三級(jí)等保評(píng)測(cè)文件資料

信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告模板項(xiàng)目名稱(chēng):委托單位:測(cè)評(píng)單位:報(bào)告摘要一、測(cè)評(píng)工作概述概要描述被測(cè)信息系統(tǒng)的基本情況（可參考信息系統(tǒng)安全等級(jí)保護(hù)備案表），包括但不限于：系統(tǒng)的運(yùn)營(yíng)使用單位、投入運(yùn)行時(shí)間、承載的業(yè)務(wù)情況、系統(tǒng)服務(wù)情況以及定級(jí)情況。（見(jiàn)附件：信息系統(tǒng)安全等級(jí)保護(hù)備案表）描述等級(jí)測(cè)評(píng)工作的委托單位、測(cè)評(píng)單位和等級(jí)測(cè)評(píng)工作的開(kāi)展過(guò)程，包括投入測(cè)評(píng)人員與設(shè)備情況、完成的具體工作內(nèi)容統(tǒng)計(jì)（涉及的測(cè)評(píng)分類(lèi)與項(xiàng)目數(shù)量，檢查的網(wǎng)絡(luò)互聯(lián)與安全設(shè)備、主機(jī)、應(yīng)用系統(tǒng)、管理文檔數(shù)量，訪談人員次數(shù)）。二、等級(jí)測(cè)評(píng)結(jié)果依據(jù)第4、5章的結(jié)果對(duì)等級(jí)測(cè)評(píng)結(jié)果進(jìn)行匯總統(tǒng)計(jì)（測(cè)評(píng)項(xiàng)符合情況及比例、單元測(cè)評(píng)結(jié)果符合情況比例以及整體測(cè)評(píng)結(jié)果）；通過(guò)對(duì)信息系統(tǒng)基本安全保護(hù)狀態(tài)的分析給由等級(jí)測(cè)評(píng)結(jié)論（結(jié)論為達(dá)標(biāo)、基本達(dá)標(biāo)、不達(dá)標(biāo)）。三、系統(tǒng)存在的主要問(wèn)題依據(jù)6.3章節(jié)的分析結(jié)果，列由被測(cè)信息系統(tǒng)中存在的主要問(wèn)題以及可能造成的后果（如，未部署DDos防御措施，易遭受DDos攻擊，導(dǎo)致系統(tǒng)無(wú)法提供正常服務(wù)）。四、系統(tǒng)安全建設(shè)、整改建議針對(duì)系統(tǒng)存在的主要問(wèn)題提由安全建設(shè)、整改建議，是對(duì)第七章內(nèi)容的提煉和簡(jiǎn)要描述。

報(bào)告基本信息信息系統(tǒng)基本情況系統(tǒng)名稱(chēng)安全保護(hù)等級(jí)機(jī)房位置中心機(jī)房災(zāi)備中心其他機(jī)房委托單位單位名稱(chēng)單位地址郵政編碼聯(lián)系人姓名職務(wù)/職稱(chēng)所屬部門(mén)辦公電話移動(dòng)電話電子郵件測(cè)評(píng)單位單位名稱(chēng)通信地址郵政編碼聯(lián)系人姓名職務(wù)/職稱(chēng)所屬部門(mén)辦公電話移動(dòng)電話電子郵件報(bào)告審核批準(zhǔn)編制人日期審核人日期批準(zhǔn)人日期聲明聲明是測(cè)評(píng)單位對(duì)于測(cè)評(píng)報(bào)告內(nèi)容以及用途等有關(guān)事項(xiàng)做由的約定性陳述，包含但不限于以下內(nèi)容：本報(bào)告中給由的結(jié)論僅對(duì)目標(biāo)系統(tǒng)的當(dāng)時(shí)狀況有效，當(dāng)測(cè)評(píng)工作完成后系統(tǒng)由現(xiàn)任何變更，涉及到的模塊（或子系統(tǒng)）都應(yīng)重新進(jìn)行測(cè)評(píng)，本報(bào)告不再適用。本報(bào)告中給由的結(jié)論不能作為對(duì)系統(tǒng)內(nèi)相關(guān)產(chǎn)品的測(cè)評(píng)結(jié)論。本報(bào)告結(jié)論的有效性建立在用戶提供材料的真實(shí)性基礎(chǔ)上。在任何情況下，若需引用本報(bào)告中的結(jié)果或數(shù)據(jù)都應(yīng)保持其本來(lái)的意義，不得擅自進(jìn)行增加、修改、偽造或掩蓋事實(shí)。測(cè)評(píng)單位機(jī)構(gòu)名稱(chēng)年月報(bào)告目錄TOC\o"1-5"\h\z測(cè)評(píng)項(xiàng)目概述1.測(cè)評(píng)目的1測(cè)評(píng)依據(jù)1測(cè)評(píng)過(guò)程1報(bào)告分發(fā)范圍2被測(cè)系統(tǒng)情況.3.基本彳t息3業(yè)務(wù)應(yīng)用4網(wǎng)絡(luò)結(jié)構(gòu)4系統(tǒng)構(gòu)成4業(yè)務(wù)應(yīng)用軟件4關(guān)鍵數(shù)據(jù)類(lèi)別4主機(jī)/存儲(chǔ)設(shè)備5網(wǎng)絡(luò)互聯(lián)與安全設(shè)備5安全相關(guān)人員5安全管理文檔6安全環(huán)境6等級(jí)測(cè)評(píng)范圍與方法7.測(cè)評(píng)指標(biāo)7基本指標(biāo)7附加指標(biāo)9測(cè)評(píng)對(duì)象9選擇方法9選擇2^果9測(cè)評(píng)方法11現(xiàn)場(chǎng)測(cè)評(píng)方法11風(fēng)險(xiǎn)分析方法11等級(jí)測(cè)評(píng)內(nèi)容12物理安全12結(jié)果記錄12問(wèn)題分析12單元測(cè)評(píng)結(jié)果12網(wǎng)絡(luò)安全12結(jié)果記錄12問(wèn)題分析14單元測(cè)評(píng)結(jié)果14主機(jī)安全14結(jié)果記錄14問(wèn)題分析15單元測(cè)評(píng)結(jié)果15應(yīng)用安全15結(jié)果記錄15問(wèn)題分析15單元測(cè)評(píng)結(jié)果15數(shù)據(jù)安全及備份恢復(fù)15結(jié)果記錄15問(wèn)題分析15單元測(cè)評(píng)結(jié)果15安全管理制度15結(jié)果記錄15問(wèn)題分析16單元測(cè)評(píng)結(jié)果16安全管理機(jī)構(gòu)16結(jié)果記錄16問(wèn)題分析16單元測(cè)評(píng)結(jié)果16人員安全管理16結(jié)果記錄16問(wèn)題分析16單元測(cè)評(píng)結(jié)果16系統(tǒng)建設(shè)管理16結(jié)果記錄16問(wèn)題分析17單元測(cè)評(píng)結(jié)果17系統(tǒng)運(yùn)維管理17結(jié)果記錄17問(wèn)題分析17單元測(cè)評(píng)結(jié)果17工具測(cè)試17結(jié)果記錄17問(wèn)題分析17等級(jí)測(cè)評(píng)結(jié)果17整體測(cè)評(píng)17安全控制間安全測(cè)評(píng)17層面間安全測(cè)評(píng)18區(qū)域間安全測(cè)評(píng)18系統(tǒng)結(jié)構(gòu)安全測(cè)評(píng)18測(cè)評(píng)結(jié)果18統(tǒng)計(jì)圖表22風(fēng)險(xiǎn)分析和評(píng)價(jià)22安全事件可能性分析22安全事件后果分析23風(fēng)險(xiǎn)分析和評(píng)價(jià)23系統(tǒng)安全建設(shè)、整改建議25物理安全25網(wǎng)絡(luò)安全25主機(jī)安全25應(yīng)用安全25數(shù)據(jù)安全及備份恢復(fù)25安全管理制度25安全管理機(jī)構(gòu)26人員安全管理26系統(tǒng)建設(shè)管理26系統(tǒng)運(yùn)維管理26附：信息系統(tǒng)安全等級(jí)保護(hù)備案表1測(cè)評(píng)項(xiàng)目概述測(cè)評(píng)目的描述信息系統(tǒng)的重要性：通過(guò)描述信息系統(tǒng)的基本情況，包括運(yùn)營(yíng)使用單位的性質(zhì)，承載的主要業(yè)務(wù)和系統(tǒng)服務(wù)情況，進(jìn)一步闡明其在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，受到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等。描述等級(jí)測(cè)評(píng)工作的基本情況，包括委托單位、測(cè)評(píng)單位、測(cè)評(píng)范圍及預(yù)期（如,通過(guò)等級(jí)測(cè)評(píng)找出與國(guó)家標(biāo)準(zhǔn)要求之間的差距）。描述測(cè)評(píng)報(bào)告的用途（如，作為后續(xù)安全整改的依據(jù)）。測(cè)評(píng)依據(jù)開(kāi)展測(cè)評(píng)活動(dòng)所依據(jù)的合同、標(biāo)準(zhǔn)和文件：1）《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)）2）《關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》（發(fā)改高技[2008]2071號(hào)）針對(duì)“國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目”有效針對(duì)“國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目”有效標(biāo)準(zhǔn)文案GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》（國(guó)標(biāo)報(bào)批稿）被測(cè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告等級(jí)測(cè)評(píng)任務(wù)書(shū)/測(cè)評(píng)合同等測(cè)評(píng)過(guò)程描述本次等級(jí)測(cè)評(píng)的工作流程（可參考《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》），具體內(nèi)容包括但不限于：（一）測(cè)評(píng)工作流程圖（二）各階段完成的關(guān)鍵任務(wù)（三）工作的時(shí)間節(jié)點(diǎn)報(bào)告分發(fā)范圍依據(jù)項(xiàng)目需求，明確應(yīng)交付等級(jí)測(cè)評(píng)報(bào)告的數(shù)量與分發(fā)范圍（如本報(bào)告一式三份，一份提交測(cè)評(píng)委托單位、一份提交受理備案的公安機(jī)關(guān)、一份由測(cè)評(píng)單位留存）2被測(cè)系統(tǒng)情況2.1基本信息2系統(tǒng)名稱(chēng)主管機(jī)構(gòu)系統(tǒng)承載業(yè)務(wù)情況業(yè)務(wù)類(lèi)型1生產(chǎn)作業(yè)2指揮調(diào)度3管理控制4內(nèi)部辦公5公眾服務(wù)9其他業(yè)務(wù)描述系統(tǒng)服務(wù)情況服務(wù)范圍10全國(guó)11跨?。▍^(qū)、市）跨個(gè)20全?。▍^(qū)、市）21跨地（市、區(qū)）跨個(gè)30地（市、區(qū)）內(nèi)99其它服務(wù)對(duì)象1單位內(nèi)部人員2社會(huì)公眾人員3兩者均包括9其他系統(tǒng)網(wǎng)絡(luò)平臺(tái)覆蠱范圍1局域網(wǎng)2城域網(wǎng)3廣域網(wǎng)9其他網(wǎng)絡(luò)性質(zhì)1業(yè)務(wù)專(zhuān)網(wǎng)2互聯(lián)網(wǎng)9其它系統(tǒng)互聯(lián)情況1與其他行業(yè)系統(tǒng)連接2與本行業(yè)其他單位系統(tǒng)連接3與本單位其他系統(tǒng)連接9其它業(yè)務(wù)信息安全保護(hù)等級(jí)系統(tǒng)服務(wù)安全保護(hù)等級(jí)信息系統(tǒng)安全保護(hù)等級(jí)2本報(bào)告模板針對(duì)作為單一定級(jí)對(duì)象的信息系統(tǒng)制定。業(yè)務(wù)應(yīng)用描述信息系統(tǒng)承載的業(yè)務(wù)應(yīng)用情況。網(wǎng)絡(luò)結(jié)構(gòu)給出被測(cè)信息系統(tǒng)的拓?fù)浣Y(jié)構(gòu)示意圖，并基于示意圖說(shuō)明被測(cè)信息系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)基本情況，包括但不限于：（一）功能/安全區(qū)域劃分、隔離與防護(hù)情況（二）關(guān)鍵網(wǎng)絡(luò)和主機(jī)設(shè)備的部署情況和功能簡(jiǎn)介（三）與其他信息系統(tǒng)的互聯(lián)情況和邊界設(shè)備（四）本地備份和災(zāi)備中心的情況系統(tǒng)構(gòu)成以列表的形式分類(lèi)描述信息系統(tǒng)的軟、硬件構(gòu)成情況。業(yè)務(wù)應(yīng)用軟件以列表的形式給出被測(cè)信息系統(tǒng)中的業(yè)務(wù)應(yīng)用軟件（包括含中間件等應(yīng)用平臺(tái)軟件），描述項(xiàng)目包括軟件名稱(chēng)、主要功能簡(jiǎn)介和重要程度。序號(hào)軟件名稱(chēng)主要功能重要程度…………關(guān)鍵數(shù)據(jù)類(lèi)別序號(hào)數(shù)據(jù)類(lèi)型所屬業(yè)務(wù)應(yīng)用主機(jī)/存儲(chǔ)設(shè)備重要程度…???……

主機(jī)/存儲(chǔ)設(shè)備以列表形式給出被測(cè)信息系統(tǒng)中的主機(jī)設(shè)備（包含操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)軟件），描述項(xiàng)目包括設(shè)備名稱(chēng)、操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)以及承載的業(yè)務(wù)應(yīng)用軟件系統(tǒng)。序號(hào)設(shè)備名稱(chēng)操作系統(tǒng)/數(shù)據(jù)庫(kù)管理系統(tǒng)業(yè)務(wù)應(yīng)用軟件………網(wǎng)絡(luò)互聯(lián)與安全設(shè)備以列表形式給出被測(cè)信息系統(tǒng)中的網(wǎng)絡(luò)互聯(lián)及安全設(shè)備。設(shè)備名稱(chēng)應(yīng)確保在被測(cè)信息系統(tǒng)范圍內(nèi)的唯一性，建議采取類(lèi)別-用途/功能/型號(hào)-編號(hào)（可選）的三段命名方式。序號(hào)設(shè)備名稱(chēng)用途重要程度1路由器_內(nèi)部_1內(nèi)部邊界路由重要2路由器_VPN_1遠(yuǎn)程管理維護(hù)重要3路由器_VPN_2遠(yuǎn)程管理維護(hù)重要4防火墻_WEB_1Web區(qū)之間訪問(wèn)控制重要…………安全相關(guān)人員以列表形式給出與被測(cè)信息系統(tǒng)安全相關(guān)的人員，描述項(xiàng)目包括姓名、崗位/角色和聯(lián)系方式。人員包括但不限于安全主管、系統(tǒng)建設(shè)負(fù)責(zé)人、系統(tǒng)運(yùn)維負(fù)責(zé)人、

網(wǎng)絡(luò)（安全）管理員、主機(jī)（安全）管理員、數(shù)據(jù)庫(kù)（安全）管理員、應(yīng)用（安全）管理員、機(jī)房管理人員、資產(chǎn)管理員、業(yè)務(wù)操作員、安全審計(jì)人員等。序號(hào)姓名崗位/角色聯(lián)系方式…???……安全管理文檔與信息系統(tǒng)安全相關(guān)的文檔，包括：（一）管理類(lèi)文檔，如機(jī)構(gòu)總體安全方針和政策方面的管理制度、、人員安全教育和培訓(xùn)方面的管理制度、第三方人員訪問(wèn)控制方面的管理制度、機(jī)房安全管理方面的管理制度等；（二）記錄類(lèi)文檔，如設(shè)備運(yùn)行維護(hù)記錄、會(huì)議記錄等；（三）其他類(lèi)文檔，如專(zhuān)家評(píng)審意見(jiàn)等。序號(hào)文檔名稱(chēng)主要內(nèi)容………安全環(huán)境描述被測(cè)信息系統(tǒng)的運(yùn)行環(huán)境中與安全相關(guān)的部分：如數(shù)據(jù)中心位于運(yùn)營(yíng)服務(wù)商機(jī)房中、網(wǎng)絡(luò)存在互聯(lián)網(wǎng)連接、網(wǎng)絡(luò)中部署無(wú)線接入點(diǎn)以及支持遠(yuǎn)程撥號(hào)訪問(wèn)用戶等。以列表形式給出被測(cè)信息系統(tǒng)的威脅列表，并基于歷史統(tǒng)計(jì)或者行業(yè)判斷進(jìn)行威脅賦值，具體內(nèi)容可參考《風(fēng)險(xiǎn)評(píng)估規(guī)范》。序號(hào)威脅分（子）類(lèi)描述威脅賦值1網(wǎng)絡(luò)攻擊利用工具和技術(shù)通過(guò)網(wǎng)絡(luò)對(duì)信息系統(tǒng)進(jìn)行攻擊和入侵高

3等級(jí)測(cè)評(píng)范圍與方法測(cè)評(píng)指標(biāo)測(cè)評(píng)指標(biāo)包括基本指標(biāo)和附加指標(biāo)兩部分，以列表的形式給出。依據(jù)定級(jí)結(jié)果選擇《基本要求》中對(duì)應(yīng)級(jí)別的安全要求作為等級(jí)測(cè)評(píng)的基本指基本指標(biāo)基本指標(biāo)（物理和網(wǎng)絡(luò)子類(lèi)）的例子如下所示:分類(lèi)子類(lèi)基本要求測(cè)評(píng)項(xiàng)數(shù)3物理安全物理位置的選擇測(cè)評(píng)物理機(jī)房所在的外部環(huán)境安全性。2物理訪問(wèn)控制測(cè)評(píng)進(jìn)出機(jī)房的審批控制手段以及機(jī)房出入口的安全控制情況。4防盜竊和防破壞測(cè)評(píng)機(jī)房?jī)?nèi)設(shè)備和通信線纜的安全性以及監(jiān)控報(bào)警系統(tǒng)建設(shè)情況。6防雷擊測(cè)評(píng)建筑防雷和防感應(yīng)雷的建設(shè)情況。3防火測(cè)評(píng)自動(dòng)監(jiān)控防火系統(tǒng)設(shè)置情況以及機(jī)房材料防火情況。3防水和防潮測(cè)評(píng)機(jī)房?jī)?nèi)水管設(shè)置情況、防止結(jié)露所采取的措施以及監(jiān)控報(bào)警系統(tǒng)建設(shè)情況。4防靜電測(cè)評(píng)機(jī)房防靜電所采取的措施。3溫濕度控制測(cè)評(píng)機(jī)房溫濕度控制措施13測(cè)評(píng)項(xiàng)數(shù)量隨信息系統(tǒng)的安全保護(hù)等級(jí)不同而變化

分類(lèi)子類(lèi)基本要求測(cè)評(píng)項(xiàng)數(shù)3電力供應(yīng)測(cè)評(píng)電力線路、備用電源以及發(fā)電機(jī)的配備情況。4電磁防護(hù)測(cè)評(píng)線纜電磁防護(hù)手段和設(shè)備電磁防護(hù)手段。3網(wǎng)絡(luò)安全結(jié)構(gòu)安全主要核查：主要網(wǎng)絡(luò)設(shè)備的處理能力、業(yè)務(wù)高峰期需求帶寬、路由控制、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖是否一致、子網(wǎng)劃分、技術(shù)隔離手段和市見(jiàn)分配策略。7訪問(wèn)控制主要核查：訪問(wèn)控制功能、協(xié)議深層檢測(cè)、網(wǎng)絡(luò)連接超時(shí)、流量限制和并發(fā)連接數(shù)限制等等。4安全審計(jì)主要核查：網(wǎng)絡(luò)設(shè)備日志收集、分析和統(tǒng)計(jì)以及保護(hù)等等。6邊界完整性檢查主要核查：是否能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查并準(zhǔn)確定位和阻斷；是否能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查并準(zhǔn)確定位和阻斷。2入侵防范主要核查：部署IDS系統(tǒng)以及使用情況。2惡意代碼防范主要核查：是否有完整的防病毒體系以及代碼庫(kù)的升級(jí)情況。2網(wǎng)絡(luò)設(shè)備防護(hù)主要核查：用戶身份鑒別、管理員登錄地址限制、用戶標(biāo)識(shí)唯一性、組合鑒別技術(shù)、口令策略、登錄策略、遠(yuǎn)程管理和權(quán)限分離。9附加指標(biāo)參照基本指標(biāo)的表述模式以列表形式給出附加指標(biāo)。附加指標(biāo)包括但不限于：行業(yè)標(biāo)準(zhǔn)/規(guī)范的具體指標(biāo)主管部門(mén)的規(guī)定的具體指標(biāo)信息系統(tǒng)的運(yùn)營(yíng)、使用單位基于特定安全環(huán)境或者業(yè)務(wù)應(yīng)用提出的具體指標(biāo)分類(lèi)子類(lèi)附加要求測(cè)評(píng)項(xiàng)數(shù)測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象選擇方法描述本次等級(jí)測(cè)評(píng)中采用的測(cè)評(píng)對(duì)象選擇方法和具體規(guī)則，通常采用抽查的方法，兼顧類(lèi)別與數(shù)量。測(cè)評(píng)對(duì)象包括網(wǎng)絡(luò)互聯(lián)與安全設(shè)備操作系統(tǒng)、業(yè)務(wù)應(yīng)用軟件、主機(jī)操作系統(tǒng)、存儲(chǔ)設(shè)備操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、安全相關(guān)人員、機(jī)房、介質(zhì)以及管理文檔。選擇過(guò)程中應(yīng)綜合考慮信息系統(tǒng)的安全保護(hù)等級(jí)、業(yè)務(wù)應(yīng)用特點(diǎn)和對(duì)象所在具體設(shè)備的重要情況等要素，并兼顧工作投入與結(jié)果產(chǎn)出兩者的平衡關(guān)系。其中，主機(jī)設(shè)備的重要程度由其承載的業(yè)務(wù)應(yīng)用和業(yè)務(wù)數(shù)據(jù)的重要程度決定；機(jī)房、介質(zhì)非個(gè)人使用存儲(chǔ)介質(zhì)和管理非個(gè)人使用存儲(chǔ)介質(zhì)文檔不需要抽樣。具體方法和規(guī)則可參考《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》測(cè)評(píng)對(duì)象選擇結(jié)果網(wǎng)絡(luò)互聯(lián)設(shè)備操作系統(tǒng)序號(hào)操作系統(tǒng)名稱(chēng)設(shè)備名稱(chēng)1IOS_路由器_內(nèi)部」路由器_內(nèi)部_1

序號(hào)操作系統(tǒng)名稱(chēng)設(shè)備名稱(chēng)2IOS_路由器_VPN_1路由器_VPN_13IOS_路由器_VPN_2路由器_VPN_2……???安全設(shè)備操作系統(tǒng)序號(hào)操作系統(tǒng)名稱(chēng)設(shè)備名稱(chēng)1JOS?火墻_WEB_1防火墻_WEB_1………業(yè)務(wù)應(yīng)用軟件序號(hào)軟件名稱(chēng)主要功能?????????主機(jī)(存儲(chǔ))操作系統(tǒng)序號(hào)設(shè)備名稱(chēng)操作系統(tǒng)/數(shù)據(jù)庫(kù)管理系統(tǒng)???……數(shù)據(jù)庫(kù)管理系統(tǒng)序號(hào)設(shè)備名稱(chēng)操作系統(tǒng)/數(shù)據(jù)庫(kù)管理系統(tǒng)???……6）訪談人員序號(hào)姓名崗位/職責(zé)…???…7）安全管理文檔序號(hào)文檔名稱(chēng)主要內(nèi)容……???3.3測(cè)評(píng)方法現(xiàn)場(chǎng)測(cè)評(píng)方法描述本次等級(jí)測(cè)評(píng)工作中采用的測(cè)評(píng)方法?，F(xiàn)場(chǎng)測(cè)評(píng)方法主要包括訪談、檢查和測(cè)試等三類(lèi)，可細(xì)分為人員訪談、文檔審查、配置核查、現(xiàn)場(chǎng)觀測(cè)和工具測(cè)試等。如果采用工具測(cè)試，應(yīng)給出工具接入示意圖，并對(duì)測(cè)評(píng)工具的接入點(diǎn)和預(yù)期的測(cè)試路徑進(jìn)行描述。風(fēng)險(xiǎn)分析方法本項(xiàng)目依據(jù)安全事件可能性和安全事件后果對(duì)信息系統(tǒng)面臨的風(fēng)險(xiǎn)進(jìn)行分析，分析過(guò)程包括：1）判斷信息系統(tǒng)安全保護(hù)能力缺失（等級(jí)測(cè)評(píng)結(jié)果中的部分符合項(xiàng)和不符合項(xiàng)）被威脅利用導(dǎo)致安全事件發(fā)生的可能性，可能性的取值范圍為高、中和低；2）判斷安全事件對(duì)信息系統(tǒng)業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全造成的影響程度，影響程度取值范圍為高、中和低；3）綜合1）和2）的結(jié)果對(duì)信息系統(tǒng)面臨的風(fēng)險(xiǎn)進(jìn)行匯總和分等級(jí)，風(fēng)險(xiǎn)等級(jí)的取值范圍為高、中和低；4）結(jié)合信息系統(tǒng)的安全保護(hù)等級(jí)對(duì)風(fēng)險(xiǎn)分析結(jié)果進(jìn)行評(píng)價(jià)，即對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益造成的風(fēng)險(xiǎn)。4等級(jí)測(cè)評(píng)內(nèi)容單元測(cè)評(píng)的內(nèi)容及結(jié)果記錄如下所示：物理安全結(jié)果記錄問(wèn)題分析單元測(cè)評(píng)結(jié)果網(wǎng)絡(luò)安全結(jié)果記錄以表格形式分別給出不同測(cè)評(píng)對(duì)象的現(xiàn)場(chǎng)測(cè)評(píng)結(jié)果。

IOS_各由器_內(nèi)部_1類(lèi)別測(cè)評(píng)內(nèi)容結(jié)果記錄符合情況網(wǎng)絡(luò)訪問(wèn)控制a)應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，啟用訪問(wèn)控制功能；b)應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力，控制粒度為端口級(jí)；c)應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層HIIPFTRTELNETSMTPPOP3等協(xié)議命令級(jí)的控制；d)應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接；e)應(yīng)限制網(wǎng)絡(luò)取人流里數(shù)及網(wǎng)絡(luò)連接數(shù)；f)重要網(wǎng)段應(yīng)米取技術(shù)手段防止地址欺騙；g)應(yīng)按用戶和系統(tǒng)之間的允許訪問(wèn)規(guī)則，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問(wèn)，控制粒度為單個(gè)用戶；h)應(yīng)限制具有撥號(hào)訪問(wèn)權(quán)限的用戶數(shù)量?！??????…??????IOS_&由器—VPN」問(wèn)題分析匯總網(wǎng)絡(luò)安全中存在的問(wèn)題并加以分析，找出共性和危害嚴(yán)重的問(wèn)題，如邊界防火墻的管理口令為空。單元測(cè)評(píng)結(jié)果針對(duì)網(wǎng)絡(luò)設(shè)備的不同測(cè)評(píng)指標(biāo)子類(lèi)對(duì)單項(xiàng)測(cè)評(píng)結(jié)果進(jìn)行匯總和統(tǒng)計(jì)可得單元測(cè)評(píng)結(jié)果。單元測(cè)評(píng)結(jié)果的判定依據(jù)為：如某對(duì)象的特定測(cè)評(píng)指標(biāo)的全部測(cè)評(píng)項(xiàng)結(jié)果均為符合，則該單元的測(cè)評(píng)結(jié)果為符合；如全部測(cè)評(píng)項(xiàng)結(jié)果均為不符合，則該單元的測(cè)評(píng)結(jié)果為不符合；否則該單元測(cè)評(píng)結(jié)果為不符合。表格中分?jǐn)?shù)的分母表示單元測(cè)評(píng)包含的測(cè)評(píng)項(xiàng)數(shù)量，分子表示不符合項(xiàng)和部分符合項(xiàng)的數(shù)量之和；斜線表明該指標(biāo)子類(lèi)不適用。網(wǎng)絡(luò)安全單元測(cè)評(píng)結(jié)果匯總表序號(hào)名稱(chēng)測(cè)評(píng)指標(biāo)子類(lèi)網(wǎng)絡(luò)結(jié)構(gòu)安全網(wǎng)絡(luò)訪問(wèn)控制網(wǎng)絡(luò)安全審計(jì)邊界完整性檢查網(wǎng)絡(luò)入侵防范惡意代碼防范網(wǎng)絡(luò)設(shè)備防護(hù)1IOS_路由器內(nèi)部_1部分符合4/7符合0/4符合0/6符合0/2不符合2/2不符合2/2部分符合6/92IOS_路由器_VPN_13…456主機(jī)安全結(jié)果記錄問(wèn)題分析單元測(cè)評(píng)結(jié)果應(yīng)用安全結(jié)果記錄問(wèn)題分析單元測(cè)評(píng)結(jié)果數(shù)據(jù)安全及備份恢復(fù)結(jié)果記錄問(wèn)題分析單元測(cè)評(píng)結(jié)果安全管理制度結(jié)果記錄問(wèn)題分析單元測(cè)評(píng)結(jié)果安全管理機(jī)構(gòu)結(jié)果記錄問(wèn)題分析單元測(cè)評(píng)結(jié)果人員安全管理結(jié)果記錄問(wèn)題分析單元測(cè)評(píng)結(jié)果系統(tǒng)建設(shè)管理結(jié)果記錄問(wèn)題分析單元測(cè)評(píng)結(jié)果系統(tǒng)運(yùn)維管理結(jié)果記錄問(wèn)題分析單元測(cè)評(píng)結(jié)果工具測(cè)試結(jié)果記錄依據(jù)測(cè)評(píng)工具的結(jié)果報(bào)告形成工具測(cè)試的結(jié)果。問(wèn)題分析匯總工具測(cè)試的結(jié)果，分析信息系統(tǒng)中存在的主要問(wèn)題。5等級(jí)測(cè)評(píng)結(jié)果整體測(cè)評(píng)根據(jù)《基本要求》的要求，對(duì)這些問(wèn)題進(jìn)行系統(tǒng)整體測(cè)評(píng)分析，包括從安全控制問(wèn)、層面間、區(qū)域間和系統(tǒng)結(jié)構(gòu)等方面進(jìn)行安全測(cè)評(píng)。安全控制間安全測(cè)評(píng)層面間安全測(cè)評(píng)區(qū)域間安全測(cè)評(píng)系統(tǒng)結(jié)構(gòu)安全測(cè)評(píng)測(cè)評(píng)結(jié)果對(duì)整體測(cè)評(píng)后的等級(jí)測(cè)評(píng)結(jié)果基于安全子類(lèi)進(jìn)行匯總，并以表格形式進(jìn)行展示表格中使用不同顏色對(duì)測(cè)評(píng)結(jié)果進(jìn)行區(qū)分，測(cè)評(píng)結(jié)果為部分符合的指標(biāo)子類(lèi)采黃色標(biāo)識(shí)，不符合的指標(biāo)子類(lèi)采用紅色標(biāo)識(shí)，如表中“物理安全”中指標(biāo)子類(lèi)對(duì)應(yīng)表格單元的顏色所示。通過(guò)對(duì)信息系統(tǒng)基本安全保護(hù)狀態(tài)的分析，給出等級(jí)測(cè)評(píng)結(jié)論（結(jié)論為達(dá)標(biāo)、基本達(dá)標(biāo)、不達(dá)標(biāo)）。廳P分類(lèi)子類(lèi)符合符合情況部分符合不符合1物理安全物理位置的選擇2物理訪問(wèn)控制3防盜竊和防破壞4防雷擊5防火6防水和防潮7防靜電8溫濕度控制9電力供應(yīng)10電磁防護(hù)

廳P分類(lèi)子類(lèi)符合情況符合部分符合不符合11網(wǎng)絡(luò)安全結(jié)構(gòu)安全12訪問(wèn)控制13安全審計(jì)14邊界完整性檢查15入侵防范16惡意代碼防范17網(wǎng)絡(luò)設(shè)備防護(hù)18主機(jī)安全身份鑒別19安全標(biāo)記20訪問(wèn)控制21可信路徑22安全審計(jì)23剩余信息保護(hù)24入侵防范25惡意代碼防范26資源控制27應(yīng)用安全身份鑒別28安全標(biāo)記