检查内容
1. 物理安全(统建系统除三个数据中心外其他系统一律不写物理环境)
检查依据:
GB/T 22239-2008 《信息安全技术 信息系统安全等级保护基本要求》;
GB/T 21052-2007 《信息安全技术 信息系统物理安全技术要求》。
2. 管理安全
检查依据:
- GB/T 22239-2008 《信息安全技术 信息系统安全等级保护基本要求》;
- GB/T 22081-2008《 信息技术 安全技术 信息安全管理实用规则》;
- GB/T 22080-2008 《信息技术 安全技术 信息安全管理体系要求》;
- GB/T 20269-2006《 信息技术 信息系统安全管理要求》;
- GA/T 713-2007《信息系统安全管理测评》。
3. 网络安全
检查依据:
GB/T 22239-2008 《信息安全技术 信息系统安全等级保护基本要求》;
GB/T 20270-2006 《信息安全技术 网络基础安全技术要求》;
GB/T 20281-2006 《信息安全技术 防火墙技术要求和测试评价方法》;
GB/T 18018-2007《信息安全技术 路由器安全技术要求》;
GB/T 20275-2006 《信息安全技术 入侵检测系统技术要求》;
ISO/IEC 15408(GB/T18336)信息产品通用测评准则。
4. 服务器安全
检查依据:
GB/T 22239-2008 《信息安全技术 信息系统安全等级保护基本要求》。
5. 终端安全(所有终端问题一律放在同步整改的问题中)
检查依据:
GB/T 22239-2008 《信息安全技术 信息系统安全等级保护基本要求》;
6. 渗透测试(通过渗透测试的手段来发现信息系统的整体防护能力方面存在的薄弱环节)
渗透测试的途径:
未对终端计算机接入广域网的行为进行控制和审计,造成外部人员使用的终端计算机任意接入广域网;
由于在广域网改进系统中未进行安全区域的划分,同时也未按区域的重要程度实施安全防护策略,可通过广域网内某个点访问到其他系统的服务器;
服务器部署在广域网内,未采取合理的登录策略和密码控制策略,开放了不必要的端口和服务,同时自身存在安全漏洞,存在被非授权用户利用的安全风险。