信息系統(tǒng)安全等級測評

1、公安部信息安全等級保護評估中心 信息系統(tǒng)安全等級測評報告模板項目名稱： 委托單位： 測評單位： 年 月 日測評單位名稱報告摘要 - 1 -報告摘要一、測評工作概述概要描述被測信息系統(tǒng)的基本情況（可參考信息系統(tǒng)安全等級保護備案表），包括但不限于：系統(tǒng)的運營使用單位、投入運行時間、承載的業(yè)務情況、系統(tǒng)服務情況以及定級情況。（見附件：信息系統(tǒng)安全等級保護備案表）描述等級測評工作的委托單位、測評單位和等級測評工作的開展過程，包括投入測評人員與設備情況、完成的具體工作內(nèi)容統(tǒng)計（涉及的測評分類與項目數(shù)量，檢查的網(wǎng)絡互聯(lián)與安全設備、主機、應用系統(tǒng)、管理文檔數(shù)量，訪談人員次數(shù)）。二、等級測評結(jié)果依據(jù)第4、5章

2、的結(jié)果對等級測評結(jié)果進行匯總統(tǒng)計（測評項符合情況及比例、單元測評結(jié)果符合情況比例以及整體測評結(jié)果）；通過對信息系統(tǒng)基本安全保護狀態(tài)的分析給出等級測評結(jié)論（結(jié)論為達標、基本達標、不達標）。三、系統(tǒng)存在的主要問題依據(jù)6.3章節(jié)的分析結(jié)果，列出被測信息系統(tǒng)中存在的主要問題以及可能造成的后果（如，未部署DDos防御措施，易遭受DDos攻擊，導致系統(tǒng)無法提供正常服務）。四、系統(tǒng)安全建設、整改建議針對系統(tǒng)存在的主要問題提出安全建設、整改建議，是對第七章內(nèi)容的提煉和簡要描述。報告基本信息信息系統(tǒng)基本情況系統(tǒng)名稱安全保護等級機房位置中心機房災備中心其他機房委托單位單位名稱單位地址郵政編碼聯(lián)系人姓 名職務/職稱

3、所屬部門辦公電話移動電話電子郵件測評單位單位名稱通信地址郵政編碼聯(lián)系人姓 名職務/職稱所屬部門辦公電話移動電話電子郵件報告審核批準編制人日期審核人日期批準人日期聲明聲明是測評單位對于測評報告內(nèi)容以及用途等有關事項做出的約定性陳述，包含但不限于以下內(nèi)容：本報告中給出的結(jié)論僅對目標系統(tǒng)的當時狀況有效，當測評工作完成后系統(tǒng)出現(xiàn)任何變更，涉及到的模塊（或子系統(tǒng)）都應重新進行測評，本報告不再適用。本報告中給出的結(jié)論不能作為對系統(tǒng)內(nèi)相關產(chǎn)品的測評結(jié)論。本報告結(jié)論的有效性建立在用戶提供材料的真實性基礎上。在任何情況下，若需引用本報告中的結(jié)果或數(shù)據(jù)都應保持其本來的意義，不得擅自進行增加、修改、偽造或掩蓋事實。

4、 測評單位機構(gòu)名稱 年 月測評單位名稱報告目錄 - PAGE IV-測評單位名稱報告目錄 TOC o 1-4 h z u TOC o 1-3 h z u HYPERLINK l _Toc225745118 1測評項目概述 PAGEREF _Toc225745118 h 1 HYPERLINK l _Toc225745119 1.1測評目的 PAGEREF _Toc225745119 h 1 HYPERLINK l _Toc225745120 1.2測評依據(jù) PAGEREF _Toc225745120 h 1 HYPERLINK l _Toc225745121 1.3測評過程 PAGEREF _

5、Toc225745121 h 1 HYPERLINK l _Toc225745122 1.4報告分發(fā)范圍 PAGEREF _Toc225745122 h 2 HYPERLINK l _Toc225745123 2被測系統(tǒng)情況 PAGEREF _Toc225745123 h 3 HYPERLINK l _Toc225745124 2.1基本信息 PAGEREF _Toc225745124 h 3 HYPERLINK l _Toc225745125 2.2業(yè)務應用 PAGEREF _Toc225745125 h 4 HYPERLINK l _Toc225745126 2.3網(wǎng)絡結(jié)構(gòu) PAGEREF

6、 _Toc225745126 h 4 HYPERLINK l _Toc225745127 2.4系統(tǒng)構(gòu)成 PAGEREF _Toc225745127 h 4 HYPERLINK l _Toc225745128 2.4.1業(yè)務應用軟件 PAGEREF _Toc225745128 h 4 HYPERLINK l _Toc225745129 2.4.2關鍵數(shù)據(jù)類別 PAGEREF _Toc225745129 h 4 HYPERLINK l _Toc225745130 2.4.3主機/存儲設備 PAGEREF _Toc225745130 h 5 HYPERLINK l _Toc225745131 2.

7、4.4網(wǎng)絡互聯(lián)與安全設備 PAGEREF _Toc225745131 h 5 HYPERLINK l _Toc225745132 2.4.5安全相關人員 PAGEREF _Toc225745132 h 6 HYPERLINK l _Toc225745133 2.4.6安全管理文檔 PAGEREF _Toc225745133 h 6 HYPERLINK l _Toc225745134 2.5安全環(huán)境 PAGEREF _Toc225745134 h 6 HYPERLINK l _Toc225745135 3等級測評范圍與方法 PAGEREF _Toc225745135 h 7 HYPERLINK

8、l _Toc225745136 3.1測評指標 PAGEREF _Toc225745136 h 7 HYPERLINK l _Toc225745137 3.1.1基本指標 PAGEREF _Toc225745137 h 7 HYPERLINK l _Toc225745138 3.1.2附加指標 PAGEREF _Toc225745138 h 9 HYPERLINK l _Toc225745139 3.2測評對象 PAGEREF _Toc225745139 h 9 HYPERLINK l _Toc225745140 3.2.1選擇方法 PAGEREF _Toc225745140 h 9 HYPE

9、RLINK l _Toc225745141 3.2.2選擇結(jié)果 PAGEREF _Toc225745141 h 10 HYPERLINK l _Toc225745142 3.3測評方法 PAGEREF _Toc225745142 h 11 HYPERLINK l _Toc225745143 3.3.1現(xiàn)場測評方法 PAGEREF _Toc225745143 h 11 HYPERLINK l _Toc225745144 3.3.2風險分析方法 PAGEREF _Toc225745144 h 11 HYPERLINK l _Toc225745145 4等級測評內(nèi)容 PAGEREF _Toc2257

10、45145 h 12 HYPERLINK l _Toc225745146 4.1物理安全 PAGEREF _Toc225745146 h 12 HYPERLINK l _Toc225745147 4.1.1結(jié)果記錄 PAGEREF _Toc225745147 h 12 HYPERLINK l _Toc225745148 4.1.2問題分析 PAGEREF _Toc225745148 h 12 HYPERLINK l _Toc225745149 4.1.3單元測評結(jié)果 PAGEREF _Toc225745149 h 12 HYPERLINK l _Toc225745150 4.2網(wǎng)絡安全 PAG

11、EREF _Toc225745150 h 12 HYPERLINK l _Toc225745151 4.2.1結(jié)果記錄 PAGEREF _Toc225745151 h 12 HYPERLINK l _Toc225745152 4.2.2問題分析 PAGEREF _Toc225745152 h 14 HYPERLINK l _Toc225745153 4.2.3單元測評結(jié)果 PAGEREF _Toc225745153 h 14 HYPERLINK l _Toc225745154 4.3主機安全 PAGEREF _Toc225745154 h 14 HYPERLINK l _Toc22574515

12、5 4.3.1結(jié)果記錄 PAGEREF _Toc225745155 h 14 HYPERLINK l _Toc225745156 4.3.2問題分析 PAGEREF _Toc225745156 h 15 HYPERLINK l _Toc225745157 4.3.3單元測評結(jié)果 PAGEREF _Toc225745157 h 15 HYPERLINK l _Toc225745158 4.4應用安全 PAGEREF _Toc225745158 h 15 HYPERLINK l _Toc225745159 4.4.1結(jié)果記錄 PAGEREF _Toc225745159 h 15 HYPERLINK

13、 l _Toc225745160 4.4.2問題分析 PAGEREF _Toc225745160 h 15 HYPERLINK l _Toc225745161 4.4.3單元測評結(jié)果 PAGEREF _Toc225745161 h 15 HYPERLINK l _Toc225745162 4.5數(shù)據(jù)安全及備份恢復 PAGEREF _Toc225745162 h 15 HYPERLINK l _Toc225745163 4.5.1結(jié)果記錄 PAGEREF _Toc225745163 h 15 HYPERLINK l _Toc225745164 4.5.2問題分析 PAGEREF _Toc2257

14、45164 h 15 HYPERLINK l _Toc225745165 4.5.3單元測評結(jié)果 PAGEREF _Toc225745165 h 15 HYPERLINK l _Toc225745166 4.6安全管理制度 PAGEREF _Toc225745166 h 15 HYPERLINK l _Toc225745167 4.6.1結(jié)果記錄 PAGEREF _Toc225745167 h 15 HYPERLINK l _Toc225745168 4.6.2問題分析 PAGEREF _Toc225745168 h 16 HYPERLINK l _Toc225745169 4.6.3單元測評

15、結(jié)果 PAGEREF _Toc225745169 h 16 HYPERLINK l _Toc225745170 4.7安全管理機構(gòu) PAGEREF _Toc225745170 h 16 HYPERLINK l _Toc225745171 4.7.1結(jié)果記錄 PAGEREF _Toc225745171 h 16 HYPERLINK l _Toc225745172 4.7.2問題分析 PAGEREF _Toc225745172 h 16 HYPERLINK l _Toc225745173 4.7.3單元測評結(jié)果 PAGEREF _Toc225745173 h 16 HYPERLINK l _Toc

16、225745174 4.8人員安全管理 PAGEREF _Toc225745174 h 16 HYPERLINK l _Toc225745175 4.8.1結(jié)果記錄 PAGEREF _Toc225745175 h 16 HYPERLINK l _Toc225745176 4.8.2問題分析 PAGEREF _Toc225745176 h 16 HYPERLINK l _Toc225745177 4.8.3單元測評結(jié)果 PAGEREF _Toc225745177 h 16 HYPERLINK l _Toc225745178 4.9系統(tǒng)建設管理 PAGEREF _Toc225745178 h 16

17、 HYPERLINK l _Toc225745179 4.9.1結(jié)果記錄 PAGEREF _Toc225745179 h 16 HYPERLINK l _Toc225745180 4.9.2問題分析 PAGEREF _Toc225745180 h 17 HYPERLINK l _Toc225745181 4.9.3單元測評結(jié)果 PAGEREF _Toc225745181 h 17 HYPERLINK l _Toc225745182 4.10系統(tǒng)運維管理 PAGEREF _Toc225745182 h 17 HYPERLINK l _Toc225745183 4.10.1結(jié)果記錄 PAGEREF

18、 _Toc225745183 h 17 HYPERLINK l _Toc225745184 4.10.2問題分析 PAGEREF _Toc225745184 h 17 HYPERLINK l _Toc225745185 4.10.3單元測評結(jié)果 PAGEREF _Toc225745185 h 17 HYPERLINK l _Toc225745186 4.11工具測試 PAGEREF _Toc225745186 h 17 HYPERLINK l _Toc225745187 4.11.1結(jié)果記錄 PAGEREF _Toc225745187 h 17 HYPERLINK l _Toc22574518

19、8 4.11.2問題分析 PAGEREF _Toc225745188 h 17 HYPERLINK l _Toc225745189 5等級測評結(jié)果 PAGEREF _Toc225745189 h 17 HYPERLINK l _Toc225745190 5.1整體測評 PAGEREF _Toc225745190 h 17 HYPERLINK l _Toc225745191 5.1.1安全控制間安全測評 PAGEREF _Toc225745191 h 17 HYPERLINK l _Toc225745192 5.1.2層面間安全測評 PAGEREF _Toc225745192 h 18 HYPE

20、RLINK l _Toc225745193 5.1.3區(qū)域間安全測評 PAGEREF _Toc225745193 h 18 HYPERLINK l _Toc225745194 5.1.4系統(tǒng)結(jié)構(gòu)安全測評 PAGEREF _Toc225745194 h 18 HYPERLINK l _Toc225745195 5.2測評結(jié)果 PAGEREF _Toc225745195 h 18 HYPERLINK l _Toc225745196 5.3統(tǒng)計圖表 PAGEREF _Toc225745196 h 22 HYPERLINK l _Toc225745197 6風險分析和評價 PAGEREF _Toc22

21、5745197 h 22 HYPERLINK l _Toc225745198 6.1安全事件可能性分析 PAGEREF _Toc225745198 h 22 HYPERLINK l _Toc225745199 6.2安全事件后果分析 PAGEREF _Toc225745199 h 23 HYPERLINK l _Toc225745200 6.3風險分析和評價 PAGEREF _Toc225745200 h 23 HYPERLINK l _Toc225745201 7系統(tǒng)安全建設、整改建議 PAGEREF _Toc225745201 h 25 HYPERLINK l _Toc225745202

22、7.1物理安全 PAGEREF _Toc225745202 h 25 HYPERLINK l _Toc225745203 7.2網(wǎng)絡安全 PAGEREF _Toc225745203 h 25 HYPERLINK l _Toc225745204 7.3主機安全 PAGEREF _Toc225745204 h 25 HYPERLINK l _Toc225745205 7.4應用安全 PAGEREF _Toc225745205 h 25 HYPERLINK l _Toc225745206 7.5數(shù)據(jù)安全及備份恢復 PAGEREF _Toc225745206 h 25 HYPERLINK l _Toc

23、225745207 7.6安全管理制度 PAGEREF _Toc225745207 h 25 HYPERLINK l _Toc225745208 7.7安全管理機構(gòu) PAGEREF _Toc225745208 h 25 HYPERLINK l _Toc225745209 7.8人員安全管理 PAGEREF _Toc225745209 h 25 HYPERLINK l _Toc225745210 7.9系統(tǒng)建設管理 PAGEREF _Toc225745210 h 26 HYPERLINK l _Toc225745211 7.10系統(tǒng)運維管理 PAGEREF _Toc225745211 h 26附

24、：信息系統(tǒng)安全等級保護備案表測評單位名稱2009版報告正文 第 PAGE 21頁 / 共xxx頁測評項目概述測評目的描述信息系統(tǒng)的重要性：通過描述信息系統(tǒng)的基本情況，包括運營使用單位的性質(zhì)，承載的主要業(yè)務和系統(tǒng)服務情況，進一步闡明其在國家安全、經(jīng)濟建設、社會生活中的重要程度，受到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等。描述等級測評工作的基本情況，包括委托單位、測評單位、測評范圍及預期（如，通過等級測評找出與國家標準要求之間的差距）。描述測評報告的用途（如，作為后續(xù)安全整改的依據(jù)）。測評依據(jù)開展測評活動所依據(jù)的合同、標準和文件： 信息安全等級保護管理辦

25、法（公通字200743號）關于加強國家電子政務工程建設項目信息安全風險評估工作的通知（發(fā)改高技20082071號） 針對“國家電子政務工程建設項目”有效GB/T 22239-2008 信息安全技術 信息系統(tǒng)安全等級保護基本要求GB/T 20984-2007 信息安全技術 信息安全風險評估規(guī)范信息安全技術 信息系統(tǒng)安全等級保護測評要求（國標報批稿）被測信息系統(tǒng)安全等級保護定級報告等級測評任務書/測評合同等測評過程描述本次等級測評的工作流程（可參考信息系統(tǒng)安全等級保護測評過程指南），具體內(nèi)容包括但不限于：測評工作流程圖各階段完成的關鍵任務工作的時間節(jié)點報告分發(fā)范圍依據(jù)項目需求，明確應交付等級測評報

26、告的數(shù)量與分發(fā)范圍（如本報告一式三份，一份提交測評委托單位、一份提交受理備案的公安機關、一份由測評單位留存）。被測系統(tǒng)情況基本信息系統(tǒng)名稱 本報告模板針對作為單一定級對象的信息系統(tǒng)制定。主管機構(gòu)系統(tǒng)承載業(yè)務情況業(yè)務類型1生產(chǎn)作業(yè) 2指揮調(diào)度 3管理控制 4內(nèi)部辦公 5公眾服務 9其他 業(yè)務描述 系統(tǒng)服務情況服務范圍10全國 11跨?。▍^(qū)、市） 跨 個 20全省（區(qū)、市） 21跨地（市、區(qū)） 跨 個30地（市、區(qū)）內(nèi) 99其它 服務對象1單位內(nèi)部人員 2社會公眾人員 3兩者均包括 9其他 系統(tǒng)網(wǎng)絡平臺覆蓋范圍1局域網(wǎng) 2城域網(wǎng) 3廣域網(wǎng) 9其他 網(wǎng)絡性質(zhì)1業(yè)務專網(wǎng) 2互聯(lián)網(wǎng) 9其它 系統(tǒng)互聯(lián)情況

27、 1與其他行業(yè)系統(tǒng)連接 2與本行業(yè)其他單位系統(tǒng)連接3與本單位其他系統(tǒng)連接 9其它 業(yè)務信息安全保護等級系統(tǒng)服務安全保護等級信息系統(tǒng)安全保護等級業(yè)務應用描述信息系統(tǒng)承載的業(yè)務應用情況。網(wǎng)絡結(jié)構(gòu)給出被測信息系統(tǒng)的拓撲結(jié)構(gòu)示意圖，并基于示意圖說明被測信息系統(tǒng)的網(wǎng)絡結(jié)構(gòu)基本情況，包括但不限于：功能/安全區(qū)域劃分、隔離與防護情況關鍵網(wǎng)絡和主機設備的部署情況和功能簡介與其他信息系統(tǒng)的互聯(lián)情況和邊界設備本地備份和災備中心的情況系統(tǒng)構(gòu)成以列表的形式分類描述信息系統(tǒng)的軟、硬件構(gòu)成情況。業(yè)務應用軟件以列表的形式給出被測信息系統(tǒng)中的業(yè)務應用軟件（包括含中間件等應用平臺軟件），描述項目包括軟件名稱、主要功能簡介和重要

28、程度。序號軟件名稱主要功能重要程度關鍵數(shù)據(jù)類別序號數(shù)據(jù)類型所屬業(yè)務應用主機/存儲設備重要程度主機/存儲設備以列表形式給出被測信息系統(tǒng)中的主機設備（包含操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)軟件），描述項目包括設備名稱、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)以及承載的業(yè)務應用軟件系統(tǒng)。序號設備名稱操作系統(tǒng)/數(shù)據(jù)庫管理系統(tǒng)業(yè)務應用軟件網(wǎng)絡互聯(lián)與安全設備以列表形式給出被測信息系統(tǒng)中的網(wǎng)絡互聯(lián)及安全設備。設備名稱應確保在被測信息系統(tǒng)范圍內(nèi)的唯一性，建議采取類別-用途/功能/型號-編號（可選）的三段命名方式。序號設備名稱用 途重要程度1路由器_內(nèi)部_1內(nèi)部邊界路由重要2路由器_VPN_1遠程管理維護重要3路由器_VPN_2遠程管理

29、維護重要4防火墻_WEB_1Web區(qū)之間訪問控制重要安全相關人員以列表形式給出與被測信息系統(tǒng)安全相關的人員，描述項目包括姓名、崗位/角色和聯(lián)系方式。人員包括但不限于安全主管、系統(tǒng)建設負責人、系統(tǒng)運維負責人、網(wǎng)絡（安全）管理員、主機（安全）管理員、數(shù)據(jù)庫（安全）管理員、應用（安全）管理員、機房管理人員、資產(chǎn)管理員、業(yè)務操作員、安全審計人員等。序號姓名崗位/角色聯(lián)系方式安全管理文檔與信息系統(tǒng)安全相關的文檔，包括：管理類文檔，如機構(gòu)總體安全方針和政策方面的管理制度、人員安全教育和培訓方面的管理制度、第三方人員訪問控制方面的管理制度、機房安全管理方面的管理制度等；記錄類文檔，如設備運行維護記錄、會議記

30、錄等；其他類文檔，如專家評審意見等。序號文檔名稱主要內(nèi)容安全環(huán)境描述被測信息系統(tǒng)的運行環(huán)境中與安全相關的部分：如數(shù)據(jù)中心位于運營服務商機房中、網(wǎng)絡存在互聯(lián)網(wǎng)連接、網(wǎng)絡中部署無線接入點以及支持遠程撥號訪問用戶等。以列表形式給出被測信息系統(tǒng)的威脅列表，并基于歷史統(tǒng)計或者行業(yè)判斷進行威脅賦值，具體內(nèi)容可參考風險評估規(guī)范。序號威脅分(子)類描述威脅賦值1網(wǎng)絡攻擊利用工具和技術通過網(wǎng)絡對信息系統(tǒng)進行攻擊和入侵高等級測評范圍與方法測評指標測評指標包括基本指標和附加指標兩部分，以列表的形式給出。依據(jù)定級結(jié)果選擇基本要求中對應級別的安全要求作為等級測評的基本指標； 基本指標基本指標（物理和網(wǎng)絡子類）的例子如下

31、所示：分類子類基本要求測評項數(shù) 測評項數(shù)量隨信息系統(tǒng)的安全保護等級不同而變化物理安全物理位置的選擇測評物理機房所在的外部環(huán)境安全性。2物理訪問控制測評進出機房的審批控制手段以及機房出入口的安全控制情況。4防盜竊和防破壞測評機房內(nèi)設備和通信線纜的安全性以及監(jiān)控報警系統(tǒng)建設情況。6防雷擊測評建筑防雷和防感應雷的建設情況。3防火測評自動監(jiān)控防火系統(tǒng)設置情況以及機房材料防火情況。3防水和防潮測評機房內(nèi)水管設置情況、防止結(jié)露所采取的措施以及監(jiān)控報警系統(tǒng)建設情況。4防靜電測評機房防靜電所采取的措施。3溫濕度控制測評機房溫濕度控制措施1電力供應測評電力線路、備用電源以及發(fā)電機的配備情況。4電磁防護測評線纜電

32、磁防護手段和設備電磁防護手段。3網(wǎng)絡安全結(jié)構(gòu)安全主要核查：主要網(wǎng)絡設備的處理能力、業(yè)務高峰期需求帶寬、路由控制、網(wǎng)絡拓撲結(jié)構(gòu)圖是否一致、子網(wǎng)劃分、技術隔離手段和帶寬分配策略。7訪問控制主要核查：訪問控制功能、協(xié)議深層檢測、網(wǎng)絡連接超時、流量限制和并發(fā)連接數(shù)限制等等。4安全審計主要核查：網(wǎng)絡設備日志收集、分析和統(tǒng)計以及保護等等。6邊界完整性檢查主要核查：是否能夠?qū)Ψ鞘跈?quán)設備私自聯(lián)到內(nèi)部網(wǎng)絡的行為進行檢查并準確定位和阻斷；是否能夠?qū)?nèi)部網(wǎng)絡用戶私自聯(lián)到外部網(wǎng)絡的行為進行檢查并準確定位和阻斷。2入侵防范主要核查：部署IDS系統(tǒng)以及使用情況。2惡意代碼防范主要核查：是否有完整的防病毒體系以及代碼庫的升

33、級情況。2網(wǎng)絡設備防護主要核查：用戶身份鑒別、管理員登錄地址限制、用戶標識唯一性、組合鑒別技術、口令策略、登錄策略、遠程管理和權(quán)限分離。9附加指標參照基本指標的表述模式以列表形式給出附加指標。附加指標包括但不限于：行業(yè)標準/規(guī)范的具體指標主管部門的規(guī)定的具體指標信息系統(tǒng)的運營、使用單位基于特定安全環(huán)境或者業(yè)務應用提出的具體指標分類子類附加要求測評項數(shù)測評對象測評對象選擇方法描述本次等級測評中采用的測評對象選擇方法和具體規(guī)則，通常采用抽查的方法，兼顧類別與數(shù)量。測評對象包括網(wǎng)絡互聯(lián)與安全設備操作系統(tǒng)、業(yè)務應用軟件、主機操作系統(tǒng)、存儲設備操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、安全相關人員、機房、介質(zhì)以及管理文

34、檔。選擇過程中應綜合考慮信息系統(tǒng)的安全保護等級、業(yè)務應用特點和對象所在具體設備的重要情況等要素，并兼顧工作投入與結(jié)果產(chǎn)出兩者的平衡關系。其中，主機設備的重要程度由其承載的業(yè)務應用和業(yè)務數(shù)據(jù)的重要程度決定；機房、介質(zhì) 非個人使用存儲介質(zhì)和管理文檔不需要抽樣。具體方法和規(guī)則可參考信息系統(tǒng)安全等級保護測評過程指南。測評對象選擇結(jié)果網(wǎng)絡互聯(lián)設備操作系統(tǒng)序號操作系統(tǒng)名稱設備名稱1IOS_路由器_內(nèi)部_1路由器_內(nèi)部_12IOS_路由器_VPN_1路由器_VPN_13IOS_路由器_VPN_2路由器_VPN_2安全設備操作系統(tǒng)序號操作系統(tǒng)名稱設備名稱1JOS_防火墻_WEB_1防火墻_WEB_1業(yè)務應用軟

35、件序號軟件名稱主要功能主機（存儲）操作系統(tǒng)序號設備名稱操作系統(tǒng)/數(shù)據(jù)庫管理系統(tǒng)數(shù)據(jù)庫管理系統(tǒng)序號設備名稱操作系統(tǒng)/數(shù)據(jù)庫管理系統(tǒng)訪談人員序號姓名崗位/職責安全管理文檔序號文檔名稱主要內(nèi)容測評方法現(xiàn)場測評方法描述本次等級測評工作中采用的測評方法?，F(xiàn)場測評方法主要包括訪談、檢查和測試等三類，可細分為人員訪談、文檔審查、配置核查、現(xiàn)場觀測和工具測試等。如果采用工具測試，應給出工具接入示意圖，并對測評工具的接入點和預期的測試路徑進行描述。風險分析方法本項目依據(jù)安全事件可能性和安全事件后果對信息系統(tǒng)面臨的風險進行分析，分析過程包括：1）判斷信息系統(tǒng)安全保護能力缺失（等級測評結(jié)果中的部分符合項和不符合項）

36、被威脅利用導致安全事件發(fā)生的可能性，可能性的取值范圍為高、中和低；2）判斷安全事件對信息系統(tǒng)業(yè)務信息安全和系統(tǒng)服務安全造成的影響程度，影響程度取值范圍為高、中和低；3）綜合1）和2）的結(jié)果對信息系統(tǒng)面臨的風險進行匯總和分等級，風險等級的取值范圍為高、中和低；4）結(jié)合信息系統(tǒng)的安全保護等級對風險分析結(jié)果進行評價，即對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益造成的風險。等級測評內(nèi)容單元測評的內(nèi)容及結(jié)果記錄如下所示：物理安全結(jié)果記錄問題分析單元測評結(jié)果網(wǎng)絡安全結(jié)果記錄以表格形式分別給出不同測評對象的現(xiàn)場測評結(jié)果。IOS_路由器_內(nèi)部_1類別測評內(nèi)容結(jié)果記錄符合情況網(wǎng)絡訪問控制a

37、) 應在網(wǎng)絡邊界部署訪問控制設備，啟用訪問控制功能；b) 應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；c) 應對進出網(wǎng)絡的信息內(nèi)容進行過濾，實現(xiàn)對應用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制；d) 應在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡連接；e) 應限制網(wǎng)絡最大流量數(shù)及網(wǎng)絡連接數(shù)；f) 重要網(wǎng)段應采取技術手段防止地址欺騙；g) 應按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶；h) 應限制具有撥號訪問權(quán)限的用戶數(shù)量。IOS_路由器_VPN_1問題分析匯總網(wǎng)絡安全中存在的問題并加

38、以分析，找出共性和危害嚴重的問題，如邊界防火墻的管理口令為空。單元測評結(jié)果針對網(wǎng)絡設備的不同測評指標子類對單項測評結(jié)果進行匯總和統(tǒng)計可得單元測評結(jié)果。單元測評結(jié)果的判定依據(jù)為：如某對象的特定測評指標的全部測評項結(jié)果均為符合，則該單元的測評結(jié)果為符合；如全部測評項結(jié)果均為不符合，則該單元的測評結(jié)果為不符合；否則該單元測評結(jié)果為不符合。表格中分數(shù)的分母表示單元測評包含的測評項數(shù)量，分子表示不符合項和部分符合項的數(shù)量之和；斜線表明該指標子類不適用。網(wǎng)絡安全單元測評結(jié)果匯總表序號名稱測評指標子類網(wǎng)絡結(jié)構(gòu)安全網(wǎng)絡訪問控制網(wǎng)絡安全審計邊界完整性檢查網(wǎng)絡入侵防范惡意代碼防范網(wǎng)絡設備防護1IOS_路由器_內(nèi)部

39、_1部分符合4/7符合0/4符合0/6符合0/2不符合2/2不符合2/2部分符合6/92IOS_路由器_VPN_13456主機安全結(jié)果記錄問題分析單元測評結(jié)果應用安全結(jié)果記錄問題分析單元測評結(jié)果數(shù)據(jù)安全及備份恢復結(jié)果記錄問題分析單元測評結(jié)果安全管理制度結(jié)果記錄問題分析單元測評結(jié)果安全管理機構(gòu)結(jié)果記錄問題分析單元測評結(jié)果人員安全管理結(jié)果記錄問題分析單元測評結(jié)果系統(tǒng)建設管理結(jié)果記錄問題分析單元測評結(jié)果系統(tǒng)運維管理結(jié)果記錄問題分析單元測評結(jié)果工具測試 結(jié)果記錄依據(jù)測評工具的結(jié)果報告形成工具測試的結(jié)果。問題分析匯總工具測試的結(jié)果，分析信息系統(tǒng)中存在的主要問題。等級測評結(jié)果整體測評根據(jù)基本要求的要求，對這些問題進行系統(tǒng)整體測評分析，包括從安全控制