网络实验室系统等保测评报告-正文(5)

网络实验室系统信息安全等级测评报告 [2015]

序号 文档名称 主要内容 保护数据信息免受威胁，从而确保业务平台的连续性，缩减业务平台有可能面临的风险，为整个35. 数据安全管理规范[2014] 业务平台部门的长期正常运行提供强有力的保障 备份策略选择、数据备份、恢复与策略、数据备36. 数据备份管理规定 份介质存储环境的管理和数据备份介质的管理和系统数据备份 对网络安全配置、日志保存时间、安全策略、升37. 网络安全策略 级与打补丁、口令更新周期等方面作出一系列规定 因地震、火灾、水灾、病毒等不可抗力因素，造成了对医院网络系统构成威胁时，信息科网络维38. 网络维护紧急预案 护组按事前、事中、事后三个步骤实现医院网络紧急预案。确保医院网络信息数据安全，平稳渡过紧急状况快速恢复正常网络工作秩序 物理区域安全控制、设备安全控制、设备安全控39. 物理与环境安全管理办法 制 介质的存放环境和使用管理、介质的维修、介质40. 介质安全管理规定 的存储等 正文 第12页/共58页

网络实验室系统信息安全等级测评报告 [2015]

序号 文档名称 主要内容 为有效保障信息系统运行安全、计算机应用安41. 系统及应用监管管理制度 全，及早发现事故隐患并处理，规范信息系统监控管理，特制定本制度 系统备份说明、网络备份规范、系统备份规范、42. 系统备份恢复规范 数据库备份规范、应用备份规范和记录文档 信息安全时间报告、信息安全时间处理、信息安43. 信息安全事件管理办法 全时间总结、信息安全弱点报告和信息安全弱点处理 管理组织架构与职责、应急计划能力要求、制定44. 信息系统应急管理办法 应急计划、实施应急计划和应急计划的宣传、培训和演练 信息资产的分类、信息资产的敏感性标示、信息45. 信息资产分类及安全管理规定 资产的使用和信息资产的保密期限 风险评估术语、风险评估准则、信息资产识别、识别弱点、识别威胁、识别现有控制措施、估算风险值、确定风险等级与可接受标准、选择控制46. 信息资产风险评估管理规范 项、制定风险等级与可接受标准、选择控制项、制定风险处理计划、预估残留风险、风险评估结果汇报和评价残余风险 正文 第13页/共58页

网络实验室系统信息安全等级测评报告 [2015]

序号 文档名称 主要内容 加强学校信息网络安全、信息系统安全、信息数47. 学校信息保护制度 据安全管理，确保学校信息数据安全、完整、正常的应用，特制定了学校信息保护制度 严格按照《计算机操作规范》、《网络安全管理制48. 学校信息管理日常维护管理制度 度》、《网络设备管理制度》相关要求执行学校信息日常维护管理工作 学校信息系统数据是学校信息化建设的核心，是49. 学校信息数据备份制度 学校持续发展、正常运营的载体，学校领导及信息科应高度的重视和认真负责的管理 帐户的创建、使用、变更与取消管理办法，口令的分类、设定、生成与更改管理办法，系统用户50. 账户和口令管理办法 的责任与义务，信息系统管理员的责任与义务、办公室的责任与义务 为加强学校内部计算机终端安全管理工作，确保学校信息系统和信息网络的高效、稳定的运行，保障学校重要数据资源，防范系统风险，制订了51. 计算机终端安全管理办法 《计算机终端安全管理办法》。所有学校从业人员、合作伙伴长期服务提供人员都必须认真执行本管理办法，切实做好计算机终端安全工作 正文 第14页/共58页

网络实验室系统信息安全等级测评报告 [2015]

2.3安全环境

通过对威胁类型的分类，威胁来源的分析，在对用户信息安全现状进行分析后，将通过访谈用户、系统关键文档审阅、系统运行情况检查等方式作为此系统的主要威胁数据来源，结合《风险评估规范》、历史统计和行业判断，得出可能对用户系统造成危害的潜在高发威胁列表如下：

表2-7威胁情况表

序号 威胁分(子)类 1 2 恶意攻击 软件故障 描述 利用工具和技术对信息系统进行攻击 操作系统、应用软件由于设计缺陷等发生故障 由于制度缺失、不完善等原因导致安全管理无法落实管理不到位 或者不到位 无作为 或操作失误 5 断电 应该执行而没有执行相应的操作，或者无意执行了错中 误的操作 外部电力供应中断 网络、主机等系统设备由于设备老化等原因发生硬件硬件故障 故障 越权访问本来无权访问的资源，或者滥用自己的权限越权或滥用 破坏信息系统 8 9 物理攻击 泄密 通过物理的接触造成对软件、硬件和数据的破坏 信息泄露给不应了解的他人 低 低 低 低 低 中 威胁赋值 高 中 3 4 6 7 正文 第15页/共58页

网络实验室系统信息安全等级测评报告 [2015]

序号 威胁分(子)类 描述 非法修改信息，破坏信息的完整性使系统的安全性降威胁赋值 10 篡改 低或信息不可用 低 11 抵赖 否认所做的操作 低 2.4前次测评情况

此次测评为网络实验系统首次进行等级测评。

3 等级测评范围与方法

3.1测评指标

《基本要求》中对不同等级信息系统的安全功能和措施提出了具体要求，等级测评应根据信息系统的安全保护等级从中选取相应等级的安全测评指标，并依据《测评要求》和《测评过程指南》对信息系统实施安全测评。

本次安全等级测评范围内的“西科大网络实验室系统”的安全保护等级为第二级，其中业务信息安全保护等级为第二级，系统服务安全保护等级为第二级(S2A2G2)。

表3-1测评指标统计列表（S2A2G2）

测评指标 安全子类数量 技术/管理 安全分类 S2 A2 G2 小计 正文 第16页/共58页