等保测评发现问题整改第一阶段(2013年)应用二科明细表.docx

等保测评发现问题整改第一阶段（2013年）应用二科明细表序号问题描述关联资产风险值风险评价测评结论测评系统名称及在测评报告中的定位：问题（W）、风险值（F）、符合情况（B）解决措施（要求）整改意见，能否完成、若有困难说明理由和建议备注1.在软件安装之前未检测软件包中可能存在的恶意代码。安全管理高系统容易遭受病毒、木马等恶意代码的威胁不符合部门预算管理系统（W、F、B）在软件安装之前检测软件包中可能存在的恶意代码。保留检测结果截图此项为承诺项，填写承诺人姓名即可2.操作系统使用明文传输telnet远程登录控制维护。部门预算管理系统高使用telnet传输鉴别信息、重要数据，可能使未加密数据被截取。/部门预算管理系统（W、F）、在操作系统上设置禁用telnet远程登录CPJY：尽量使用SSH进行远程登陆3.unix操作系统和数据库系统未开启审计功能或安装第三方审计软件，仅开启syslogd服务，造成审计不完善。部门预算管理系统高操作系统审计不完善，对日后的维护工作造成一定的困扰不能对问题追溯原因。/部门预算管理系统（W、F）开启unix操作系统和数据库系统审计功能我中心已配置对主机和网路设备的安全审计系统。有无操作系统的审计功能请确认。4.应启用访问控制功能，依据安全策略控制用户对资源的访问。部门预算管理系统高操作系统未关闭默认共享。不符合部门预算管理系统（W、F、B）操作系统关闭默认共享。5.操作系统和数据库系统未设置口令复杂度，口令长度，口令更改周期策略及未设置登录失败处理功能。部门预算管理系统中口令策略/登录失败处理功能未设置，造成非授权用户及恶意人员进行对系统暴力破解后窃取数据。/部门预算管理系统（W、F）操作系统和数据库系统设置口令复杂度及口令更改周期策略，口令策略登录失败处理功能6.未授予不同账户为完成各自承担任务所需的最小权限，并在它们之间形成互相制约的关系。应用软件中易发生越权破坏行为。/部门预算管理系统（W、F）为不同账号授予不同的最小权限7.应限制单个用户对系统资源的最大或最小使用限度。部门预算管理系统中未对单个用户进行资源使用的限制不符合部门预算管理系统（W、F、B）对单个用户进行资源使用的限制8.应支持防恶意代码的统一管理。/操作系统未安装防恶意代码软件。不符合部门预算管理系统（W、B）小机linux系统安装防恶意代码软件。9.应根据安全策略设置登录终端的操作超时锁定。/未设置登录终端超时锁定。不符合部门预算管理系统（W、B）设置登录终端超时锁定。10.应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施。/数据库系统未开启登录失败处理功能，非法登录次数及锁定时间。不符合部门预算管理系统（W、B）数据库系统开启登录失败处理功能，非法登录次数及锁定时间。11.审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。/数据库系统未开启审计功能。不符合部门预算管理系统（W、B）数据库系统开启审计功能。（参备注栏）CPJY:建议开启Oracle数据库审计功能，并通过数据库审计系统将所有数据库日志进行统一收集，定期对审计日志进行分析、汇总、生成审计报表。12.审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。/数据库系统未开启审计功能。不符合部门预算管理系统（W、B）数据库系统开启审计功能。13.应能够对一个时间段内可能的并发会话连接数进行限制。/未对一个时间段内可能的并发会话连接数进行限制。不符合部门预算管理系统（W、B）对一个时间段内可能的并发会话连接数进行限制。14.应能够对系统的最大并发会话连接数进行限制。/未限制系统最大并发会话连接数。不符合部门预算管理系统（W、B）限制系统最大并发会话连接数15.应能够对单个账户的多重并发会话进行限制。/未对单个账户的多重并发会话进行限制。不符合部门预算管理系统（W、B）对单个账户的多重并发会话进行限制16.应授予不同账户为完成各自承担任务所需的最小权限，并在它们之间形成互相制约的关系。/仅有系统管理员。不符合部门预算管理系统（W、B）为不同账户授予所需的最小权限17.应通过设定终端接入方式、网络地址范围等条件限制终端登录；/通过熙菱登录终端，限制仅内网IP和部分指定主机可以登录，但开启telnet服务。部分符合部门预算管理系统（W、B）在相应主机上关闭telnet服务18.审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。/数据库系统未开启审计功能。不符合部门预算管理系统（W、B）数据库系统开启审计功能。19.应保护审计记录，避免受到未预期的删除、修改或覆盖等。/数据库系统未开启审计功能。不符合部门预算管理系统（W、B）数据库系统开启审计功能。20.应保护审计进程，避免受到未预期的中断。/数据库系统未开启审计功能。不符合部门预算管理系统（W、B）数据库系统开启审计功能。21.应能够根据记录数据进行分析，并生成审计报表。/数据库系统未开启审计功能。不符合部门预算管理系统（W、B）数据库系统开启审计功能。22.未提供空闲会话自动锁定功能；未限制系统最大并发会话连接数；未限制单个帐户的多重并发会话；未限制一个时间段内系统的可能并发会话连接数；未对一个访问账户或一个请求进程占用的资源进行分配；未提供系统服务优先级设定功能。应用软件中系统将面临拒绝服务攻击等威胁，不能够保证系统的高可用性。/部门预算管理系统（W、F）进行相应设置23.未提供空闲会话自动锁定功能；未限制一个时间段内系统的可能并发会话连接数；未对一个访问账户或一个请求进程占用的资源进行分配；未提供系统服务优先级设定功能。应用软件中系统将面临拒绝服务攻击等威胁，不能够保证系统的高可用性。/政府财政管理信息系统（W、F），工资统发系统、财政供养人员管理系统进行相应功能设置？24.应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用，根据安全策略配置相关参数。/提供用户身份标识唯一性检查功能，鉴别信息长度无强制要求，由数字、字母、字符组成，管理制度中要求口令更改周期为三个月。部分符合部门预算管理系统（W、B）提供用户身份复杂度检查功能25.应能够对一个访问账户或一个请求进程占用的资源分配最大限额和最小限额。/未对一个帐户或请求进程占用的资源进行分配。不符合部门预算管理系统（W、B）对一个访问账户或一个请求进程占用的资源分配最大限额和最小限额