网络实验室系统等保测评报告-正文(8)

网络实验室系统信息安全等级测评报告 [2015]

序号 文档名称 主要内容 帐户的创建、使用、变更与取消管理办法，口令的分类、设定、生成与更改管理办法，系统用户50. 账户和口令管理办法 的责任与义务，信息系统管理员的责任与义务、办公室的责任与义务 6) 访谈人员

表3-8测评对象-访谈人员列表

序号 1 2 3 姓名 岗位/角色 网络及安全管理员 系统及安全管理员 系统及安全管理员 3.3测评方法

3.3.1现场测评方法

本次等级测评现场实施过程中将综合采用访谈、检查和测试等测评方法。 1) 访谈

访谈是指测评人员通过与被测信息系统有关人员（个人/群体）进行交流、询问等活动，获取证据以证明信息系统安全保护措施是否有效的一类方法。在本次测评

正文 第27页/共58页

网络实验室系统信息安全等级测评报告 [2015]

过程中，访谈方法主要应用于安全管理机构测评、人员安全管理测评、系统建设管理测评和系统运维管理测评等安全管理类测评任务中。

在安全管理类测评任务中，测评人员依据定制的测评指导书（访谈问题列表）对相关人员进行访谈，获取与安全管理有关的评估证据用于判断特定的安全管理措施是否符合国家相关标准以及委托方的实际需求。

2) 检查

检查是指测评人员通过对评估对象进行观察、查验、分析等活动，获取证据以证明信息系统安全保护措施是否有效的一类方法。在本次测评过程中，检查方法的应用范围覆盖了物理安全测评、主机安全测评、网络安全测评、应用安全测评和数据安全及备份恢复等技术类测评任务，以及安全管理类测评任务。

在物理安全测评任务中，测评人员采用文档查阅与分析和现场观察等检查方法来获取测评证据（如机房的温湿度情况），用于判断目标系统在机房安全方面采用的特定安全技术措施是否符合国家相关标准以及委托方的实际需求。

在主机安全测评、网络安全测评、应用安全测评和数据安全及备份恢复等测评任务中，测评人员综合采用文档查阅与分析、安全配置核查和网络监听与分析等检查方法来获取测评证据（如相关措施的部署和配置情况，特定设备的端口开放情况等），用于判断目标系统在主机、网络和应用层面采用的特定安全技术措施是否符合国家相关标准以及委托方的实际需求。

在安全管理类测评任务中，测评人员主要采用文档查阅与分析的检查方法来获取测评证据（如制度文件的编制情况），用于判断特定的安全管理措施是否符合国家、行业相关标准的要求以及委托方的实际需求。

正文 第28页/共58页

网络实验室系统信息安全等级测评报告 [2015]

3) 测试

测试是指评估人员使用预定的方法/工具使评估对象产生特定的行为，通过查看、分析这些行为的结果，获取证据以证明信息系统安全保护措施是否有效的一类方法。在本次测评过程中，测试方法主要应用在手工验证、漏洞扫描、渗透测试等测评任务中。

在网络安全、主机安全和应用安全等测评任务中，测评人员将综合采用手工验证和工具测试（如漏洞扫描、渗透测试等）方法对特定安全技术措施的有效性进行测试，测试结果用于判断目标系统在网络、主机或应用层面采用的特定技术措施是否符合国家相关标准以及委托方的实际需求，并进一步应用于对目标系统进行安全性整体分析。

3.3.2风险分析方法

本项目采用的风险分析过程包括：

1）判断信息系统安全保护能力缺失（测评结果中的部分符合项和不符合项）被威胁利用导致安全事件发生的可能性，可能性的取值范围为高、中和低。

2）判断安全事件对信息系统业务信息安全和系统服务安全造成的影响程度，影响程度取值范围为高、中和低。

3）综合1）和2）的结果对信息系统面临的风险进行汇总和分等级，风险等级的

取

值

范

围

为

高

、

中

和

低

。

正文 第29页/共58页

网络实验室系统信息安全等级测评报告 [2015]

4 单元测评

单元测评内容涉及3.2.2章节“测评对象”中确定的机房、业务应用软件等具体对象，覆盖3.1章节“测评指标”中涉及的物理安全、网络安全、主机安全等10个安全指标分类。具体测评对象的测评结果记录参见本报告附录相应内容，结果汇总与问题分析如下所示。

4.1网络安全

4.1.1 结果汇总

根据现场测评结果记录，可以得到被测信息系统“网络安全”各个测评指标统计结果，具体汇总如下表所示。

表4-1网络安全-单元测评结果汇总表

安全子类 序设备名称 号 结构 安全 访问 控制 安全 整性检审计 查 0/4 符合 2 核心交换机 / 0/1 符合 N/A N/A 0/1 符合 / / 1/1 不符合 1/6 / 部分符码防范 防范 备防护 边界完恶意代入侵 网络设 1 网络全局 / / / 正文 第30页/共58页

网络实验室系统信息安全等级测评报告 [2015]

安全子类 序设备名称 号 结构 安全 访问 控制 安全 整性检审计 查 注：\表示\不适用\，\表示该级别系统无此要求。分母表示\该测评指标中的测评项个数\，分子表示\该测评指标中的不符合的测评项的个数\。 码防范 防范 备防护 边界完恶意代入侵 网络设 4.1.2 结果分析

西科大网络实验室系统在网络安全方面采取了以下措施： ? 根据安全区域划分原则，学校在内网核心交换机上分VLAN；

? 主要网络设备能够满足业务高峰期需要，主要网络和安全设备内存利用率及

cpu占用率均在正常范围；网络各部分带宽满足业务高峰期需要，各通信链路高峰流量均不大于其带宽的50%；

? 在接入处部署了内网防火墙，开启了IPS和防病毒功能；内网服务器区通

过在核心交换机上设置ACL（IP+端口）进行访问控制，并使用内网防火墙的镜像模式实时入侵防御和防病毒检测；

? 在服务区部署了运维审计平台对服务器、网络设备等进行运维管理，回收了

各服务器、网络设备的登录账号和口令，所有服务器、网络设备只能通过运维审计平台进行登录运维，且在防火墙上限制了登录运维审计平台的IP，即限定了管理终端；

? 网络安全设备采用用户名/密码方式；

正文 第31页/共58页