通过双线路、双击热备、存储设备等方式保证系统的可用性，同时安排工程师驻场维护，已应对突发事件，但未根据相关规定对计算机安全事件进行等级划分，发生安全事件采取何种处置措施不明确，不利于安全事件的及时处理。
综上所述，被测票务系统基本符合第三级信息系统等级保护的安全要求，但还存在个别问题，希望在安全建设整改中继续完善。
f主要安全问题
票务系统存在的主要安全问题：
1
安全管理方面
1未成立指导和管理信息安全工作的领导小组；
2全员统一考核，未针对关键岗位考核；
3厂商部对系统进行安全性测试，未委托第三方测试单位对系统进行测试；
4由信息化部控制机房的人员出入和物品带进带出，暂时缺少机房管理制度；
5未建立安全管理中心集中管理，厂商工程师通过不同的方式对设备状态、恶意代码、补丁升级、安全审计等事项进行管理；
6未对安全事件划分等级管理；
7暂未制定应急预案，未进行应急预案培训和应急演练；
2
物理安全方面
1机房窗户没有做密封处理，不能防止雨水通过机房窗户、屋顶和墙壁渗透；
3
网络安全方面
1未部署入侵检测设备，仅通过防火强异常日志记录，然后人为判断异常行为份；
2网络边界未配置恶意代码检测设备，仅通过防火墙做策略防护；
3没有对网络设备运行状况、网络流量进行监控，可以对用户操作进行日志记录，日志文件存储于设备本地，覆盖式存储，且无审计报表；
4网络及安全设备仅采用用户名密码一种身份鉴别方式；
5没有技术手段防止地址欺骗，不能防止从部网络发起的网络攻击和对重要主机的地址欺骗；
f6远程管理采用tel
et明文协议；
4主机安全方面
1仅使用账号、密码登录系统，未实现两种及以上鉴别技术对管理用户进行身份鉴别；
2主机安装赛门铁克杀毒软件，网络暂时没有启用防恶意代码设备；3终端安装有360杀毒，网络没有防恶意代码设备；4系统存在多余账户，没有共享账户存在；5数据库版本为sqlserver2012企业版，遵循最小安装原则，没有开放多余
端口，补丁不会定期进行更新；
5应用安全方面
1仅使用账号密码登录，没有使用两种及以上方式进行身份鉴别；2有用户名唯一鉴别功能，用户名没有设置复杂度要求；3已启用身份鉴别，用户身份标识唯一，用户身份鉴别信息复杂度不满足要求，开启登录失败处理功能；4修改密码时，新设定的密码与旧密码可以相同，不符合要求；5审计记录不能筛选，不能生成审计报表进行分析。
6数据安全方面
1数据信息没有进行异地备r