等保測(cè)評(píng)報(bào)告模板

1、等保測(cè)評(píng)報(bào)告模板信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告模板項(xiàng)目名稱(chēng)：委托單位：測(cè)評(píng)單位：測(cè)評(píng)單位名稱(chēng)報(bào)告摘要一、測(cè)評(píng)工作概述概要描述被測(cè)信息系統(tǒng)的基本情況（可參考信息系統(tǒng)安全等級(jí)保護(hù)備案表），包括但不限于：系統(tǒng)的運(yùn)營(yíng)使用單位、 投入 運(yùn)行時(shí)間、承載的業(yè)務(wù)情況、系統(tǒng)服務(wù)情況以及定級(jí)情況。（見(jiàn) 附件：信息系統(tǒng)安全等級(jí)保護(hù)備案表）描述等級(jí)測(cè)評(píng)工作的委托單位、測(cè)評(píng)單位和等級(jí)測(cè)評(píng)工作的開(kāi)展過(guò)程，包括投入測(cè)評(píng)人員與設(shè)備情況、完成的具體工作內(nèi)容統(tǒng)計(jì)（涉及的測(cè)評(píng)分類(lèi)與項(xiàng)目數(shù)量，檢查的網(wǎng)絡(luò)互聯(lián)與安全設(shè)備、主機(jī)、應(yīng)用系統(tǒng)、管理文檔數(shù)量，訪談人員次數(shù)）。二、等級(jí)測(cè)評(píng)結(jié)果依據(jù)第4、5章的結(jié)果對(duì)等級(jí)測(cè)評(píng)結(jié)果進(jìn)行匯總統(tǒng)計(jì)（測(cè)評(píng)項(xiàng)符合情

2、況及比例、單元測(cè)評(píng)結(jié)果符合情況比例以及整體測(cè)評(píng)結(jié)果）；通過(guò)對(duì)信息系統(tǒng)基本安全保護(hù)狀態(tài)的分析給出等級(jí)測(cè) 評(píng)結(jié)論（結(jié)論為達(dá)標(biāo)、基本達(dá)標(biāo)、不達(dá)標(biāo)）。三、系統(tǒng)存在的主要問(wèn)題依據(jù)6.3章節(jié)的分析結(jié)果，列出被測(cè)信息系統(tǒng)中存在的主 要問(wèn)題以及可能造成的后果（如，未部署 DDos防御措施，易 遭受DDos攻擊，導(dǎo)致系統(tǒng)無(wú)法提供正常服務(wù)）。公安部信息安全等級(jí)保護(hù)評(píng)估中心四、系統(tǒng)安全建設(shè)、整改建議針對(duì)系統(tǒng)存在的主要問(wèn)題提出安全建設(shè)、整改建議，是對(duì) 第七章內(nèi)容的提煉和簡(jiǎn)要描述。報(bào)告基本信息信息系統(tǒng)基本情況系統(tǒng)名稱(chēng)安全保護(hù)等級(jí)機(jī)房位置中心 機(jī)房災(zāi)備 中心其他 機(jī)房委托單位單位名稱(chēng)單位地址郵政編碼聯(lián)系人姓 名職務(wù)/ 職

3、稱(chēng)所屬 部門(mén)辦公電話移動(dòng) 電話電子郵件測(cè)評(píng)單位單位名稱(chēng)通信地址郵政編碼聯(lián)系人姓 名職務(wù)/ 職稱(chēng)所屬 部門(mén)辦公電話移動(dòng) 電話電子郵件報(bào)告 審核批準(zhǔn)編制 人日期審核 人日期批準(zhǔn)人日期聲明聲明是測(cè)評(píng)單位對(duì)于測(cè)評(píng)報(bào)告內(nèi)容以及用途等有關(guān)事項(xiàng) 做出的約定性陳述，包含但不限于以下內(nèi)容：本報(bào)告中給出的結(jié)論僅對(duì)目標(biāo)系統(tǒng)的當(dāng)時(shí)狀況有效，當(dāng)測(cè) 評(píng)工作完成后系統(tǒng)出現(xiàn)任何變更，涉及到的模塊（或子系統(tǒng)） 都應(yīng)重新進(jìn)行測(cè)評(píng)，本報(bào)告不再適用。本報(bào)告中給出的結(jié)論不能作為對(duì)系統(tǒng)內(nèi)相關(guān)產(chǎn)品的測(cè)評(píng)結(jié)論。本報(bào)告結(jié)論的有效性建立在用戶(hù)提供材料的真實(shí)性基礎(chǔ)上。在任何情況下，若需引用本報(bào)告中的結(jié)果或數(shù)據(jù)都應(yīng)保持其本來(lái)的意義，不得擅自進(jìn)行增加

4、、修改、偽造或掩蓋事實(shí)。 測(cè)評(píng)單位機(jī)構(gòu)名稱(chēng)年 月報(bào)告目錄1 測(cè)評(píng)項(xiàng)目概述.0.1.1 測(cè)評(píng)目的 01.2 測(cè)評(píng)依據(jù) 01.3 測(cè)評(píng)過(guò)程 01.4 報(bào)告分發(fā)范圍 12 被測(cè)系統(tǒng)情況22.1基本信息 22.2業(yè)務(wù)應(yīng)用32.3網(wǎng)絡(luò)結(jié)構(gòu)32.4系統(tǒng)構(gòu)成42.4.1業(yè)務(wù)應(yīng)用軟件 42.4.2關(guān)鍵數(shù)據(jù)類(lèi)別 42.4.3主機(jī)/存儲(chǔ)設(shè)備 42.4.4網(wǎng)絡(luò)互聯(lián)與安全設(shè)備 52.4.5安全相關(guān)人員 62.4.6安全管理文檔 62.5安全環(huán)境7等級(jí)測(cè)評(píng)范圍與方法7.31測(cè)評(píng)指標(biāo)73.1.1基本指標(biāo)7312附加指標(biāo)1232測(cè)評(píng)對(duì)象123.2.1詵擇方法123.2.2選擇結(jié)果1333測(cè)評(píng)方法153 31現(xiàn)場(chǎng)測(cè)評(píng)方法 1

5、53.3.2風(fēng)險(xiǎn)分析方法 154 等級(jí)測(cè)評(píng)內(nèi)容164.1 物理安全 164.1.1結(jié)果記錄 164.1.2問(wèn)題分析 164.1.3單元測(cè)評(píng)結(jié)果 164.2 網(wǎng)絡(luò)安全 164.2.1結(jié)果記錄 164.2.2問(wèn)題分析 194.2.3單元測(cè)評(píng)結(jié)果 194.3 主機(jī)安全 214.3.1結(jié)果記錄 214.3.2問(wèn)題分析 214.3.3單元測(cè)評(píng)結(jié)果 214.4 應(yīng)用安全 224.4.1結(jié)果記錄 224.4.2問(wèn)題分析 224.4.3單元測(cè)評(píng)結(jié)果 224.5 數(shù)據(jù)安全及備份恢復(fù) 224.5.1結(jié)果記錄 224.5.2問(wèn)題分析 224.5.3單元測(cè)評(píng)結(jié)果 224.6 安全管理制度 224.6.1結(jié)果記錄 22

6、4.6.2問(wèn)題分析 224.6.3單元測(cè)評(píng)結(jié)果 224.7 安全管理機(jī)構(gòu) 234.7.1結(jié)果記錄 234.7.2問(wèn)題分析 234.7.3單元測(cè)評(píng)結(jié)果 234.8 人員安全管理 234.8.1結(jié)果記錄 234.8.2問(wèn)題分析 234.8.3單元測(cè)評(píng)結(jié)果 234.9 系統(tǒng)建設(shè)管理 234.9.1結(jié)果記錄 234.9.2問(wèn)題分析 234.9.3單元測(cè)評(píng)結(jié)果 2324結(jié)果記錄問(wèn)題分析單元測(cè)評(píng)結(jié)果24結(jié)果記錄問(wèn)題分析4.10系統(tǒng)運(yùn)維管理 4.10.1 244.10.2 244.10.3 244.11工具測(cè)試4.11.1 244.11.2 245 等級(jí)測(cè)評(píng)結(jié)果245.1 整體測(cè)評(píng) 245.1.1安全控制間

7、安全測(cè)評(píng) 245.1.2層面間安全測(cè)評(píng) 245.1.3區(qū)域間安全測(cè)評(píng) 245.1.4系統(tǒng)結(jié)構(gòu)安全測(cè)評(píng) 255.2 測(cè)評(píng)結(jié)果 255.3統(tǒng)計(jì)圖表 306 風(fēng)險(xiǎn)分析和評(píng)價(jià)306.1 安全事件可能性分析 306.2 安全事件后果分析 316.3 風(fēng)險(xiǎn)分析和評(píng)價(jià) 327 系統(tǒng)安全建設(shè)、整改建議337.1 物理安全 337.2 網(wǎng)絡(luò)安全 337.3 主機(jī)安全 337.4 應(yīng)用安全 337.5 數(shù)據(jù)安全及備份恢復(fù) 337.6 安全管理制度 337.7 安全管理機(jī)構(gòu) 347.8 人員安全管理 347.9 系統(tǒng)建設(shè)管理 347.10系統(tǒng)運(yùn)維管理 34附：信息系統(tǒng)安全等級(jí)保護(hù)備案表1測(cè)評(píng)項(xiàng)目概述1.1測(cè)評(píng)目的描

8、述信息系統(tǒng)的重要性：通過(guò)描述信息系統(tǒng)的基本情況，包括運(yùn)營(yíng)使用單位的 性質(zhì)，承載的主要業(yè)務(wù)和系統(tǒng)服務(wù)情況，進(jìn)一步闡明其在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社 會(huì)生活中的重要程度，受到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法 人和其他組織的合法權(quán)益的危害程度等。描述等級(jí)測(cè)評(píng)工作的基本情況，包括委托單位、測(cè)評(píng)單位、測(cè)評(píng)范圍及預(yù)期（如, 通過(guò)等級(jí)測(cè)評(píng)找出與國(guó)家標(biāo)準(zhǔn)要求之間的差距）。描述測(cè)評(píng)報(bào)告的用途（如，作為后續(xù)安全整改的依據(jù)）。1.2測(cè)評(píng)依據(jù)開(kāi)展測(cè)評(píng)活動(dòng)所依據(jù)的合同、標(biāo)準(zhǔn)和文件：1）信息安全等級(jí)保護(hù)管理辦法（公通字200743號(hào)）2）關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知（發(fā)改高技20

9、082071號(hào)）針對(duì)“國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目”有效3）GB/T 22239-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求4）GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范5）信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求（國(guó)標(biāo)報(bào)批稿）6）被測(cè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告7）等級(jí)測(cè)評(píng)任務(wù)書(shū)/測(cè)評(píng)合同等1.3測(cè)評(píng)過(guò)程描述本次等級(jí)測(cè)評(píng)的工作流程（可參考信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指 南），具體內(nèi)容包括但不限于：（一）測(cè)評(píng)工作流程圖（二）各階段完成的關(guān)鍵任務(wù)（三）工作的時(shí)間節(jié)點(diǎn)1.4報(bào)告分發(fā)范圍依據(jù)項(xiàng)目需求，明確應(yīng)交付等級(jí)測(cè)評(píng)報(bào)告的數(shù)量與分發(fā)范圍（如本報(bào)告一式三份，一份提交測(cè)評(píng)委托單位

10、、一份提交受理備案的公安機(jī)關(guān)、一份由測(cè)評(píng)單位留存）2被測(cè)系統(tǒng)情況2.1基本信息系統(tǒng)名稱(chēng)2主管 機(jī)構(gòu)系統(tǒng) 承載業(yè)務(wù)情況業(yè)務(wù) 類(lèi)型1生產(chǎn)作業(yè)2指揮調(diào)度3管理控制4內(nèi)部辦公5公眾服務(wù)9其他業(yè)務(wù) 描述系統(tǒng) 服務(wù)情況服務(wù) 范圍10全國(guó)11跨?。▍^(qū)、市）跨個(gè)20全省（區(qū)、市）21跨地（巾、區(qū)）跨個(gè)30地（市、區(qū)）內(nèi)99其它服務(wù) 對(duì)象1單位內(nèi)部人員2社會(huì)公眾人員3兩者均包括9其他系統(tǒng) 網(wǎng)絡(luò)覆蓋 范圍1局域網(wǎng)2城域網(wǎng)3廣域網(wǎng)2本報(bào)告模板針對(duì)作為單一定級(jí)對(duì)象的信息系統(tǒng)制定。平臺(tái)9其他網(wǎng)絡(luò) 性質(zhì)1業(yè)務(wù)專(zhuān)網(wǎng)9其它2互聯(lián)網(wǎng)系統(tǒng) 互聯(lián)情況1與其他行業(yè)系統(tǒng)連接 業(yè)其他單位系統(tǒng)連接3與本單位其他系統(tǒng)連接9其它2與本行業(yè)務(wù)信

11、息安全 保護(hù)等級(jí)系統(tǒng)服務(wù)安全 保護(hù)等級(jí)信息系統(tǒng)安全 保護(hù)等級(jí)2.2業(yè)務(wù)應(yīng)用描述信息系統(tǒng)承載的業(yè)務(wù)應(yīng)用情況。2.3網(wǎng)絡(luò)結(jié)構(gòu)給出被測(cè)信息系統(tǒng)的拓?fù)浣Y(jié)構(gòu)示意圖，并基于示意圖說(shuō)明被測(cè)信息系統(tǒng)的網(wǎng)絡(luò) 結(jié)構(gòu)基本情況，包括但不限于：（一）功能/安全區(qū)域劃分、隔離與防護(hù)情況（二）關(guān)鍵網(wǎng)絡(luò)和主機(jī)設(shè)備的部署情況和功能簡(jiǎn)介（三）與其他信息系統(tǒng)的互聯(lián)情況和邊界設(shè)備（四）本地備份和災(zāi)備中心的情況2.4系統(tǒng)構(gòu)成以列表的形式分類(lèi)描述信息系統(tǒng)的軟、硬件構(gòu)成情況2.4.1業(yè)務(wù)應(yīng)用軟件以列表的形式給出被測(cè)信息系統(tǒng)中的業(yè)務(wù)應(yīng)用軟件（包括含中間件等應(yīng)用平臺(tái)軟件），描述項(xiàng)目包括軟件名稱(chēng)、主要功能簡(jiǎn)介和重要程度。序號(hào)軟件名稱(chēng)主要功能重要

12、程 度 2.4.2關(guān)鍵數(shù)據(jù)類(lèi)別序號(hào)數(shù)據(jù)類(lèi)型所屬業(yè)務(wù) 應(yīng)用主機(jī)/存 儲(chǔ)設(shè)備重要程 度 243主機(jī)/存儲(chǔ)設(shè)備以列表形式給出被測(cè)信息系統(tǒng)中的主機(jī)設(shè)備（包含操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng) 軟件），描述項(xiàng)目包括設(shè)備名稱(chēng)、操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)以及承載的業(yè)務(wù)應(yīng)用 軟件系統(tǒng)。序 號(hào)設(shè)備名稱(chēng)操作系統(tǒng)/數(shù)據(jù) 庫(kù)管理系統(tǒng)業(yè)務(wù)應(yīng)用軟 件 244網(wǎng)絡(luò)互聯(lián)與安全設(shè)備以列表形式給出被測(cè)信息系統(tǒng)中的網(wǎng)絡(luò)互聯(lián)及安全設(shè)備。設(shè)備名稱(chēng)應(yīng)確保在被測(cè)信息系統(tǒng)范圍內(nèi)的唯一性，建議采取類(lèi)別-用途/功能/型號(hào)-編號(hào)（可選）的三段命名方式。序號(hào)設(shè)備名稱(chēng)用途重要程 度1路由器內(nèi)部 1內(nèi)部邊界路由重要2路由器_VPN_1遠(yuǎn)程管理維護(hù)重要3路由器_VP

13、N_2遠(yuǎn)程管理維護(hù)重要4防火墻_WEB_1Web區(qū)之間訪問(wèn) 控制重要 245安全相關(guān)人員以列表形式給出與被測(cè)信息系統(tǒng)安全相關(guān)的人員，描述項(xiàng)目包括姓名、崗位/角色和聯(lián)系方式。人員包括但不限于安全主管、系統(tǒng)建設(shè)負(fù)責(zé)人、系統(tǒng)運(yùn)維負(fù)責(zé)人、 網(wǎng)絡(luò)（安全）管理員、主機(jī)（安全）管理員、數(shù)據(jù)庫(kù)（安全）管理員、應(yīng)用（安全） 管理員、機(jī)房管理人員、資產(chǎn)管理員、業(yè)務(wù)操作員、安全審計(jì)人員等。序 號(hào)姓名崗位/角色聯(lián)系方 式 246安全管理文檔與信息系統(tǒng)安全相關(guān)的文檔，包括：（一）管理類(lèi)文檔，如機(jī)構(gòu)總體安全方針和政策方面的管理制 度、人員安全教育和培訓(xùn)方面的管理制度、第三方人員訪問(wèn)控制方面 的管理制度、機(jī)房安全管理方面的

14、管理制度等；（二）記錄類(lèi)文檔，如設(shè)備運(yùn)行維護(hù)記錄、會(huì)議記錄等；（三）其他類(lèi)文檔，如專(zhuān)家評(píng)審意見(jiàn)等。序號(hào)文檔名稱(chēng)主要內(nèi)容 2.5安全環(huán)境描述被測(cè)信息系統(tǒng)的運(yùn)行環(huán)境中與安全相關(guān)的部分：如數(shù)據(jù)中心位于運(yùn)營(yíng)服務(wù)商機(jī)房中、網(wǎng)絡(luò)存在互聯(lián)網(wǎng)連接、網(wǎng)絡(luò)中部署無(wú)線接入點(diǎn)以及支持遠(yuǎn)程撥號(hào)訪問(wèn)用以列表形式給出被測(cè)信息系統(tǒng)的威脅列表，并基于歷史統(tǒng)計(jì)或者行業(yè)判斷進(jìn)行 威脅賦值，具體內(nèi)容可參考風(fēng)險(xiǎn)評(píng)估規(guī)范。序 號(hào)威脅分（子）類(lèi)描述威脅賦值1網(wǎng)絡(luò)攻擊利用工具和技術(shù) 通過(guò)網(wǎng)絡(luò)對(duì)信息 系統(tǒng)進(jìn)行攻擊和 入侵高 3等級(jí)測(cè)評(píng)范圍與方法3.1測(cè)評(píng)指標(biāo)測(cè)評(píng)指標(biāo)包括基本指標(biāo)和附加指標(biāo)兩部分，以列表的形式給出。依據(jù)定級(jí)結(jié)果選擇基本要求中對(duì)應(yīng)

15、級(jí)別的安全要求作為等級(jí)測(cè)評(píng)的基本指 標(biāo)；3.1.1基本指標(biāo)基本指標(biāo)（物理和網(wǎng)絡(luò)子類(lèi)）的例子如下所示：分類(lèi)子類(lèi)基本要求測(cè)評(píng)項(xiàng)數(shù)測(cè)評(píng)項(xiàng)數(shù)量隨信息系統(tǒng)的安全保護(hù)等級(jí)不同而變化物理安全物理位置的選擇測(cè)評(píng)物理機(jī)房所在 的外部環(huán)境安全性。2物理訪問(wèn)控制測(cè)評(píng)進(jìn)出機(jī)房的審 批控制手段以及機(jī) 房出入口的安全控 制情況。4防盜竊 和防破 壞測(cè)評(píng)機(jī)房?jī)?nèi)設(shè)備和 通信線纜的安全性 以及監(jiān)控報(bào)警系統(tǒng) 建設(shè)情況。6防雷擊測(cè)評(píng)建筑防雷和防 感應(yīng)雷的建設(shè)情況。3防火測(cè)評(píng)自動(dòng)監(jiān)控防火 系統(tǒng)設(shè)置情況以及 機(jī)房材料防火情況。3分類(lèi)子類(lèi)基本要求測(cè)評(píng)項(xiàng)數(shù)3防水和防潮測(cè)評(píng)機(jī)房?jī)?nèi)水管設(shè) 置情況、防止結(jié)露所 采取的措施以及監(jiān) 控報(bào)警系統(tǒng)建設(shè)情

16、 況。4防靜電測(cè)評(píng)機(jī)房防靜電所 米取的措施。3溫濕度控制測(cè)評(píng)機(jī)房溫濕度控 制措施1電力供應(yīng)測(cè)評(píng)電力線路、備用 電源以及發(fā)電機(jī)的 配備情況。4電磁防護(hù)測(cè)評(píng)線纜電磁防護(hù) 手段和設(shè)備電磁防 護(hù)手段。3分類(lèi)子類(lèi)基本要求測(cè)評(píng)項(xiàng)數(shù)3網(wǎng)絡(luò)結(jié)構(gòu)安 全主要核查：主要網(wǎng)絡(luò) 設(shè)備的處理能力、業(yè) 務(wù)高峰期需求帶寬、 路由控制、網(wǎng)絡(luò)拓?fù)?結(jié)構(gòu)圖是否致、子 網(wǎng)劃分、技術(shù)隔離手 段和帶寬分配策略。7安全訪問(wèn)控 制主要核查：訪問(wèn)控制 功能、協(xié)議深層檢 測(cè)、網(wǎng)絡(luò)連接超時(shí)、 流量限制和并發(fā)連 接數(shù)限制等等。4安全審 計(jì)主要核查：網(wǎng)絡(luò)設(shè)備 日志收集、分析和統(tǒng) 計(jì)以及保護(hù)等等。6分類(lèi)子類(lèi)基本要求測(cè)評(píng)項(xiàng)數(shù)3邊界完 整性檢 查主要核查：

17、是否能夠 對(duì)非授權(quán)設(shè)備私自 聯(lián)到內(nèi)部網(wǎng)絡(luò)的行 為進(jìn)行檢查并準(zhǔn)確 定位和阻斷；是否能 夠?qū)?nèi)部網(wǎng)絡(luò)用戶(hù) 私自聯(lián)到外部網(wǎng)絡(luò) 的行為進(jìn)行檢查并 準(zhǔn)確定位和阻斷。2入侵防 范主要核查：部署IDS 系統(tǒng)以及使用情況。2惡意代 碼防范主要核查：是否有完 整的防病毒體系以 及代碼庫(kù)的升級(jí)情 況。2分類(lèi)子類(lèi)基本要求測(cè)評(píng)項(xiàng)數(shù)3網(wǎng)絡(luò)設(shè)備防護(hù)主要核查：用戶(hù)身份 鑒別、管理員登錄地 址限制、用戶(hù)標(biāo)識(shí)唯 一性、組合鑒別技 術(shù)、口令策略、登錄 策略、遠(yuǎn)程管理和權(quán) 限分離。93.1.2附加指標(biāo)參照基本指標(biāo)的表述模式以列表形式給出附加指標(biāo)。附加指標(biāo)包括但不限于：1) 行業(yè)標(biāo)準(zhǔn)/規(guī)范的具體指標(biāo)2) 主管部門(mén)的規(guī)定的具體指標(biāo)3)

18、 信息系統(tǒng)的運(yùn)營(yíng)、使用單位基于特定安全環(huán)境或者業(yè)務(wù)應(yīng)用提出的具體指標(biāo)分類(lèi)子類(lèi)附加要求測(cè)評(píng)項(xiàng)數(shù)3.2測(cè)評(píng)對(duì)象3.2.1測(cè)評(píng)對(duì)象選擇方法描述本次等級(jí)測(cè)評(píng)中采用的測(cè)評(píng)對(duì)象選擇方法和具體規(guī)則，通常采用抽查的方法，兼顧類(lèi)別與數(shù)量。測(cè)評(píng)對(duì)象包括網(wǎng)絡(luò)互聯(lián)與安全設(shè)備操作系統(tǒng)、業(yè)務(wù)應(yīng)用軟件、主機(jī)操作系統(tǒng)、 存儲(chǔ)設(shè)備操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、安全相關(guān)人員、機(jī)房、介質(zhì)以及管理文檔。 選擇過(guò)程中應(yīng)綜合考慮信息系統(tǒng)的安全保護(hù)等級(jí)、業(yè)務(wù)應(yīng)用特點(diǎn)和對(duì)象所在具體設(shè)備的重要情況等要素，并兼顧工作投入與結(jié)果產(chǎn)出兩者的平衡關(guān)系。其中，主機(jī)設(shè) 備的重要程度由其承載的業(yè)務(wù)應(yīng)用和業(yè)務(wù)數(shù)據(jù)的重要程度決定；機(jī)房、介質(zhì)非個(gè)人使用存儲(chǔ)介質(zhì)和管理

19、文檔不需要抽樣。具體方法和規(guī)則可參考信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南。322測(cè)評(píng)對(duì)象選擇結(jié)果1) 網(wǎng)絡(luò)互聯(lián)設(shè)備操作系統(tǒng)序號(hào)操作系統(tǒng)名稱(chēng)設(shè)備名稱(chēng)1IOS_路由器_內(nèi) 部 1路由器內(nèi)部_12IOS_路由器 _VPN_1路由器_VPN_13IOS_路由器 _VPN_2路由器_VPN_2 2)安全設(shè)備操作系統(tǒng)序號(hào)操作系統(tǒng)名稱(chēng)設(shè)備名稱(chēng)1JOS_防火墻WEB 1防火墻_WEB_1序號(hào)操作系統(tǒng)名稱(chēng)設(shè)備名稱(chēng) 3) 業(yè)務(wù)應(yīng)用軟件序號(hào)軟件名稱(chēng)主要功能 4) 主機(jī)(存儲(chǔ))操作系統(tǒng)序 號(hào)設(shè)備名稱(chēng)操作系統(tǒng)/數(shù)據(jù)庫(kù)管理系統(tǒng) 5) 數(shù)據(jù)庫(kù)管理系統(tǒng)序 號(hào)設(shè)備名稱(chēng)操作系統(tǒng)/數(shù)據(jù)庫(kù)管理系統(tǒng) 6） 訪談人員序 號(hào)姓名崗位/職責(zé) 7

20、） 安全管理文檔序 號(hào)文檔名稱(chēng)主要內(nèi)容 3.3測(cè)評(píng)方法331現(xiàn)場(chǎng)測(cè)評(píng)方法描述本次等級(jí)測(cè)評(píng)工作中采用的測(cè)評(píng)方法。現(xiàn)場(chǎng)測(cè)評(píng)方法主要包括訪談、檢查和測(cè)試等三類(lèi)，可細(xì)分為人員訪談、文檔審 查、配置核查、現(xiàn)場(chǎng)觀測(cè)和工具測(cè)試等。如果采用工具測(cè)試，應(yīng)給出工具接入示意 圖，并對(duì)測(cè)評(píng)工具的接入點(diǎn)和預(yù)期的測(cè)試路徑進(jìn)行描述。3.3.2風(fēng)險(xiǎn)分析方法本項(xiàng)目依據(jù)安全事件可能性和安全事件后果對(duì)信息系統(tǒng)面臨的風(fēng)險(xiǎn)進(jìn)行分析， 分析過(guò)程包括：1）判斷信息系統(tǒng)安全保護(hù)能力缺失（等級(jí)測(cè)評(píng)結(jié)果中的部分符合項(xiàng)和不符合 項(xiàng)）被威脅利用導(dǎo)致安全事件發(fā)生的可能性，可能性的取值范圍為高、中和低；2）判斷安全事件對(duì)信息系統(tǒng)業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安

21、全造成的影響程度， 影響程度取值范圍為高、中和低；3）綜合1）和2）的結(jié)果對(duì)信息系統(tǒng)面臨的風(fēng)險(xiǎn)進(jìn)行匯總和分等級(jí)，風(fēng)險(xiǎn)等級(jí) 的取值范圍為高、中和低；4）結(jié)合信息系統(tǒng)的安全保護(hù)等級(jí)對(duì)風(fēng)險(xiǎn)分析結(jié)果進(jìn)行評(píng)價(jià)，即對(duì)國(guó)家安全、 社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益造成的風(fēng)險(xiǎn)。4等級(jí)測(cè)評(píng)內(nèi)容單元測(cè)評(píng)的內(nèi)容及結(jié)果記錄如下所示：4.1物理安全4.1.1結(jié)果記錄4.1.2問(wèn)題分析4.1.3單元測(cè)評(píng)結(jié)果4.2網(wǎng)絡(luò)安全4.2.1結(jié)果記錄以表格形式分別給出不同測(cè)評(píng)對(duì)象的現(xiàn)場(chǎng)測(cè)評(píng)結(jié)果。1)IOSJ各由器內(nèi)部_1類(lèi)別測(cè)評(píng)內(nèi)容結(jié)果記錄符合情 況扌問(wèn)a)應(yīng)在網(wǎng)絡(luò) 邊界部署訪問(wèn) 控制設(shè)備，啟 用訪問(wèn)控制功 能；b

22、)應(yīng)能根據(jù) 會(huì)話狀態(tài)信息 為數(shù)據(jù)流提供 明確的允許/ 拒絕訪問(wèn)的能 力，控制粒度 為端口級(jí)；c) 應(yīng)對(duì)進(jìn)出 網(wǎng)絡(luò)的信息內(nèi) 容進(jìn)行過(guò)濾， 實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、 TELNETSMTPPOP蒔 協(xié)議命 令級(jí)的控制；d）應(yīng)在會(huì)話 處于非活躍一 定時(shí)間或會(huì)話 結(jié)束后終止網(wǎng) 絡(luò)連接；e）應(yīng)限制網(wǎng) 絡(luò)最大流量數(shù) 及網(wǎng)絡(luò)連接 數(shù)；f） 重要網(wǎng)段 應(yīng)采取技術(shù)手 段防止地址欺 騙；g）應(yīng)按用戶(hù) 和系統(tǒng)之間的 允許訪問(wèn)規(guī) 則，決定允許 或拒絕用戶(hù)對(duì) 受控系統(tǒng)進(jìn)行資源訪問(wèn)，控 制粒度為單個(gè) 用戶(hù)；h）應(yīng)限制具 有撥號(hào)訪問(wèn)權(quán) 限的用戶(hù)數(shù) 量。 2) IOSJ路由器 _VPN_1422問(wèn)題分析匯總網(wǎng)絡(luò)安全中存在

23、的問(wèn)題并加以分析，找出共性和危害嚴(yán)重的問(wèn)題，如邊界 防火墻的管理口令為空。4.2.3單元測(cè)評(píng)結(jié)果針對(duì)網(wǎng)絡(luò)設(shè)備的不同測(cè)評(píng)指標(biāo)子類(lèi)對(duì)單項(xiàng)測(cè)評(píng)結(jié)果進(jìn)行匯總和統(tǒng)計(jì)可得單元測(cè)評(píng)結(jié)果。單元測(cè)評(píng)結(jié)果的判定依據(jù)為：如某對(duì)象的特定測(cè)評(píng)指標(biāo)的全部測(cè)評(píng)項(xiàng)結(jié) 果均為符合，則該單元的測(cè)評(píng)結(jié)果為符合；如全部測(cè)評(píng)項(xiàng)結(jié)果均為不符合，則該單 元的測(cè)評(píng)結(jié)果為不符合；否則該單元測(cè)評(píng)結(jié)果為不符合。表格中分?jǐn)?shù)的分母表示單元測(cè)評(píng)包含的測(cè)評(píng)項(xiàng)數(shù)量，分子表示不符合項(xiàng)和部分符合項(xiàng)的數(shù)量之和；斜線表明該指標(biāo)子類(lèi)不適用。網(wǎng)絡(luò)安全單元測(cè)評(píng)結(jié)果匯總表序號(hào)名稱(chēng)測(cè)評(píng)指標(biāo)子類(lèi)網(wǎng) 絡(luò) 結(jié) 構(gòu) 安 全網(wǎng) 絡(luò) 訪 問(wèn) 控 制網(wǎng) 絡(luò) 安 全 審 計(jì)邊界 完整 性檢

24、 查網(wǎng) 絡(luò) 入 侵 防 范惡意 代 碼 防 范網(wǎng) 絡(luò) 設(shè) 備 防 護(hù)1IOS路由 器_ 內(nèi) 部1部分符合4/7符合0/4符合0/6符合0/2不符合2/2不符合2/2部分符合6/92IOS_路 由 器_VP N 13 序號(hào)名稱(chēng)測(cè)評(píng)指標(biāo)子類(lèi)網(wǎng) 絡(luò) 結(jié) 構(gòu) 安 全網(wǎng) 絡(luò) 訪 問(wèn) 控 制網(wǎng) 絡(luò) 安 全 審 計(jì)邊界 完整 性檢 查網(wǎng) 絡(luò) 入 侵 防 范惡意 代 碼 防 范網(wǎng) 絡(luò) 設(shè) 備 防 護(hù)4564.3主機(jī)安全431結(jié)果記錄4.3.2問(wèn)題分析4.3.3單元測(cè)評(píng)結(jié)果4.4應(yīng)用安全441結(jié)果記錄4.4.2問(wèn)題分析4.4.3單元測(cè)評(píng)結(jié)果4.5數(shù)據(jù)安全及備份恢復(fù)4.5.1結(jié)果記錄4.5.2問(wèn)題分析4.5.3單

25、元測(cè)評(píng)結(jié)果4.6安全管理制度4.6.1結(jié)果記錄4.6.2問(wèn)題分析4.6.3單元測(cè)評(píng)結(jié)果4.7安全管理機(jī)構(gòu)4.7.1結(jié)果記錄4.7.2問(wèn)題分析4.7.3單元測(cè)評(píng)結(jié)果4.8人員安全管理4.8.1結(jié)果記錄4.8.2問(wèn)題分析4.8.3單元測(cè)評(píng)結(jié)果4.9系統(tǒng)建設(shè)管理4.9.1結(jié)果記錄4.9.2問(wèn)題分析4.9.3單元測(cè)評(píng)結(jié)果4.10系統(tǒng)運(yùn)維管理4.10.1結(jié)果記錄4.10.2問(wèn)題分析4.10.3單元測(cè)評(píng)結(jié)果4.11工具測(cè)試4.11.1結(jié)果記錄依據(jù)測(cè)評(píng)工具的結(jié)果報(bào)告形成工具測(cè)試的結(jié)果。4.11.2問(wèn)題分析匯總工具測(cè)試的結(jié)果，分析信息系統(tǒng)中存在的主要問(wèn)題。5等級(jí)測(cè)評(píng)結(jié)果5.1整體測(cè)評(píng)根據(jù)基本要求的要求，對(duì)這些

26、問(wèn)題進(jìn)行系統(tǒng)整體測(cè)評(píng)分析，包括從安全控 制間、層面間、區(qū)域間和系統(tǒng)結(jié)構(gòu)等方面進(jìn)行安全測(cè)評(píng)。5.1.1安全控制間安全測(cè)評(píng)5.1.2層面間安全測(cè)評(píng)5.1.3區(qū)域間安全測(cè)評(píng)5.1.4系統(tǒng)結(jié)構(gòu)安全測(cè)評(píng)5.2測(cè)評(píng)結(jié)果對(duì)整體測(cè)評(píng)后的等級(jí)測(cè)評(píng)結(jié)果基于安全子類(lèi)進(jìn)行匯總，并以表格形式進(jìn)行展 示。表格中使用不同顏色對(duì)測(cè)評(píng)結(jié)果進(jìn)行區(qū)分，測(cè)評(píng)結(jié)果為部分符合的指標(biāo)子類(lèi)采 黃色標(biāo)識(shí)，不符合的指標(biāo)子類(lèi)采用紅色標(biāo)識(shí)，如表中“物理安全”中指標(biāo)子類(lèi)對(duì)應(yīng) 表格單元的顏色所示。通過(guò)對(duì)信息系統(tǒng)基本安全保護(hù)狀態(tài)的分析，給出等級(jí)測(cè)評(píng)結(jié)論（結(jié)論為達(dá)標(biāo)、 基本達(dá)標(biāo)、不達(dá)標(biāo)）。序號(hào)分類(lèi)子類(lèi)符合情況符合部分符合不符合1物理位置的選 擇?2物理訪問(wèn)控制3防盜竊和防破 壞4防雷擊5防火6防水和防潮7防靜電8溫濕度控制9電力供應(yīng)分類(lèi)子類(lèi)符合情況序號(hào)符合部分符合不符合10電磁防護(hù)11結(jié)構(gòu)安全12訪問(wèn)控制13網(wǎng)絡(luò)安全安全審計(jì)14邊界完整性檢 查15入侵防范16惡意代碼防范17網(wǎng)絡(luò)設(shè)備防護(hù)18身份鑒別19安全標(biāo)記20訪問(wèn)控制21可信路徑22安全審計(jì)23剩余信息保護(hù)24入侵防范25惡意代碼防范26資源控制全安用I身份鑒別序號(hào)分類(lèi)子類(lèi)符合情況符合部分符合不符合28安全標(biāo)記29訪問(wèn)控制30可信路徑31安全審計(jì)32剩余信息保護(hù)33、通g信完整性34、通g信保密性35抗抵賴(lài)36軟件容