福建LNG站线项目生产数据共享平台平台网络安全整改确认报告1.1.docVIP

福建LNG站线项目生产数据共享平台网络安全整改确认报告 网神信息技术（北京）股份有限公司 ~ PAGE 4 ~ 福建LNG站线项目 生产数据共享平台 网络安全整改确认报告 2015年5月 网神信息技术（北京）股份有限公司 文档说明 本文的内容是福建LNG站线项目生产数据共享平台网络安全整改确认报告。文中的资料、说明等相关内容归网神信息技术（北京）股份有限公司（以下简称“网神”）所有。本文中的任何部分未经网神许可，不得转印、影印或复印。 本文中的全部及任何部分内容均受密级和扩散范围限制。 福建LNG站线项目生产数据共享平台网络安全整改确认报告 ? 版权所有 网神信息技术（北京）股份有限公司 北京海淀区上地开拓路7号先锋大厦二段1层 2Section 1F , Xianfeng Building , No. 7 Kaituo Road , Haidian District , Beijing 客服热线（Customer Hotline）：010传真（Fax）：010邮编（Post Code）：100085 目 录 TOC \o 1-4 \h \z \u 1 项目概述 1 1.1 项目背景 1 1.2 项目评估概况及安全问题 1 1.3 评估参考标准 3 2 平台整改确认 3 3 整改总结 6 4 相关资质证明材料 7 信息安全服务资质（安全工程类二级） 7 风险评估服务资质（一级） 8 应急处理服务资质（一级） 9 项目概述 项目背景 随着中海福建天然气有限责任公司信息化的不断深入，信息安全已经成为中海福建天然气有限责任公司信息化工作的最重要工作之一，中海福建天然气有限责任公司不断加大信息安全建设和管理力度，信息安全建设和管理水平持续提高。为有效应对中海福建天然气有限责任公司信息系统面临的不断变化升级的信息安全风险，确保信息化工作健康发展，中海福建天然气有限责任公司决定继续引入专业信息安全服务，将风险评估、安全加固和紧急响应等信息安全工作作为中海福建天然气有限责任公司的网络信息安全工作的长效机制，为中海福建天然气有限责任公司信息系统提供高效的信息安全服务。 项目评估概况及安全问题 平台网络拓扑图如下： 此次信息安全服务项目，存在以下几个问题： 未对防火墙的管理员登录地址进行限制；所有网络设备均存在弱口令，且口令未定期更新。 内网交换机上的连接着生产数据共享平台与生产网两个不同安全级别的网络。 系统内部入侵检测的问题。 系统边界完整性存在问题，可能出现内部网络中的用户未通过准许私自联到外部网络的行为。 在远程管理Windows主机时没有采取必要的措施（如SSL加密）防止鉴别信息在网络传输过程中被窃听。 操作系统未设置口令复杂度，密码策略不完善。 操作系统未设置登录失败处理。 Windows系统默认帐户administrator未重命名;部分系统guest帐户未禁用。 部分主机系统没有安装杀毒软件。 主机安全审计策略不完善，审计范围没有覆盖到服务器上的每个操作系统用户和数据库用户；审计记录事件的日期、时间、类型、主体标识和结果不完整； 操作系统未启用超时锁定功能。 操作系统和数据库系统管理员为同一自然人，管理员的权限过大；且操作系统存在多人共用同一管理帐户情况。 系统开启不必要监听端口。 评估参考标准 本次服务项目评估过程将参考以下信息安全行业相关标准： GB/T 20984-2007 《信息安全技术 信息安全风险评估规范》 GB/T 22240-2008 《信息安全技术 信息系统安全等级保护定级指南》 GB/T 22239-2008 《信息安全技术 信息系统安全等级保护基本要求》 信息安全风险评估指标体系 信息系统灾难恢复管理指引 ISO/IEC 27001:2005 《信息安全技术 信息安全管理体系要求》 ISO/IEC 27002:2005 《信息安全技术 信息安全管理实用规则》 IATF(安全保障技术框架）评估过程中网络评估的参考标准 CVE通用漏洞库评估过程中主机系统评估的参考标准 《GB/T 9361-2000 计算机场地安全要求》 结合网神多年的实际安全评估经验 平台整改确认 未对防火墙的管理员登录地址进行限制；所有网络设备均存在弱口令，且口令未定期更新。 整改方式：防火墙采用串口接口进行管理，不存在登录地址限制问题，修改了登录密码。 内网交换机上的连接着生产数据共享平台与生产网两个不同安全级别的网络。 整改方式：内网交换机划分为Vlan1和Vlan2，即一台交换机当成两台交换机使用。 系统内部入侵检测的问题，无法检测到来自外