【文章內(nèi)容簡(jiǎn)介】 ............................60 安全控制間安全測(cè)評(píng) ........................................................................................................................................60 層面間安全測(cè)評(píng) ................................................................................................................................................60 區(qū)域間安全測(cè)評(píng) ................................................................................................................................................60 系統(tǒng)結(jié)構(gòu)安全測(cè)評(píng) ............................................................................................................................................60 整體結(jié)構(gòu)的安全性測(cè)評(píng)分析 ....................................................................................................................60 整體安全防范的合理性測(cè)評(píng)分析 ............................................................................................................606 測(cè)評(píng)結(jié)果匯總 ....................................................................................................................................................617 風(fēng)險(xiǎn)分析和評(píng)價(jià) ................................................................................................................................................638 等級(jí)測(cè)評(píng)結(jié)論 ....................................................................................................................................................669 安全建設(shè)整改建議 ............................................................................................................................................67III / 73 主機(jī)安全 .................................................................................................................................................................67 應(yīng)用安全 .................................................................................................................................................................67 安全管理機(jī)構(gòu) .........................................................................................................................................................67 系統(tǒng)建設(shè)管理 .........................................................................................................................................................68 系統(tǒng)運(yùn)維管理 .........................................................................................................................................................681 / 73報(bào)告摘要一、測(cè)評(píng)工作概述廣東電網(wǎng)公司東莞供電局配網(wǎng)生產(chǎn)管理信息系統(tǒng)主要實(shí)現(xiàn)設(shè)備臺(tái)帳管理、功能位置管理、停電計(jì)劃管理、巡檢缺陷管理、兩票流程管理、班組工作管理、供電可靠性等七個(gè)部分的業(yè)務(wù)功能，以及系統(tǒng)參數(shù)管理、業(yè)務(wù)流程管理和業(yè)務(wù)系統(tǒng)接口三部分系統(tǒng)功能。配網(wǎng)生產(chǎn)管理信息系統(tǒng)的信息系統(tǒng)安全保護(hù)等級(jí)已定為二級(jí)（S2A2G2） 。廣州競(jìng)遠(yuǎn)系統(tǒng)網(wǎng)絡(luò)技術(shù)有限公司（以下簡(jiǎn)稱廣州競(jìng)遠(yuǎn)公司）受廣東電網(wǎng)公司東莞供電局的委托，對(duì)廣東電網(wǎng)公司東莞供電局配網(wǎng)生產(chǎn)管理信息系統(tǒng)進(jìn)行信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)，現(xiàn)場(chǎng)測(cè)評(píng)項(xiàng)目組分為技術(shù)核查小組及管理核查小組；針對(duì)安全技術(shù)及安全管理兩大方向、十個(gè)層面進(jìn)行了測(cè)評(píng)與分析。二、等保測(cè)評(píng)結(jié)論綜合第 7 章的測(cè)評(píng)與分析結(jié)果，等級(jí)測(cè)評(píng)結(jié)果中存在一些部分符合項(xiàng)或不符合項(xiàng)，但不會(huì)導(dǎo)致信息系統(tǒng)面臨高等級(jí)的安全風(fēng)險(xiǎn)，廣東電網(wǎng)公司東莞供電局配網(wǎng)生產(chǎn)管理信息系統(tǒng)的安全保護(hù)能力基本符合等級(jí)保護(hù)二級(jí)基本要求。2 / 731 測(cè)評(píng)項(xiàng)目概述 測(cè)評(píng)目的建立信息安全等級(jí)保護(hù)制度，通過(guò)測(cè)試手段對(duì)安全技術(shù)和安全管理上各個(gè)層面的安全控制進(jìn)行整體性驗(yàn)證。協(xié)助用戶完成等級(jí)保護(hù)測(cè)評(píng)工作。 測(cè)評(píng)依據(jù)信息系統(tǒng)等級(jí)測(cè)評(píng)是對(duì)運(yùn)營(yíng)和使用單位信息系統(tǒng)建設(shè)和管理的狀況進(jìn)行等級(jí)測(cè)評(píng)。依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》 、 《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則》 ，在對(duì)信息系統(tǒng)進(jìn)行安全技術(shù)和安全管理的安全控制測(cè)評(píng)及系統(tǒng)整體測(cè)評(píng)結(jié)果基礎(chǔ)上，針對(duì)不同等級(jí)的信息系統(tǒng)遵循的不同標(biāo)準(zhǔn)進(jìn)行綜合系統(tǒng)安全測(cè)評(píng)評(píng)審后確定，由等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)給予相應(yīng)的系統(tǒng)安全等級(jí)評(píng)審意見(jiàn)。主要參考標(biāo)準(zhǔn)如下：? 《信息安全等級(jí)保護(hù)管理辦法》? 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》 （GB/T 222402022）? 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》 （GB/T 222392022）? 《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》 （報(bào)批稿）? 《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》 （報(bào)批稿）? 《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》 （報(bào)批稿）? 《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》 （GB178591999）? 《信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求》 （GB/T202712022）? 《信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》 （GB/T202702022）? 《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》 （GB/T202722022）? 《信息安全技術(shù) 數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求》 （GB/T202732022）? 《信息安全技術(shù) 服務(wù)器技術(shù)要求》 （GB/T210282022）3 / 73? 《信息安全技術(shù) 終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》 （GA/T6712022）? 《IT 主流設(shè)備安全基線技術(shù)規(guī)范》(Q/CSG 11804—2022)? 《廣東電網(wǎng)公司信息安全管理辦法》() 測(cè)評(píng)過(guò)程信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程包括四個(gè)階段。? 測(cè)評(píng)申請(qǐng)階段被測(cè)單位向測(cè)評(píng)機(jī)構(gòu)提出測(cè)評(píng)申請(qǐng)，測(cè)評(píng)機(jī)構(gòu)對(duì)被測(cè)單位的申請(qǐng)材料進(jìn)行審查，在雙方達(dá)成共識(shí)的情況下，雙方簽訂保密協(xié)議、委托書、合同。 ? 測(cè)評(píng)準(zhǔn)備階段測(cè)評(píng)機(jī)構(gòu)成立項(xiàng)目組后，工作人員到被測(cè)單位了解被測(cè)評(píng)系統(tǒng)的信息，編寫信息系統(tǒng)業(yè)務(wù)調(diào)查報(bào)告，信息系統(tǒng)規(guī)劃設(shè)計(jì)分析報(bào)告，與被測(cè)單位共同討論評(píng)測(cè)方案，評(píng)測(cè)工作計(jì)劃，達(dá)成共同認(rèn)可的評(píng)測(cè)方案和評(píng)測(cè)工作計(jì)劃。 ? 測(cè)評(píng)檢查、測(cè)試階段在進(jìn)入現(xiàn)場(chǎng)檢測(cè)測(cè)試階段時(shí)，測(cè)評(píng)機(jī)構(gòu)項(xiàng)目組成員在參照系統(tǒng)體系建設(shè)相關(guān)資料（系統(tǒng)建設(shè)方案、技術(shù)資料、管理資料、日常維護(hù)資料）后，對(duì)測(cè)評(píng)單位進(jìn)行安全管理機(jī)構(gòu)檢查、安全管理制度檢查、系統(tǒng)備案依據(jù)檢查、技術(shù)要求落實(shí)情況測(cè)評(píng)、定期評(píng)估執(zhí)行情況檢查、等級(jí)響應(yīng)、處理檢查、教育和培訓(xùn)檢查，生成管理檢查記錄、技術(shù)檢查記錄和核查報(bào)告。? 測(cè)評(píng)綜合分析階段測(cè)評(píng)機(jī)構(gòu)最后進(jìn)行核查結(jié)果分析，等級(jí)符合性分析、專家評(píng)審，生成等級(jí)測(cè)評(píng)報(bào)告和安全建議報(bào)告具體流程如下圖：4 / 735 / 73 報(bào)告分發(fā)范圍廣東電網(wǎng)公司東莞供電局配網(wǎng)生產(chǎn)管理信息系統(tǒng)等級(jí)測(cè)評(píng)報(bào)告的分發(fā)控制如下：? 等級(jí)測(cè)評(píng)報(bào)告正本的份數(shù)為一份，副本兩份；? 等級(jí)測(cè)評(píng)報(bào)告的分發(fā)范圍為廣東電網(wǎng)公司東莞供電局信息部及廣州競(jìng)遠(yuǎn)公司。6 / 732 被測(cè)信息系統(tǒng)情況廣東電網(wǎng)公司東莞供電局配網(wǎng)生產(chǎn)管理信息系統(tǒng)，通過(guò)邏輯隔離措施進(jìn)行了安全控制規(guī)劃，形成了一個(gè)或多個(gè)物理網(wǎng)段或邏輯網(wǎng)段的集合，已經(jīng)形成了區(qū)域邊界安全防護(hù)、橫向邏輯隔離、縱向的訪問(wèn)控制實(shí)體。廣東電網(wǎng)公司東莞供電局的分域防護(hù)不僅實(shí)現(xiàn)了邊界防護(hù)，而且體現(xiàn)了一組在網(wǎng)絡(luò)、主機(jī)、應(yīng)用等多個(gè)層次上深層防護(hù)措施。 承載的業(yè)務(wù)情況廣東電網(wǎng)公司東莞供電局配網(wǎng)生產(chǎn)管理信息系統(tǒng)包括：主要實(shí)現(xiàn)設(shè)備臺(tái)帳管理、功能位置管理、停電計(jì)劃管理、巡檢缺陷管理、兩票流程管理、班組工作管理、供電可靠性等七個(gè)部分的業(yè)務(wù)功能，以及系統(tǒng)參數(shù)管理、業(yè)務(wù)流程管理和業(yè)務(wù)系統(tǒng)接口三部分系統(tǒng)功能。 網(wǎng)絡(luò)結(jié)構(gòu)廣東電網(wǎng)公司東莞供電局配網(wǎng)生產(chǎn)管理信息系統(tǒng)，采用星型兩級(jí)結(jié)構(gòu)，用兩臺(tái)核心交換機(jī)作為網(wǎng)內(nèi)所有網(wǎng)絡(luò)設(shè)備的中心節(jié)點(diǎn)，采用光纖接入交換機(jī)，所有服務(wù)器接入核心交換機(jī)再接入內(nèi)網(wǎng)的中心交換機(jī)，內(nèi)網(wǎng)核心交換機(jī)與接入層之間均實(shí)現(xiàn)雙機(jī)熱備功能，確保內(nèi)部網(wǎng)絡(luò)的穩(wěn)定性和可靠性。采用防火墻系統(tǒng)、入侵檢測(cè)系統(tǒng)、內(nèi)網(wǎng)安全保密、審計(jì)系統(tǒng)及網(wǎng)頁(yè)防篡改來(lái)確保網(wǎng)絡(luò)的安全。在各個(gè)邊界都部署了防火墻，在與省網(wǎng)的接口處設(shè)置了一臺(tái)網(wǎng)絡(luò)審計(jì)系統(tǒng)。在搭建服務(wù)器的核心交換機(jī)上都部署了防火墻和 IDS，兩臺(tái)交換機(jī)與接入層之間實(shí)現(xiàn)了雙機(jī)熱備，確保系統(tǒng)的穩(wěn)定性。具體網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如下：7 / 73 系統(tǒng)構(gòu)成 業(yè)務(wù)應(yīng)用軟件序號(hào) 軟件名稱 主要功能 重要程度1 配網(wǎng)生產(chǎn)管理信息系統(tǒng)主要實(shí)現(xiàn)設(shè)備臺(tái)帳管理、功能位置管理、停電計(jì)劃管理、巡檢缺陷管理、兩票流程管理、班組工作管理、供電可靠性等七個(gè)部分的業(yè)務(wù)功能；重要2 weblogic 中間件 重要8 / 73 關(guān)鍵數(shù)據(jù)類別序號(hào) 數(shù)據(jù)類別 所屬業(yè)務(wù)應(yīng)用 主機(jī)/存儲(chǔ)設(shè)備 重要程度1配網(wǎng)生產(chǎn)管理信息系統(tǒng)數(shù)據(jù)廣東電網(wǎng)公司東莞供電局配網(wǎng)生產(chǎn)管理信息系統(tǒng)Windows服務(wù)器 重要2 網(wǎng)絡(luò)設(shè)備配置文件廣東電網(wǎng)公司東莞供電局配網(wǎng)生產(chǎn)管理信息系統(tǒng)核心交換機(jī) 重要 主機(jī)/存儲(chǔ)設(shè)備序號(hào) 設(shè)備名稱 操作系統(tǒng)/數(shù)據(jù)庫(kù)管理系統(tǒng) 業(yè)務(wù)應(yīng)用軟件 重要程度1 配網(wǎng)生產(chǎn)管理信息系統(tǒng) Windows/Oracle weblogic 重要 網(wǎng)絡(luò)互聯(lián)設(shè)備序號(hào) 設(shè)備名稱 用 途 重要程度1 Cisco Catalyst 6509 IDC 交換機(jī) 重要2 Cisco Catalyst 6509 廣域網(wǎng)交換 重要 安全設(shè)備序號(hào) 設(shè)備名稱 用 途 重要程度1 Nokia (CheckPoint)防火墻提供包過(guò)濾、內(nèi)部網(wǎng)重要網(wǎng)段的隔離，訪問(wèn)控制 ACL 策略重要2 啟明星辰 1000M IDS 內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng) 重要 安全相關(guān)人員序號(hào) 姓名 崗位/角色 聯(lián)系方式1 鄧雄榮 安全專職2 封祐均 域控（安全） 、防火墻管理員3 譚華雄 網(wǎng)絡(luò)（安全）管理員4 高承芳 應(yīng)用（安全）管理員9 / 73序號(hào) 姓名 崗位/角色 聯(lián)系方式5 溫兆聰 主機(jī)、數(shù)據(jù)庫(kù)管理員 安全管理文檔序號(hào) 文檔名稱 用途 重要程度1 信息安全管理辦法信息安全工作的總體方針政策文件，保證單位的信息系統(tǒng)的安全，結(jié)合公司信息系統(tǒng)建設(shè)的實(shí)際情況，制訂的有關(guān)計(jì)算機(jī)、網(wǎng)絡(luò)和信息安全的相關(guān)法規(guī)和安全制度重要2 信息化工作管理辦法 信息化工作的具體管理辦法 重要3 信息化規(guī)劃管理辦法 信息化規(guī)劃管理辦法 重要4數(shù)據(jù)處理與存儲(chǔ)中心運(yùn)行管理規(guī)定機(jī)房安全管理制度，重要5 網(wǎng)絡(luò)安全系統(tǒng)運(yùn)行管理規(guī)定 網(wǎng)絡(luò)運(yùn)行的管理制度 重要6 第三方安全管理規(guī)范 V 對(duì)第三方人員訪問(wèn)的管理規(guī)范 重要7 介質(zhì)安全管理規(guī)定保密移動(dòng)存儲(chǔ)介質(zhì)的管理，確保檔案信息的安全重要8 數(shù)據(jù)加密保護(hù)管理規(guī)定 對(duì)于數(shù)據(jù)加密保護(hù)等的詳細(xì)規(guī)定 重要9無(wú)線網(wǎng)絡(luò)信息安全防護(hù)技術(shù)參考規(guī)范對(duì)無(wú)線網(wǎng)絡(luò)的使用的詳細(xì)規(guī)定重要10 信