【文章內容簡介】 ............................60 安全控制間安全測評 ........................................................................................................................................60 層面間安全測評 ................................................................................................................................................60 區(qū)域間安全測評 ................................................................................................................................................60 系統(tǒng)結構安全測評 ............................................................................................................................................60 整體結構的安全性測評分析 ....................................................................................................................60 整體安全防范的合理性測評分析 ............................................................................................................606 測評結果匯總 ....................................................................................................................................................617 風險分析和評價 ................................................................................................................................................638 等級測評結論 ....................................................................................................................................................669 安全建設整改建議 ............................................................................................................................................67III / 73 主機安全 .................................................................................................................................................................67 應用安全 .................................................................................................................................................................67 安全管理機構 .........................................................................................................................................................67 系統(tǒng)建設管理 .........................................................................................................................................................68 系統(tǒng)運維管理 .........................................................................................................................................................681 / 73報告摘要一、測評工作概述廣東電網公司東莞供電局配網生產管理信息系統(tǒng)主要實現(xiàn)設備臺帳管理、功能位置管理、停電計劃管理、巡檢缺陷管理、兩票流程管理、班組工作管理、供電可靠性等七個部分的業(yè)務功能，以及系統(tǒng)參數(shù)管理、業(yè)務流程管理和業(yè)務系統(tǒng)接口三部分系統(tǒng)功能。配網生產管理信息系統(tǒng)的信息系統(tǒng)安全保護等級已定為二級（S2A2G2） 。廣州競遠系統(tǒng)網絡技術有限公司（以下簡稱廣州競遠公司）受廣東電網公司東莞供電局的委托，對廣東電網公司東莞供電局配網生產管理信息系統(tǒng)進行信息系統(tǒng)安全等級保護測評，現(xiàn)場測評項目組分為技術核查小組及管理核查小組；針對安全技術及安全管理兩大方向、十個層面進行了測評與分析。二、等保測評結論綜合第 7 章的測評與分析結果，等級測評結果中存在一些部分符合項或不符合項，但不會導致信息系統(tǒng)面臨高等級的安全風險，廣東電網公司東莞供電局配網生產管理信息系統(tǒng)的安全保護能力基本符合等級保護二級基本要求。2 / 731 測評項目概述 測評目的建立信息安全等級保護制度，通過測試手段對安全技術和安全管理上各個層面的安全控制進行整體性驗證。協(xié)助用戶完成等級保護測評工作。 測評依據信息系統(tǒng)等級測評是對運營和使用單位信息系統(tǒng)建設和管理的狀況進行等級測評。依據《信息系統(tǒng)安全等級保護基本要求》 、 《信息系統(tǒng)安全等級保護測評準則》 ，在對信息系統(tǒng)進行安全技術和安全管理的安全控制測評及系統(tǒng)整體測評結果基礎上，針對不同等級的信息系統(tǒng)遵循的不同標準進行綜合系統(tǒng)安全測評評審后確定，由等級保護測評機構給予相應的系統(tǒng)安全等級評審意見。主要參考標準如下：? 《信息安全等級保護管理辦法》? 《信息安全技術 信息系統(tǒng)安全等級保護定級指南》 （GB/T 222402022）? 《信息安全技術 信息系統(tǒng)安全等級保護基本要求》 （GB/T 222392022）? 《信息系統(tǒng)安全等級保護測評要求》 （報批稿）? 《信息系統(tǒng)安全等級保護實施指南》 （報批稿）? 《信息系統(tǒng)安全等級保護測評過程指南》 （報批稿）? 《計算機信息系統(tǒng)安全保護等級劃分準則》 （GB178591999）? 《信息安全技術 信息系統(tǒng)通用安全技術要求》 （GB/T202712022）? 《信息安全技術 網絡基礎安全技術要求》 （GB/T202702022）? 《信息安全技術 操作系統(tǒng)安全技術要求》 （GB/T202722022）? 《信息安全技術 數(shù)據庫管理系統(tǒng)安全技術要求》 （GB/T202732022）? 《信息安全技術 服務器技術要求》 （GB/T210282022）3 / 73? 《信息安全技術 終端計算機系統(tǒng)安全等級技術要求》 （GA/T6712022）? 《IT 主流設備安全基線技術規(guī)范》(Q/CSG 11804—2022)? 《廣東電網公司信息安全管理辦法》() 測評過程信息系統(tǒng)安全等級保護測評過程包括四個階段。? 測評申請階段被測單位向測評機構提出測評申請，測評機構對被測單位的申請材料進行審查，在雙方達成共識的情況下，雙方簽訂保密協(xié)議、委托書、合同。 ? 測評準備階段測評機構成立項目組后，工作人員到被測單位了解被測評系統(tǒng)的信息，編寫信息系統(tǒng)業(yè)務調查報告，信息系統(tǒng)規(guī)劃設計分析報告，與被測單位共同討論評測方案，評測工作計劃，達成共同認可的評測方案和評測工作計劃。 ? 測評檢查、測試階段在進入現(xiàn)場檢測測試階段時，測評機構項目組成員在參照系統(tǒng)體系建設相關資料（系統(tǒng)建設方案、技術資料、管理資料、日常維護資料）后，對測評單位進行安全管理機構檢查、安全管理制度檢查、系統(tǒng)備案依據檢查、技術要求落實情況測評、定期評估執(zhí)行情況檢查、等級響應、處理檢查、教育和培訓檢查，生成管理檢查記錄、技術檢查記錄和核查報告。? 測評綜合分析階段測評機構最后進行核查結果分析，等級符合性分析、專家評審，生成等級測評報告和安全建議報告具體流程如下圖：4 / 735 / 73 報告分發(fā)范圍廣東電網公司東莞供電局配網生產管理信息系統(tǒng)等級測評報告的分發(fā)控制如下：? 等級測評報告正本的份數(shù)為一份，副本兩份；? 等級測評報告的分發(fā)范圍為廣東電網公司東莞供電局信息部及廣州競遠公司。6 / 732 被測信息系統(tǒng)情況廣東電網公司東莞供電局配網生產管理信息系統(tǒng)，通過邏輯隔離措施進行了安全控制規(guī)劃，形成了一個或多個物理網段或邏輯網段的集合，已經形成了區(qū)域邊界安全防護、橫向邏輯隔離、縱向的訪問控制實體。廣東電網公司東莞供電局的分域防護不僅實現(xiàn)了邊界防護，而且體現(xiàn)了一組在網絡、主機、應用等多個層次上深層防護措施。 承載的業(yè)務情況廣東電網公司東莞供電局配網生產管理信息系統(tǒng)包括：主要實現(xiàn)設備臺帳管理、功能位置管理、停電計劃管理、巡檢缺陷管理、兩票流程管理、班組工作管理、供電可靠性等七個部分的業(yè)務功能，以及系統(tǒng)參數(shù)管理、業(yè)務流程管理和業(yè)務系統(tǒng)接口三部分系統(tǒng)功能。 網絡結構廣東電網公司東莞供電局配網生產管理信息系統(tǒng)，采用星型兩級結構，用兩臺核心交換機作為網內所有網絡設備的中心節(jié)點，采用光纖接入交換機，所有服務器接入核心交換機再接入內網的中心交換機，內網核心交換機與接入層之間均實現(xiàn)雙機熱備功能，確保內部網絡的穩(wěn)定性和可靠性。采用防火墻系統(tǒng)、入侵檢測系統(tǒng)、內網安全保密、審計系統(tǒng)及網頁防篡改來確保網絡的安全。在各個邊界都部署了防火墻，在與省網的接口處設置了一臺網絡審計系統(tǒng)。在搭建服務器的核心交換機上都部署了防火墻和 IDS，兩臺交換機與接入層之間實現(xiàn)了雙機熱備，確保系統(tǒng)的穩(wěn)定性。具體網絡拓撲結構圖如下：7 / 73 系統(tǒng)構成 業(yè)務應用軟件序號 軟件名稱 主要功能 重要程度1 配網生產管理信息系統(tǒng)主要實現(xiàn)設備臺帳管理、功能位置管理、停電計劃管理、巡檢缺陷管理、兩票流程管理、班組工作管理、供電可靠性等七個部分的業(yè)務功能；重要2 weblogic 中間件 重要8 / 73 關鍵數(shù)據類別序號 數(shù)據類別 所屬業(yè)務應用 主機/存儲設備 重要程度1配網生產管理信息系統(tǒng)數(shù)據廣東電網公司東莞供電局配網生產管理信息系統(tǒng)Windows服務器 重要2 網絡設備配置文件廣東電網公司東莞供電局配網生產管理信息系統(tǒng)核心交換機 重要 主機/存儲設備序號 設備名稱 操作系統(tǒng)/數(shù)據庫管理系統(tǒng) 業(yè)務應用軟件 重要程度1 配網生產管理信息系統(tǒng) Windows/Oracle weblogic 重要 網絡互聯(lián)設備序號 設備名稱 用 途 重要程度1 Cisco Catalyst 6509 IDC 交換機 重要2 Cisco Catalyst 6509 廣域網交換 重要 安全設備序號 設備名稱 用 途 重要程度1 Nokia (CheckPoint)防火墻提供包過濾、內部網重要網段的隔離，訪問控制 ACL 策略重要2 啟明星辰 1000M IDS 內網安全風險管理與審計系統(tǒng) 重要 安全相關人員序號 姓名 崗位/角色 聯(lián)系方式1 鄧雄榮 安全專職2 封祐均 域控（安全） 、防火墻管理員3 譚華雄 網絡（安全）管理員4 高承芳 應用（安全）管理員9 / 73序號 姓名 崗位/角色 聯(lián)系方式5 溫兆聰 主機、數(shù)據庫管理員 安全管理文檔序號 文檔名稱 用途 重要程度1 信息安全管理辦法信息安全工作的總體方針政策文件，保證單位的信息系統(tǒng)的安全，結合公司信息系統(tǒng)建設的實際情況，制訂的有關計算機、網絡和信息安全的相關法規(guī)和安全制度重要2 信息化工作管理辦法 信息化工作的具體管理辦法 重要3 信息化規(guī)劃管理辦法 信息化規(guī)劃管理辦法 重要4數(shù)據處理與存儲中心運行管理規(guī)定機房安全管理制度，重要5 網絡安全系統(tǒng)運行管理規(guī)定 網絡運行的管理制度 重要6 第三方安全管理規(guī)范 V 對第三方人員訪問的管理規(guī)范 重要7 介質安全管理規(guī)定保密移動存儲介質的管理，確保檔案信息的安全重要8 數(shù)據加密保護管理規(guī)定 對于數(shù)據加密保護等的詳細規(guī)定 重要9無線網絡信息安全防護技術參考規(guī)范對無線網絡的使用的詳細規(guī)定重要10 信