信息系统安全等级保护制度研究及试点项目技术总结报告v1

第页信息系统安全等级保护制度研究及试点技术总结报告

项目概述信息安全等级保护制度研究与试点—省级电力公司信息系统安全等级保护制度研究与试点项目是XXXX、XXXX共同承担的XXXX纵向科学技术项目。研究电网企业信息系统安全等级保护相关标准、指南体系，并且通过试点工作进行验证、完善，为在XXXX贯彻、落实国家信息系统安全等级保护制度、开展等级保护工作创造基础。针对电网企业信息系统的业务、技术、管理特性，研究业务应用系统需要实现的安全功能，提出应用系统通用安全技术要求及相应的测评方法与手段，完成XXXX总部典型应用系统的安全性评测。结合密码技术、集中安全监控与管理技术在公司系统中的推广应用，研究XXXX密码卡通用技术要求与检测标准、信息安全综合管理与监控平台技术标准，结合具体项目，完成密码卡产品的检测工作。项目目标建立信息系统安全等级保护的管理规范和技术标准，推进信息系统规范化建设，合理投入、分级防护，保障信息系统安全，促进电力信息化建设和发展指导设计、开发安全的应用系统，完善应用系统建设标准体系，规范信息系统的开发、验收与测试，从源头提供业务系统的安全防护水平。指导XXXX信息系统开展安全保护措施实施工作。研究内容信息系统安全等级保护制度研究与试点以《计算机信息系统安全防护等级划分准则GB17859-1999》等相关国家标准为基准，遵循行业、XXXX相关制度要求，研究电网企业信息系统安全等级保护相关标准、指南体系，并且通过试点工作进行验证、完善，为贯彻、落实国家信息系统安全等级保护制度、开展等级保护工作创造基础。应用系统通用安全要求与评测参考国家、国际信息安全评测标准，针对XXXX信息系统的业务、技术、管理特性，研究公司应用系统通用安全技术要求及相应的评测方法与手段，完成公司总部财务信息系统、电子公文系统和营销系统的安全及性能测评。安全产品技术规范研究制定XXXX信息系统应用的密码卡技术功能要求，定义统一的应用程序接口API，规范密码设备的使用，规范密码应用软件的开发。研究电网信息系统密码卡的检测规范，包括密码卡检测基本方法、流程和检测内容。研究公司信息安全综合管理与监控平台的技术要求与功能规范。技术路线广泛调研调研了电信、金融、政府等重要信息系统的信息安全等级保护的工作思路、应用实施现状。了解了XXXX及各网省公司信息安全体系的建设现状、对实施信息安全等级保护制度的需求，调研了国内主流信息安全服务商在信息安全等级保护制度方面的解决方案、最新产品等情况。深入研究跟踪、参与国家等级保护相关标准、指南的研究、讨论起草工作。充分领会国家实行等级保护制度的意义和实质，结合电网企业安全等级保护工作的实际情况，广泛探讨相关的技术标准、指南文档体系。主要包括《XXXX信息系统安全保护等级定级指南》、《XXXX信息系统安全保护等级定级报告》试点检验对于XXXX安全等级保护制度相关的标准、指南等，首先在XXXX总部、福建公司、安徽公司和陕西公司进行试点，及时对试点过程中发现的问题进行修订。完善提高根据试点实施的经验，以及收集、整理的对送审稿的意见，并结合公安部和其他行业安全等级保护的最新情况，修改、完善XXXX信息系统等级保护相关规范、标准、指南，形成具备作为公司标准条件的报批稿。等级保护制度研究定级指南定级原则XXXX信息系统安全等级保护定级工作依据是当影响程度和信息安全性这两个基本安全属性遭到破坏时，对电网公司履行其业务职能、机构财产、人员造成的影响程度来确定，并同时考虑以下原则：重点保护、兼顾一般的原则；安全保护等级最大化原则；按类归并、相对独立的原则。对信息系统进行了分类由于XXXX的信息系统涉及业务范围广，应用面宽，为了体现重要业务应用重点保护，有效控制信息安全建设成本，优化信息安全资源配置的等级保护工作原则，应对信息系统进行合理划分。从管理、业务、物理位置和运行环境等方面综合分析，对信息系统进行划分。从管理机构角度划分。不同管理机构（总部、网省、地市公司）管理控制下的信息系统应分开作为不同的定级对象。从业务类型角度划分。根据不同业务应用的“相对独立”性，划分出信息系统的不同部分作为不同的定级对象。信息系统内的“相对独立”部分，通常具有相同的业务处理模式、处理类似的业务信息等特点，安全需求相近，可以保证遵循相同的安全策略。从相同的物理位置或相似的运行环境划分。可根据信息系统所处的物理位置或所处的运行环境，划分出信息系统的不同部分作为不同的定级对象。信息系统内具有相同物理位置或相似运行环境的部分意味着系统所面临的威胁相似，有利于采取统一的安全保护。根据上述定级对象基本特征和信息系统划分方法，结合XXXX“SG186”工程的定义，将XXXX信息系统划分为一体化企业级信息集成平台和财务管理、营销管理、安全生产管理、协同办公、人力资源管理、物资管理、项目管理、综合管理、企业经营管理系统（ERP）等业务系统。提出定级要素信息系统的重要性由以下要素决定：信息系统的影响深度，即信息系统遭到破坏后对企业社会价值的影响程度；信息系统的影响广度，即信息系统遭到破坏后影响范围的大小；信息的安全性（机密性、完整性、可用性）。形成赋值标准信息系统的影响深度决定影响深度等级的因素信息系统类型（因素A）因素A赋值造成的外部影响（因素B）因素B赋值系统可容忍的中断时间（因素C）因素C赋值电网非控制业务系统或管理信息系统1无1天级1电网实时控制业务系统2企业声誉受到影响2小时级2经济建设、社会稳定受到影响3分钟级3国家安全利益受到影响4秒级4信息系统的影响广度决定影响广度等级的因素信息系统服务范围（因素A）因素A赋值信息系统服务对象（因素B）因素B赋值信息系统因无法提供服务或无法提供有效服务会对县级、地市级范围内造成损害，或对本单位造成损害。1信息系统服务对象涵盖内部单个专业员工1信息系统因无法提供服务或无法提供有效服务会对网省（直辖市）级范围内造成损害。2信息系统服务对象涵盖内部多专业员工2信息系统因无法提供服务或无法提供有效服务会对XXXX范围内造成损害。3信息系统服务对象为社会群体3信息的安全性机密性要求赋值机密性定级举例不属于国家秘密和商业秘密信息系统数据，其机密性被破坏，对公司自身利益造成一定损害1其它不属于商业秘密的信息属于商业秘密二级的信息系统数据，其机密性被破坏，对公司自身利益造成严重损害2尚未公布的会计决算及财务预算信息，尚未公布的电力销售情况，经营活动分析等信息属于商业秘密一级或涉及人事、组织、纪检等工作的事项的信息系统数据，其机密性被破坏，对公司自身利益造成非常严重损害3公司资产重组及资本运作的有关信息，公司电网技术改造计划，人事、组织、纪检等工作有关信息信息系统数据，其机密性被破坏，对公司自身利益造成非常严重损害信息系统的数据机密性被破坏，对社会公共利益、经济建设造成损害4完整性要求赋值完整性定级举例信息系统的数据完整性被破坏，对公司自身利益造成一定损害1未经授权的修改或破坏仅对公司某一部门造成一定影响信息系统的数据完整性被破坏，对公司自身利益造成严重损害2未经授权的修改或破坏对公司某一部门的关键义务造成影响，但容易弥补信息系统的数据完整性被破坏，对公共利益、经济建设造成损害3未经授权的修改或破坏对公众利益造成影响信息系统的数据完整性被破坏，对国家安全利益造成损害4未经授权的修改或破坏可能导致严重的业务中断，对国家、社会造成重大的影响可用性要求赋值可用性定级举例信息系统的数据可用性被破坏，对公司自身利益造成一定损害1协同办公、人力资源、物资管理、项目管理、综合管理等信息信息系统的数据可用性被破坏，对公司自身利益造成严重损害2营销管理、财务资金管理等信息信息系统的数据可用性被破坏，对公共利益、经济建设造成损害3电力生产控制信息信息系统的数据可用性被破坏，对国家安全利益造成损害4确定定级方法信息系统安全等级的确定首先要对信息系统的安全保护等级要素进行赋值，然后分别得出系统的影响等级和信息的安全性等级，最后综合确定出信息系统的安全保护等级。形成安全等级保护指导等级表类别定级对象系统级别总部网省地市电力二次系统能量管理系统（具有SCADA、AGC、AVC等控制功能）443变电站自动化系统(含开关站、换流站、集控站)220kV及以上变电站为3级，以下为2级；集控站为3级；火电机组控制系统DCS（含辅机控制系统）单机容量300MW以上为3级，以下为2级水电厂监控系统总装机1000MW以上为3级，以下为2级电能量计量系统332广域相量测量系统（WAMS）33无电网动态预警系统33无调度交易计划系统33无水调自动化系统222调度管理系统（OMS）332雷电监测系统222电力调度数据网络（SGDnet）332通信设备网管系统332通信资源管理系统332综合数据通信网络(SGTnet)222管理信息系统内部门户（网站）系统222对外门户（网站）系统222财务（资金）管理系统332营销管理系统222电力负荷管理系统无33电力市场交易系统33无生产管理信息系统222办公自动化（OA）系统322人力资源管理系统222物资管理系统222项目管理系统222ERP系统222邮件系统222公司广域网（SGInet）222技术要求参考、依据标准等级保护技术要求研究中参考、依据了以下国家标准：GB17859－1999：《计算机信息系统安全保护等级划分准则》

GB/T20269-2006信息安全技术

信息系统安全管理要求GB/T20270-2006信息安全技术

网络基础安全技术要求GB/T20271-2006信息安全技术

信息系统通用安全技术要求GB/T20272-2006信息安全技术

操作系统安全技术要求GB/T20273-2006信息安全技术

数据库管理系统安全技术要求GB/T20275-2006信息安全技术

入侵检测系统技术要求和测试评价方法GB/T20278-2006信息安全技术

网络脆弱性扫描产品技术要求GB/T20279-2006信息安全技术

网络和终端设备隔离部件安全技术要求GB/T18018-2007信息安全技术路由器安全技术要求信息安全技术信息系统安全等级保护基本要求（报批稿）技术要求概述不同等级的安全保护能力不同等级的信息系统应具备的基本安全保护能力如下：第一级安全保护能力：应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害，在系统遭到损害后，能够恢复部分功能。第二级安全保护能力：应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能。第三级安全保护能力：应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。第四级安全保护能力：应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够迅速恢复所有功能。第五级安全保护能力：（略）。基本技术要求和基本管理要求信息系统安全等级保护应依据信息系统的安全保护等级情况保证它们具有相应等级的基本安全保护能力，不同安全保护等级的信息系统要求具有不同的安全保护能力。基本安全要求是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求，根据实现方式的不同，基本安全要求分为基本技术要求和基本管理要求两大类。技术类安全要求与信息系统提供的技术安全机制有关，主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现；管理类安全要求与信息系统中各种角色参与的活动有关，主要通过控制各种角色的活动，从政策、制度、规范、流程以及记录等方面做出规定来实现。基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出；基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出，基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分。基本安全要求从各个层面或方面提出了系统的每个组件应该满足的安全要求，信息系统具有的整体安全保护能力通过不同组件实现基本安全要求来保证。除了保证系统的每个组件满足基本安全要求外，还要考虑组件之间的相互关系，来保证信息系统的整体安全保护能力。关于信息系统整体安全保护能力的说明见附录A。对于涉及国家秘密的信息系统，应按照国家保密工作部门的相关规定和标准进行保护。对于涉及密码的使用和管理，应按照国家密码管理的相关规定和标准实施。基本技术要求的三种类型根据保护侧重点的不同，技术类安全要求进一步细分为：保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求（简记为S）；保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求（简记为A）；通用安全保护类要求（简记为G）。技术要求统计等级保护技术要求包括物理安全、网络安全、主机系统安全、应用安全、数据安全及备份恢复五个方面的评估内容。各方面在不同等级中的内容和数量统计如下：物理安全要求项要求点数量一级二级三级四级物理位置的选择0122物理访问控制1244防盗窃和防破坏2566防雷击1233防火1233防水和防潮2455防静电0123温湿度控制1111电力供应1244电磁防护0133总计9213334网络安全要求项要求点数量一级二级三级四级网络结构安全3477网络访问控制3484网络安全审计0246边界完整性检查0122网络入侵防范0123恶意代码防范0022网络设备保护3689总计9183333主机安全要求项要求点数量一级二级三级四级主机系统的身份鉴别291113主机的安全标识0001主机系统的访问控制681412主机系统的可信路径0002主机系统的安全审计081214主机系统的剩余信息保护0044入侵防范1244恶意代码防范1233主机系统的资源控制0355总计10325358应用安全要求项要求点数量一级二级三级四级应用的身份鉴别2344应用的安全标记0001应用的访问控制3576应用的可信路径0002应用的安全审计0356应用的剩余信息保护0022应用的通信完整性1111应用的通信保密性0223抗抵赖0022软件容错1223应用的资源控制0377总计7193237评估指南及试点系统评估参考、依据标准等级保护评估指南研究中参考、依据了以下国家标准：GB/T20008-2005信息安全技术操作系统安全评估准则GB/T20009-2005信息安全技术数据库管理系统安全评估准则GB/T20010-2005信息安全技术包过滤防火墙评估准则GB/T20011-2005信息安全技术路由器安全评估准则GB/T20275-2006信息安全技术

入侵检测系统技术要求和测试评价方法GB/T20277-2006信息安全技术

网络和终端设备隔离部件测试评价方法GB/T20280-2006信息安全技术

网络脆弱性扫描产品测试评价方法GB/T20281-2006信息安全技术

防火墙技术要求和测试评价方法GB/T18018-2007信息安全技术路由器安全技术要求信息系统安全等级保护测评准则（送审稿）信息系统安全等级保护实施指南（送审稿）评估方法安全等级保护评估的目的安全等级保护评估是根据安全等级保护的管理规定和技术标准要求，针对已经实施了安全等级保护的信息系统进行的符合性评估活动，以确保信息系统的安全保护措施符合相应等级的基本安全要求。评估的手段信息系统安全等级保护评估的手段包括访谈、查看（检查）、测试。访谈是指评估人员通过与信息系统有关人员（个人/群体）进行交流、讨论等活动，获取证据以证明信息系统安全等级保护措施是否有效的一种方法。检查是指评估人员通过观察、查看等活动，获取证据以证明信息系统安全等级保护措施是否有效的一种方法。检查的对象主要是被评估信息系统的物理环境、相关文档、代码等。测试是指评估人员使用预定的方法或工具，获取证据以证明信息系统安全等级保护措施是否有效的一种方法。测试包括，人工审计、人工操作测试、工具测试、渗透测试。评估的深度、广度评估强度是在评估过程中，实施评估的工作强度，体现为评估工作的实际投入程度，评估强度包括评估的广度和深度。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力，满足相应安全等级的保护要求。评估不同安全等级的信息系统是否达具有相应安全等级的安全保护能力，是否满足相应安全等级的保护要求，需要实施与其安全等级相适应的评估内容。安全等级高的系统，评估的深度和广度都会更高。评估的广度越大，评估实施包含的评估项就越多；评估的深度越深，就越需要在细节上展开。测评的广度和深度落实到访谈、检查和测试等三种基本测评方式上，其含义有所不同，体现出测评实施过程中访谈、检查和测试的投入程度不同。可以通过测评广度和深度来描述访谈、检查和测试三种测评方式的测评强度。访谈的深度体现在访谈过程的严格和详细程度，可以分为三种：简要的、充分的、较全面的和全面的。简要访谈只包含通用和高级的问题；充分访谈包含通用和高级的问题以及一些较为详细的问题；较全面访谈包含通用和高级的问题以及一些有难度和探索性的问题；全面访谈包含通用和高级的问题以及较多有难度和探索性的问题。访谈的广度体现在访谈人员的构成和数量上。访谈覆盖不同类型的人员和同一类人的数量多少，体现出访谈的广度不同。检查的深度体现在检查过程的严格和详细程度，可以分为三种：简要的、充分的和全面的。简要检查主要是对功能级上的文档、机制和活动，使用简要的评审、观察或检查以及检查列表和其他相似手段的简短测评；充分检查有详细的分析、观察和研究，除了功能级上的文档、机制和活动外，还适当需要一些总体/概要设计信息；较全面检查有详细、彻底分析、观察和研究，除了功能级上的文档、机制和活动外，还需要总体/概要和一些详细设计以及实现上的相关信息；全面检查有详细、彻底分析、观察和研究，除了功能级上的文档、机制和活动外，还需要总体/概要和详细设计以及实现上的相关信息。检查的广度体现在检查对象的种类（文档、机制等）和数量上。检查覆盖不同类型的对象和同一类对象的数量多少，体现出对象的广度不同。测试的深度体现在执行的测试类型上：功能/性能测试和渗透测试。功能/性能测试只涉及机制的功能规范、高级设计和操作规程；渗透测试涉及机制的所有可用文档，并试图智取进入信息系统。测试的广度体现在被测试的机制种类和数量上。测试覆盖不同类型的机制以及同一类机制的数量多少，体现出对象的广度不同。等级保护评估流程等级保护评估包括：准备阶段、评估实施阶段、模拟环境评估阶段（如果需要）和结果分析阶段。下图为等级保护评估的流程图：系统系统调研准备阶段评估实施阶段系统定级分析选择评估项、制定评估方案模拟环境评估阶段（如果需要）模拟环境下的应用系统安全评估结果分析结果分析阶段物理环境评估系统边界安全评估系统通信安全评估内部计算环境评估了解被评估系统的基本情况，收集系统设计、开发、建设、运行等相关文档分析被评估系统的定级细节，了解各项定级要素的具体赋值根据对系统定级的分析，选择需要实施的评估项，制定评估实施方案如果需要，搭建模拟的系统环境，对一些不适合在生产环境在进行的评估内容放在模拟环境中实施根据评估结果分析、判断被评估系统是否符合相应安全等级的技术安全要求对被评估系统的物理环境方面的安全保护情况进行评估对被评估系统的边界上的安全保护情况进行评估对被评估系统的通信方面的安全保护情况进行评估对被评估系统的内部计算环境方面的安全保护情况进行评估评估内容等级保护评估在技术层面包括物理安全、网络安全、主机系统安全、应用安全、数据安全及备份恢复五个方面的评估内容。各方面在不同等级中的评估内容和数量统计如下：物理安全评估项评估点数量一级二级三级四级物理位置的选择0122物理访问控制1244防盗窃和防破坏2566防雷击1233防火1233防水和防潮2455防静电0123温湿度控制1111电力供应1244电磁防护0133总计9213334网络安全评估项评估点数量一级二级三级四级网络结构安全3477网络访问控制3484网络安全审计0246边界完整性检查0122网络入侵防范0123恶意代码防范0022网络设备保护3689总计9183333主机安全评估项评估点数量一级二级三级四级主机系统的身份鉴别291113主机的安全标识0001主机系统的访问控制681412主机系统的可信路径0002主机系统的安全审计081214主机系统的剩余信息保护0044入侵防范1244恶意代码防范1233主机系统的资源控制0355总计10325358应用安全评估项评估点数量一级二级三级四级应用的身份鉴别2344应用的安全标记0001应用的访问控制3576应用的可信路径0002应用的安全审计0356应用的剩余信息保护0022应用的通信完整性1111应用的通信保密性0223抗抵赖0022软件容错1223应用的资源控制0377总计7193237数据安全及备份恢复评估项评估点数量一级二级三级四级数据完整性1123数据保密性0123备份和恢复1145总计23811评估结果总结依据对二级系统安全等级保护要求和评估指南，XXXX信息安全实验室对福建省电力公司数据中心在等级保护建设前后分别进行了等级保护评估。二次评估的结束结果总结如下表：第一次评估结果类别技术要求符合性物理安全物理位置的选择a）机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。符合物理访问控制a)

机房出入口应安排专人值守，控制、鉴别和记录进入的人员；符合b)

需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。部分符合防盗窃和防破坏a)

应将主要设备放置在机房内；符合b)

应将设备或主要部件进行固定，并设置明显的不易除去的标记；符合c)

应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；符合d)

应对介质分类标识，存储在介质库或档案室中；符合e)

主机房应安装必要的防盗报警设施。符合防雷击a)

机房建筑应设置避雷装置；符合b)

机房应设置交流电源地线。符合防火a）机房应设置灭火设备和火灾自动报警系统。符合防水和防潮a)

水管安装，不得穿过机房屋顶和活动地板下；不符合b)

应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；符合c)

应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。符合防静电a）关键设备应采用必要的接地防静电措施。符合温湿度控制a）机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。符合电力供应a)

应在机房供电线路上配置稳压器和过电压防护设备；符合b)

应提供短期的备用电力供应，至少满足关键设备在断电情况下的正常运行要求。符合电磁防护a）电源线和通信线缆应隔离铺设，避免互相干扰。符合网络安全结构安全a)

应保证关键网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；符合b)

应保证接入网络和核心网络的带宽满足业务高峰期需要；符合c)

应绘制与当前运行情况相符的网络拓扑结构图；符合d)

应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。符合访问控制a)

应在网络边界部署访问控制设备，启用访问控制功能；符合b)

应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级。符合c)

应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；不符合d)

应限制具有拨号访问权限的用户数量。不适用安全审计a)

应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；符合b)

审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。符合边界完整性检查a）应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。不符合入侵防范a）应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。符合网络设备防护a)

应对登录网络设备的用户进行身份鉴别；符合b)

应对网络设备的管理员登录地址进行限制；部分符合c)

网络设备用户的标识应唯一；符合d)

身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；符合e)

应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；符合f)

当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。符合主机安全身份鉴别a)

应对登录操作系统和数据库系统的用户进行身份标识和鉴别；部分符合b)

操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；部分符合c)

应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；部分符合d)

当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；部分符合e)

应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。符合访问控制a)

应启用访问控制功能，依据安全策略控制用户对资源的访问；符合b)

应实现操作系统和数据库系统特权用户的权限分离；部分符合c)

应限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；部分符合d)

应及时删除多余的、过期的帐户，避免共享帐户的存在。部分符合安全审计a)

审计范围应覆盖到服务器上的每个操作系统用户和数据库用户；部分符合b)

审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；部分符合c)

审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；部分符合d)

应保护审计记录，避免受到未预期的删除、修改或覆盖等。部分符合入侵防范a）操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。部分符合恶意代码防范a)

应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；部分符合b)

应支持防恶意代码软件的统一管理。符合资源控制a)

应通过设定终端接入方式、网络地址范围等条件限制终端登录；不符合b)

应根据安全策略设置登录终端的操作超时锁定；不符合c)

应限制单个用户对系统资源的最大或最小使用限度。不符合应用安全身份鉴别a)

应提供专用的登录控制模块对登录用户进行身份标识和鉴别；符合b)

应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用；部分符合c)

应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；不符合d)

应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数。部分符合访问控制a)

应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问；部分符合b)

访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作；符合c)

应由授权主体配置访问控制策略，并严格限制默认帐户的访问权限；符合d)

应授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。符合安全审计a)

应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计；不符合b)

应保证无法删除、修改或覆盖审计记录；不符合c)

审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等。不符合通信完整性a）应采用校验码技术保证通信过程中数据的完整性。不符合通信保密性a)

在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证；部分符合b)

应对通信过程中的敏感信息字段进行加密。符合软件容错a)

应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求；符合b)

在故障发生时，应用系统应能够继续提供一部分功能，确保能够实施必要的措施。符合资源控制a)

当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话；符合b)

应能够对应用系统的最大并发会话连接数进行限制；符合c)

应能够对单个帐户的多重并发会话进行限制；符合数据安全及备份恢复数据完整性a）应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏。不符合数据保密性a）应采用加密或其他保护措施实现鉴别信息的存储保密性。部分符合备份和恢复a)

应能够对重要信息进行备份和恢复；符合b)

应提供数据处理系统的硬件冗余，保证系统的可用性。部分符合第二次评估结果类别技术要求符合性物理安全物理位置的选择a）机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。符合物理访问控制a)

机房出入口应安排专人值守，控制、鉴别和记录进入的人员；符合b)

需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。符合防盗窃和防破坏a)

应将主要设备放置在机房内；符合b)

应将设备或主要部件进行固定，并设置明显的不易除去的标记；符合c)

应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；符合d)

应对介质分类标识，存储在介质库或档案室中；符合e)

主机房应安装必要的防盗报警设施。符合防雷击a)

机房建筑应设置避雷装置；符合b)

机房应设置交流电源地线。符合防火a）机房应设置灭火设备和火灾自动报警系统。符合防水和防潮a)

水管安装，不得穿过机房屋顶和活动地板下；不符合b)

应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；符合c)

应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。符合防静电a）关键设备应采用必要的接地防静电措施。符合温湿度控制a）机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。符合电力供应a)

应在机房供电线路上配置稳压器和过电压防护设备；符合b)

应提供短期的备用电力供应，至少满足关键设备在断电情况下的正常运行要求。符合电磁防护a）电源线和通信线缆应隔离铺设，避免互相干扰。符合网络安全结构安全a)

应保证关键网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；符合b)

应保证接入网络和核心网络的带宽满足业务高峰期需要；符合c)

应绘制与当前运行情况相符的网络拓扑结构图；符合d)

应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。符合访问控制a)

应在网络边界部署访问控制设备，启用访问控制功能；符合b)

应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级。部分符合c)

应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；部分符合d)

应限制具有拨号访问权限的用户数量。不适应安全审计a)

应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；符合b)

审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。符合边界完整性检查a）应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。不符合入侵防范a）应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。符合网络设备防护a)

应对登录网络设备的用户进行身份鉴别；符合b)

应对网络设备的管理员登录地址进行限制；部分符合c)

网络设备用户的标识应唯一；符合d)

身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；符合e)

应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；部分符合f)

当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。部分符合主机安全身份鉴别a)

应对登录操作系统和数据库系统的用户进行身份标识和鉴别；符合b)

操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；部分符合c)

应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；部分符合d)

当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；部分符合e)

应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。符合访问控制a)

应启用访问控制功能，依据安全策略控制用户对资源的访问；部分符合b)

应实现操作系统和数据库系统特权用户的权限分离；符合c)

应限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；符合d)

应及时删除多余的、过期的帐户，避免共享帐户的存在。符合安全审计a)

审计范围应覆盖到服务器上的每个操作系统用户和数据库用户；部分符合b)

审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；部分符合c)

审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；部分符合d)

应保护审计记录，避免受到未预期的删除、修改或覆盖等。部分符合入侵防范a）操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。部分符合恶意代码防范a)

应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；符合b)

应支持防恶意代码软件的统一管理。符合资源控制a)

应通过设定终端接入方式、网络地址范围等条件限制终端登录；不符合b)

应根据安全策略设置登录终端的操作超时锁定；不符合c)

应限制单个用户对系统资源的最大或最小使用限度。不符合应用安全身份鉴别a)

应提供专用的登录控制模块对登录用户进行身份标识和鉴别；符合b)

应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用；符合c)

应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；符合d)

应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数。部分符合访问控制a)

应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问；不符合b)

访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作；符合c)

应由授权主体配置访问控制策略，并严格限制默认帐户的访问权限；符合d)

应授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。部分符合安全审计a)

应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计；部分符合b)

应保证无法删除、修改或覆盖审计记录；部分符合c)

审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等。符合通信完整性a）应采用校验码技术保证通信过程中数据的完整性。符合通信保密性a)

在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证；符合b)

应对通信过程中的敏感信息字段进行加密。符合软件容错a)

应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求；符合b)

在故障发生时，应用系统应能够继续提供一部分功能，确保能够实施必要的措施。符合资源控制a)

当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话；符合b)

应能够对应用系统的最大并发会话连接数进行限制；符合c)

应能够对单个帐户的多重并发会话进行限制；不符合数据安全及备份恢复数据完整性a）应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏。符合数据保密性a）应采用加密或其他保护措施实现鉴别信息的存储保密性。符合备份和恢复a)

应能够对重要信息进行备份和恢复；符合b)

应提供数据处理系统的硬件冗余，保证系统的可用性。部分符合实施指南参考、依据文件实施指南研究中参考、引用了以下国家标准、文件和企业标准：《信息安全等级保护管理办法》公通字[2007]43号《电力行业信息安全等级保护实施办法（征求意见稿）》《电力行业信息系统安全等级保护定级工作指导意见》《信息安全技术信息系统安全等级保护实施指南（报批稿）》《XXXX信息系统安全保护等级定级指南》《XXXX信息系统安全等级保护技术要求》《XXXX信息系统安全等级保护管理要求》《XXXX信息系统安全等级保护评估指南》《XXXX信息化“SG186”工程安全防护总体方案》实施指南概述实施的基本原则等级保护的核心是对信息系统分等级、按标准进行建设、管理。等级保护在实施过程中应遵循以下基本原则：1)自主保护原则由各主管部门和运行使用单位按照国家、公司相关法规和标准，自主确定信息系统的安全等级，自行组织实施安全保护。2)三同步原则信息系统在新建、改建、扩建时应当保证安全等级保护同步规划、同步建设、同步投入运行。3)重点保护原则根据XXXX信息系统的重要程度、业务特点，通过划分不同安全等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。4)适当调整原则要跟踪信息系统的变化情况，调整安全保护措施。因为信息系统的应用类型、范围等条件的变化及其他原因，安全等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全等级，根据信息系统安全等级的调整情况，重新实施安全保护。角色和职责等级保护工作中的主要角色包括信息安全主管部门、信息系统运行使用单位、信息系统开发建设单位、信息系统评估/评测单位、技术支持单位或专家组等。等级保护实施过程中各类角色的职责如下：1)信息化管理部门各单位信息化主管部门应当依照本办法及相关标准规范，督促、检查和指导本单位、下属单位的信息系统运行使用单位的信息安全等级保护工作。对下属单位确定的信息系统安全等级进行审批。2)信息系统运行使用单位负责依照信息安全等级保护的管理规范和技术标准，确定其信息系统的安全保护等级，有主管部门的，应当报其主管部门审核批准；根据已经确定的安全保护等级，到公安机关办理备案手续；按照国家信息安全等级保护管理规范和技术标准，进行信息系统安全保护的规划设计；使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品和信息安全产品，开展信息系统安全建设或者改建工作；制定、落实各项安全管理制度，定期对信息系统的安全状况、安全保护制度及措施的落实情况进行自查，选择符合国家相关规定的等级测评机构，定期进行等级测评；制定不同等级信息安全事件的响应、处置预案，对信息系统的信息安全事件分等级进行应急处置。3）信息系统开发建设单位信息系统开发建设单位的主要责任是根据已经确定的安全等级，按照等级保护的管理规范和技术标准，进行信息系统的规划设计、实施建设，落实安全技术措施。4)安全评估/评测单位安全评估/评测单位的主要责任是根据信息系统运行使用单位的委托，协助信息系统运行使用单位，对未实施等级保护建设的系统进行安全评估，发现存在的安全威胁、安全弱点。按照等级保护的管理规范和技术标准，对已经完成等级保护建设的信息系统进行等级化评估。5)技术支持单位和专家技术支持单位和专家的主要责任是根据信息系统运行使用单位的委托，按照等级保护的管理规范和技术标准，协助信息系统运行、使用单位完成等级保护的相关工作，可能包括确定其信息系统的安全等级、进行安全需求分析、进行信息系统的规划设计、实施建设等。等级保护实施基本流程对信息系统实施等级保护的过程划分为七个阶段，即系统定级阶段、安全评估阶段、安全设计阶段、安全实施建设阶段、安全等级评估阶段、安全运行维护阶段、系统终止阶段。等级保护实施过程贯穿信息系统的整个生命周期。系统定级系统定级安全设计安全实施建设施安全运行维护系统终止安全等级评估施不符合安全评估重大变更局部调整1)系统定级阶段系统定级阶段通过对信息系统调查和分析，进行信息系统划分，确定包括的相对独立的信息系统的个数，选择合适的信息系统安全等级定级方法，科学、准确地确定每个信息系统的安全等级。2）安全评估阶段系统评估阶段通过使用信息安全风险评估的方式对已建信息系统的安全现状、面临的威胁、存在的脆弱性、已有的安全保护措施进行全面、科学的评估。为安全需求分析、安全设计提供依据。3)安全设计阶段安全规划设计阶段通过安全需求分析判断信息系统的安全保护现状与XXXX等级保护基本要求之间的差距，确定安全需求，然后根据信息系统的划分情况、信息系统定级情况、信息系统承载业务情况和安全需求等，设计合理的、满足等级保护要求的总体安全方案，并制定出安全实施规划等，以指导后续的信息系统安全建设工程实施。通常情况下，安全设计阶段包括安全需求分析、安全设计等几个主要活动。4)安全实施阶段安全实施阶段通过安全方案详细设计、安全产品的采购、安全控制的开发、安全控制集成，具体落实到信息系统中去，其最终的成果是提交满足用户安全需求的信息系统以及配套的安全管理体系。通常情况下，安全实施阶段包括安全保护实现方案设计、安全保护实施建设方案设计、安全建设等几个主要活动。5)安全等级评估阶段安全等级评估阶段是在信息系统实施了安全等级保护建设后，通过评估的方式检验信息系统是否达到了相应等级所必需的安全防护能力。如果不具备，则需要进一步的整改。6）安全运行维护阶段安全运行维护包括安全运行维护机构、机制的建立，环境、资产、设备、介质的管理，网络、系统的管理，密码、密钥的管理，运行、变更的管理，安全状态监控和安全事件处置，安全审计和安全检查等内容。在安全运行与维护阶段，信息系统因需求变化等原因导致局部调整，而系统的安全保护等级并未改变，应从安全运行与维护阶段进入安全设计与实施阶段，重新设计、调整和实施安全措施，确保满足等级保护的要求；但信息系统发生重大变更导致系统安全保护等级变化时，应从安全运行与维护阶段进入信息系统定级阶段，重新开始一轮信息安全等级保护的实施过程。7）系统终止阶段信息系统终止阶段是等级保护实施过程中的最后环节。当信息系统被转移、终止或废弃时，正确处理系统内的敏感信息对于确保机构信息资产的安全是至关重要的。在信息系统生命周期中，有些系统并不是真正意义上的废弃，而是改进技术或转变业务到新的信息系统，对于这些信息系统在终止处理过程中应确保信息转移、设备迁移和介质销毁等方面的安全。本标准在信息系统终止阶段关注信息转移、暂存和清除，设备迁移或废弃，存储介质的清除或销毁等活动。应用安全与评测研究部分参考、依据标准应用安全与评测研究中依据、参考了以下国家标准：GB/T18336-2001信息技术安全技术信息技术安全性评估指南GB/T17544-1998信息技术软件包质量要求和测试评测方法测评流程应用软件安全性测评的完整工作流程分为系统调研、测试规划、测试实施、测评报告、安全整改和验证测评六个阶段。在具体实施过程中，根据被测系统测评的特定目的或一次测评的结果，有可能省略其中某个阶段。完整的流程图如下：测评工作启动阶段测评工作启动阶段1．测评调研阶段2．测试规划阶段3．测试实施阶段4．测评报告阶段5．安全整改阶段6．整改验证阶段成立工作组，形成《工作计划》形成《调研报告》形成《测试方案》形成《测试记录》形成《测评报告》、《整改要求》形成《整改方案》，并进行评审形成《验证测评报告》图4-1应用软件安全性测评流程图准备和系统调研此阶段的主要工作是前期协调和资料收集，包括：明确参与测评各方的工作职责和关系，对测评工作目标达成共识；通过全面的系统调研，掌握待测系统在安全性上的相关需求及实现程度；确定测评的总体工作框架。调研结束后，形成工作计划和调研报告，指导测试开展。测试规划针对前期的调研结果，规划测试的细节项目和操作方法，形成指导测试实施的测试大纲和测试方案。测试实施测评方和系统厂商共同搭建、确认测试环境，实施现场测试工作，收集、记录、确认测试数据，形成记录文件并签字。测评报告整理、分析测试数据，形成测评报告，经过审核、批准后提出测评委托方，并根据要求提出适当的整改建议。安全整改如果有必要，应由系统厂商针对系统测评结论中发现的安全缺陷，提出相应的整改方案。经过测评委托方和测评实施方的评审后，实施安全整改。验证测试或二次测评在系统完成安全整改之后，再次对系统相关问题的完善情况进行验证测试。注：如果系统的基础架构需要进行较大改动，或者整改会影响到已经通过测试的部分指标，可按照完整的测评流程进行二次测评。测评内容应用软件安全性测评的内容主要是按照国家和XXXX相关安全标准，并结合应用业务的具体安全需求制定的，通常包含以下测试项目：安全审计应用系统的安全审计包括识别、记录、存储和分析那些与安全相关活动的信息。检查审计记录结果可用来判断发生的安全相关活动以及对活动负责的用户。具体测评项目如下：安全审计自动应答安全审计数据产生安全审计分析安全审计查阅安全审计事件选择安全审计事件存储通信通信安全既要确保发起者不能否认发送过信息，又能确保接收者不能否认收到过信息。具体测评项目如下：原发抗抵赖接收抗抵赖密码支持应用系统可以利用密码功能来满足一些高级安全目的，应用系统同时需要解决密钥管理和密钥使用的问题。具体测评项目如下：密钥管理密钥运算用户数据保护应用系统需要保护内部输入、输出和存储期间的用户数据，以及和用户直接相关的安全属性。具体测评项目如下：访问控制功能数据鉴别应用系统内部传送残余信息保护存储数据的完整性TOE间用户数据传送的保密性保护TOE间用户数据传送的完整性保护标识和鉴别应用系统需要通过标识和鉴别确保用户与正确的安全属性相关联（如身份、组、角色、安全或完整性等级）。具体测评项目如下：鉴别失败用户属性定义秘密的规范用户鉴别用户标识用户_主体绑定安全管理应用系统需要管理安全属性、安全数据和功能、可说明不同的管理角色及其相互作用。具体测评项目如下：TSF功能的管理安全属性的管理TSF数据的管理安全管理角色安全框架保护应用系统需要提供安全框架机制的完整性保护和管理，也需要保护安全框架数据的完整性。具体测评项目如下：TOE内TSF数据的传送重放检测时间戳应用系统访问应用系统需要具有控制建立用户会话的功能。具体测评项目如下：可选属性范围限定多重并发会话限定会话锁定TOE会话建立攻击测试利用攻击技术和自动化的测试工具，发现系统的安全漏洞，并检验安全机制的强度。具体测评项目如下：机密信息窃取越权操作SQL注入权限继承混乱检测溢出测试运行环境安全评估特定情况下，对应用系统的安全测评还应包括对其基础运行环境状况的综合评估。主要包括以下评估内容：网络结构评估主机安全评估通用应用平台安全评估安全措施评估测试方法应用软件安全性测试过程中，一般单独使用或组合使用以下方式来执行测试用例，获取测试数据：表4.1软件安全性测试方法序号方法名称方法描述1操作验证在系统的界面和工具中，执行、验证和确认系统实现的安全功能。2人工查看人工查看系统中与安全相关的配置工具和配置信息。3工具查看使用特定的测试工具对后台数据库、配置文件内容、加密数据等相关安全内容进行确认或验证。4代码检查人工查看系统源代码，验证是否具备相应的安全功能和安全机制，以及实现是否完善。5攻击测试利用攻击工具或通过人工操作的方式攻击系统，验证相关安全机制是否可靠。安全缺陷分布情况经统计，在被测的22个应用系统中，共发现了35个典型的高风险安全缺陷和82个典型的中风险安全缺陷。详细情况见下表：序号系统名称高风险缺陷中风险缺陷低风险缺陷1远光财务系统9252电子公文传输系统9693供电企业MIS5964客户服务管理信息系统31065电力营销管理信息系统2576电力客户服务系统3477营销数据中心系统3878电力营销管理系统1599电力营销管理信息系统18610电力营销系统36611管理营销信息系统4661295598客户服务系统25613营销管理信息系统47614营销技术支持系统2761595598客户服务系统35716电力营销技术支持系统17817电力营销技术支持系统1251895598客户服务系统V3.025519SAPR/3Enterprise02220用电现场服务管理系统38521PowerStar用电管理主站系统26422湖南电力负荷管理系统196总计55141134财务系统安全缺陷详述数据安全性通过测试发现，系统中所有用户的口令（包括管理员和审批员的口令）在网络传输过程中都没有经过有效的加密保护。测试证明能够从网络上截取并破解用户口令。通过测试发现，系统中所有业务数据的存储没有进行加密保护，也没有采取完整性检测。测试证明能够直接登录后台数据库查看、删除、修改业务数据。操作安全性通过测试发现，在用户执行的操作时，服务器端没有进行权限验证，也没有验证用户执行操作时是否在线，甚至也没有验证执行操作的用户是否存在。测试证明在不登录系统的情况下，直接运行执行某一操作的脚本，能够重现用户的操作。在审计记录中也不能追踪到执行操作者的真实身份，因为入侵者可以随意冒充其他用户，或者使用一个根本不存在的用户身份。通信安全性通过测试发现，系统中没有提供会话管理的工具，系统也没有实现会话管理的功能，从而造成服务器端无法有效维护客户端用户的状态。通过测试发现，网络中传输的所有业务数据都没有经过加密，只是采用了通用的流压缩和编码技术，其保护强度不足。系统安全性通过测试发现，系统中虽然设有密码策略的限制机制，但没有提供给系统管理员对密码策略的管理手段，只有靠开发商在实施过程中修改数据库相关表项，不利于用户对系统的使用和维护。通过测试发现，在数据库中的用户信息表内，存在“超级系统管理员”、“超级系统审批员”、“超级系统查询人”，由于是厂家实施中使用的超级用户，无法在系统中监测到。考虑到这几个用户具有特殊权限，在开发商实施完成后必须确实清除掉，否则会给系统留下后门。通过测试发现，系统中设有对用户登录失败进行锁定的管理策略，但是没有对系统管理员开放，而由开发商在数据库中指定，用户难以在系统投用后按情况需求来更改。另外，测试中还发现，在设定连续登录失败的时间间隔时存在有问题，初步考虑可能是由客户端本地缓存文件引起的，最终导致功能实现与策略设定不符合。审计安全性通过测试发现，系统没有提供给系统管理员专门的审计查询工具、管理工具、分析工具，所有审计线索的记录都存储在数据库的表中或服务器本地文件中，因此对FMIS系统的管理员来说是不可见的，更无法管理。电子公文传输系统安全缺陷详述公文子系统操作权限验证不安全：通过测试发现，普通用户可以越权执行管理操作，管理员也可以越权执行业务操作。（危害性：高）用户口令的传输不安全：公文系统的用户远程登录时，用户名和口令采用明文传输，未做任何保护，测试表明可以截获该口令。（危害性：高）业务数据的传输不安全：所有业务数据在传输过程中都经过了对称加密，但所有节点使用的对称密钥为同一个。（危害性：高）密钥管理漏洞：所有节点加密卡使用的对称密钥相同，并且初始化后不能再更换，由于密钥生存周期长极易泄漏，而且一旦一个节点密钥泄漏，将导致整个系统的加密机制失效。（危害性：高）缺少登录保护措施：通过测试发现，系统不具备用户登录失败锁定的机制。（危害性：中）缺少密码保护措施：通过测试发现，系统没有对用户口令的复杂度、使用时间、历史个数等进行默认限制或提供可管理的工具。（危害性：中）业务数据的存储未做保护：所有业务数据没有划分安全保护的类别，全部明文存储在Domino数据库中。（危害性：中）系统数据的保护不足：程序文件、配置文件、可执行代码等都没有进行完整性保护。（危害性：低）审计机制不完全：通过测试发现，系统审计功能中只对成功的业务操作进行了日志记录，没有对系统时间、失败事件、审计事件进行记录，也没有提供审计管理的完整工具，对审计日志信息也没有提供备份工具、完整性校验等保护措施。（危害性：低）不能够自定义安全配置：系统没有提供给使用者相应的配置工具，以至用户不能改变系统的默认安全状态。（危害性：低）加密卡通用性不强：目前公文传输系统秘书机上全部使用了30所的加密卡，其余厂家的加密卡是否可用不确定。（危害性：低）公章子系统操作权限验证不安全：通过测试发现，普通用户可以越权执行管理操作，管理员也可以越权执行业务操作。（危害性：高）用户口令的传输不安全：系统用户在远程登录时，用户名和口令采用明文传输，未做任何保护，测试表明可以截获该口令。（危害性：高）数据库用户权限设置不合理：公章系统登录数据库使用的两个用户，全部设置为数据库管理员角色，没有进行严格的权限设置，存在很大安全隐患。（危害性：高）非对称密钥的产生不安全：服务端的公章系统和客户端的阅读器共同存储了一对固定不变的公私钥，用于加密对称密钥（此对称密钥用于加密验证公章的数据），由于该密钥是写死的并且对所有系统都是一样的，对程序的开发人员也没有办法保密，是破解整个系统安全机制的后门。（危害性：高）上级公章系统向下级发放公章时，下级系统的验证不严格，如XXXX级公章系统发放给华北系统的公章，拿到东北系统中也能够使用。（危害性：高）缺少登录保护措施：通过测试发现，系统不具备用户登录失败锁定的机制，不能对用户登录的客户端IP地址、登录时间进行限制和管理。（危害性：中）缺少密码保护措施：通过测试发现，系统没有对用户口令的复杂度、使用时间、历史个数等进行默认限制或提供可管理的工具。（危害性：中）缺少用户监控机制：通过测试发现，系统系统管理员不能够监视用户的在线状态，也没有相应的控制工具。（危害性：中）管理员不能更改用户口令，一旦用户遗忘口令只能够删除后再重新创建。（危害性：低）数据库用户名和口令不能更改：由于公章系统将访问数据库的用户名和口令写死在程序中，使得实际使用用户无法更改，不利于对数据库安全的维护。（危害性：低）次要数据的存储未做保护：公章的附带信息数据和用于打印验证的单位标识都明文存储在数据库。（危害性：低）系统数据的保护不足：程序文件、配置文件、可执行代码等都没有进行完整性保护。（危害性：低）不能够自定义安全配置：系统没有提供给使用者相应的配置工具，以至用户不能改变系统的默认安全状态。（危害性：低）营销系统安全缺陷详述安全缺陷列表经统计整合，本次测试发现的所有高风险、中风险和低风险安全缺陷列表如下：出现频率高风险缺陷列表中风险缺陷列表低风险缺陷列表高安全审计机制缺失SQL注入漏洞低授权绕过漏洞未授权绕过漏洞数据库认证信息传输缺陷安全审计机制缺陷系统认证信息传输缺陷时间源选择缺陷外部传输数据保护缺陷鉴别失败机制缺失残余信息保护缺陷口令限制机制缺失安全角色限制机制缺陷重鉴别机制缺失缓冲区溢出漏洞内部传输数据保护缺陷安全策略撤销功能缺失会话控制机制缺失抗抵赖机制缺失承担角色机制缺失口令限制机制缺陷口令生成机制缺失低数据库认证信息远程获取漏洞数据库认证信息使用缺陷前置机认证缺陷SQL语句自动执行缺陷密码机制缺陷数据库认证信息存储缺陷系统认证信息存储缺陷授权混乱漏洞查询功能越权漏洞内存机密信息泄露漏洞访问控制机制缺陷用户口令泄露漏洞安全审计管理缺陷密码机制缺陷外部传输数据保护缺陷高风险安全缺陷安全审计机制缺失缺陷描述该系统的安全审计机制严重缺失，导致管理员等授权用户无法有效的对系统进行安全管理，一旦发生违规操作或攻击事件将难以发现，也难以追查取证。缺陷产生原因该系统仅在后台数据库中对部分有限的用户操作进行了记录，但没有提供给授权用户任何独立的审计模块或工具，以便授权用户能够方便的读取审计信息和管理审计策略，导致安全审计机制不可用。缺陷利用条件无缺陷利用方式攻击者可以在系统中执行非法操作，而不会被审计记录。SQL注入漏洞缺陷描述该系统存在SQL注入漏洞，攻击者可能利用此缺陷任意查询数据库，获取客户机密信息；更可能任意修改数据库信息，达到拒绝服务或其他非法目的。缺陷产生原因该系统的服务器端对SQL语句中使用的特殊字符“；”“--”和and、or等未做过滤。缺陷利用条件需要可登录服务器的主机网络。明确的数据库表结构，可从本地可执行文件、dll以及网络截获的数据包中获得。最低需要一个普通操作权限的用户帐户、口令。需要一定的攻击技术。缺陷利用方式通过提交的特殊查询条件，使得原单条SQL操作语句变为多条SQL操作，从而非法的执行数据库添加、删除、联合查询等功能，甚至是drop数据库表文件。低授权绕过漏洞缺陷描述该漏洞导致攻击者可以通过构造数据包，绕过权限控制机制，进行非授权操作。缺陷产生原因应用服务器端没有对客户端的权限（操作请求）进行合法性验证。缺陷利用条件需要可登录服务器的主机网络。至少需要一个普通权限的帐户、口令。需要一定的攻击技术。缺陷利用方式通过界面爆破工具或构造数据包的方式，绕过客户端的控制机制，越权执行非授权操作。数据库认证信息传输缺陷缺陷描述该系统对数据库帐户、口令等机密信息的传输保护不足，导致攻击者可以从网络传输的数据中获取该类机密信息，并利用它对数据库进行非授权的操作。缺陷产生原因该系统在网络中明文传输数据库帐户、口令信息。缺陷利用条件可截获传输数据的网络。需要一定的攻击技术。缺陷利用方式攻击者可利用此缺陷窃听该系统数据库的用户名、口令信息，从而登录后台数据库，执行任意非法操作。数据库认证信息远程获取漏洞缺陷描述该系统对数据库帐户、口令的存储和访问方式存在漏洞，导致攻击者可以远程获取该类机密信息，并利用它对数据库进行非授权的操作。缺陷产生原因采用的无任何控制措施的web页面方式存放数据库帐户、口令，不需要认证就可下载该web页面。缺陷利用条件可访问服务器的网络条件。需要一定的攻击技术。缺陷利用方式远程获取数据库帐户、口令，并连接数据库执行任意非法操作。未授权绕过漏洞缺陷描述在客户端未登录的情况下，可通过特殊手段进入系统，实施任意操作。缺陷产生原因应用服务器端没有对客户端的权限（操作请求）进行合法性验证。缺陷利用条件可访问服务器的网络条件。对业务系统数据库结构有一定的了解。缺陷利用方式恶意的攻击者可能利用此缺陷，自行设计运作流程，与后台服务器联系，执行任意操作。数据库认证信息使用缺陷缺陷描述该系统对数据库口令等机密信息的使用方式不当，导致攻击者可以获取该类机密信息，并利用它对数据库进行非授权的操作。缺陷产生原因该系统属于C/S二层结构，客户端程序需要获取连接数据库的帐号和口令，导致任意客户端在不经认证的情况下都可获取数据库连接配置信息，并在内存中呈现明文的数据库帐号和口令数据。缺陷利用条件需要可登录服务器的主机网络和客户端程序。需要一定的攻击技术。缺陷利用方式攻击者可利用此缺陷从内存中获取该系统数据库的用户名、口令信息，从而登录后台数据库，执行任意非法操作。SQL语句自动执行缺陷缺陷描述该系统会自动执行客户端配置文件中的SQL语句，可能被攻击者利用，执行任意非法数据库。缺陷产生原因该系统客户端CTFiles目录中存储了包含明文SQL语句的配置文件，并且会根据一定规则自动执行该文件中的指令（不进行合法性验证）。缺陷利用条件需要一定的攻击技术。缺陷利用方式攻击者可以不经授权的更改或替换配置文件中的SQL指令，通过系统自动执行非法的数据库操作。安全产品技术规范研究部分密码卡通用技术规范依据、参考标准密码卡通用技术规范的研究参考、依据了以下国家、国际相关标准：《PCI密码卡技术规范（试行）》国家密码管理委员会办公室2004年6月GB/T15277－1994《信息处理64bit分组密码算法的工作方式》GB/T9813－2000《微型计算机通用规范》GB/T6988.1，6988.2，6988.3－1997《电气技术用文件的编制》ISO/IEC7816-3－1997《SmartCardStandard:Part3:Electronicsignalsandtransmissionprotocols》标准概述密码卡的功能要求在本规范中，密码卡的功能包括两类，分别是基本功能和扩展功能：基本功能，包括：a.密码运算功能；b.三级密钥结构（保护密钥、公开密钥与私有密钥、对称密钥密码算法的工作密钥）的支持功能；c.物理随机数生成和检验功能；d.卡内敏感数据信息的保护功能；e.密钥管理功能等。扩展功能，是在基本功能的基础上，根据应用需要进行合理的扩充和增添的功能，包括a.对密码卡的访问控制功能，如必须通过口令验证才能使用密码运算功能；b.除了必须配备的对称和非对称密码算法、摘要算法之外的其他密码运算功能等。1）密码运算功能密码卡必须包含对称密钥密码算法、非对称密钥密码算法和数据摘要算法，在适当的驱动条件下完成相应的密码运算。根据实际需要，密码卡可以配置其他密码算法。2）密码卡的密钥结构密码卡必须至少支持三级密钥结构：保护密钥PK、公开密钥EK与私有密钥DK、工作密钥WK，以支持基于密码卡的设备或应用系统实现端到端的数据保护、一次一密以及相应的密钥管理等。3）物理随机数生成和检验功能密码卡内部必须配置物理噪声源芯片，提供随机数序列的生成。密码卡必须对物理噪声源产生的随机数进行统计检验，以保证随机数的质量。随机数检验的质量标准参照国家密码管理局的有关规定。4）密钥管理功能密码卡必须具有IC卡接口，IC卡的类型为智能卡。密码卡与智能IC卡联合进行密钥管理。IC卡可以作为公开密钥EK、私有密钥DK、用户签名信息、证书信息或其他敏感数据信息的载体。密码卡借助IC卡完成密钥的导入和导出功能。导入导出密钥的方案必须经过国家密码管理局的批准。密码卡与IC卡联合完成身份认证功能。只有经过身份认证后，方可使用密码卡提供的三级密钥结构。5）工作密钥存储功能密码卡必须根据系统需要提供一定数量的工作密钥存储区域，并提供有关工作密钥的添加、销毁和更改等功能。6）设备标志信息存储功能密码卡应具有唯一的设备标志信息，以区分不同厂家、不同型号、不同批次生产的密码卡。密码卡的硬件要求1）PCI接口要求符合PCI2.0规范；并随着规范的不断扩展尽量符合以后的扩展规范。总线宽度可采用32/64位数据总线；采用存储器方式或I/O端口方式进行访问。基于x86及其兼容平台的密码卡，总线排序方式采用LittleEndian模式；基于PowerPC及其兼容平台的密码卡，总线排序方式采用BigEndian模式。数据通信可采用查询方式或中断通信方式。采用DMA传输方式或其他方式。密码卡可以工作于单一的“＋5V”电压、单一“＋3.3V”电压或两种混合电压环境。在上述任何一种情形下，密码卡的功耗不得大于25W。2）USB接口要求符合USB2.0规范;并随着规范的不断扩展尽量符合以后的扩展规范。符合USB2.0规范的Hi-Speed要求，为25Mbps~400Mbps，最大480Mbps。采用USB2.0中定义的四种数据传输方式：控制传输、同步传输、中断传输、批量传输中的任意一种。密码卡可以采用USB的数据线供电，供电电压为+5V，或者可以采用自供电方式。在采用USB数据线供电时功耗不得大于2.5W，对于自供电方式的密码卡，功耗不得大于25W。3）环境要求密码卡的工作环境必须符合GB/T9813－2000《微型计算机通用规范》中关于“气候环境适应性”二级的规定要求。4）可靠性要求 密码卡的可靠性指标采用平均无故障工作时间（MTBF）来衡量。密码卡的平均无故障工作时间由组成密码卡的各个部件的可靠性决定。密码卡的软件要求1）底层软件底层软件采用模块化设计，以保证不同版本之间模块的向后兼容性。运用密码技术，在底层软件中对关键代码、密钥和关键数据进行加密保护的软件，称为保护算法软件。保护算法代码必须安全存储。由物理噪声源产生的随机序列应至少通过几项基本的随机性（如0和1的平衡性、连长特性等）检验，以确保其等概性和不可预测性。通过检验的随机序列才可用作随机密钥。底层软件应通过技术措施，防止用户的非法调用，防止系统“死机”。为了保证使用同样密码算法的不同型号的密码卡之间的加解密互通，必须定义数据的收发顺序。2）驱动程序驱动程序应透明传输应用软件和密码卡缓存区之间的数据，不得截获、解析应用软件的数据结构。应提供安装/卸载程序