计算机机房安全等级测评内容
计算机机房安全等级测评内容
1、物理安全
1.1结果记录
根据该系统物理安全备测评对象的单项测评结果，可以判定得出物理安全层面测评指标的测评结论，具体如下表所示：
护措施和存在的主要问题如下：
1、物理访问控制：机房内未部署视频监控系统。

2、防盗窃和防破坏：网络设备、安全设备、通信线缆均没有黏贴相应的且不易除去的标签；机房内未部署防盗报警系统。

3、防火：机房内未部署消防自动报警系统和灭火器。

4、温湿度控制：更换普通空调，采用精密空调，同时部署机房环境监控系统。

1.2网络安全
1.2.1结果记录
根据该系统网络安全备测评对象的单项测评结果，可以判定得出网络安全层面测评指标的测评结论，具体如下表所示：
1.2.2结果汇总
网络全局安全测评结果汇总和统计表
汇聚交换机安全测评结果汇总和统计表
1.2.3问题分析
根据现场测评记录结果和上表的统计，信息系统在网络安全方面采取的安全保护措施和存在的主要问题如下：
1、结构安全：未按照业务功能以及部门办公划分多个vlan，需要部署防火墙、WAF防火墙、入侵检测设备和安全审计系统。

2、网络设备防护：汇聚交换机均未限制管理员的登录地址；汇聚交换机现有用户口令由字母组成，不符合复杂度要求，未定期更换；交换机虽开启的日志审计功能，但未对用户的行为进行审计。

日常执行远程管理时，汇集交换机未配置登录失败处理策略，未能有效阻止非法登陆。

1.3主机安全
1.3.1结果记录
根据该系统主机安全测评对象的单项测评结果，可以判定得出主机安全层面测评指标的测评结论，具体如下表所示：
1.3.1.1信息系统服务器（IP:19
2.168.70.252）
1.3.1.2数据库服务器（IP:19
2.168.70.102）
1.3.2结果汇总
信息系统服务器安全测评结果汇总和统计表
数据库服务器安全测评结果汇总和统计表
1.3.3问题分析
根据现场测评记录结果和上表的统计，信息系统在主机安全方面采取的安全保护措施和存在的主要问题具体如下：
1、身份鉴别：未启用密码复杂度检查功能，未启用定期更换密码功能；未启
用登录失败处理功能。

2、安全审计：服务器仅开启了默认的审核策略（用户登录信息），日志信息没
有定期保存，易受到未预期的删除、修改或覆盖等。

同时数据库缺少第三方审计系统保证无法保证数据不受篡改。

3、资源控制：未限制可远程管理服务器的终端登录地址。

1.4应用安全
1.1.1结果记录
根据该系统应用安全备测评对象的单项测评结果，可以判定得出应用安全层面测评指标的测评结论，具体如下表所示：
1.1.1结果汇总
针对不同测评指标子类对应用安全的单项测评结果进行汇总和统计。

1.1.1问题分析
根据现场测评记录结果和上表的统计，信息系统在应用安全方面采取的安全保护措施和存在的主要问题具体如下：
1、身份鉴别：应用系统未限制登录超时时间。

2、安全审计：应用系统需具有安全审计功能，审计记录包括事件日期、时间、发起者信息、类型、描述和结果等
3、数据完整性：应用系统通信过程中应采用校验码技术保证通信过程中数据的完整性。

4、通信保密性：利用密码技术进行会话初始化验证、应用系统通信过程需采用
密文传输方式。

5、资源控制：应用系统应启用对会话超时进行限制；应启用限制应用系统的最大并发会话连接数；应启用对单个账户的多重并发会话进行限制。

1.4数据安全及备份恢复
根据该系统应用安全备测评对象的单项测评结果，可以判定得出数据安全及备份恢复层面测评指标的测评结论，具体如下表所示：
1.1.1结果记录
1.1.1结果汇总
针对不同测评指标子类对数据安全及备份恢复的单项测评结果进行汇总和统计。

1.1.1问题分析
根据现场测评记录结果和上表的统计，信息系统在应用安全方面采取的安全保护措施和存在的主要问题具体如下：
1、数据保密性：应用系统未采用加密技术，网络、主机配置的备份未采用加密技
术实现保存。

2、备份和恢复：关键网络设备、通信线路和服务器设备没有提供硬件冗余。

1.4安全管理制度
1.1.1结果记录
4.4.1结果汇总
针对不同测评指标子类对安全管理制度的单项测评结果进行汇总和统计。

4.4.2问题分析
根据现场测评记录结果和上表的统计，在安全管理制度方面采取的安全保护措施和存在的主要问题具体如下：
1、管理制度：目前建立的日常管理操作的操作规程不够全面。

4.5安全管理机构
4.5.1结果记录
4.5.2结果汇总
针对不同测评指标子类对安全管理机构的单项测评结果进行汇总和统计。

4.5.3问题分析
根据现场测评记录结果和上表的统计，在安全管理机构采取的安全保护措施和存在的主要问题具体如下：
1、授权和审批：关键活动建立审批流程，同时需要有相关文件记录。

4.6人员安全管理
4.6.1结果记录
4.6.2结果汇总
针对不同测评指标子类对人员安全管理的单项测评结果进行汇总和统计。

4.6.3问题分析
根据现场测评记录结果和上表的统计，信息系统在人员安全管理方面采取的安全保护措施和存在的问题具体如下:
1、安全意识教育和培训：未定期对相关人员进行安全知识培训，同时未明确告知相关人员的安全责任和惩戒措施内容。

4.7系统建设管理
4.7.1结果记录。