共享知識 分享快樂信息系統安全等級測評報告模板項目名稱：委托單位：測評單位：年 月 日共享知識 分享快樂報告摘要一、測評工作概述概要描述被測信息系統的基本情況（可參考信息系統安全等級保護備案表），包括但不限于：系統的運營使用單位、投入運行時間、承載的業務情況、系統服務情況以及定級情況。（見附件：信息系統安全等級保護備案表）描述等級測評工作的委托單位、測評單位和等級測評工作的開展過程，包括投入測評人員與設備情況、完成的具體工作內容統計（涉及的測評分類與項目數量，檢查的網絡互聯與安全設備、主機、應用系統、管理文檔數量，訪談人員次數）。二、等級測評結果依據第4、5章的結果對等級測評結果進行匯總統計 （測評項符合情況及比例、單元測評結果符合情況比例以及整體測評結果）；通過對信息系統基本安全保護狀態的分析給出等級測評結論（結論為達標、基本達標、不達標）。三、系統存在的主要問題依據6.3章節的分析結果，列出被測信息系統中存在的主要問題以及可能造成的后果（如，未部署DDos防御措施，易遭受DDos攻擊，導致系統無法提供正常服務）。公安部信息安全等級保護評估中心四、系統安全建設、整改建議針對系統存在的主要問題提出安全建設、整改建議，是對第七章內容的提煉和簡要描述。共享知識 分享快樂報告基本信息信息系統基本情況系統名稱 安全保護等級中心機房機房位置 災備中心其他機房單位名稱單位地址郵政編碼聯系人

委托單位姓名職務/職稱所屬部門辦公電話移動電話電子郵件單位名稱通信地址郵政編碼聯系人報告審核批準

測評單位姓名職務/職稱所屬部門辦公電話移動電話電子郵件編制人日期審核人日期批準人 日期共享知識 分享快樂聲明聲明是測評單位對于測評報告內容以及用途等有關事項做出的約定性陳述，包含但不限于以下內容：本報告中給出的結論僅對目標系統的當時狀況有效，當測評工作完成后系統出現任何變更，涉及到的模塊（或子系統）都應重新進行測評，本報告不再適用。本報告中給出的結論不能作為對系統內相關產品的測評結論。本報告結論的有效性建立在用戶提供材料的真實性基礎上。在任何情況下，若需引用本報告中的結果或數據都應保持其本來的意義，不得擅自進行增加、修改、偽造或掩蓋事實。測評單位機構名稱年 月共享知識 分享快樂報告目錄1測評項目概述.......................................................................................................................11.422被測系統情況.......................................................................................................................42.442.4.1業務應用軟件............................................................................................................................42.4.2關鍵數據類別............................................................................................................................42.4.3主機/存儲設備..........................................................................................................................52.4.4網絡互聯與安全設備................................................................................................................52.4.5安全相關人員............................................................................................................................62.4.6安全管理文檔............................................................................................................................62.5安全環境......................................................................................................................................63等級測評范圍與方法..........................................................................................................73.1測評指標......................................................................................................................................73.1.1基本指標....................................................................................................................................73.1.2附加指標....................................................................................................................................93.2測評對象......................................................................................................................................93.2.1選擇方法....................................................................................................................................93.2.2選擇結果..................................................................................................................................103.3測評方法....................................................................................................................................113.3.1現場測評方法..........................................................................................................................113.3.2風險分析方法..........................................................................................................................11共享知識 分享快樂4 等級測評內容 124.1 物理安全 12 結果記錄 12 問題分析 12 單元測評結果 124.2 網絡安全 12 結果記錄 12 問題分析 14 單元測評結果 144.3 主機安全 14 結果記錄 14 問題分析 15 單元測評結果 154.4 應用安全 15 結果記錄 15 問題分析 15 單元測評結果 154.5 數據安全及備份恢復 15 結果記錄 15 問題分析 15 單元測評結果 154.6 安全管理制度 15 結果記錄 15 問題分析 16 單元測評結果 164.7 安全管理機構 16 結果記錄 16 問題分析 16 單元測評結果 164.8 人員安全管理 16 結果記錄 16 問題分析 16 單元測評結果 164.9 系統建設管理 16 結果記錄 16 問題分析 17 單元測評結果 17共享知識 分享快樂4.10系統運維管理............................................................................................................................174.10.1結果記錄..................................................................................................................................174.10.2問題分析..................................................................................................................................174.10.3單元測評結果..........................................................................................................................174.11工具測試....................................................................................................................................174.11.1結果記錄..................................................................................................................................174.11.2問題分析..................................................................................................................................175等級測評結果....................................................................................................................175.1整體測評....................................................................................................................................175.1.1安全控制間安全測評..............................................................................................................175.1.2層面間安全測評......................................................................................................................185.1.3區域間安全測評......................................................................................................................185.1.4系統結構安全測評..................................................................................................................185.2測評結果....................................................................................................................................185.3統計圖表....................................................................................................................................226風險分析和評價................................................................................................................226.1安全事件可能性分析.................................................................................................................226.2安全事件后果分析....................................................................................................................236.3風險分析和評價........................................................................................................................237系統安全建設、整改建議...............................................................................................257.1物理安全....................................................................................................................................257.2網絡安全....................................................................................................................................257.3主機安全....................................................................................................................................257.4應用安全....................................................................................................................................257.5數據安全及備份恢復.................................................................................................................257.6安全管理制度............................................................................................................................257.7安全管理機構............................................................................................................................257.8 人員安全管理 ............................................................................................................................ 25共享知識 分享快樂7.9 系統建設管理 267.10系統運維管理 26附：信息系統安全等級保護備案表共享知識 分享快樂測評項目概述1.1測評目的描述信息系統的重要性：通過描述信息系統的基本情況，包括運營使用單位的性質，承載的主要業務和系統服務情況，進一步闡明其在國家安全、經濟建設、社會生活中的重要程度，受到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等。描述等級測評工作的基本情況，包括委托單位、測評單位、測評范圍及預期（如，通過等級測評找出與國家標準要求之間的差距）。描述測評報告的用途（如，作為后續安全整改的依據） 。1.2測評依據開展測評活動所依據的合同、標準和文件：《信息安全等級保護管理辦法》（公通字[2007]43號）《關于加強國家電子政務工程建設項目信息安全風險評估工作的通知》（發改高技[2008]2071號）1GB/T22239-2008信息安全技術信息系統安全等級保護基本要求GB/T20984-2007信息安全技術信息安全風險評估規范《信息安全技術信息系統安全等級保護測評要求》（國標報批稿）被測信息系統安全等級保護定級報告等級測評任務書/測評合同等1.3測評過程描述本次等級測評的工作流程（可參考《信息系統安全等級保護測評過程指南》），具體內容包括但不限于：（一）測評工作流程圖（二）各階段完成的關鍵任務（三）工作的時間節點針對“國家電子政務工程建設項目”有效共享知識 分享快樂1.4報告分發范圍依據項目需求，明確應交付等級測評報告的數量與分發范圍（如本報告一式三份，一份提交測評委托單位、一份提交受理備案的公安機關、一份由測評單位留存）。共享知識 分享快樂被測系統情況2.1基本信息2系統名稱主管機構1生產作業2指揮調度3管理控制系統承載業務類型4內部辦公5公眾服務9其他業務情況業務描述10全國11跨省（區、市）跨個服務范圍20全省（區、市）21跨地（市、區）跨個系統服務30地（市、區）內情況99其它服務對象1單位內部人員2社會公眾人員3兩者均包括9其他覆蓋范圍1局域網2城域網3廣域網9其他系統網絡平臺1業務專網2互聯網網絡性質9其它系統互聯1與其他行業系統連接2與本行業其他單位系統連接情況3與本單位其他系統連接其它業務信息安全保護等級系統服務安全保護等級信息系統安全保護等級本報告模板針對作為單一定級對象的信息系統制定。共享知識 分享快樂2.2業務應用描述信息系統承載的業務應用情況。2.3網絡結構給出被測信息系統的拓撲結構示意圖，并基于示意圖說明被測信息系統的網絡結構基本情況，包括但不限于：（一）功能/安全區域劃分、隔離與防護情況（二）關鍵網絡和主機設備的部署情況和功能簡介（三）與其他信息系統的互聯情況和邊界設備（四）本地備份和災備中心的情況2.4系統構成以列表的形式分類描述信息系統的軟、硬件構成情況。業務應用軟件以列表的形式給出被測信息系統中的業務應用軟件（包括含中間件等應用平臺軟件），描述項目包括軟件名稱、主要功能簡介和重要程度。序號?

軟件名稱?

主要功能?

重要程度?2.4.2關鍵數據類別序號數據類型所屬業務應用主機/存儲設備重要程度????共享知識 分享快樂主機/存儲設備以列表形式給出被測信息系統中的主機設備（包含操作系統和數據庫管理系統軟件），描述項目包括設備名稱、操作系統、數據庫管理系統以及承載的業務應用軟件系統。序號

設備名稱

操作系統

/數據庫管理系統

業務應用軟件?

?

?網絡互聯與安全設備以列表形式給出被測信息系統中的網絡互聯及安全設備。設備名稱應確保在被測信息系統范圍內的唯一性，建議采取類別 -用途/功能/型號-編號（可選）的三段命名方式。序號設備名稱用途重要程度1路由器_內部_1內部邊界路由重要2路由器_VPN_1遠程管理維護重要3路由器_VPN_2遠程管理維護重要4防火墻_WEB_1Web區之間訪問控制重要????安全相關人員以列表形式給出與被測信息系統安全相關的人員，描述項目包括姓名、崗位 /角色和聯系方式。人員包括但不限于安全主管、系統建設負責人、系統運維負責人、共享知識 分享快樂網絡（安全）管理員、主機（安全）管理員、數據庫（安全）管理員、應用（安全）管理員、機房管理人員、資產管理員、業務操作員、安全審計人員等。序號

姓名

崗位/角色

聯系方式?

?

?

?安全管理文檔與信息系統安全相關的文檔，包括：（一）管理類文檔，如機構總體安全方針和政策方面的管理制度、 、人員安全教育和培訓方面的管理制度、第三方人員訪問控制方面的管理制度、機房安全管理方面的管理制度等；（二）記錄類文檔，如設備運行維護記錄、會議記錄等；（三）其他類文檔，如專家評審意見等。序號

文檔名稱

主要內容?

?

?2.5安全環境描述被測信息系統的運行環境中與安全相關的部分：如數據中心位于運營服務商機房中、網絡存在互聯網連接、網絡中部署無線接入點以及支持遠程撥號訪問用戶等。以列表形式給出被測信息系統的威脅列表，并基于歷史統計或者行業判斷進行威脅賦值，具體內容可參考《風險評估規范》 。序號 威脅分(子)類 描述 威脅賦值利用工具和技術通過網絡對信 高網絡攻擊息系統進行攻擊和入侵共享知識 分享快樂? ? ?等級測評范圍與方法3.1測評指標測評指標包括基本指標和附加指標兩部分，以列表的形式給出。依據定級結果選擇《基本要求》中對應級別的安全要求作為等級測評的基本指標；基本指標基本指標（物理和網絡子類）的例子如下所示：分類子類基本要求測評項數3物理位置的選測評物理機房所在的外部環境安全性。2擇物理訪問控制測評進出機房的審批控制手段以及機4房出入口的安全控制情況。防盜竊和防破測評機房內設備和通信線纜的安全性6壞以及監控報警系統建設情況。防雷擊測評建筑防雷和防感應雷的建設情況。3物理安全防火測評自動監控防火系統設置情況以及3機房材料防火情況。測評機房內水管設置情況、防止結露所防水和防潮采取的措施以及監控報警系統建設情4況。防靜電測評機房防靜電所采取的措施。3溫濕度控制測評機房溫濕度控制措施1測評項數量隨信息系統的安全保護等級不同而變化共享知識分享快樂分類子類基本要求測評項數3電力供應測評電力線路、備用電源以及發電機的4配備情況。電磁防護測評線纜電磁防護手段和設備電磁防3護手段。主要核查：主要網絡設備的處理能力、業務高峰期需求帶寬、路由控制、網絡7結構安全拓撲結構圖是否一致、子網劃分、技術隔離手段和帶寬分配策略。主要核查：訪問控制功能、協議深層檢訪問控制測、網絡連接超時、流量限制和并發連4接數限制等等。主要核查：網絡設備日志收集、分析和安全審計統計以及保護等等。6主要核查：是否能夠對非授權設備私自網絡安全聯到內部網絡的行為進行檢查并準確邊界完整性檢2定位和阻斷；是否能夠對內部網絡用戶查私自聯到外部網絡的行為進行檢查并準確定位和阻斷。入侵防范主要核查：部署IDS系統以及使用情況。2主要核查：是否有完整的防病毒體系以2惡意代碼防范及代碼庫的升級情況。主要核查：用戶身份鑒別、管理員登錄地址限制、用戶標識唯一性、組合鑒別9網絡設備防護技術、口令策略、登錄策略、遠程管理和權限分離。共享知識 分享快樂附加指標參照基本指標的表述模式以列表形式給出附加指標。附加指標包括但不限于：1） 行業標準/規范的具體指標2） 主管部門的規定的具體指標3） 信息系統的運營、使用單位基于特定安全環境或者業務應用提出的具體指標分類 子類 附加要求 測評項數3.2測評對象測評對象選擇方法描述本次等級測評中采用的測評對象選擇方法和具體規則，通常采用抽查的方法，兼顧類別與數量。測評對象包括網絡互聯與安全設備操作系統、業務應用軟件、主機操作系統、存儲設備操作系統、數據庫管理系統、安全相關人員、機房、介質以及管理文檔。選擇過程中應綜合考慮信息系統的安全保護等級、業務應用特點和對象所在具體設備的重要情況等要素，并兼顧工作投入與結果產出兩者的平衡關系。其中，主機設備的重要程度由其承載的業務應用和業務數據的重要程度決定； 機房、介質4和管理文檔不需要抽樣。具體方法和規則可參考《信息系統安全等級保護測評過程指南》 。測評對象選擇結果網絡互聯設備操作系統序號 操作系統名稱 設備名稱1 IOS_路由器_內部_1 路由器_內部_1非個人使用存儲介質共享知識 分享快樂序號

操作系統名稱

設備名稱2

IOS_路由器

_VPN_1

路由器

_VPN_13

IOS_路由器

_VPN_2

路由器

_VPN_2?

?

?安全設備操作系統序號

操作系統名稱

設備名稱1

JOS_防火墻_WEB_1

防火墻

_WEB_1?

?

?業務應用軟件序號?

軟件名稱?

主要功能?主機（存儲）操作系統序號?

設備名稱?

操作系統

/數據庫管理系統?數據庫管理系統序號?

設備名稱?

操作系統

/數據庫管理系統?共享知識 分享快樂訪談人員序號?

姓名?

崗位/職責?安全管理文檔序號?

文檔名稱?

主要內容?3.3測評方法現場測評方法描述本次等級測評工作中采用的測評方法。現場測評方法主要包括訪談、檢查和測試等三類，可細分為人員訪談、文檔審查、配置核查、現場觀測和工具測試等。如果采用工具測試，應給出工具接入示意圖，并對測評工具的接入點和預期的測試路徑進行描述。風險分析方法本項目依據安全事件可能性和安全事件后果對信息系統面臨的風險進行分析，分析過程包括：1）判斷信息系統安全保護能力缺失（等級測評結果中的部分符合項和不符合項）被威脅利用導致安全事件發生的可能性，可能性的取值范圍為高、中和低；2）判斷安全事件對信息系統業務信息安全和系統服務安全造成的影響程度， 影響程度取值范圍為高、中和低；3）綜合1）和2）的結果對信息系統面臨的風險進行匯總和分等級，風險等級的取值范圍為高、中和低；4）結合信息系統的安全保護等級對風險分析結果進行評價， 即對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益造成的風險。共享知識 分享快樂等級測評內容單元測評的內容及結果記錄如下所示：4.1物理安全結果記錄問題分析單元測評結果4.2網絡安全結果記錄以表格形式分別給出不同測評對象的現場測評結果。共享知識 分享快樂IOS_路由器_內部_1類別網絡訪問控制?

測評內容 結果記錄 符合情況應在網絡邊界部署訪問控制設備，啟用訪問控制功能；應能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；應對進出網絡的信息內容進行過濾，實現對應用層HTTP、FTP、TELNET、SMTP、POP3等協議命令級的控制；應在會話處于非活躍一定時間或會話結束后終止網絡連接；應限制網絡最大流量數及網絡連接數；重要網段應采取技術手段防止地址欺騙；應按用戶和系統之間的允許訪問規則，決定允許或拒絕用戶對受控系統進行資源訪問，控制粒度為單個用戶；應限制具有撥號訪問權限的用戶數量。?????????IOS_路由器_VPN_1?共享知識 分享快樂問題分析匯總網絡安全中存在的問題并加以分析，找出共性和危害嚴重的問題，如邊界防火墻的管理口令為空。單元測評結果針對網絡設備的不同測評指標子類對單項測評結果進行匯總和統計可得單元測評結果。單元測評結果的判定依據為：如某對象的特定測評指標的全部測評項結果均為符合，則該單元的測評結果為符合；如全部測評項結果均為不符合，則該單元的測評結果為不符合；否則該單元測評結果為不符合。表格中分數的分母表示單元測評包含的測評項數量，分子表示不符合項和部分符合項的數量之和；斜線表明該指標子類不適用。網絡安全單元測評結果匯總表序號123456

名稱IOS_路由器_內部_1IOS_路由器_VPN_1?

測評指標子類網絡結網絡訪網絡安邊界完整網絡入惡意代網絡設構安全問控制全審計性檢查侵防范碼防范備防護部分符合符合符合符合不符合不符合部分符合4/70/40/60/22/22/26/94.3主機安全結果記錄共享知識 分享快樂問題分析單元測評結果4.4應用安全結果記錄問題分析單元測評結果4.5數據安全及備份恢復結果記錄問題分析單元測評結果4.6安全管理制度結果記錄共享知識 分享快樂問題分析單元測評結果4.7安全管理機構結果記錄問題分析單元測評結果4.8人員安全管理結果記錄問題分析單元測評結果4.9系統建設管理結果記錄共享知識 分享快樂問題分析單元測評結果4.10系統運維管理結果記錄問題分析單元測評結果4.11工具測試結果記錄依據測評工具的結果報告形成工具測試的結果。問題分析匯總工具測試的結果，分析信息系統中存在的主要問題。等級測評結果5.1整體測評根據《基本要求》的要求，對這些問題進行系統整體測評分析，包括從安全控制間、層面間、區域間和系統結構等方面進行安全測評。安全控制間安全測評共享知識 分享快樂層面間安全測評區域間安全測