【正文】 .................................................................................60 整體結(jié)構(gòu)的安全性測(cè)評(píng)分析 ....................................................................................................................60 整體安全防范的合理性測(cè)評(píng)分析 ............................................................................................................606 測(cè)評(píng)結(jié)果匯總 ....................................................................................................................................................617 風(fēng)險(xiǎn)分析和評(píng)價(jià) ................................................................................................................................................638 等級(jí)測(cè)評(píng)結(jié)論 ....................................................................................................................................................669 安全建設(shè)整改建議 ............................................................................................................................................67III / 73 主機(jī)安全 .................................................................................................................................................................67 應(yīng)用安全 .................................................................................................................................................................67 安全管理機(jī)構(gòu) .........................................................................................................................................................67 系統(tǒng)建設(shè)管理 .........................................................................................................................................................68 系統(tǒng)運(yùn)維管理 .........................................................................................................................................................681 / 73報(bào)告摘要一、測(cè)評(píng)工作概述廣東電網(wǎng)公司東莞供電局配網(wǎng)生產(chǎn)管理信息系統(tǒng)主要實(shí)現(xiàn)設(shè)備臺(tái)帳管理、功能位置管理、停電計(jì)劃管理、巡檢缺陷管理、兩票流程管理、班組工作管理、供電可靠性等七個(gè)部分的業(yè)務(wù)功能，以及系統(tǒng)參數(shù)管理、業(yè)務(wù)流程管理和業(yè)務(wù)系統(tǒng)接口三部分系統(tǒng)功能。廣州競(jìng)遠(yuǎn)系統(tǒng)網(wǎng)絡(luò)技術(shù)有限公司（以下簡(jiǎn)稱廣州競(jìng)遠(yuǎn)公司）受廣東電網(wǎng)公司東莞供電局的委托，對(duì)廣東電網(wǎng)公司東莞供電局配網(wǎng)生產(chǎn)管理信息系統(tǒng)進(jìn)行信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)，現(xiàn)場(chǎng)測(cè)評(píng)項(xiàng)目組分為技術(shù)核查小組及管理核查小組；針對(duì)安全技術(shù)及安全管理兩大方向、十個(gè)層面進(jìn)行了測(cè)評(píng)與分析。2 / 731 測(cè)評(píng)項(xiàng)目概述 測(cè)評(píng)目的建立信息安全等級(jí)保護(hù)制度，通過測(cè)試手段對(duì)安全技術(shù)和安全管理上各個(gè)層面的安全控制進(jìn)行整體性驗(yàn)證。 測(cè)評(píng)依據(jù)信息系統(tǒng)等級(jí)測(cè)評(píng)是對(duì)運(yùn)營(yíng)和使用單位信息系統(tǒng)建設(shè)和管理的狀況進(jìn)行等級(jí)測(cè)評(píng)。主要參考標(biāo)準(zhǔn)如下：? 《信息安全等級(jí)保護(hù)管理辦法》? 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》 （GB/T 222402022）? 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》 （GB/T 222392022）? 《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》 （報(bào)批稿）? 《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》 （報(bào)批稿）? 《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南》 （報(bào)批稿）? 《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》 （GB178591999）? 《信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求》 （GB/T202712022）? 《信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》 （GB/T202702022）? 《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》 （GB/T202722022）? 《信息安全技術(shù) 數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求》 （GB/T202732022）? 《信息安全技術(shù) 服務(wù)器技術(shù)要求》 （GB/T210282022）3 / 73? 《信息安全技術(shù) 終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》 （GA/T6712022）? 《IT 主流設(shè)備安全基線技術(shù)規(guī)范》(Q/CSG 11804—2022)? 《廣東電網(wǎng)公司信息安全管理辦法》() 測(cè)評(píng)過程信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程包括四個(gè)階段。 ? 測(cè)評(píng)準(zhǔn)備階段測(cè)評(píng)機(jī)構(gòu)成立項(xiàng)目組后，工作人員到被測(cè)單位了解被測(cè)評(píng)系統(tǒng)的信息，編寫信息系統(tǒng)業(yè)務(wù)調(diào)查報(bào)告，信息系統(tǒng)規(guī)劃設(shè)計(jì)分析報(bào)告，與被測(cè)單位共同討論評(píng)測(cè)方案，評(píng)測(cè)工作計(jì)劃，達(dá)成共同認(rèn)可的評(píng)測(cè)方案和評(píng)測(cè)工作計(jì)劃。? 測(cè)評(píng)綜合分析階段測(cè)評(píng)機(jī)構(gòu)最后進(jìn)行核查結(jié)果分析，等級(jí)符合性分析、專家評(píng)審，生成等級(jí)測(cè)評(píng)報(bào)告和安全建議報(bào)告具體流程如下圖：4 / 735 / 73 報(bào)告分發(fā)范圍廣東電網(wǎng)公司東莞供電局配網(wǎng)生產(chǎn)管理信息系統(tǒng)等級(jí)測(cè)評(píng)報(bào)告的分發(fā)控制如下：? 等級(jí)測(cè)評(píng)報(bào)告正本的份數(shù)為一份，副本兩份；? 等級(jí)測(cè)評(píng)報(bào)告的分發(fā)范圍為廣東電網(wǎng)公司東莞供電局信息部及廣州競(jìng)遠(yuǎn)公司。廣東電網(wǎng)公司東莞供電局的分域防護(hù)不僅實(shí)現(xiàn)了邊界防護(hù)，而且體現(xiàn)了一組在網(wǎng)絡(luò)、主機(jī)、應(yīng)用等多個(gè)層次上深層防護(hù)措施。 網(wǎng)絡(luò)結(jié)構(gòu)廣東電網(wǎng)公司東莞供電局配網(wǎng)生產(chǎn)管理信息系統(tǒng)，采用星型兩級(jí)結(jié)構(gòu)，用兩臺(tái)核心交換機(jī)作為網(wǎng)內(nèi)所有網(wǎng)絡(luò)設(shè)備的中心節(jié)點(diǎn)，采用光纖接入交換機(jī)，所有服務(wù)器接入核心交換機(jī)再接入內(nèi)網(wǎng)的中心交換機(jī)，內(nèi)網(wǎng)核心交換機(jī)與接入層之間均實(shí)現(xiàn)雙機(jī)熱備功能，確保內(nèi)部網(wǎng)絡(luò)的穩(wěn)定性和可靠性。在各個(gè)邊界都部署了防火墻，在與省網(wǎng)的接口處設(shè)置了一臺(tái)網(wǎng)絡(luò)審計(jì)系統(tǒng)。具體網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如下：7 / 73 系統(tǒng)構(gòu)成 業(yè)務(wù)應(yīng)用軟件序號(hào) 軟件名稱 主要功能 重要程度1 配網(wǎng)生產(chǎn)管理信息系統(tǒng)主要實(shí)現(xiàn)設(shè)備臺(tái)帳管理、功能位置管理、停電計(jì)劃管理、巡檢缺陷管理、兩票流程管理、班組工作管理、供電可靠性等七個(gè)部分的業(yè)務(wù)功能；重要2 weblogic 中間件 重要8 / 73 關(guān)鍵數(shù)據(jù)類別序號(hào) 數(shù)據(jù)類別 所屬業(yè)務(wù)應(yīng)用 主機(jī)/存儲(chǔ)設(shè)備 重要程度1配網(wǎng)生產(chǎn)管理信息系統(tǒng)數(shù)據(jù)廣東電網(wǎng)公司東莞供電局配網(wǎng)生產(chǎn)管理信息系統(tǒng)Windows服務(wù)器 重要2 網(wǎng)絡(luò)設(shè)備配置文件廣東電網(wǎng)公司東莞供電局配網(wǎng)生產(chǎn)管理信息系統(tǒng)核心交換機(jī) 重要 主機(jī)/存儲(chǔ)設(shè)備序號(hào) 設(shè)備名稱 操作系統(tǒng)/數(shù)據(jù)庫(kù)管理系統(tǒng) 業(yè)務(wù)應(yīng)用軟件 重要程度1 配網(wǎng)生產(chǎn)管理信息系統(tǒng) Windows/Oracle weblogic 重要 網(wǎng)絡(luò)互聯(lián)設(shè)備序號(hào) 設(shè)備名稱 用 途 重要程度1 Cisco Catalyst 6509 IDC 交換機(jī) 重要2 Cisco Catalyst 6509 廣域網(wǎng)交換 重要 安全設(shè)備序號(hào) 設(shè)備名稱 用 途 重要程度1 Nokia (CheckPoint)防火墻提供包過濾、內(nèi)部網(wǎng)重要網(wǎng)段的隔離，訪問控制 ACL 策略重要2 啟明星辰 1000M IDS 內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng) 重要 安全相關(guān)人員序號(hào) 姓名 崗位/角色 聯(lián)系方式1 鄧雄榮 安全專職2 封祐均 域控（安全） 、防火墻管理員3 譚華雄 網(wǎng)絡(luò)（安全）管理員4 高承芳 應(yīng)用（安全）管理員9 / 73序號(hào) 姓名 崗位/角色 聯(lián)系方式5 溫兆聰 主機(jī)、數(shù)據(jù)庫(kù)管理員 安全管理文檔序號(hào) 文檔名稱 用途 重要程度1 信息安全管理辦法信息安全工作的總體方針政策文件，保證單位的信息系統(tǒng)的安全，結(jié)合公司信息系統(tǒng)建設(shè)的實(shí)際情況，制訂的有關(guān)計(jì)算機(jī)、網(wǎng)絡(luò)和信息安全的相關(guān)法規(guī)和安全制度重要2 信息化工作管理辦法 信息化工作的具體管理辦法 重要3 信息化規(guī)劃管理辦法 信息化規(guī)劃管理辦法 重要4數(shù)據(jù)處理與存儲(chǔ)中心運(yùn)行管理規(guī)定機(jī)房安全管理制度，重要5 網(wǎng)絡(luò)安全系統(tǒng)運(yùn)行管理規(guī)定 網(wǎng)絡(luò)運(yùn)行的管理制度 重要6 第三方安全管理規(guī)范 V 對(duì)第三方人員訪問的管理規(guī)范 重要7 介質(zhì)安全管理規(guī)定保密移動(dòng)存儲(chǔ)介質(zhì)的管理，確保檔案信息的安全重要8 數(shù)據(jù)加密保護(hù)管理規(guī)定 對(duì)于數(shù)據(jù)加密保護(hù)等的詳細(xì)規(guī)定 重要9無(wú)線網(wǎng)絡(luò)信息安全防護(hù)技術(shù)參考規(guī)范對(duì)無(wú)線網(wǎng)絡(luò)的使用的詳細(xì)規(guī)定重要10 信息安全管理體系手冊(cè)對(duì)信息安全工作各個(gè)方面實(shí)際情況，制定的關(guān)于各個(gè)方面的管理規(guī)定，包括系統(tǒng)、網(wǎng)絡(luò)、設(shè)備、介質(zhì)、人員等等重要11信息安全漏洞掃描及加固參考規(guī)范對(duì)系統(tǒng)漏洞的管理及發(fā)現(xiàn)漏洞后的加固參考規(guī)范重要10 / 7312 運(yùn)維管理設(shè)備部署參考規(guī)范 對(duì)設(shè)備部署的規(guī)定 重要13 運(yùn)維管理設(shè)備管理策略要求 對(duì)設(shè)備安全管理的策略 重要14 信息資產(chǎn)管理制度 規(guī)范資產(chǎn)的管理 重要15 IDC 機(jī)房安全管理制度 機(jī)房管理 重要16 IDC 網(wǎng)絡(luò)系統(tǒng)應(yīng)急預(yù)案 IDC 網(wǎng)絡(luò)系統(tǒng)應(yīng)急預(yù)案 重要17 終端安全系統(tǒng)應(yīng)急預(yù)案 終端安全系統(tǒng)應(yīng)急預(yù)案 重要18 防病毒系統(tǒng)應(yīng)急預(yù)案 防病毒系統(tǒng)應(yīng)急預(yù)案 重要 安全環(huán)境序號(hào) 威脅分(子)類 描述 威脅賦值1設(shè)備硬件故障、傳輸設(shè)備故障、 存儲(chǔ)媒體故障、系統(tǒng)軟件故障、 應(yīng)用軟件故障、 數(shù)據(jù)庫(kù)軟件故障、 開發(fā)環(huán)境故障對(duì)業(yè)務(wù)實(shí)施或系統(tǒng)運(yùn)行產(chǎn)生影響的設(shè)備硬件故障 、通訊鏈路中斷、系統(tǒng)本身或軟件缺陷造等問題高2斷電、 靜電、 灰塵、 潮濕 、 溫度 、 鼠蟻蟲害、 電磁干擾、洪災(zāi)、火 災(zāi)、地震等對(duì)信息系統(tǒng)正常運(yùn)行造成影響的物理環(huán)境問題和 自 然災(zāi)害中3維護(hù)錯(cuò)誤、操作失誤 等 應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作，或無(wú)意地執(zhí)行了錯(cuò) 誤的操作中4管理制度和策 略不完善、管理規(guī) 程缺失、職責(zé)不明確、監(jiān)督控管 機(jī)制不健全等安全管理無(wú)法落實(shí) 或不到位，從而破壞信息系統(tǒng)正常有序運(yùn)行中5病毒、 特洛伊木馬、 蠕蟲、 陷門 、 間諜軟件、竊聽軟件 等故意在計(jì)算機(jī)系統(tǒng)上執(zhí)行惡意任務(wù)的程序代碼高11 / 736非授權(quán)訪問網(wǎng)絡(luò)資源、 非授權(quán)訪 問系統(tǒng)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)、濫用權(quán)限泄 露秘密信息 等通過采用一些措施，超越自己的權(quán)限訪問了本來(lái)無(wú)權(quán)訪問的資源，或者濫用自己的職權(quán)，做出破壞信息系統(tǒng)的行為中7網(wǎng)絡(luò)探測(cè)和信息采集、 漏洞探測(cè)、 嗅探（賬戶、 口令、 權(quán)限等 ） 、 用 戶身份偽造和欺 騙、用戶或業(yè)務(wù) 數(shù)據(jù)的竊取和破壞、系統(tǒng)運(yùn)行的 控制和破壞等利用工具和技術(shù) 通過網(wǎng)絡(luò)對(duì)信息系統(tǒng)進(jìn)行攻擊和入侵高8物理接觸、物理破壞、盜竊 等 通過物理的接觸造成對(duì)軟件、硬件、數(shù)據(jù)的破壞低9 內(nèi)部信息泄露、外部信息泄露 等 信息泄露給不應(yīng)了解的他人 低10篡改網(wǎng)絡(luò)配置信息、篡改系統(tǒng)配 置信息、篡改安全配置信息、篡 改用戶身份信息或業(yè)務(wù)數(shù)據(jù)信息 等非法修改信息，破壞信息的完整性使系統(tǒng)的安全性降 低或信息不可用中11 原發(fā)抵賴、接收抵賴、第三方抵賴等 不承認(rèn)收到的信息 和所作的操作和交易低 前次測(cè)評(píng)情況無(wú)。12 / 73 基本指標(biāo)依據(jù)信息系統(tǒng)確定的業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)，選擇《基本要求》中對(duì)應(yīng)級(jí)別的安全要求作為等級(jí)測(cè)評(píng)的基本指標(biāo)。 特殊指標(biāo)根據(jù)系統(tǒng)等級(jí)保護(hù)定級(jí)情況及辦公業(yè)務(wù)平臺(tái)環(huán)境，此次測(cè)評(píng)主要依據(jù)等級(jí)保護(hù)基本要求，不再增加特殊指標(biāo)。 測(cè)評(píng)對(duì)象選擇結(jié)果1) 機(jī)房序號(hào) 機(jī)房名稱 物理位置1 廣東電網(wǎng)公司東莞供電局機(jī)房 廣東電網(wǎng)公司東莞供電局2) 業(yè)務(wù)應(yīng)用軟件序號(hào) 軟件名稱 主要功能 重要程度1 配網(wǎng)生產(chǎn)管理信息系統(tǒng)