三级等保评测文件资料

信息系统安全等级测评汇报模板项目名称：委托单位：测评单位：年月日汇报摘要一、测评工作概述概要描述被测信息系统基本情况（可参考信息系统安全等级保护立案表），包含但不限于：系统运行使用单位、投入运行时间、承载业务情况、系统服务情况以及定级情况。（见附件：信息系统安全等级保护立案表）描述等级测评工作委托单位、测评单位和等级测评工作开展过程，包含投入测评人员与设备情况、完成详细工作内容统计（包括测评分类与项目数量，检验网络互联与安全设备、主机、应用系统、管理文档数量，访谈人员次数）。二、等级测评结果依据第4、5章结果对等级测评结果进行汇总统计（测评项符合情况及百分比、单元测评结果符合情况百分比以及整体测评结果）；经过对信息系统基本安全保护状态分析给出等级测评结论（结论为达标、基本达标、不达标）。三、系统存在主要问题依据6.3章节分析结果，列出被测信息系统中存在主要问题以及可能造成后果（如，未布署DDos防御方法，易遭受DDos攻击，造成系统无法提供正常服务）。四、系统安全建设、整改提议针对系统存在主要问题提出安全建设、整改提议，是对第七章内容提炼和简明描述。汇报基本信息信息系统基本情况系统名称安全保护等级机房位置中心机房灾备中心其余机房委托单位单位名称单位地址邮政编码联络人姓名职务/职称所属部门办公电话移动电话电子邮件测评单位单位名称通信地址邮政编码联络人姓名职务/职称所属部门办公电话移动电话电子邮件汇报审核同意编制人日期审核人日期同意人日期申明申明是测评单位对于测评汇报内容以及用途等关于事项做出约定性陈说，包含但不限于以下内容：本汇报中给出结论仅对目标系统当初情况有效，当测评工作完成后系统出现任何变更，包括到模块（或子系统）都应重新进行测评，本汇报不再适用。本汇报中给出结论不能作为对系统内相关产品测评结论。本汇报结论有效性建立在用户提供材料真实性基础上。在任何情况下，若需引用本汇报中结果或数据都应保持其原来意义，不得私自进行增加、修改、伪造或掩盖事实。测评单位机构名称年月汇报目录TOC\o"1-4"\h\z\u1 测评项目概述 11.1 测评目标 11.2 测评依据 11.3 测评过程 11.4 汇报分发范围 22 被测系统情况 32.1 基本信息 32.2 业务应用 42.3 网络结构 42.4 系统组成 42.4.1 业务应用软件 42.4.2 关键数据类别 42.4.3 主机/存放设备 52.4.4 网络互联与安全设备 52.4.5 安全相关人员 62.4.6 安全管理文档 62.5 安全环境 63 等级测评范围与方法 73.1 测评指标 73.1.1 基本指标 73.1.2 附加指标 93.2 测评对象 93.2.1 选择方法 93.2.2 选择结果 103.3 测评方法 113.3.1 现场测评方法 113.3.2 风险分析方法 114 等级测评内容 124.1 物理安全 124.1.1 结果统计 124.1.2 问题分析 124.1.3 单元测评结果 124.2 网络安全 124.2.1 结果统计 124.2.2 问题分析 144.2.3 单元测评结果 144.3 主机安全 144.3.1 结果统计 144.3.2 问题分析 154.3.3 单元测评结果 154.4 应用安全 154.4.1 结果统计 154.4.2 问题分析 154.4.3 单元测评结果 154.5 数据安全及备份恢复 154.5.1 结果统计 154.5.2 问题分析 154.5.3 单元测评结果 154.6 安全管理制度 154.6.1 结果统计 154.6.2 问题分析 164.6.3 单元测评结果 164.7 安全管理机构 164.7.1 结果统计 164.7.2 问题分析 164.7.3 单元测评结果 164.8 人员安全管理 164.8.1 结果统计 164.8.2 问题分析 164.8.3 单元测评结果 164.9 系统建设管理 164.9.1 结果统计 164.9.2 问题分析 174.9.3 单元测评结果 174.10 系统运维管理 174.10.1 结果统计 174.10.2 问题分析 174.10.3 单元测评结果 174.11 工具测试 174.11.1 结果统计 174.11.2 问题分析 175 等级测评结果 175.1 整体测评 175.1.1 安全控制间安全测评 175.1.2 层面间安全测评 185.1.3 区域间安全测评 185.1.4 系统结构安全测评 185.2 测评结果 185.3 统计图表 226 风险分析和评价 226.1 安全事件可能性分析 226.2 安全事件后果分析 236.3 风险分析和评价 237 系统安全建设、整改提议 257.1 物理安全 257.2 网络安全 257.3 主机安全 257.4 应用安全 257.5 数据安全及备份恢复 257.6 安全管理制度 257.7 安全管理机构 257.8 人员安全管理 257.9 系统建设管理 267.10 系统运维管理 26附：信息系统安全等级保护立案表测评项目概述测评目标描述信息系统主要性：经过描述信息系统基本情况，包含运行使用单位性质，承载主要业务和系统服务情况，深入说明其在国家安全、经济建设、社会生活中主要程度，受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其余组织正当权益危害程度等。描述等级测评工作基本情况，包含委托单位、测评单位、测评范围及预期（如，经过等级测评找出与国家标准要求之间差距）。描述测评汇报用途（如，作为后续安全整改依据）。测评依据开展测评活动所依据协议、标准和文件：《信息安全等级保护管理方法》（公通字[]43号）《关于加强国家电子政务工程建设项目信息安全风险评定工作通知》（发改高技[]2071号）针对针对“国家电子政务工程建设项目”有效GB/T22239-信息安全技术信息系统安全等级保护基本要求GB/T20984-信息安全技术信息安全风险评定规范《信息安全技术信息系统安全等级保护测评要求》（国家标准报批稿）被测信息系统安全等级保护定级汇报等级测评任务书/测评协议等测评过程描述此次等级测评工作流程（可参考《信息系统安全等级保护测评过程指南》），详细内容包含但不限于：测评工作流程图各阶段完成关键任务工作时间节点汇报分发范围依据项目需求，明确应交付等级测评汇报数量与分发范围（如本汇报一式三份，一份提交测评委托单位、一份提交受理立案公安机关、一份由测评单位留存）。被测系统情况基本信息系统名称本汇报模板针对作为单一定级对象信息系统制订。主管机构系统承载业务情况业务类型1生产作业2指挥调度3管理控制4内部办公5公众服务9其余业务描述系统服务情况服务范围10全国11跨省（区、市）跨个20全省（区、市）21跨地（市、区）跨个30地（市、区）内99其它服务对象1单位内部人员2社会公众人员3二者均包含9其余系统网络平台覆盖范围1局域网2城域网3广域网9其余网络性质1业务专网2互联网9其它系统互联情况1与其余行业系统连接2与本行业其余单位系统连接3与本单位其余系统连接9其它业务信息安全保护等级系统服务安全保护等级信息系统安全保护等级业务应用描述信息系统承载业务应用情况。网络结构给出被测信息系统拓扑结构示意图，并基于示意图说明被测信息系统网络结构基本情况，包含但不限于：功效/安全区域划分、隔离与防护情况关键网络和主机设备布署情况和功效介绍与其余信息系统互联情况和边界设备当地备份和灾备中心情况系统组成以列表形式分类描述信息系统软、硬件组成情况。业务应用软件以列表形式给出被测信息系统中业务应用软件（包含含中间件等应用平台软件），描述项目包含软件名称、主要功效介绍和主要程度。序号软件名称主要功效主要程度…………关键数据类别序号数据类型所属业务应用主机/存放设备主要程度…………主机/存放设备以列表形式给出被测信息系统中主机设备（包含操作系统和数据库管理系统软件），描述项目包含设备名称、操作系统、数据库管理系统以及承载业务应用软件系统。序号设备名称操作系统/数据库管理系统业务应用软件………网络互联与安全设备以列表形式给出被测信息系统中网络互联及安全设备。设备名称应确保在被测信息系统范围内唯一性，提议采取类别-用途/功效/型号-编号（可选）三段命名方式。序号设备名称用途主要程度1路由器_内部_1内部边界路由主要2路由器_VPN_1远程管理维护主要3路由器_VPN_2远程管理维护主要4防火墙_WEB_1Web区之间访问控制主要…………安全相关人员以列表形式给出与被测信息系统安全相关人员，描述项目包含姓名、岗位/角色和联络方式。人员包含但不限于安全主管、系统建设责任人、系统运维责任人、网络（安全）管理员、主机（安全）管理员、数据库（安全）管理员、应用（安全）管理员、机房管理人员、资产管理员、业务操作员、安全审计人员等。序号姓名岗位/角色联络方式…………安全管理文档与信息系统安全相关文档，包含：管理类文档，如机构总体安全方针和政策方面管理制度、、人员安全教育和培训方面管理制度、第三方人员访问控制方面管理制度、机房安全管理方面管理制度等；统计类文档，如设备运行维护统计、会议统计等；其余类文档，如教授评审意见等。序号文档名称主要内容………安全环境描述被测信息系统运行环境中与安全相关部分：如数据中心位于运行服务商机房中、网络存在互联网连接、网络中布署无线接入点以及支持远程拨号访问用户等。以列表形式给出被测信息系统威胁列表，并基于历史统计或者行业判断进行威胁赋值，详细内容可参考《风险评定规范》。序号威胁分(子)类描述威胁赋值1网络攻击利用工具和技术经过网络对信息系统进行攻击和入侵高………等级测评范围与方法测评指标测评指标包含基本指标和附加指标两部分，以列表形式给出。依据定级结果选择《基本要求》中对应级别安全要求作为等级测评基本指标；基本指标基本指标（物理和网络子类）例子以下所表示：分类子类基本要求测评项数测评项数量随信息系统安全保护等级不一样而改变物理安全物理位置选择测评物理机房所在外部环境安全性。2物理访问控制测评进出机房审批控制伎俩以及机房出入口安全控制情况。4防偷窃和防破坏测评机房内设备和通信线缆安全性以及监控报警系统建设情况。6防雷击测评建筑防雷和防感应雷建设情况。3防火测评自动监控防火系统设置情况以及机房材料防火情况。3防水和防潮测评机房内水管设置情况、预防结露所采取方法以及监控报警系统建设情况。4防静电测评机房防静电所采取方法。3温湿度控制测评机房温湿度控制方法1电力供给测评电力线路、备用电源以及发电机配置情况。4电磁防护测评线缆电磁防护伎俩和设备电磁防护伎俩。3网络安全结构安全主要核查：主要网络设备处理能力、业务高峰期需求带宽、路由控制、网络拓扑结构图是否一致、子网划分、技术隔离伎俩和带宽分配策略。7访问控制主要核查：访问控制功效、协议深层检测、网络连接超时、流量限制和并发连接数限制等等。4安全审计主要核查：网络设备日志搜集、分析和统计以及保护等等。6边界完整性检验主要核查：是否能够对非授权设备私自联到内部网络行为进行检验并准确定位和阻断；是否能够对内部网络用户私自联到外部网络行为进行检验并准确定位和阻断。2入侵防范主要核查：布署IDS系统以及使用情况。2恶意代码防范主要核查：是否有完整防病毒体系以及代码库升级情况。2网络设备防护主要核查：用户身份判别、管理员登录地址限制、用户标识唯一性、组合判别技术、口令策略、登录策略、远程管理和权限分离。9附加指标参考基本指标表述模式以列表形式给出附加指标。附加指标包含但不限于：行业标准/规范详细指标主管部门要求详细指标信息系统运行、使用单位基于特定安全环境或者业务应用提出详细指标分类子类附加要求测评项数测评对象测评对象选择方法描述此次等级测评中采取测评对象选择方法和详细规则，通常采取抽查方法，兼顾类别与数量。测评对象包含网络互联与安全设备操作系统、业务应用软件、主机操作系统、存放设备操作系统、数据库管理系统、安全相关人员、机房、介质以及管理文档。选择过程中应综合考虑信息系统安全保护等级、业务应用特点和对象所在详细设备主要情况等要素，并兼顾工作投入与结果产出二者平衡关系。其中，主机设备主要程度由其承载业务应用和业务数据主要程度决定；机房、介质非个人使用存放介质非个人使用存放介质详细方法和规则可参考《信息系统安全等级保护测评过程指南》。测评对象选择结果网络互联设备操作系统序号操作系统名称设备名称1IOS_路由器_内部_1路由器_内部_12IOS_路由器_VPN_1路由器_VPN_13IOS_路由器_VPN_2路由器_VPN_2………安全设备操作系统序号操作系统名称设备名称1JOS_防火墙_WEB_1防火墙_WEB_1………业务应用软件序号软件名称主要功效………主机（存放）操作系统序号设备名称操作系统/数据库管理系统………数据库管理系统序号设备名称操作系统/数据库管理系统………访谈人员序号姓名岗位/职责………安全管理文档序号文档名称主要内容………测评方法现场测评方法描述此次等级测评工作中采取测评方法。现场测评方法主要包含访谈、检验和测试等三类，可细分为人员访谈、文档审查、配置核查、现场观察和工具测试等。假如采取工具测试，应给出工具接入示意图，并对测评工具接入点和预期测试路径进行描述。风险分析方法本项目依据安全事件可能性和安全事件后果对信息系统面临风险进行分析，分析过程包含：1）判断信息系统安全保护能力缺失（等级测评结果中部分符合项和不符合项）被威胁利用造成安全事件发生可能性，可能性取值范围为高、中和低；2）判断安全事件对信息系统业务信息安全和系统服务安全造成影响程度，影响程度取值范围为高、中和低；3）综合1）和2）结果对信息系统面临风险进行汇总和分等级，风险等级取值范围为高、中和低；4）结合信息系统安全保护等级对风险分析结果进行评价，即对国家安全、社会秩序、公共利益以及公民、法人和其余组织正当权益造成风险。等级测评内容单元测评内容及结果统计以下所表示：物理安全结果统计问题分析单元测评结果网络安全结果统计以表格形式分别给出不一样测评对象现场测评结果。IOS_路由器_内部_1类别测评内容结果统计符合情况网络访问控制a)

应在网络边界布署访问控制设备，启用访问控制功效；b)

应能依照会话状态信息为数据流提供明确允许/拒绝访问能力，控制粒度为端口级；c)

应对进出网络信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级控制；d)

应在会话处于非活跃一定时间或会话结束后终止网络连接；e)

应限制网络最大流量数及网络连接数；f)

主要网段应采取技术伎俩预防地址坑骗；g)

应按用户和系统之间允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；h)

应限制具备拨号访问权限用户数量。…………IOS_路由器_VPN_1…问题分析汇总网络安全中存在问题并加以分析，找出共性和危害严重问题，如边界防火墙管理口令为空。单元测评结果针对网络设备不一样测评指标子类对单项测评结果进行汇总和统计可得单元测评结果。单元测评结果判定依据为：如某对象特定测评指标全部测评项结果均为符合，则该单元测评结果为符合；如全部测评项结果均为不符合，则该单元测评结果为不符合；不然该单元测评结果为不符合。表格中分数分母表示单元测评包含测评项数量，分子表示不符合项和部分符合项数量之和；斜线表明该指标子类不适用。网络安全单元测评结果汇总表序号名称测评指标子类网络结构安全网络访问控制网络安全审计边界完整性检验网络入侵防范恶意代码防范网络设备防护1IOS_路由器_内部_1部分符合4/7符合0/4符合0/6符合0/2不符合2/2不符合2/2部分符合6/92IOS_路由器_VPN_13…456主机安全结果统计问题分析单元测评结果应用安全结果统计问题分析单元测评结果数据安全及备份恢复结果统计问题分析单元测评结果安全管理制度结果统计问题分析单元测评结果安全管理机构结果统计问题分析单元测评结果人员安全管理结果统计问题分析单元测评结果系统建设管理结果统计问题分析单元测评结果系统运维管理结果统计问题分析单元测评结果工具测试结果统计依据测评工具结果汇报形成工具测试结果。问题分析汇总工具测试结果，分析信息系统中存在主要问题。等级测评结果整体测评依照《基本要求》要求，对这些问题进行系统整体测评分析，包含从安全控制间、层面间、区域间和系统结构等方面进行安全测评。安全控制间安全测评层面间安全测评区域间安全测评系统结构安全测评测评结果对整体测评后等级测评结果基于