等保測評報告模板

年月日年月日信息系統(tǒng)安全等級測評報告模板項目名稱： 委托單位： 測評單位： 報告摘要一、測評工作概述概要描述被測信息系統(tǒng)的基本情況（可參考信息系統(tǒng)安全等級保護備案表），包括但不限于：系統(tǒng)的運營使用單位、投入運行時間、承載的業(yè)務情況、系統(tǒng)服務情況以及定級情況。（見附件：信息系統(tǒng)安全等級保護備案表）描述等級測評工作的委托單位、測評單位和等級測評工作的開展過程，包括投入測評人員與設備情況、完成的具體工作內容統(tǒng)計（涉及的測評分類與項目數量，檢查的網絡互聯(lián)與安全設備、主機、應用系統(tǒng)、管理文檔數量，訪談人員次數）。二、等級測評結果依據第4、5章的結果對等級測評結果進行匯總統(tǒng)計（測評項符合情況及比例、單元測評結果符合情況比例以及整體測評結果）；通過對信息系統(tǒng)基本安全保護狀態(tài)的分析給出等級測評結論（結論為達標、基本達標、不達標）。三、系統(tǒng)存在的主要問題依據6.3章節(jié)的分析結果，列出被測信息系統(tǒng)中存在的主要問題以及可能造成的后果（如，未部署DDos防御措施，易遭受DDos攻擊，導致系統(tǒng)無法提供正常服務）。公安部信息安全等級保護評估中心四、系統(tǒng)安全建設、整改建議針對系統(tǒng)存在的主要問題提出安全建設、整改建議，是對第七章內容的提煉和簡要描述。

報告基本信息信息系統(tǒng)基本情況系統(tǒng)名稱安全保護等級機房位置中心機房災備中心其他機房委托單位單位名稱單位地址郵政編碼聯(lián)系人姓名職務/職稱所屬部門辦公電話移動電話電子郵件測評單位單位名稱通信地址郵政編碼聯(lián)系人姓名職務/職稱所屬部門辦公電話移動電話電子郵件報告審核批準編制人日期審核人日期批準人日期年月年月年月年月聲明聲明是測評單位對于測評報告內容以及用途等有關事項做出的約定性陳述，包含但不限于以下內容：本報告中給出的結論僅對目標系統(tǒng)的當時狀況有效，當測評工作完成后系統(tǒng)出現任何變更，涉及到的模塊（或子系統(tǒng)）都應重新進行測評，本報告不再適用。本報告中給出的結論不能作為對系統(tǒng)內相關產品的測評結論。本報告結論的有效性建立在用戶提供材料的真實性基礎上。在任何情況下，若需引用本報告中的結果或數據都應保持其本來的意義，不得擅自進行增加、修改、偽造或掩蓋事實。測評單位機構名稱44等級測評內容 12報告目錄TOC\o"1-5"\h\z\o"CurrentDocument"測評項目概述 1...\o"CurrentDocument"測評目的 1\o"CurrentDocument"測評依據 1\o"CurrentDocument"測評過程 1\o"CurrentDocument"報告分發(fā)范圍 2\o"CurrentDocument"被測系統(tǒng)情況 3...\o"CurrentDocument"基本信息 3\o"CurrentDocument"業(yè)務應用 4\o"CurrentDocument"網絡結構 4系統(tǒng)構成 4\o"CurrentDocument"業(yè)務應用軟件 4關鍵數據類別 4\o"CurrentDocument"主機/存儲設備 5\o"CurrentDocument"網絡互聯(lián)與安全設備 5\o"CurrentDocument"安全相關人員 5\o"CurrentDocument"安全管理文檔 6安全環(huán)境 6\o"CurrentDocument"等級測評范圍與方法 7...\o"CurrentDocument"測評指標 7\o"CurrentDocument"基本指標 7附加指標 9測評對象 9選擇方法 9選擇結果 9測評方法 11\o"CurrentDocument"現場測評方法 11\o"CurrentDocument"風險分析方法 11\o"CurrentDocument"物理安全 12\o"CurrentDocument"結果記錄 12\o"CurrentDocument"問題分析 12\o"CurrentDocument"單元測評結果 12\o"CurrentDocument"網絡安全 12\o"CurrentDocument"結果記錄 12問題分析 14\o"CurrentDocument"單元測評結果 14\o"CurrentDocument"主機安全 14\o"CurrentDocument"結果記錄 14問題分析 15\o"CurrentDocument"單元測評結果 15應用安全 15結果記錄 15問題分析 15\o"CurrentDocument"單元測評結果 15\o"CurrentDocument"數據安全及備份恢復 15結果記錄 15問題分析 15單元測評結果 15\o"CurrentDocument"安全管理制度 15結果記錄 15問題分析 16單元測評結果 16\o"CurrentDocument"安全管理機構 16結果記錄 16問題分析 16單元測評結果 16人員安全管理 16結果記錄 16問題分析 16單元測評結果 16系統(tǒng)建設管理 16結果記錄 16問題分析 17單元測評結果 17\o"CurrentDocument"系統(tǒng)運維管理 17結果記錄 17問題分析 17單元測評結果 17\o"CurrentDocument"工具測試 17結果記錄 17問題分析 17\o"CurrentDocument"等級測評結果 17\o"CurrentDocument"整體測評 17\o"CurrentDocument"安全控制間安全測評 17\o"CurrentDocument"層面間安全測評 18\o"CurrentDocument"區(qū)域間安全測評 18\o"CurrentDocument"系統(tǒng)結構安全測評 18\o"CurrentDocument"測評結果 18\o"CurrentDocument"統(tǒng)計圖表 22\o"CurrentDocument"風險分析和評價 22\o"CurrentDocument"安全事件可能性分析 22安全事件后果分析 23風險分析和評價 23\o"CurrentDocument"系統(tǒng)安全建設、整改建議 25\o"CurrentDocument"物理安全 25\o"CurrentDocument"網絡安全 25主機安全 25應用安全 25數據安全及備份恢復 25安全管理制度 25安全管理機構 25人員安全管理 267.97.9系統(tǒng)建設管理 267.97.9系統(tǒng)建設管理 26系統(tǒng)運維管理 26附：信息系統(tǒng)安全等級保護備案表測評項目概述測評目的描述信息系統(tǒng)的重要性：通過描述信息系統(tǒng)的基本情況，包括運營使用單位的性質，承載的主要業(yè)務和系統(tǒng)服務情況，進一步闡明其在國家安全、經濟建設、社會生活中的重要程度，受到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等。描述等級測評工作的基本情況，包括委托單位、測評單位、測評范圍及預期（如，通過等級測評找出與國家標準要求之間的差距）。描述測評報告的用途（如，作為后續(xù)安全整改的依據）。測評依據開展測評活動所依據的合同、標準和文件：《信息安全等級保護管理辦法》（公通字[2007]43號）《關于加強國家電子政務工程建設項目信息安全風險評估工作的通知》（發(fā)改高技[2008]2071號）1GB/T22239-2008信息安全技術信息系統(tǒng)安全等級保護基本要求GB/T20984-2007信息安全技術信息安全風險評估規(guī)范《信息安全技術信息系統(tǒng)安全等級保護測評要求》（國標報批稿）被測信息系統(tǒng)安全等級保護定級報告等級測評任務書/測評合同等1測評過程描述本次等級測評的工作流程（可參考《信息系統(tǒng)安全等級保護測評過程指南》），具體內容包括但不限于：測評工作流程圖各階段完成的關鍵任務工作的時間節(jié)點1針對“國家電子政務工程建設項目”有效報告分發(fā)范圍依據項目需求，明確應交付等級測評報告的數量與分發(fā)范圍（如本報告一式三份，一份提交測評委托單位、一份提交受理備案的公安機關、一份由測評單位留存）。

被測系統(tǒng)情況1基本信息系統(tǒng)名稱本報告模板針對作為單一定級對象的信息系統(tǒng)制定。主管機構系統(tǒng)承載業(yè)務情況業(yè)務類型1生產作業(yè) 口2指揮調度 口3管理控制4內部辦公 口5公眾服務9其他 業(yè)務描述系統(tǒng)服務情況服務范圍10全國 口11跨?。▍^(qū)、市）跨 個20全?。▍^(qū)、市） 口21跨地（市、區(qū)）跨 個30地（市、區(qū)）內99其它 服務對象□1單位內部人員口2社會公眾人員口3兩者均包括□9其他 系統(tǒng)網絡平臺覆蓋范圍□1局域網 口2城域網 口3廣域網□9其他 網絡性質□1業(yè)務專網 □2互聯(lián)網□9其它 系統(tǒng)互聯(lián)情況1與其他行業(yè)系統(tǒng)連接 口2與本行業(yè)其他單位系統(tǒng)連接3與本單位其他系統(tǒng)連接9其它 業(yè)務信息安全保護等級系統(tǒng)服務安全保護等級信息系統(tǒng)安全保護等級業(yè)務應用描述信息系統(tǒng)承載的業(yè)務應用情況。網絡結構給出被測信息系統(tǒng)的拓撲結構示意圖，并基于示意圖說明被測信息系統(tǒng)的網絡結構基本情況，包括但不限于：功能/安全區(qū)域劃分、隔離與防護情況關鍵網絡和主機設備的部署情況和功能簡介與其他信息系統(tǒng)的互聯(lián)情況和邊界設備本地備份和災備中心的情況系統(tǒng)構成以列表的形式分類描述信息系統(tǒng)的軟、硬件構成情況。業(yè)務應用軟件以列表的形式給出被測信息系統(tǒng)中的業(yè)務應用軟件（包括含中間件等應用平臺軟件），描述項目包括軟件名稱、主要功能簡介和重要程度。序號軟件名稱主要功能重要程度…………

主機/存儲設備以列表形式給出被測信息系統(tǒng)中的主機設備（包含操作系統(tǒng)和數據庫管理系統(tǒng)軟件），描述項目包括設備名稱、操作系統(tǒng)、數據庫管理系統(tǒng)以及承載的業(yè)務應用軟網絡互聯(lián)與安全設備以列表形式給出被測信息系統(tǒng)中的網絡互聯(lián)及安全設備。設備名稱應確保在被測信息系統(tǒng)范圍內的唯一性，建議采取類別-用途/功能/型號-編號（可選）的三段命名方式。序號設備名稱用途重要程度1路由器—內部」內部邊界路由重要2路由器_VPN_1遠程管理維護重要3路由器_VPN_2遠程管理維護重要4防火墻_WEB_1Web區(qū)之間訪問控制重要…………安全相關人員以列表形式給出與被測信息系統(tǒng)安全相關的人員，描述項目包括姓名、崗位/角色和聯(lián)系方式。人員包括但不限于安全主管、系統(tǒng)建設負責人、系統(tǒng)運維負責人、網絡（安全）管理員、主機（安全）管理員、數據庫（安全）管理員、應用（安全）管理員、機房管理人員、資產管理員、業(yè)務操作員、安全審計人員等。序號姓名崗位/角色聯(lián)系方式…………安全管理文檔與信息系統(tǒng)安全相關的文檔，包括：管理類文檔，如機構總體安全方針和政策方面的管理制度、、人員安全教育和培訓方面的管理制度、第三方人員訪問控制方面的管理制度、機房安全管理方面的管理制度等；記錄類文檔，如設備運行維護記錄、會議記錄等；其他類文檔，如專家評審意見等。序號文檔名稱主要內容………1安全環(huán)境描述被測信息系統(tǒng)的運行環(huán)境中與安全相關的部分：如數據中心位于運營服務商機房中、網絡存在互聯(lián)網連接、網絡中部署無線接入點以及支持遠程撥號訪問用戶等。以列表形式給出被測信息系統(tǒng)的威脅列表，并基于歷史統(tǒng)計或者行業(yè)判斷進行威脅賦值，具體內容可參考《風險評估規(guī)范》。序號威脅分（子）類描述威脅賦值1網絡攻擊利用工具和技術通過網絡對信息系統(tǒng)進行攻擊和入侵高

………等級測評范圍與方法測評指標測評指標包括基本指標和附加指標兩部分，以列表的形式給出。依據定級結果選擇《基本要求》中對應級別的安全要求作為等級測評的基本指標；基本指標基本指標（物理和網絡子類）的例子如下所示：分類子類基本要求測評項數3物理安全物理位置的選擇測評物理機房所在的外部環(huán)境安全性。2物理訪問控制測評進出機房的審批控制手段以及機房出入口的安全控制情況。4防盜竊和防破壞測評機房內設備和通信線纜的安全性以及監(jiān)控報警系統(tǒng)建設情況。6防雷擊測評建筑防雷和防感應雷的建設情況。3防火測評自動監(jiān)控防火系統(tǒng)設置情況以及機房材料防火情況。3防水和防潮測評機房內水管設置情況、防止結露所采取的措施以及監(jiān)控報警系統(tǒng)建設情況。4防靜電測評機房防靜電所采取的措施。3溫濕度控制測評機房溫濕度控制措施13測評項數量隨信息系統(tǒng)的安全保護等級不同而變化

分類子類基本要求測評項數3電力供應測評電力線路、備用電源以及發(fā)電機的配備情況。4電磁防護測評線纜電磁防護手段和設備電磁防護手段。3網絡安全結構安全主要核查：主要網絡設備的處理能力、業(yè)務高峰期需求帶寬、路由控制、網絡拓撲結構圖是否一致、子網劃分、技術隔離手段和帶寬分配策略。7訪問控制主要核查：訪問控制功能、協(xié)議深層檢測h網絡連接超時、流量限制和并發(fā)連接數限制等等。4安全審計主要核查：網絡設備日志收集、分析和統(tǒng)計以及保護等等。6邊界完整性檢查主要核查：是否能夠對非授權設備私自聯(lián)到內部網絡的彳行為進行檢查并準確定位和阻斷；是否能夠對內部網絡用戶私自聯(lián)到外部網絡的行為進行檢查并準確定位和阻斷。2入侵防范主要核查:部署IDS系統(tǒng)以及使用情況。2惡意代碼防范主要核查：是否有完整的防病毒體系以及代碼庫的升級情況。2網絡設備防護主要核查：用戶身份鑒別、管理員登錄地址限制、用戶標識唯一性、組合鑒別技術、口令策略、登錄策略、遠程管理和權限分離。91.21.2附加指標1.21.2附加指標參照基本指標的表述模式以列表形式給出附加指標。附加指標包括但不限于：行業(yè)標準/規(guī)范的具體指標主管部門的規(guī)定的具體指標信息系統(tǒng)的運營、使用單位基于特定安全環(huán)境或者業(yè)務應用提出的具體指標分類子類附加要求測評項數測評對象測評對象選擇方法描述本次等級測評中采用的測評對象選擇方法和具體規(guī)則，通常采用抽查的方法，兼顧類別與數量。測評對象包括網絡互聯(lián)與安全設備操作系統(tǒng)、業(yè)務應用軟件、主機操作系統(tǒng)、存儲設備操作系統(tǒng)、數據庫管理系統(tǒng)、安全相關人員、機房、介質以及管理文檔。選擇過程中應綜合考慮信息系統(tǒng)的安全保護等級、業(yè)務應用特點和對象所在具體設備的重要情況等要素，并兼顧工作投入與結果產出兩者的平衡關系。其中，主機設備的重要程度由其承載的業(yè)務應用和業(yè)務數據的重要程度決定；機房、介質4和管理文檔不需要抽樣。具體方法和規(guī)則可參考《信息系統(tǒng)安全等級保護測評過程指南》。測評對象選擇結果網絡互聯(lián)設備操作系統(tǒng)序號操作系統(tǒng)名稱設備名稱1IOS_路由器—內部」路由器—內部_12IOS_路由器_VPN_1路由器_VPN_13IOS_路由器_VPN_2路由器_VPN_24非個人使用存儲介質序號操作系統(tǒng)名稱設備名稱1JOS_防火墻_WEB_1防火墻_WEB_1………1.2.3業(yè)務應用軟件序號軟件名稱主要功能………1.2.4主機（存儲）操作系統(tǒng)序號設備名稱操作系統(tǒng)/數據庫管理系統(tǒng)………1.2.5數據庫管理系統(tǒng)1.2.61.2.6訪談人員1.2.61.2.6訪談人員序號姓名崗位/職責………1.2.7安全管理文檔序號文檔名稱主要內容………測評方法現場測評方法描述本次等級測評工作中采用的測評方法?，F場測評方法主要包括訪談、檢查和測試等三類，可細分為人員訪談、文檔審查、配置核查、現場觀測和工具測試等。如果采用工具測試，應給出工具接入示意圖，并對測評工具的接入點和預期的測試路徑進行描述。風險分析方法本項目依據安全事件可能性和安全事件后果對信息系統(tǒng)面臨的風險進行分析，分析過程包括：1）判斷信息系統(tǒng)安全保護能力缺失（等級測評結果中的部分符合項和不符合項）被威脅利用導致安全事件發(fā)生的可能性，可能性的取值范圍為高、中和低；2）判斷安全事件對信息系統(tǒng)業(yè)務信息安全和系統(tǒng)服務安全造成的影響程度，影響程度取值范圍為高、中和低；3）綜合1）和2）的結果對信息系統(tǒng)面臨的風險進行匯總和分等級，風險等級的取值范圍為高、中和低；4）結合信息系統(tǒng)的安全保護等級對風險分析結果進行評價，即對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益造成的風險。等級測評內容單元測評的內容及結果記錄如下所示：物理安全結果記錄問題分析單元測評結果網絡安全結果記錄以表格形式分別給出不同測評對象的現場測評結果。

IOS_路由器_內部」類別測評內容結果記錄符合情況網絡訪問控制a)應在網絡邊界部署訪問控制設備，啟用訪問控制功能；b)應能根據會話狀態(tài)信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；c)應對進出網絡的信息內容進行過濾，實現對應用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制；d)應在會話處于非活躍一定時間或會話結束后終止網絡連接；e)應限制網絡最大流量數及網絡連接數；f) 重要網段應采取技術手段防止地址欺騙；g)應按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶；h) 應限制具有撥號訪問權限的用戶數量?！璉OS_路由器_VPN_1#.2問題分析單元測評結果系統(tǒng)運維管理結果記錄問題分析單元測評結果工具測試結果記錄依據測評工具的結果報告形成工具測試的結果。問題分析匯總工具測試的結果，分析信息系統(tǒng)中存在的主要問題。等級測評結果整體測評根據《基本要求》的要求，對這些問題進行系統(tǒng)整體測評分析，包括從安全控制間、層面間、區(qū)域間和系統(tǒng)結構等方面進行安全測評。安全控制間安全測評層面間安全測評區(qū)域間安全測評系統(tǒng)結構安全測評測評結果對整體測評后的等級測評結果基于安全子類進行匯總，并以表格形式進行展示。表格中使用不同顏色對測評結果進行區(qū)分，測評結果為部分符合的指標子類采黃色標識，不符合的指標子類采用紅色標識，如表中“物理安全”中指標子類對應表格單元的顏色所示。通過對信息系統(tǒng)基本安全保護狀態(tài)的分析，給出等級測評結論（結論為達標、基本達標、不達標）。序號分類子類符合情況符合部分符合不符合1物理安全物理位置的選擇?2物理訪問控制?3防盜竊和防破壞?4防雷擊?5防火?6防水和防潮?7防靜電?8溫濕度控制?9電力供應?10電磁防護?

序號分類子類符合情況符合部分符合不符合11網絡安全結構安全12訪問控制13安全審計14邊界完整性檢查15入侵防范16惡意代碼防范17網絡設備