广东联合电子收费股份有限公司(现金)结算系统等级保护

广东省高速公路联网收费（现金）结算系统等级保护测评报告项目名称：广东省高速公路联网收费（现金）结算系统委托单位：广东联合电子收费股份有限公司测评单位：蓝盾信息安全技术股份有限公司2010年8月25日蓝盾信息安全技术股份有限公司报告摘要一、测评工作概述广东省高速公路联网收费（现金）结算系统于2004年6月28日由广东省发改委立项，广东联合电子收费股份有限公司建设。目前该系统由广东联合电子收费股份有限公司负责运行维护管理。广东省交通厅是该信息系统业务的主管部门，广东联合电子收费股份有限公司为该信息系统定级的责任单位。此系统由联网收费（现金）结算中心和六个区域管理点构成。联网收费（现金）结算中心设立在广州。六个区域管理点分别设在汕头、开平、广州、深圳、清远和虎门。蓝盾信息安全技术股份有限公司受广东联合电子收费股份有限公司委托，对广东省高速公路联网收费（现金）结算系统进行信息系统安全等级保护测评，安排有四人现场测评项目组，分为技术核查小组及管理核查小组；针对安全技术及安全管理两大方向、十个层面进行了测评与分析，测评对象包括：广东联合电子收费股份有限公司5楼中心机房，14台交换机、2台中心防火墙、6台服务器、22台路由器和其他应用服务系统，以及相关安全管理制度，现场访谈对象4人。二、等级测评结果依据GB/T-22239《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》对广东省高速公路联网收费（现金）结算系统进行测评，整体测评结果为：符合项85.1%、基本符合项1.9%、不蓝盾信息安全技术股份有限公司符合项10.1%、不适用项2.9%，从以上测评结果我们可以看出广东省高速公路联网收费（现金）结算系统整体信息安全措施比较完善，但与GB/T-22239《信息系统安全等级保护基本要求》中的第二级基本要求还有一定差距，因此我们判定广东省高速公路联网收费（现金）结算系统的测评结论为不达标。三、系统存在的主要问题整个系统在技术安全层面的问题主要集中在网络安全、主机安全与应用安全，存在的主要问题：网络设备策略配置存在个别不到位，对于外部用户接入到内部网络的行为缺少监控与管理措施；远程控制缺乏一定的安全措施，审计日志的管理有待加强；应用系统对用户并发策略不够完善，数据在传输过程中的完整性以及安全性尚存缺陷，易受到窃听及篡改。管理方面缺乏信息安全工作的总体方针和安全策略，与安全管理相配套的安全管理制度存在缺失，此类不足将大大影响信息安全措施的执行的效率与成果。四、系统安全建设、整改建议建议在技术方面主要调整并完善网络、主机与应用的安全性；在安全管理方面需要制定总体方针和安全策略，并建立相关必要的安全管理制度。蓝盾信息安全技术股份有限公司报告基本信息信息系统基本情况系统名称广东省高速公路联网收费（现金）结算系统安全保护等级二级机房位置中心机房广东联合电子收费股份有限公司（广州大道南368号大楼5楼中心机房）灾备中心东莞市虎门镇其他机房无委托单位单位名称广东联合电子收费股份有限公司单位地址广州市广州大道南368号邮政编码543002联系人姓名黎剑威职务/职称技术经理所属部门联网收费清分中心办公电话020-84281458移动电话13925073643电子邮件lijianwei@unitoll.com测评单位单位名称蓝盾信息安全技术股份有限公司通信地址广州市科韵路16号A座20-21楼邮政编码510665联系人姓名王虎职务/职称项目经理所属部门技术部办公电话020-38468377移动电话13560147426电子邮件whh@chinabluedon.cn报告审核批准编制人黄伟泉日期2010/8/10审核人王虎日期2010/8/15批准人日期蓝盾信息安全技术股份有限公司声明声明是测评单位对于测评报告内容以及用途等有关事项做出的约定性陈述，包含但不限于以下内容：本报告中给出的结论仅对目标系统的当时状况有效，当测评工作完成后系统出现任何变更，涉及到的模块（或子系统）都应重新进行测评，本报告不再适用。本报告中给出的结论不能作为对系统内相关产品的测评结论。本报告结论的有效性建立在用户提供材料的真实性基础上。在任何情况下，若需引用本报告中的结果或数据都应保持其本来的意义，不得擅自进行增加、修改、伪造或掩盖事实。测评单位机构名称:蓝盾信息安全技术股份有限公司2010年8月蓝盾信息安全技术股份有限公司报告目录1测评项目概述.........................................................................................................................................101.1测评目的.........................................................................................................................................................101.2测评依据.........................................................................................................................................................101.3测评过程.........................................................................................................................................................101.4报告分发范围..................................................................................................................................................132被测系统情况.........................................................................................................................................142.1基本信息.........................................................................................................................................................142.2业务应用.........................................................................................................................................................152.3网络结构.........................................................................................................................................................152.4系统构成.........................................................................................................................................................162.4.1业务应用软件................................................................................................................................................162.4.2关键数据类别................................................................................................................................................172.4.3主机/存储设备..............................................................................................................................................182.4.4网络互联与安全设备....................................................................................................................................192.4.5安全相关人员................................................................................................................................................212.4.6安全管理文档................................................................................................................................................212.5安全环境.........................................................................................................................................................223等级测评范围与方法............................................................................................................................233.1测评指标.........................................................................................................................................................233.1.1基本指标........................................................................................................................................................233.1.2附加指标................................