通过双线路、双击热备、存储设备等方式保证系统的可用性,同时安排工程师驻场维护,已应对突发事件,但未根据相关规定对计算机安全事件进行等级划分,发生安全事件采取何种处置措施不明确,不利于安全事件的及时处理。
综上所述,被测票务系统基本符合第三级信息系统等级保护的安全要求,但还存在个别问题,希望在安全建设整改中继续完善。
f主要安全问题
票务系统存在的主要安全问题:
1
安全管理方面
1未成立指导和管理信息安全工作的领导小组;
2全员统一考核,未针对关键岗位考核;
3厂商部对系统进行安全性测试,未委托第三方测试单位对系统进行测试;
4由信息化部控制机房的人员出入和物品带进带出,暂时缺少机房管理制度;
5未建立安全管理中心集中管理,厂商工程师通过不同的方式对设备状态、恶意代码、补丁升级、安全审计等事项进行管理;
6未对安全事件划分等级管理;
7暂未制定应急预案,未进行应急预案培训和应急演练;
2
物理安全方面
1机房窗户没有做密封处理,不能防止雨水通过机房窗户、屋顶和墙壁渗透;
3
网络安全方面
1未部署入侵检测设备,仅通过防火强异常日志记录,然后人为判断异常行为份;
2网络边界未配置恶意代码检测设备,仅通过防火墙做策略防护;
3没有对网络设备运行状况、网络流量进行监控,可以对用户操作进行日志记录,日志文件存储于设备本地,覆盖式存储,且无审计报表;
4网络及安全设备仅采用用户名密码一种身份鉴别方式;
5没有技术手段防止地址欺骗,不能防止从部网络发起的网络攻击和对重要主机的地址欺骗;
f6远程管理采用tel
et明文协议;
4主机安全方面
1仅使用账号、密码登录系统,未实现两种及以上鉴别技术对管理用户进行身份鉴别;
2主机安装赛门铁克杀毒软件,网络暂时没有启用防恶意代码设备;3终端安装有360杀毒,网络没有防恶意代码设备;4系统存在多余账户,没有共享账户存在;5数据库版本为sqlserver2012企业版,遵循最小安装原则,没有开放多余
端口,补丁不会定期进行更新;
5应用安全方面
1仅使用账号密码登录,没有使用两种及以上方式进行身份鉴别;2有用户名唯一鉴别功能,用户名没有设置复杂度要求;3已启用身份鉴别,用户身份标识唯一,用户身份鉴别信息复杂度不满足要求,开启登录失败处理功能;4修改密码时,新设定的密码与旧密码可以相同,不符合要求;5审计记录不能筛选,不能生成审计报表进行分析。
6数据安全方面
1数据信息没有进行异地备r