信息系統上線評估報告模板信息系統上線評估報告模板全文共9頁，當前為第1頁。XXX信息系統上線評估報告模板全文共9頁，當前為第1頁。信息系統上線評估報告XXXXX年XX月

信息系統上線評估報告模板全文共9頁，當前為第2頁。信息系統上線評估報告模板全文共9頁，當前為第2頁。目錄TOC\o"1-3"\h\u1.系統安全評估 信息系統上線評估報告模板全文共9頁，當前為第3頁。系統安全評估信息系統上線評估報告模板全文共9頁，當前為第3頁。信息系統安全是企業正常安全運行的重要組成部分，為確保新開發的信息系統“不帶病上線”，上線前應進行多項安全評估，即系統安全漏洞掃描、系統安全配置核查、系統安全建設管理、系統安全滲透測試。安全漏洞掃描信息系統安全漏洞掃描分為主機和Web應用2種掃描類型，可以有效的排查操作系統和網站，以便于針對性的修復及加固發現的漏洞。單一漏洞風險等級評定標準如下表所示：危險程度危險值區域危險程度說明高7<=漏洞風險值<=10攻擊者可以遠程執行任意命令或者代碼，或對系統進行遠程拒絕服務攻擊。中4<=漏洞風險值<7攻擊者可以遠程創建、修改、刪除文件或數據，或對普通服務進行拒絕服務攻擊。低0<=漏洞風險值<4攻擊者可以獲取某些系統、服務的信息，或讀取系統文件和數據。信息系統主機安全漏洞掃描本次對信息系統所屬服務器的主機安全漏洞掃描發現，主機均存在高危風險漏洞，高危漏洞數及類型分布如下表所示，詳見附件掃描報告：主機IP高危漏洞類型服務端口高危漏洞數高危漏洞數總計：

信息系統上線評估報告模板全文共9頁，當前為第4頁。信息系統Web應用安全漏洞掃描信息系統上線評估報告模板全文共9頁，當前為第4頁。本次對信息系統所屬網站的Web應用安全漏洞掃描發現，網站存在中危風險漏洞，中危漏洞數及類型分布如下表所示，詳見附件掃描報告：域名中危漏洞類型服務端口中危漏洞數本次對信息系統所屬網站的Web應用安全漏洞掃描掃描詳情如下圖所示：安全配置核查信息系統安全配置核查分為主機配置和數據庫配置2種核查類型，可以有效的排查操作系統和數據庫安全配置是否符合要求規范，以便于針對性的預防加固存在的安全配置風險隱患。單一配置檢查項風險等級評定標準如下表所示：危險程度危險值區域危險程度說明高7<=漏洞風險值<=10不當的配置導致攻擊者可以通過其他方式獲得管理員權限、或者只有管理員權限才能加固的配置。中4<=漏洞風險值<7不當的配置導致攻擊者可以對主機進行破壞或者收集主機的信息、或者遭受攻擊后，重要事件沒有記錄。低0<=漏洞風險值<4不當地配置對主機安全不會造成太大的影響。

信息系統上線評估報告模板全文共9頁，當前為第5頁。信息系統主機安全配置掃描信息系統上線評估報告模板全文共9頁，當前為第5頁。本次對信息系統所屬服務器的主機安全配置掃描發現，主機均存在高危風險不合規配置，高危風險不合規配置類型分布如下表所示，詳見附件配置掃描報告：控制點分組高危風險不合規檢查配置項不合規主機IP訪問控制資源控制身份鑒別高危風險不合規檢查配置項總計：

信息系統上線評估報告模板全文共9頁，當前為第6頁。信息系統數據庫安全配置核查信息系統上線評估報告模板全文共9頁，當前為第6頁。本次對信息系統所屬數據庫的安全配置核查發現，該數據庫存在高危風險不合規配置，高危風險不合規配置類型分布如下表所示，詳見附件數據庫配置核查報告：控制點分組高危風險不合規檢查配置項不合規數據庫IP身份鑒別訪問控制安全建設管理通過建立信息系統及信息系統工程規劃設計、軟件開發、工程實施、測試驗收及交付等階段的控制措施，將這些控制措施和流程落實到管理制度文檔，并進行合理的發布和實施。確保信息系統在規劃、開發、實施、測試驗收和交付階段工作內容和工作流程的全面、規范、符合項目管理的要求。應包含但不限于以下文件/文檔，如下表所示：系統建設過程文檔

信息系統上線評估報告模板全文共9頁，當前為第7頁。安全滲透測試信息系統上線評估報告模板全文共9頁，當前為第7頁。待信息系統安全整改完成后，再進行信息系統安全滲透測試。安全評估結果本次對信息系統上線評估已完成的安全漏洞掃描和安全配置核查的2項技術安全檢測報告中，其所屬主機均存在高危風險漏洞X個以及不合規檢查配置項X項。另外由于信息還未驗收，安全建設管理文檔暫無。且信息系統安全整改未完成，信息系統安全滲未透測試。因此，綜合上述已完成評估報告結果，判定信息系統安全評估結果：!高危!建議整改加固完成，進行安全滲透測試，再次整改加固后上線。

信息系統上線評估報告模板全文共9頁，當前為第8頁。安全整改建議信息系統上線評估報告模板全文共9頁，當前為