重要3配置文件、應用程序、系統(tǒng)日志文件XXXXXX管理系統(tǒng)Web與應用服務器非常重要4配置文件、應用程序、系統(tǒng)日志文件XXXXXX管理系統(tǒng)Web與應用服務器（6臺）非常重要5配置文件、日志文件XXXXXX管理系統(tǒng)Web與應用服務器（6臺）非常重要6配置文件、系統(tǒng)日志文件XXXXXX管理系統(tǒng)Web與應用服務器（6臺）非常重要7配置文件、系統(tǒng)日志文件XXXXXX管理系統(tǒng)Web與應用服務器（6臺）非常重要8配置文件、系統(tǒng)日志文件XXXXXX管理系統(tǒng)Web與應用服務器（6臺）非常重要主機/存儲設備級別IP地址服務器廠商/型號/數(shù)量服務器用途操作系統(tǒng)數(shù)據(jù)庫備注數(shù)據(jù)庫服務器ETH0:xx.xx.xx.xxETH1：xx.xx.xx.xxVIPIP：xx.xx.xx.xxSCANIP:xx.xx.xx.xDELLPowerEdge11GR810（2U）數(shù)據(jù)庫Oraclelinux6.0Oracle11GSCANIP:xx.xx.xx.xVipip:xx.xx.xx.xEhto內網xx.xx.xx.xEth1心跳xx.xx.xx.xDELLPowerEdge11GR810（2U）數(shù)據(jù)庫Oraclelinux6.0Oracle11G銀行借口服務器刀片服務器Eth0xx.xx.xx.xxEth1xx.xx.xx.xxHPPROLIANT比例60cg7銀行接口服務器（未使用）Linuxredhat6.2刀片服務器Eth0xx.xx.xx.xxEht1xx.xx.xx.xxHPPROLIANT比例60cg7銀行接口服務器Linuxredhat6.2簽名服務器刀片服務器Eth0xx.xx.xx.xxEht1xx.xx.xx.xxHPPROLIANT比例60cg7簽名服務器Linuxredhat6.2刀片服務器Eth0xx.xx.xx.xEht1xx.xx.xx.xHPPROLIANT比例60cg7簽名服務器Linuxredhat6.2Web和應用服務器刀片服務器Eth0xx.xx.xx.xEth1xx.xx.xx.xHPPROLIANT比例60cg7Web服務器Linuxredhat6.2刀片服務器Eth0xx.xx.xx.xEth1xx.xx.xx.xHPPROLIANT比例60cg7Web服務器Linuxredhat6.2刀片服務器Eth0xx.xx.xx.xxEth1xx.xx.xx.xxHPPROLIANT比例60cg7Web服務器Linuxredhat6.2刀片服務器Eth0xx.xx.xx.xxEth1xx.xx.xx.xxHPPROLIANT比例60cg7Web服務器Linuxredhat6.2刀片服務器Eth0xx.xx.xx.xxEth1xx.xx.xx.xxHPPROLIANT比例60cg7Web服務器Linuxredhat6.2刀片服務器Eth0xx.xx.xx.xxEth1xx.xx.xx.xxHPPROLIANT比例60cg7Web服務器Linuxredhat6.2網絡互聯(lián)與安全設備序號設備名稱用途重要程度1防火墻東軟/FW4120非常重要2入侵檢測系統(tǒng)東軟/neteyeIDS2100一般重要3負載均衡新垣結衣/AD6050非常重要4交換機H3C/S5100非常重要5交換機H3C/S3100非常重要安全相關人員序號姓名崗位/角色聯(lián)系方式1信息安全領導小組組長2信息安全領導小組副組長3信息安全領導小組組員4信息安全領導小組組員5信息安全領導小組組員6信息安全領導小組組員7信息安全領導小組組員8信息安全領導小組組員9信息安全領導小組組員10安全管理文檔序號文檔名稱主要內容1福建省XXXXXX機房管理制度機房管理2其他上級單位下發(fā)的管理制度34567891011物理安全結果記錄類別評估內容結果記錄符合情況物理位置的選擇機房和辦公場地應選擇在具有防震、防風和防雨等能力的建筑內建筑具有防震、防風和防雨等能力符合機房場地應避免設在建筑物的高層或地下室，以及用水設備的下層或隔壁機房在3樓，在機房的上層、下層、隔壁都沒有用水設備符合物理訪問控制機房出入口應安排專人值守，控制、鑒別和記錄進入的人員機房出入口有專人在工作時間進行值守，通過指紋識別門禁系統(tǒng)鑒別和記錄出入人員符合需進入機房的來訪人員應經過申請和審批流程，并限制和監(jiān)控其活動范圍來訪人員需要進入機房，暫無申請和審批流程，也沒有對其活動范圍進行限制和監(jiān)控不符合應對機房劃分區(qū)域進行管理，區(qū)域和區(qū)域之間設置物理隔離裝置，在重要區(qū)域前設置交付或安裝等過渡區(qū)域機房分成三個區(qū)域：控制室、休息室、主機房，控制室和主機房之間有指紋識別的門禁系統(tǒng)隔離，和休息室有門鎖隔離。重要程度主機房高于控制室，高于休息室。符合重要區(qū)域應配置電子門禁系統(tǒng)，控制、鑒別和記錄進入的人員機房入口、主機房入口已經配置了電子門禁系統(tǒng)以達到控制、鑒別和記錄進入的人員的目的符合防盜竊與防破壞應將主要設備放置在機房內主要設備均已放置在機房內符合應將設備或主要部件進行固定，并設置明顯的不易除去的標記設備或主要部件均已進行固定，但沒有設置明顯的標記部分符合應將通信線纜鋪設在隱蔽處，可鋪設在地下或管道中通信線纜均已鋪設在地下或管道等隱蔽處符合應對介質分類標識，存儲在介質庫或檔案室中暫時沒有存儲的介質庫和檔案室不適用應利用光、電等技術設置機房防盜報警系統(tǒng)在控制室和主機房都有攝像監(jiān)控，運行正常，非上班時間有人進入機房，可以報警。符合應對機房設置監(jiān)控報警系統(tǒng)已在機房內部署了一套監(jiān)控報警系統(tǒng)符合防雷擊機房建筑應設置避雷裝置機房建筑已經設置避雷裝置（三級防雷）符合應設置防雷保安器，防止感應雷已設置防雷保安器符合機房應設置交流電源地線機房已經設置交流電源地線符合防火機房應設置火災自動消防系統(tǒng)，能夠自動檢測火情、自動報警，并自動滅火機房已經部署氣體滅火設備，若發(fā)生火災會自動報警符合機房及相關的工作房間和輔助房應采用具有耐火等級的建筑材料機房及相關的工作房間和輔助房均采用了具有耐火等級的建筑材料符合機房應采取區(qū)域隔離防火措施，將重要設備與其他設備隔離開機房沒有將重要的設備和其他設備隔離開，不存在防火設施不適用防水和防潮水管安裝，不得穿過機房屋頂和活動地板下機房內沒有穿過屋頂和活動地板下的水管符合應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透機房無窗戶、不在頂樓，可防止墻壁滲透符合應采取措施防止機房內水蒸氣結露和地下積水的轉移與滲透已經采取措施防止機房水蒸氣結露和地下積水的轉移和滲透符合應安裝對水敏感的檢測儀表或元件，對機房進行防水檢測和報警有部署了漏水檢測，可以對機房進行防水報警符合防靜電主要設備應采用必要的接地防靜電措施機柜接地，主要設備通過機柜接地防靜電措施符合機房應采用防靜電地板機房內已經鋪設了防靜電地板符合溫濕度控制機房應設置溫、濕度自動調節(jié)設施，使機房溫、濕度的變化在設備運行所允許的范圍之內機房通過安裝精密空調進行溫濕度調節(jié)，機房溫濕度的變化均已控制在設備運行所允許的范圍之內符合電力供應應在機房供電線路上配置穩(wěn)壓器和過電壓防護設備機房供電線路上已經配置了穩(wěn)壓器和過電壓防護設備符合應提供短期的備用電力供應，至少滿足主要設備在斷電情況下的正常運行要求機房已經部署了UPS為其提供短期的備用電力供應，UPS可滿負荷1小時，可以滿足關鍵設備在斷電情況下的正常運行要求符合應設置冗余或并行的電力電纜線路為計算機系統(tǒng)供電機房有冗余的電力線路符合應建立備用供電系統(tǒng)機房設有備用供電系統(tǒng)，有后備柴油發(fā)電機系統(tǒng)符合電磁防護應采用接地方式防止外界電磁干擾和設備寄生耦合干擾機房已經采用接地方式防止外界電磁干擾和設備寄生耦合干擾符合電源線和通信線纜應隔離鋪設，避免互相干擾電源線和通信線纜已經隔離鋪設，避免了互相干擾符合應對關鍵設備和磁介質實施電磁屏蔽機房內不包含需要實施電磁屏蔽的設施不適用問題分析物理訪問控制（1）差距小結機房來訪人員需要進入機房，暫無申請和審批流程，進入機房后也沒有對其活動范圍進行限制和監(jiān)控。（2）后果分析來訪人員進入機房缺乏申請和審批流程，存在管理薄弱環(huán)節(jié)，缺乏管理規(guī)范性，可能導致非法接入、設備遭破壞、設備被盜、信息外泄等不良后果。防盜竊和防破壞（1）差距小結設備或主要部件均已進行固定，沒有明顯的標記。（2）后果分析沒有明顯的標記，如果資產被盜無法及時發(fā)現(xiàn)，也不方便管理。電磁防護（1）差距小結機房尚未對關鍵設備和磁介質實施電磁屏蔽。（2）后果分析電磁屏蔽是電磁防護的重點。如機房尚未對關鍵設備和磁介質進行電磁屏蔽，則可能出現(xiàn)電磁干擾情況，嚴重影響設備使用，而電磁泄漏也可能會帶來信息外泄等安全事件的發(fā)生。網絡安全結果記錄交換機_H3CS5100類別評估內容結果記錄符合情況結構安全應保證主要網絡設備的業(yè)務處理能力具備冗余空間，滿足業(yè)務高峰期需要無法查看日常網絡設備的負載情況，也缺乏對網絡設備性能的監(jiān)控不符合應保證網絡各個部分的帶寬滿足業(yè)務高峰期需要互聯(lián)網出口帶寬100M，各銀行出口帶寬2M，XXXXXX的其他業(yè)務系統(tǒng)共用互聯(lián)網出口，平時業(yè)務應用占用帶寬無法確定。暫時無法預測網絡高峰帶寬，我們會根據(jù)業(yè)務情況增加帶寬。不適用應在業(yè)務終端與業(yè)務服務器之間進行路由控制建立安全的訪問路徑在防火墻上配置了路由控制策略，使用靜態(tài)路由，建立了安全的訪問路徑符合應繪制與當前運行情況相符的網絡拓撲結構圖已經繪制了與當前運行情況相符的網絡拓撲結構圖符合應根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網或網段，并按照方便管理和控制的原則為各子網、網段分配地址段業(yè)務系統(tǒng)的前端服務器使用172網段，業(yè)務系統(tǒng)的核心數(shù)據(jù)庫服務器使用192網段符合應避免將重要網段部署在網絡邊界處且直接連接外部信息系統(tǒng)，重要網段與其他網段之間采取可靠的技術隔離手段業(yè)務系統(tǒng)的前端服務器使用172網段，部署于拓撲圖的外端；業(yè)務系統(tǒng)的核心數(shù)據(jù)庫服務器使用192網段，部署于網絡拓撲圖的里端；兩者之間通過VLAN隔離符合應按照對業(yè)務服務的重要次序來指定帶寬分配優(yōu)先級別，保證在網絡發(fā)生擁堵的時候優(yōu)先保護重要主機沒有配置不符合訪問控制應在網絡邊界部署訪問控制設備，啟用訪問控制功能在網絡邊界部署了防火墻，啟用了訪問控制功能符合應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級通過防火墻制定訪問安全策略，細化至端口符合應對進出網絡的信息內容進行過濾，實現(xiàn)對應用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制沒有對網絡信息內容進行過濾，無法對應用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令進行控制。（通過部署IPS實現(xiàn)）不符合應在會話處于非活躍一定時間或會話結束后終止網絡連接沒有在交換機、防火墻上配置自動終止功能。（通過安全加固實現(xiàn)）不符合應限制網絡最大流量數(shù)及網絡連接數(shù)沒有在網絡設備上進行最大流量數(shù)和網絡連接數(shù)限制（通過安全加固實現(xiàn)）不符合重要網段應采取技術手段防止地址欺騙重要網段，如內網服務器區(qū)尚未采取IP地址與MAC地址綁定等措施防止地址欺騙（通過安全加固實現(xiàn)）內部只有服務器，沒有終端不符合應按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶路由器上只做了用戶名和口令的控制，ftp服務器上做了目錄訪問讀寫權限的控制符合沒有撥號用戶沒有撥號用戶不適用安全審計應對網絡系統(tǒng)中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄沒有監(jiān)控和審計設備（部署安全審計設備）不符合審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息沒有監(jiān)控和審計設備（部署安全審計設備）不符合應能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表沒有監(jiān)控和審計設備（部署安全審計設備）不符合應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等沒有監(jiān)控和審計設備（部署安全審計設備）不符合邊界完整性檢查應能夠對非授權設備私自聯(lián)到內部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷沒有限制。通過物理安全保障此情況不會發(fā)生。不適用應能夠對內部網絡用戶私自聯(lián)到外部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷沒有相關措施。通過物理安全保障此情況不會發(fā)生。不適用入侵防范應在網絡邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等在連接Internet的網絡邊界處部署了IDS，能夠監(jiān)視攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等符合當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入侵事件時應提供報警現(xiàn)有的IDS能檢測到攻擊行為時，能記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，且提供報警符合惡意代碼防范應在網絡邊界處對惡意代碼進行檢測和清除尚未在網絡區(qū)域邊界處部署專門的惡意代碼防范設備對惡意代碼進行檢測和清除（部署設備實現(xiàn)）不符合應維護惡意代碼庫的升級和檢測系統(tǒng)的更新尚未在網絡區(qū)域邊界處部署專門的惡意代碼防范設備對惡意代碼進行檢測和清除（部署設備實現(xiàn)）不符合網絡設備防護應對登錄網絡設備的用戶進行身份鑒別交換機_H3CS5100采用帳戶+密碼方式對用戶進行身份鑒別符合應對網絡設備的管理員登錄地址進行限制交換機_H3CS5100只有通過機房監(jiān)控室的控制機才能登錄網絡設備和服務器符合網絡設備用戶的標識應唯一交換機_H3CS5100設備用戶的標識是唯一的符合主要網絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別交換機_H3CS5100設備沒有采用兩種技術手段來進行身份鑒別（部署堡壘主機解決）不符合身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換交換機_H3CS5100沒有配置復雜口令策略（部署堡壘主機解決）不符合應具有登錄失敗處理功能，可采取結束會話、限制非法登錄次數(shù)和當網絡登錄連接超時自動退出等措施交換機_H3CS5100沒有配置該策略（部署堡壘主機解決）不符合當對網絡設備進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽沒有使用遠程管理，只能在機房內使用console線進行管理；不適用應實現(xiàn)設備特權用戶的權限分離交換機_H3CS5100尚未實現(xiàn)設備特權用戶的權限分離（部署堡壘主機解決）不符合交換機_H3CS3100類別評估內容結果記錄符合情況結構安全應保證主要網絡設備的業(yè)務處理能力具備冗余空間，滿足業(yè)務高峰期需要無法查看日常網絡設備的負載情況，也缺乏對網絡設備性能的監(jiān)控不符合應保證網絡各個部分的帶寬滿足業(yè)務高峰期需要互聯(lián)網出口帶寬100M，銀行出口帶寬2M，XXXXXX的其他業(yè)務系統(tǒng)共用互聯(lián)網出口，平時業(yè)務應用占用帶寬無法確定不符合應在業(yè)務終端與業(yè)務服務器之間進行路由控制建立安全的訪問路徑在防火墻上配置了路由控制策略，使用靜態(tài)路由，建立了安全的訪問路徑符合應繪制與當前運行情況相符的網絡拓撲結構圖已經繪制了與當前運行情況相符的網絡拓撲結構圖符合應根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網或網段，并按照方便管理和控制的原則為各子網、網段分配地址段業(yè)務系統(tǒng)的前端服務器使用172網段，業(yè)務系統(tǒng)的核心數(shù)據(jù)庫服務器使用192網段符合應避免將重要網段部署在網絡邊界處且直接連接外部信息系統(tǒng)，重要網段與其他網段之間采取可靠的技術隔離手段業(yè)務系統(tǒng)的前端服務器使用172網段，部署于拓撲圖的外端；業(yè)務系統(tǒng)的核心數(shù)據(jù)庫服務器使用192網段，部署于網絡拓撲圖的里端；兩者之間通過VLAN隔離符合應按照對業(yè)務服務的重要次序來指定帶寬分配優(yōu)先級別，保證在網絡發(fā)生擁堵的時候優(yōu)先保護重要主機沒有配置不符合訪問控制應在網絡邊界部署訪問控制設備，啟用訪問控制功能在網絡邊界部署了防火墻，啟用了訪問控制功能符合應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級通過防火墻制定訪問安全策略，細化至端口符合應對進出網絡的信息內容進行過濾，實現(xiàn)對應用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制沒有對網絡信息內容進行過濾不符合應在會話處于非活躍一定時間或會話結束后終止網絡連接沒有在交換機、防火墻上配置自動終止功能不符合應限制網絡最大流量數(shù)及網絡連接數(shù)沒有在網絡設備上進行最大流量數(shù)和網絡連接數(shù)限制不符合重要網段應采取技術手段防止地址欺騙重要網段，如內網服務器區(qū)尚未采取IP地址與MAC地址綁定等措施防止地址欺騙不符合應按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶路由器上只做了用戶名和口令的控制，ftp服務器上做了目錄訪問讀寫權限的控制符合沒有撥號用戶沒有撥號用戶不適用安全審計應對網絡系統(tǒng)中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄沒有監(jiān)控和審計設備不符合審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息沒有監(jiān)控和審計設備不符合應能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表沒有監(jiān)控和審計設備不符合應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等沒有監(jiān)控和審計設備不符合邊界完整性檢查應能夠對非授權設備私自聯(lián)到內部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷沒有限制不符合應能夠對內部網絡用戶私自聯(lián)到外部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷沒有相關措施不符合入侵防范應在網絡邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等在連接Internet的網絡邊界處部署了IDS，能夠監(jiān)視攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等符合當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入侵事件時應提供報警現(xiàn)有的IDS能檢測到攻擊行為時，能記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，且提供報警符合惡意代碼防范應在網絡邊界處對惡意代碼進行檢測和清除尚未在網絡區(qū)域邊界處部署專門的惡意代碼防范設備對惡意代碼進行檢測和清除不符合應維護惡意代碼庫的升級和檢測系統(tǒng)的更新尚未在網絡區(qū)域邊界處部署專門的惡意代碼防范設備對惡意代碼進行檢測和清除不符合網絡設備防護應對登錄網絡設備的用戶進行身份鑒別交換機_H3CS3100采用帳戶+密碼方式對用戶進行身份鑒別符合應對網絡設備的管理員登錄地址進行限制交換機_H3CS3100只有通過機房監(jiān)控室的控制機才能登錄網絡設備和服務器符合網絡設備用戶的標識應唯一交換機_H3CS3100設備用戶的標識是唯一的符合主要網絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別交換機_H3CS3100設備沒有采用兩種技術手段來進行身份鑒別不符合身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換交換機_H3CS3100沒有配置復雜口令策略不符合應具有登錄失敗處理功能，可采取結束會話、限制非法登錄次數(shù)和當網絡登錄連接超時自動退出等措施交換機_H3CS3100沒有配置該策略不符合當對網絡設備進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽沒有使用遠程管理，只能在機房內使用console線進行管理；不適用應實現(xiàn)設備特權用戶的權限分離交換機_H3CS3100尚未實現(xiàn)設備特權用戶的權限分離不符合防火墻_NetEyeFW4120類別評估內容結果記錄符合情況結構安全應保證主要網絡設備的業(yè)務處理能力具備冗余空間，滿足業(yè)務高峰期需要無法查看日常網絡設備的負載情況，也缺乏對網絡設備性能的監(jiān)控不符合應保證網絡各個部分的帶寬滿足業(yè)務高峰期需要互聯(lián)網出口帶寬100M，銀行出口帶寬2M，XXXXXX的其他業(yè)務系統(tǒng)共用互聯(lián)網出口，平時業(yè)務應用占用帶寬無法確定不符合應在業(yè)務終端與業(yè)務服務器之間進行路由控制建立安全的訪問路徑在防火墻上配置了路由控制策略，使用靜態(tài)路由，建立了安全的訪問路徑符合應繪制與當前運行情況相符的網絡拓撲結構圖已經繪制了與當前運行情況相符的網絡拓撲結構圖符合應根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網或網段，并按照方便管理和控制的原則為各子網、網段分配地址段業(yè)務系統(tǒng)的前端服務器使用172網段，業(yè)務系統(tǒng)的核心數(shù)據(jù)庫服務器使用192網段符合應避免將重要網段部署在網絡邊界處且直接連接外部信息系統(tǒng)，重要網段與其他網段之間采取可靠的技術隔離手段業(yè)務系統(tǒng)的前端服務器使用172網段，部署于拓撲圖的外端；業(yè)務系統(tǒng)的核心數(shù)據(jù)庫服務器使用192網段，部署于網絡拓撲圖的里端；兩者之間通過VLAN隔離符合應按照對業(yè)務服務的重要次序來指定帶寬分配優(yōu)先級別，保證在網絡發(fā)生擁堵的時候優(yōu)先保護重要主機沒有配置不符合訪問控制應在網絡邊界部署訪問控制設備，啟用訪問控制功能在網絡邊界部署了防火墻，啟用了訪問控制功能符合應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級通過防火墻制定訪問安全策略，細化至端口符合應對進出網絡的信息內容進行過濾，實現(xiàn)對應用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制沒有對網絡信息內容進行過濾不符合應在會話處于非活躍一定時間或會話結束后終止網絡連接沒有在交換機、防火墻上配置自動終止功能不符合應限制網絡最大流量數(shù)及網絡連接數(shù)沒有在網絡設備上進行最大流量數(shù)和網絡連接數(shù)限制不符合重要網段應采取技術手段防止地址欺騙重要網段，如內網服務器區(qū)尚未采取IP地址與MAC地址綁定等措施防止地址欺騙不符合應按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶路由器上只做了用戶名和口令的控制，ftp服務器上做了目錄訪問讀寫權限的控制符合沒有撥號用戶沒有撥號用戶不適用安全審計應對網絡系統(tǒng)中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄沒有監(jiān)控和審計設備不符合審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息沒有監(jiān)控和審計設備不符合應能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表沒有監(jiān)控和審計設備不符合應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等沒有監(jiān)控和審計設備不符合邊界完整性檢查應能夠對非授權設備私自聯(lián)到內部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷沒有限制不符合應能夠對內部網絡用戶私自聯(lián)到外部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷沒有相關措施不符合入侵防范應在網絡邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等在連接Internet的網絡邊界處部署了IDS，能夠監(jiān)視攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等符合當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入侵事件時應提供報警現(xiàn)有的IDS能檢測到攻擊行為時，能記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，且提供報警符合惡意代碼防范應在網絡邊界處對惡意代碼進行檢測和清除尚未在網絡區(qū)域邊界處部署專門的惡意代碼防范設備對惡意代碼進行檢測和清除不符合應維護惡意代碼庫的升級和檢測系統(tǒng)的更新尚未在網絡區(qū)域邊界處部署專門的惡意代碼防范設備對惡意代碼進行檢測和清除不符合網絡設備防護應對登錄網絡設備的用戶進行身份鑒別防火墻_NetEye_FW4120采用帳戶+密碼方式對用戶進行身份鑒別符合應對網絡設備的管理員登錄地址進行限制防火墻_NetEye_FW4120只有通過機房監(jiān)控室的控制機才能登錄網絡設備和服務器符合網絡設備用戶的標識應唯一防火墻_NetEye_FW4120設備用戶的標識是唯一的符合主要網絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別防火墻_NetEye_FW4120設備沒有采用兩種技術手段來進行身份鑒別不符合身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換防火墻_NetEye_FW4120沒有配置復雜口令策略不符合應具有登錄失敗處理功能，可采取結束會話、限制非法登錄次數(shù)和當網絡登錄連接超時自動退出等措施防火墻_NetEye_FW4120沒有配置該策略不符合當對網絡設備進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽沒有使用遠程管理，只能在機房內使用console線進行管理；不適用應實現(xiàn)設備特權用戶的權限分離防火墻_NetEye_FW4120尚未實現(xiàn)設備特權用戶的權限分離不符合入侵檢測系統(tǒng)_NetEyeIDS2100類別評估內容結果記錄符合情況結構安全應保證主要網絡設備的業(yè)務處理能力具備冗余空間，滿足業(yè)務高峰期需要無法查看日常網絡設備的負載情況，也缺乏對網絡設備性能的監(jiān)控不符合應保證網絡各個部分的帶寬滿足業(yè)務高峰期需要互聯(lián)網出口帶寬100M，銀行出口帶寬2M，XXXXXX的其他業(yè)務系統(tǒng)共用互聯(lián)網出口，平時業(yè)務應用占用帶寬無法確定不符合應在業(yè)務終端與業(yè)務服務器之間進行路由控制建立安全的訪問路徑在防火墻上配置了路由控制策略，使用靜態(tài)路由，建立了安全的訪問路徑符合應繪制與當前運行情況相符的網絡拓撲結構圖已經繪制了與當前運行情況相符的網絡拓撲結構圖符合應根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網或網段，并按照方便管理和控制的原則為各子網、網段分配地址段業(yè)務系統(tǒng)的前端服務器使用172網段，業(yè)務系統(tǒng)的核心數(shù)據(jù)庫服務器使用192網段符合應避免將重要網段部署在網絡邊界處且直接連接外部信息系統(tǒng)，重要網段與其他網段之間采取可靠的技術隔離手段業(yè)務系統(tǒng)的前端服務器使用172網段，部署于拓撲圖的外端；業(yè)務系統(tǒng)的核心數(shù)據(jù)庫服務器使用192網段，部署于網絡拓撲圖的里端；兩者之間通過VLAN隔離符合應按照對業(yè)務服務的重要次序來指定帶寬分配優(yōu)先級別，保證在網絡發(fā)生擁堵的時候優(yōu)先保護重要主機沒有配置不符合訪問控制應在網絡邊界部署訪問控制設備，啟用訪問控制功能在網絡邊界部署了防火墻，啟用了訪問控制功能符合應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級通過防火墻制定訪問安全策略，細化至端口符合應對進出網絡的信息內容進行過濾，實現(xiàn)對應用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制沒有對網絡信息內容進行過濾不符合應在會話處于非活躍一定時間或會話結束后終止網絡連接沒有在交換機、防火墻上配置自動終止功能不符合應限制網絡最大流量數(shù)及網絡連接數(shù)沒有在網絡設備上進行最大流量數(shù)和網絡連接數(shù)限制不符合重要網段應采取技術手段防止地址欺騙重要網段，如內網服務器區(qū)尚未采取IP地址與MAC地址綁定等措施防止地址欺騙不符合應按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶路由器上只做了用戶名和口令的控制，ftp服務器上做了目錄訪問讀寫權限的控制符合沒有撥號用戶沒有撥號用戶不適用安全審計應對網絡系統(tǒng)中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄沒有監(jiān)控和審計設備不符合審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息沒有監(jiān)控和審計設備不符合應能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表沒有監(jiān)控和審計設備不符合應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等沒有監(jiān)控和審計設備不符合邊界完整性檢查應能夠對非授權設備私自聯(lián)到內部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷沒有限制不符合應能夠對內部網絡用戶私自聯(lián)到外部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷沒有相關措施不符合入侵防范應在網絡邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等在連接Internet的網絡邊界處部署了IDS，能夠監(jiān)視攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等符合當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入侵事件時應提供報警現(xiàn)有的IDS能檢測到攻擊行為時，能記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，且提供報警符合惡意代碼防范應在網絡邊界處對惡意代碼進行檢測和清除尚未在網絡區(qū)域邊界處部署專門的惡意代碼防范設備對惡意代碼進行檢測和清除不符合應維護惡意代碼庫的升級和檢測系統(tǒng)的更新尚未在網絡區(qū)域邊界處部署專門的惡意代碼防范設備對惡意代碼進行檢測和清除不符合網絡設備防護應對登錄網絡設備的用戶進行身份鑒別入侵檢測系統(tǒng)_NetEyeIDS2100采用帳戶+密碼方式對用戶進行身份鑒別符合應對網絡設備的管理員登錄地址進行限制入侵檢測系統(tǒng)_NetEyeIDS2100只有通過機房監(jiān)控室的控制機才能登錄網絡設備和服務器符合網絡設備用戶的標識應唯一入侵檢測系統(tǒng)_NetEyeIDS2100設備用戶的標識是唯一的符合主要網絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別入侵檢測系統(tǒng)_NetEyeIDS2100設備沒有采用兩種技術手段來進行身份鑒別不符合身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換入侵檢測系統(tǒng)_NetEyeIDS2100沒有配置復雜口令策略不符合應具有登錄失敗處理功能，可采取結束會話、限制非法登錄次數(shù)和當網絡登錄連接超時自動退出等措施入侵檢測系統(tǒng)_NetEyeIDS2100沒有配置該策略不符合當對網絡設備進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽沒有使用遠程管理，只能在機房內使用console線進行管理；不適用應實現(xiàn)設備特權用戶的權限分離入侵檢測系統(tǒng)_NetEyeIDS2100尚未實現(xiàn)設備特權用戶的權限分離不符合負載均衡_AD6050類別評估內容結果記錄符合情況結構安全應保證主要網絡設備的業(yè)務處理能力具備冗余空間，滿足業(yè)務高峰期需要無法查看日常網絡設備的負載情況，也缺乏對網絡設備性能的監(jiān)控不符合應保證網絡各個部分的帶寬滿足業(yè)務高峰期需要互聯(lián)網出口帶寬100M，銀行出口帶寬2M，XXXXXX的其他業(yè)務系統(tǒng)共用互聯(lián)網出口，平時業(yè)務應用占用帶寬無法確定不符合應在業(yè)務終端與業(yè)務服務器之間進行路由控制建立安全的訪問路徑在防火墻上配置了路由控制策略，使用靜態(tài)路由，建立了安全的訪問路徑符合應繪制與當前運行情況相符的網絡拓撲結構圖已經繪制了與當前運行情況相符的網絡拓撲結構圖符合應根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網或網段，并按照方便管理和控制的原則為各子網、網段分配地址段業(yè)務系統(tǒng)的前端服務器使用172網段，業(yè)務系統(tǒng)的核心數(shù)據(jù)庫服務器使用192網段符合應避免將重要網段部署在網絡邊界處且直接連接外部信息系統(tǒng)，重要網段與其他網段之間采取可靠的技術隔離手段業(yè)務系統(tǒng)的前端服務器使用172網段，部署于拓撲圖的外端；業(yè)務系統(tǒng)的核心數(shù)據(jù)庫服務器使用192網段，部署于網絡拓撲圖的里端；兩者之間通過VLAN隔離符合應按照對業(yè)務服務的重要次序來指定帶寬分配優(yōu)先級別，保證在網絡發(fā)生擁堵的時候優(yōu)先保護重要主機沒有配置不符合訪問控制應在網絡邊界部署訪問控制設備，啟用訪問控制功能在網絡邊界部署了防火墻，啟用了訪問控制功能符合應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級通過防火墻制定訪問安全策略，細化至端口符合應對進出網絡的信息內容進行過濾，實現(xiàn)對應用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制沒有對網絡信息內容進行過濾不符合應在會話處于非活躍一定時間或會話結束后終止網絡連接沒有在交換機、防火墻上配置自動終止功能不符合應限制網絡最大流量數(shù)及網絡連接數(shù)沒有在網絡設備上進行最大流量數(shù)和網絡連接數(shù)限制不符合重要網段應采取技術手段防止地址欺騙重要網段，如內網服務器區(qū)尚未采取IP地址與MAC地址綁定等措施防止地址欺騙不符合應按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶路由器上只做了用戶名和口令的控制，ftp服務器上做了目錄訪問讀寫權限的控制符合沒有撥號用戶沒有撥號用戶不適用安全審計應對網絡系統(tǒng)中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄沒有監(jiān)控和審計設備不符合審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息沒有監(jiān)控和審計設備不符合應能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表沒有監(jiān)控和審計設備不符合應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等沒有監(jiān)控和審計設備不符合邊界完整性檢查應能夠對非授權設備私自聯(lián)到內部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷沒有限制不符合應能夠對內部網絡用戶私自聯(lián)到外部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷沒有相關措施不符合入侵防范應在網絡邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等在連接Internet的網絡邊界處部署了IDS，能夠監(jiān)視攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等符合當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入侵事件時應提供報警現(xiàn)有的IDS能檢測到攻擊行為時，能記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，且提供報警符合惡意代碼防范應在網絡邊界處對惡意代碼進行檢測和清除尚未在網絡區(qū)域邊界處部署專門的惡意代碼防范設備對惡意代碼進行檢測和清除不符合應維護惡意代碼庫的升級和檢測系統(tǒng)的更新尚未在網絡區(qū)域邊界處部署專門的惡意代碼防范設備對惡意代碼進行檢測和清除不符合網絡設備防護應對登錄網絡設備的用戶進行身份鑒別負載均衡_AD6050采用帳戶+密碼方式對用戶進行身份鑒別符合應對網絡設備的管理員登錄地址進行限制負載均衡_AD6050只有通過機房監(jiān)控室的控制機才能登錄網絡設備和服務器符合網絡設備用戶的標識應唯一負載均衡_AD6050設備用戶的標識是唯一的符合主要網絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別負載均衡_AD6050設備沒有采用兩種技術手段來進行身份鑒別不符合身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換負載均衡_AD6050沒有配置復雜口令策略不符合應具有登錄失敗處理功能，可采取結束會話、限制非法登錄次數(shù)和當網絡登錄連接超時自動退出等措施負載均衡_AD6050沒有配置該策略不符合當對網絡設備進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽沒有使用遠程管理，只能在機房內使用console線進行管理；不適用應實現(xiàn)設備特權用戶的權限分離負載均衡_AD6050尚未實現(xiàn)設備特權用戶的權限分離不符合問題分析結構安全（1）差距小結無法查看日常網絡設備的負載情況，也缺乏對網絡設備性能的監(jiān)控?；ヂ?lián)網出口帶寬100M，銀行出口帶寬2M，XXXXXX的其他業(yè)務系統(tǒng)共用互聯(lián)網出口，平時業(yè)務應用占用帶寬無法確定。沒有按照對業(yè)務服務的重要次序來指定帶寬分配優(yōu)先級別。（2）后果分析無法了解網絡設備的運行情況，會造成長期滿負荷運轉帶來的設備損壞。無法了解各個業(yè)務應用占用的帶寬比例，不清楚業(yè)務高峰期帶寬的使用情況對用戶產生的影響。在業(yè)務高峰期網絡擁堵的時候，無法優(yōu)先對重要業(yè)務的運行進行優(yōu)先級處理，影響使用。訪問控制（1）差距小結沒有對網絡信息內容進行過濾，無法對應用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令進行控制。沒有在交換機、防火墻上配置自動終止功能沒有在網絡設備上進行最大流量數(shù)和網絡連接數(shù)限制重要網段，如內網服務器區(qū)尚未采取IP地址與MAC地址綁定等措施防止地址欺騙。（2）后果分析沒有控制應用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令，有被獲取到一些控制權限的危險。沒有配置自動終止功能，可能造成資源的浪費。沒有限制網絡設備的最大流量和最大連接數(shù)，可能造成設備由于流量過大或者連接數(shù)過大而引起的宕機。IP地址欺騙是外部攻擊者實現(xiàn)中間人攻擊，進行網絡滲透和繞過網絡安全保密措施的常用手段之一，也是DDos等攻擊的一種方式，可能會引起帶寬擁堵、服務延時或中斷、系統(tǒng)信息外泄等嚴重后果。安全審計（1）差距小結沒有審計和監(jiān)控設備。（2）后果分析監(jiān)控網絡設備運行狀況是對整個網絡架構進行管理、維護、監(jiān)控的可靠方法。沒有監(jiān)控和審計設備無法體現(xiàn)具體的網絡安全事件，也無法為事件調查和責任追究提供有力的證據(jù)，不利于對設備運行狀況及用戶行為進行更深層次的審計。邊界完整性檢查（1）差距小結各網絡設備與安全設備無法有效檢查、定位和阻斷非授權設備或內部用戶未通過準許私自聯(lián)到外部網絡的行為。（2）后果分析非授權設備、內部用戶未通過準許私自聯(lián)到外部網絡的行為，是導致外部入侵攻擊、病毒木馬散播、敏感信息外泄的主要原因之一，無法對這類行為進行有效的監(jiān)控，很可能導致整個網絡邊界完整性受到破壞，導致在邊界處的安全防護措施形同虛設，從而引發(fā)一系列的安全事件，后果極為嚴重。惡意代碼防范（1）差距小結在連接總局的廣域網邊界處部署了防毒墻，尚未在網絡區(qū)域邊界處部署專門的惡意代碼防范設備對惡意代碼進行檢測和清除，無法實現(xiàn)惡意代碼庫升級和系統(tǒng)更新。（2）后果分析所謂“術業(yè)有專攻”，在網絡惡意代碼防范方面，防火墻、入侵檢測系統(tǒng)、入侵防御系統(tǒng)的檢測和防御能力均不夠完善，只有采用專門的惡意代碼防范設備才能實現(xiàn)對惡意代碼進行全面、有效、及時的檢測和清除。此外，惡意代碼的研制、變種、擴散速度非?？欤虼?，必須保證網絡惡意代碼防范設備的惡意代碼庫做到實時更新和系統(tǒng)定期升級維護，才能適應惡意代碼的發(fā)展，從而有效的保障網絡安全。網絡設備防護（1）差距小結網絡設備和安全設備沒有采用兩種技術手段來進行身份鑒別。網絡設備和安全設備尚未實現(xiàn)口令定期更改。網絡設備和安全設備沒有登錄失敗的策略配置。網絡設備和安全設備尚未實現(xiàn)設備特權用戶的權限分離。（2）后果分析網絡設備和安全設備登錄只通過用戶名密碼的形式來驗證用戶身份，沒有其他的身份鑒別，可能存在被盜用的風險。如未定期修改設備的口令，將會導致外部攻擊破解網絡口令的成功率的提高。沒有設置登錄失敗的策略，可能被暴力破解的方式攻破。未實現(xiàn)設備特權用戶的權限分離，則無法有效監(jiān)管系統(tǒng)管理員的操作，導致系統(tǒng)管理員的權限過大，無法進行責任認定，無法有效控制利用系統(tǒng)管理員權限進行攻擊和破壞的行為。主機安全結果記錄服務器_數(shù)據(jù)庫_1（DELLPowerEdge）類別評估內容結果記錄符合情況身份鑒別應對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標識和鑒別服務器操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)均采用“帳號+密碼”的保護機制對用戶進行身份識別和鑒別符合操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標識應具有不易被冒用的特點，口令應有復雜度要求并定期更換操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理的密碼復雜度沒有要求，不會定期更換（通過安全加固解決）不符合應啟用登錄失敗處理功能，可采取結束會話、限制非法登錄次數(shù)和自動退出等措施系統(tǒng)登錄沒有做限制（通過安全加固解決）不符合當對服務器進行遠程管理時，應采取必要措施，防止鑒別信息在網絡傳輸過程中被竊聽采用ssh遠程管理服務器可防止鑒別信息在網絡傳輸過程中被竊聽符合應為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)不同的用戶分配不同的用戶名，用戶名都是唯一的符合應采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別系統(tǒng)只能在機房使用用戶名和密碼登錄基本符合訪問控制應啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問系統(tǒng)使用默認的服務，重要文件的權限沒有控制不符合應根據(jù)管理用戶的角色分配權限，實現(xiàn)管理用戶的權限分離，僅授予管理用戶所需的最小權限沒有對管理員進行權限分配不符合應實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權用戶的權限分離操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)有外包公司掌握不符合應限制默認賬戶的訪問權限，重命名系統(tǒng)默認賬戶，修改這些賬戶的默認口令系統(tǒng)中存在ftp、games默認賬號不符合應及時刪除多余的、過期的賬戶、避免共享賬戶的存在沒有刪除多余的、過期的賬戶不符合應對重要信息資源設置敏感標記系統(tǒng)沒有對重要信息資源設置敏感標記不符合應依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息資源的操作尚未采取強制訪問控制策略控制用戶對有敏感標記重要信息資源的操作不符合安全審計審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶審計范圍已覆蓋服務器操作系統(tǒng)、服務器數(shù)據(jù)庫、重要客戶端（管理員主機）上的各個用戶符合審計內容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內重要的安全相關事件審計內容包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內重要的安全相關事件符合審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等審計記錄包括事件的日期、時間、類型、主體標識、客體標識和結果等符合應能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表審計日志記錄沒有人查看，無法自動生成審計報表不符合應保護審計進程，避免受到未預期的中斷尚未對審計進程采取保護措施，難以避免審計進程受到未預期的中斷不符合應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等只有超級用戶可以對審計記錄進行刪除、修改或覆蓋等符合剩余信息保護應保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內存中操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除符合應確保系統(tǒng)內的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除系統(tǒng)內的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前進行數(shù)據(jù)清除基本符合入侵防范應能夠檢測到對重要服務器進行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴重入侵事件時提供報警采用東軟的IDS功能，可實現(xiàn)對重要服務器進行入侵行為的檢測，記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，在發(fā)生嚴重入侵事件時提供報警符合應能夠對重要程序的完整性進行檢測，并在檢測到完整性受到破壞后具有恢復的措施系統(tǒng)自身有完整性檢查機制，可以保障系統(tǒng)受到破壞后可以自動恢復符合操作系統(tǒng)應遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級服務器等方式保持系統(tǒng)補丁及時得到更新操作系統(tǒng)遵循了最小安裝原則，僅安裝了需要的組件和應用程序，系統(tǒng)通過升級的方式安裝系統(tǒng)補丁符合惡意代碼防范應安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫主機尚未安裝惡意代碼軟件不符合主機防惡意代碼產品應具有與網絡防惡意代碼產品不同的惡意代碼庫主機尚未安裝防惡意代碼軟件，網絡尚未部署惡意代碼防范系統(tǒng)不符合應支持防惡意代碼軟件的統(tǒng)一管理尚未安裝惡意代碼軟件不符合資源控制應通過設定終端接入方式、網絡地址范圍等條件限制終端登錄服務器_數(shù)據(jù)庫系統(tǒng)只能在機房登陸符合應根據(jù)安全策略設置登錄終端操作超時鎖定尚未配置登錄終端操作超時鎖定功能不符合應對重要服務器進行監(jiān)視，包括監(jiān)視服務器的CPU、硬盤、內存、網絡等資源的使用情況有nigos監(jiān)控系統(tǒng)，檢查服務器的CPU、硬盤、內存、網絡等資源的使用情況符合應限制單個用戶對系統(tǒng)資源的最大或最小使用限度尚未限制單個用戶對系統(tǒng)資源的最大或最小使用限度不符合應能夠對系統(tǒng)的服務水平降低到預先規(guī)定的最小值進行檢測和報警尚未對系統(tǒng)服務水平降低到預先規(guī)定的最小值進行檢測和報警不符合服務器_數(shù)據(jù)庫_2（DELLPowerEdge）類別評估內容結果記錄符合情況身份鑒別應對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標識和鑒別服務器操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)均采用“帳號+密碼”的保護機制對用戶進行身份識別和鑒別符合操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標識應具有不易被冒用的特點，口令應有復雜度要求并定期更換操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理的密碼復雜度沒有要求，不會定期更換不符合應啟用登錄失敗處理功能，可采取結束會話、限制非法登錄次數(shù)和自動退出等措施系統(tǒng)登錄沒有做限制不符合當對服務器進行遠程管理時，應采取必要措施，防止鑒別信息在網絡傳輸過程中被竊聽采用ssh遠程管理服務器可防止鑒別信息在網絡傳輸過程中被竊聽符合應為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)不同的用戶分配不同的用戶名，用戶名都是唯一的符合應采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別系統(tǒng)只能在機房使用用戶名和密碼登錄基本符合訪問控制應啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問系統(tǒng)使用默認的服務，重要文件的權限沒有控制不符合應根據(jù)管理用戶的角色分配權限，實現(xiàn)管理用戶的權限分離，僅授予管理用戶所需的最小權限沒有對管理員進行權限分配不符合應實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權用戶的權限分離操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)有外包公司掌握不符合應限制默認賬戶的訪問權限，重命名系統(tǒng)默認賬戶，修改這些賬戶的默認口令系統(tǒng)中存在ftp、games默認賬號不符合應及時刪除多余的、過期的賬戶、避免共享賬戶的存在沒有刪除多余的、過期的賬戶不符合應對重要信息資源設置敏感標記系統(tǒng)沒有對重要信息資源設置敏感標記不符合應依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息資源的操作尚未采取強制訪問控制策略控制用戶對有敏感標記重要信息資源的操作不符合安全審計審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶審計范圍已覆蓋服務器操作系統(tǒng)、服務器數(shù)據(jù)庫、重要客戶端（管理員主機）上的各個用戶符合審計內容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內重要的安全相關事件審計內容包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內重要的安全相關事件符合審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等審計記錄包括事件的日期、時間、類型、主體標識、客體標識和結果等符合應能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表審計日志記錄沒有人查看，無法自動生成審計報表不符合應保護審計進程，避免受到未預期的中斷尚未對審計進程采取保護措施，難以避免審計進程受到未預期的中斷不符合應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等只有超級用戶可以對審計記錄進行刪除、修改或覆蓋等符合剩余信息保護應保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內存中操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除符合應確保系統(tǒng)內的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除系統(tǒng)內的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前進行數(shù)據(jù)清除基本符合入侵防范應能夠檢測到對重要服務器進行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴重入侵事件時提供報警采用東軟的IDS功能，可實現(xiàn)對重要服務器進行入侵行為的檢測，記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，在發(fā)生嚴重入侵事件時提供報警符合應能夠對重要程序的完整性進行檢測，并在檢測到完整性受到破壞后具有恢復的措施系統(tǒng)自身有完整性檢查機制，可以保障系統(tǒng)受到破壞后可以自動恢復符合操作系統(tǒng)應遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級服務器等方式保持系統(tǒng)補丁及時得到更新操作系統(tǒng)遵循了最小安裝原則，僅安裝了需要的組件和應用程序，系統(tǒng)通過升級的方式安裝系統(tǒng)補丁符合惡意代碼防范應安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫主機尚未安裝惡意代碼軟件不符合主機防惡意代碼產品應具有與網絡防惡意代碼產品不同的惡意代碼庫主機尚未安裝防惡意代碼軟件，網絡尚未部署惡意代碼防范系統(tǒng)不符合應支持防惡意代碼軟件的統(tǒng)一管理尚未安裝惡意代碼軟件不符合資源控制應通過設定終端接入方式、網絡地址范圍等條件限制終端登錄服務器_數(shù)據(jù)庫系統(tǒng)只能在機房登陸符合應根據(jù)安全策略設置登錄終端操作超時鎖定尚未配置登錄終端操作超時鎖定功能不符合應對重要服務器進行監(jiān)視，包括監(jiān)視服務器的CPU、硬盤、內存、網絡等資源的使用情況有nigos監(jiān)控系統(tǒng)，檢查服務器的CPU、硬盤、內存、網絡等資源的使用情況符合應限制單個用戶對系統(tǒng)資源的最大或最小使用限度尚未限制單個用戶對系統(tǒng)資源的最大或最小使用限度不符合應能夠對系統(tǒng)的服務水平降低到預先規(guī)定的最小值進行檢測和報警尚未對系統(tǒng)服務水平降低到預先規(guī)定的最小值進行檢測和報警不符合服務器_簽名服務器_1（HPPROLIANT）類別評估內容結果記錄符合情況身份鑒別應對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標識和鑒別服務器操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)均采用“帳號+密碼”的保護機制對用戶進行身份識別和鑒別符合操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標識應具有不易被冒用的特點，口令應有復雜度要求并定期更換操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理的密碼復雜度沒有要求，不會定期更換不符合應啟用登錄失敗處理功能，可采取結束會話、限制非法登錄次數(shù)和自動退出等措施系統(tǒng)登錄沒有做限制不符合當對服務器進行遠程管理時，應采取必要措施，防止鑒別信息在網絡傳輸過程中被竊聽采用ssh遠程管理服務器可防止鑒別信息在網絡傳輸過程中被竊聽符合應為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)不同的用戶分配不同的用戶名，用戶名都是唯一的符合應采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別系統(tǒng)只能在機房使用用戶名和密碼登錄基本符合訪問控制應啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問系統(tǒng)使用默認的服務，重要文件的權限沒有控制不符合應根據(jù)管理用戶的角色分配權限，實現(xiàn)管理用戶的權限分離，僅授予管理用戶所需的最小權限沒有對管理員進行權限分配不符合應實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權用戶的權限分離操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)有外包公司掌握不符合應限制默認賬戶的訪問權限，重命名系統(tǒng)默認賬戶，修改這些賬戶的默認口令系統(tǒng)中存在ftp、games默認賬號不符合應及時刪除多余的、過期的賬戶、避免共享賬戶的存在沒有刪除多余的、過期的賬戶不符合應對重要信息資源設置敏感標記系統(tǒng)沒有對重要信息資源設置敏感標記不符合應依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息資源的操作尚未采取強制訪問控制策略控制用戶對有敏感標記重要信息資源的操作不符合安全審計審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶審計范圍已覆蓋服務器操作系統(tǒng)、服務器數(shù)據(jù)庫、重要客戶端（管理員主機）上的各個用戶符合審計內容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內重要的安全相關事件審計內容包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內重要的安全相關事件符合審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等審計記錄包括事件的日期、時間、類型、主體標識、客體標識和結果等符合應能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表審計日志記錄沒有人查看，無法自動生成審計報表不符合應保護審計進程，避免受到未預期的中斷尚未對審計進程采取保護措施，難以避免審計進程受到未預期的中斷不符合應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等只有超級用戶可以對審計記錄進行刪除、修改或覆蓋等符合剩余信息保護應保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內存中操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除符合應確保系統(tǒng)內的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除系統(tǒng)內的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前進行數(shù)據(jù)清除基本符合入侵防范應能夠檢測到對重要服務器進行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴重入侵事件時提供報警采用東軟的IDS功能，可實現(xiàn)對重要服務器進行入侵行為的檢測，記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，在發(fā)生嚴重入侵事件時提供報警符合應能夠對重要程序的完整性進行檢測，并在檢測到完整性受到破壞后具有恢復的措施系統(tǒng)自身有完整性檢查機制，可以保障系統(tǒng)受到破壞后可以自動恢復符合操作系統(tǒng)應遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級服務器等方式保持系統(tǒng)補丁及時得到更新操作系統(tǒng)遵循了最小安裝原則，僅安裝了需要的組件和應用程序，系統(tǒng)通過升級的方式安裝系統(tǒng)補丁符合惡意代碼防范應安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫主機尚未安裝惡意代碼軟件不符合主機防惡意代碼產品應具有與網絡防惡意代碼產品不同的惡意代碼庫主機尚未安裝防惡意代碼軟件，網絡尚未部署惡意代碼防范系統(tǒng)不符合應支持防惡意代碼軟件的統(tǒng)一管理尚未安裝惡意代碼軟件不符合資源控制應通過設定終端接入方式、網絡地址范圍等條件限制終端登錄服務器_數(shù)據(jù)庫系統(tǒng)只能在機房登陸符合應根據(jù)安全策略設置登錄終端操作超時鎖定尚未配置登錄終端操作超時鎖定功能不符合應對重要服務器進行監(jiān)視，包括監(jiān)視服務器的CPU、硬盤、內存、網絡等資源的使用情況有nigos監(jiān)控系統(tǒng)，檢查服務器的CPU、硬盤、內存、網絡等資源的使用情況符合應限制單個用戶對系統(tǒng)資源的最大或最小使用限度尚未限制單個用戶對系統(tǒng)資源的最大或最小使用限度不符合應能夠對系統(tǒng)的服務水平降低到預先規(guī)定的最小值進行檢測和報警尚未對系統(tǒng)服務水平降低到預先規(guī)定的最小值進行檢測和報警不符合服務器_簽名服務器_2（HPPROLIANT）類別評估內容結果記錄符合情況身份鑒別應對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標識和鑒別服務器操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)均采用“帳號+密碼”的保護機制對用戶進行身份識別和鑒別符合操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標識應具有不易被冒用的特點，口令應有復雜度要求并定期更換操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理的密碼復雜度沒有要求，不會定期更換不符合應啟用登錄失敗處理功能，可采取結束會話、限制非法登錄次數(shù)和自動退出等措施系統(tǒng)登錄沒有做限制不符合當對服務器進行遠程管理時，應采取必要措施，防止鑒別信息在網絡傳輸過程中被竊聽采用ssh遠程管理服務器可防止鑒別信息在網絡傳輸過程中被竊聽符合應為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)不同的用戶分配不同的用戶名，用戶名都是唯一的符合應采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別系統(tǒng)只能在機房使用用戶名和密碼登錄基本符合訪問控制應啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問系統(tǒng)使用默認的服務，重要文件的權限沒有控制不符合應根據(jù)管理用戶的角色分配權限，實現(xiàn)管理用戶的權限分離，僅授予管理用戶所需的最小權限沒有對管理員進行權限分配不符合應實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權用戶的權限分離操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)有外包公司掌握不符合應限制默認賬戶的訪問權限，重命名系統(tǒng)默認賬戶，修改這些賬戶的默認口令系統(tǒng)中存在ftp、games默認賬號不符合應及時刪除多余的、過期的賬戶、避免共享賬戶的存在沒有刪除多余的、過期的賬戶不符合應對重要信息資源設置敏感標記系統(tǒng)沒有對重要信息資源設置敏感標記不符合應依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息資源的操作尚未采取強制訪問控制策略控制用戶對有敏感標記重要信息資源的操作不符合安全審計審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶審計范圍已覆蓋服務器操作系統(tǒng)、服務器數(shù)據(jù)庫、重要客戶端（管理員主機）上的各個用戶符合審計內容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內重要的安全相關事件審計內容包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內重要的安全相關事件符合審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等審計記錄包括事件的日期、時間、類型、主體標識、客體標識和結果等符合應能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表審計日志記錄沒有人查看，無法自動生成審計報表不符合應保護審計進程，避免受到未預期的中斷尚未對審計進程采取保護措施，難以避免審計進程受到未預期的中斷不符合應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等只有超級用戶可以對審計記錄進行刪除、修改或覆蓋等符合剩余信息保護應保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內存中操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除符合應確保系統(tǒng)內的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除系統(tǒng)內的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前進行數(shù)據(jù)清除基本符合入侵防范應能夠檢測到對重要服務器進行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴重入侵事件時提供報警采用東軟的IDS功能，可實現(xiàn)對重要服務器進行入侵行為的檢測，記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，在發(fā)生嚴重入侵事件時提供報警符合應能夠對重要程序的完整性進行檢測，并在檢測到完整性受到破壞后具有恢復的措施系統(tǒng)自身有完整性檢查機制，可以保障系統(tǒng)受到破壞后可以自動恢復符合操作系統(tǒng)應遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級服務器等方式保持系統(tǒng)補丁及時得到更新操作系統(tǒng)遵循了最小安裝原則，僅安裝了需要的組件和應用程序，系統(tǒng)通過升級的方式安裝系統(tǒng)補丁符合惡意代碼防范應安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫主機尚未安裝惡意代碼軟件不符合主機防惡意代碼產品應具有與網絡防惡意代碼產品不同的惡意代碼庫主機尚未安裝防惡意代碼軟件，網絡尚未部署惡意代碼防范系統(tǒng)不符合應支持防惡意代碼軟件的統(tǒng)一管理尚未安裝惡意代碼軟件不符合資源控制應通過設定終端接入方式、網絡地址范圍等條件限制終端登錄服務器_數(shù)據(jù)庫系統(tǒng)只能在機房登陸符合應根據(jù)安全策略設置登錄終端操作超時鎖定尚未配置登錄終端操作超時鎖定功能不符合應對重要服務器進行監(jiān)視，包括監(jiān)視服務器的CPU、硬盤、