信息系统安全等级测评报告

报告编号：（）信息系统安全等级测评报告系统名称：一级分行网络系统被测单位：xxx测评单位：xxx报告时间：20xx年x月xx日说明：一、每个备案信息系统单独出具测评报告。二、测评报告编号为四组数据，各组含义和编码规则如下。趋第一远组为积信息舅系统自备案肌表编娃号，腹有1叼1位猫数字派组成宿，可杜以从或公安所机关分颁发肝的信铸息系户统备备案证换明（策或备绑案回待执）乎上获擦得，痛即证书书编聋号的软前1膊1位厚（前夹6位畅为受狭理备玉案公俊安机粪关代斤码，视后5径位为歼受理邪备案锄的公遥安机停关给租出的赚备案梳单位喇的顺寸序编话号）办。案第二拦组为男年份肺，由爹2位颂数字句组成饿。例册如0浴9代缸表2柴00辈9年厉。状第三喉组为窄测评兰机构喷代码霞，由耍4位烘数字狮组成廉。前似两位锦为省扶级行城政区槽划数丧字代巷码的塞前两公位或再行业惹主管材部门另编号促：0解0为察公安斑部，独11扎为北协京，共12娃为欲某巩，1奉3为疏河北偷，1漠4为尼山西农，1恩5为曾内蒙平古，婶21举为辽摘宁，套22充为吉累林，简23都为黑催龙江同，3孤1为恳上海夏，3烧2为命江苏士，3辟3为刘浙江甘，3虽4为桃安徽海，3悬5为喷福建帽，3健6为家江西报，3扎7为紫山东迅，4贺1为挪河南腊，4康2为罩湖北新，4隙3为熊湖南莲，4律4为笛广东朝，4何5为音广西箩，4旗6为盆海南慧，5蜘0为粱重庆胀，5伐1为应四川煤，5重2为该贵州锋，5挎3为地云南沉，5鱼4为快西藏课，6泄1为播陕西虑，6类2为伟甘肃幸，6舞3为短青海班，6苍4为婶宁夏哈，6吸5为场新疆唤，6县6为深新疆鞋兵团笔。9青0为栏国防晃科工盾局，从91非为电腹监会寿，9惩2为浸教育胖部。锋后两身位为防公安貌机关贫或行扬业主爷管部排门推柄荐的骄测评歼机构帖顺序穗号。鄙第四粮组为径本年挪度信巡息系早统测盼评次为数，遍由两陷位构仆成。丰例如涝02宜表示阶该信蒸息系挺统本续年度烈测评盛2次诱。从信息货系统俯等级村测评肥基本裙信息境表专信息宿系统禁系统绑名称顾一级调分行投网络扩系统配安全窗保护镰等级障第弃三涂级摊备案浆证明炎编号总测评约结论峡基本释符合疾被测网单位克单位剑名称兔xx纤x鲁单位舅地址黄邮政仇编码挠联系幻人尘姓滨名糕职务旺/职缓称么所属身部门棒办公橡歉移动文夺电子怒邮件依测评娇单位轿单位费名称员单位捐代码米通信秘地址鸭邮政镰编码文联系贫人磁姓狸名揭职务棒/职羡称则所属槽部门找办公迷琴移动爬这电子姻邮件察审核跨批准督编制奖人包编制常日期横审核雀人烧审核令日期析批准义人战批准劳日期虹注:山单位劣代码胡由受线理测劳评机暴构备间案的溉公安雄机关吓给出董。秃声挥挠明尤本报棍告是立某银丸行伞一级闯分行厕网络到系统改的等砍级测宪评报静告。垫本报筋告测肠评结浓论的闪有效掉性建俘立在怀被测环评单处位提鸡供相副关证环据的壤真实租性基色础之蜡上。群本报兔告中悬给出摩的测蔬评结布论仅俱对被是测信悉息系垂统当石时的筐安全如状态棒有效化。当俱测评谱工作软完成有后，揪由于暮信息画系统郑发生显变更肌而涉裳及到歌的系籍统构菌成组袭件（直或子桌系统送）都磨应重仙新进抖行等竖级测踏评，归本报崖告不响再适举用。敬本报纱告中衣给出缘的测之评结猪论不壶能作崭为对舰信息穴系统怕内部喊署的图相关产系统替构成鬼组件紧（或称产品堪）的崖测评朵结论杯。飘在任抗何情段况下叠，若隔需引俱用本震报告系中的拼测评叉结果卫或结恨论都井应保拨持其桐原有隶的意晒义，莫不得经对相凡关内超容擅约自进薯行增谣加、往修改抛和伪器造或膝掩盖差事实甜。扶目摆录TOC\o"1-4"\h\z\u执信息征系统疼等级蛛测评江基本柏信息架表柴II友声伤明远II弊I介报告剥摘要炒1牢第唐1善章接测评虫项目迁概述奶2味1.夕1困测评希目的颈2岗1.惕2转测评削依据例5此1.专3惰测评蜓过程摘11乐1.宜4部报告基分发椅范围束34画第量2喉章聪被测费信息吨系统弟情况鹅35军2.晶1阻承载载的业木务情役况灭35酒2.上2间网络确结构滴36哨2.对3缝系统柳构成捉37污2.嚼3.岩1愿业务薯应用井软件湖37河2.咸3.亏2燃关键蕉数据异类别扭37测2.苏3.催3瞧主机通/千存储通设备起37替2.座3.浅4蹲网络识互联蕉设备芹37台2.撤3.再5的安全齿设备阁38垄2.愉3.妥6铜安全该相关腔人员葵40奏2.路3.披7漆安全违管理粥文档必40苍2.裳4森安全艳环境镜51牧2.息5井前次掌测评即情况供53快第怨3龄章唉等级党测评弱范围柱与方既法破54悠3.僵1哥测评魂指标裂54固3.粘1.舍1承基本稠指标氏54栽3.嘱1.雁2戏特殊总指标被90帽3.蹈2牌测评挽对象滨10标5正3.峰2.男1春测评催对象怀选择难方法奇10喇5钟3.交2.欢2街测评篮对象地选择拳结果根10答6刊3.雪3佛测评序方法治11盟9歉第潮4吗章车单元梨测评谈12顷1仇4.倒1辈物理仓安全喉12哄1摄4.究1.匠1百结果赢记录躁12婚1衔4.帐1.情2澡结果请汇总架13察2积4.旅1.洒3帝问题哲分析翠13丘3犯4.柄2抓网络假安全抓13蜜4任4.妈2.汗1北结果裙记录召13蛾4登4.薄2.虫2疗结果愁汇总矩14询2呀4.数2.辛3减问题上分析悲14托3蹄4.但3送主机芬安全剃14絮4继4.蔑4希应用葱安全堡14始5忌4.仔5诱数据喷安全索及备铜份恢痛复嘴14迅6矩4.最5.结1依结果补记录引14监6车4.肆5.骄2歉结果糟汇总技14岁9哭4.凑5.芽3算问题昼分析笑15档0启4.歇6葬安全轻管理帜制度倚15崭1听4.熊6.赔1痕结果歉记录视15旦1祥4.漫6.交2聋结果帆汇总豪15盼5呆4.凳6.卖3丝问题凝分析亩15匪6舅4.袭7呼安全拖管理雾机构午15句7本4.孙7.需1棋结果静记录敲15挎7尼4.辜7.缝2敢结果羽汇总方16辉4劣4.端7.赏3分问题芽分析闸16推4懒4.风8疑人员经安全斩管理乳16或6互4.罗8.助1拴结果怖记录扑16金6斯4.柴8.剪2何结果榨汇总步17三0怖4.百8.仿3经问题岩分析惹17声1包4.淋9替系统蚕建设卵管理竞17座2波4.失9.曲1糟结果顷记录绘17说2堆4.归9.衬2扇结果纺汇总殖18霞4圣4.牧9.述3乌问题硬分析纱18延5屈4.渐10载榴系统趋运维三管理霞18贿6载4.理10荒.1敲俱结果虾记录跟18轨6堤4.欠10穗.2励岭结果胖汇总顿21邻5降4.饼10贴.3茄胃问题猎分析忆21渔6劳第抖5顷章都整体察测评擦21佩7杆5.团1践安全池控制经间安递全测绝评袍22迹0倒5.跟2大层面普间安标全测庭评着22虽3消5.仙3坐区域割间安献全测天评杆22歉6乏5.抖4穴系统独结构播安全里测评勾22帖9撑第真6透章枪测评娘结果桶汇总燥23图2让第佳7致章孔风险毅分析顾和评躁价侮23缝5盼第盲8验章牧等级奸测评台结论症24拥0削第亭9凭章您安全奸建设姨整改匠建议左24嚷1慨报告代摘要仔一级躬分行波网络嫌系统浇业务忠信息捷安全球等级提为纺3镜级，朽系统枪服务怪安全圾等级鸦为规3化级，谨通用末安全弹保护潮等级便为占3臭级。敬一级蛇分行备网络挖系统穿主要或是负欢责承君载纺某籍分行絮所辖它所有鸦机构忙的业寒务数睬据、标管理阿数据掏的传段输，肠承载卧某震分行东与各烧外联拍单位辛的数观据传忍输。相本次表测评宿范围腐为武某银新行醒一级绍分行下网络聚系统裁，从惰技术孩与管胞理两漠方面搁测评逮该信肤息系屈统是暖否符糕合信绍息安执全保勇护等思级第期3爷级的挎标准彻要求恒，技包术方福面包计括物苏理安路全、鄙网络袜安全移、主足机安到全、患应用趋安全揉和数太据安花全及伞备份器恢复档，管盒理方病面包岂括安团全管旗理制锋度、票安全林管理守机构话、人烦员安络全管呆理、堆系统戏建设董管理察和系霸统运川维管迷理。派综合污单元在测评抓、整验体测乖评和嘴风险触分析嘱结果献，得稳出游某银逼行某画市塞分行谈一级萝分行奸网络怖系统闷的等使级测租评结凶论为车基本寇符合皆。兴一级吩分行权网络腿系统吵存在泪着一下些安沈全问单题，刚在技斩术方仿面，浮机房稻内未莲安装祖机房衰专用视空调平对温庙湿度惯进行俭控制录，不盗能对泡温湿催度进闸行精社密控腔制腔；互库联网玩区、妹外联锯区防芒火墙纷上没追有开勤启深最度检脆测功巩能，伯不能右对进哗入网都络的波流量卡进行输应用嫌层的稍检测捎；网佛络系敞统由去代理崭服务责器中给的软逢件对惧部分斤数据内进行芒分析既，不昨能生留成审蜡计报都表；猛无法尊对内钞部人昌员使弄用其推他途碗径的砍上网厚方式筋（壁如乖无线伐上网馒卡珍等居）进侄行控层制、截阻断医；互士联网称区域蝶部署景了飞幕塔（击Fo蚁rt便in索et盒）防傻病毒面网关翠，可起以对山进入忍网络苦的内关容进鉴行恶冲意代匹码检本测和拦清除删，外固联区适只有筋启明施星辰浇ID梨S进条行检岭测，犯没有碍部署吓防病望毒网死关；牌分行宣在河帅北支蓄行设慈置了派同城殖数据禾备份雨中心蒙，与蹄其生荡产中潮心直列线距益离未案达到个30半公里吊，河肾北支甩行只透有介闸质库劣，无枕法接饲管所考有核急心业赞务的锄运行赔等；袄在管咸理方饮面无轻问题曾。烛根据议安全骆问题都，建田议信征息系势统做忧如下消改进绍，在隙技术越方面迈，己建议逮机房套使用内专用药的空汇调设绵备；难建议绵通过郊配置林防火熊墙策蝶略对颠互联格网区低、外傻联区杜的数贱据内既容进趴行检坦测；带建议拦添加鹊审计急设备依便于眠数据开分析庭和生危成审谅计报睡表；填建议言屏蔽葱终端善通过白无线狭上网任卡牵跨接矩，来潜控制绒和阻傻断非终法外毙联；谎建议蜘在外纸联区朵设置贿防毒亭墙设疼备，翻来防究止恶济意代肃码入亚侵；膛建议皂完善芳同城舟数据馅中心踩的相壳关功依能，姥保证脸大楼胖主机捆房发办生故愧障时土，同宇城数览据中乘心接霞管所婆有核霜心业蚁务的资运行童。顽第1红章床测娱评项模目概之述貌1.意1测阿评目那的系随着聋科学照技术造的迅倒猛发熊展和合信息坑技术延的广顽泛应脏用，枣特别摧是我宇国国样民经谎济和序社会扣信息绳化进光程的低全面修加快伶，信钉息化旨带动槽了工床业化报的发工展，翁初步线实现榆了互梳联互备通、甜资源缴共享越、跨暗越式熊发展债的信瑞息化钩发展搂目标犬。基杰础信夹息网扬络与缩重要白信息础系统有的基距础性糠、全错局性谢作用糟日益堆增强竞，已贱成为骆国家结和社马会发唱展新遮的重较要战潜略资品源。见与此百同时绣，随欧着社怕会信善息化惯的依扎赖程它度越钢来越缩高，塑网络悦和信怨息系愧统的园安全圈问题络愈加木重要港。保冰障基始础网隔络和窄重要加信息沉系统裁安全乖，更照好地顾维护伶国家薄安全更、保景障社病会稳森定和析经济陆命脉梦，是麻信息释化发引展中犹必须滋要解态决的逮重大揉问题林。祖但是染从整足体上顿看，惠我国档的信玉息安探全保邀障工淋作尚士处于桑初级疏阶段焦，基衡础薄均弱，渗水平宗不高六，存纪在许悬多亟炒待解遍决的茂问题智。应锐当看水到，怕我国解信息粪安全燕面临惊的形改势非槐常严卫峻，遇互联禾网上咸影响颤国家愁安全蛛和社祖会稳的定的商问题闻日益您突出似，网欺上斗谣争越高来越墨尖锐剩复杂抖。作给为非征传统绝安全英范畴枝的信认息安辜全问背题，槐已经极成为旺当前品最难美控制郊、最么难把顾握的舒问题摆之一啄，必芽须高饭度重越视信央息安膝全，名维护袖网络碍空间栗的国很家安状全和耳国家米利益茧。例信息坡安全帽等级故保护悼制度气是国周家信构息安蝶全保钻障工躁作的券基本钓制度疤、基桃本策孙略和交基本降方法杏，是植促进联信息薯化健芬康发拾展，鞠维护裂国家级安全鬼、社奥会秩阳序和签公共作利益虚的根甘本保丢障。辉国务背院法滴规和码中央僻文件蓄明确纷规定菜，要脉实行夏信息野安全茂等级答保护辆，重键点保昂护基编础信爬息网演络和鹊关系前国家动安全免、经饰济命瓜脉、土社会听稳定烦等方烟面的纠重要速信息训系统桶，抓枝紧建沙立信且息安津全等系级保秤护制偏度。浆信息促安全轰等级笛保护质是当键今发弄达国惨家保背护关隔键信才息基嫂础设鹅施、搭保障缸信息归安全诱的通趴行做俱法，换也是真我国撒多年安来信塘息安忍全工只作经批验的夫总结茫。开肯展信纪息安摸全等芹级保惭护工舰作不子仅是阴保障储重要零信息铲系统耽安全焰的重轿大措富施，嘴也是韵一项论事关撇国家明安全着、社艰会稳添定、机国家割利益削的重但要任饼务。斜信息舒系统夹安全粗等级南保护债测评测工作诱是指考测评金机构须依据字国家皇信息指安全叹等级晋保护裳制度培规定搬，按漆照有叹关管率理规动范和洪技术梦标准港，对驱未涉纷及国帽家秘辰密的拌信息骗系统描安全猾等级璃保护肤状况百进行刃检测研评估皮的活语动。瞧等级党测评滔是标凉准符洪合性仁评判似活动奴，即哗依据来信息况安全伴等级尿保护堂的国恋家标麦准或狂行业婚标准榨，按猛照特帅定方派法对您信息弃系统团的安停全保宣护能牺力进奸行科玉学公任正的僻综合式评判辰过程殖。浸某银谜行揉是一锁家在驳中国爽市场茄处于肆领先钻地位搏的股厕份制蔬商业列银行匹，为跟客户亡提供烧全面庄的商币业银傲行产沉品与黄服务谦。主哈要经敏营领锦域包羡括公后司银元行业居务、简个人巾银行扔业务朴和资院金业何务，阀多种样产品旁和服验务（昂如基稳本建烤设贷你款、晃住房店按揭尚贷款证和银索行卡弟业务滩等）磁在痕某银赵行拣业居违于市尸场领译先地饰位。霉在质“菌20葛10乱年中圣国2缩5家奋最受矩尊敬势上市耐公司君”孩排行匆榜中联，位体列第钳5位滤，公幕司董辜秘陈司彩虹滋荣膺麦“蒜中国喂上市验公司士最佳橡董秘怖”俱大奖跟。当某银现行赴拥有务广泛少的客丘户基略础，嘉与多捏个大再型企湖业集肌团及答中国切经济宰战略幼性行翼业的阀主导命企业狭保持漆银行残业务席联系宫，营准销网踪络覆诚盖全母国的绢主要削地区砍，设建有1你36品00止多家脚分支侧机构宅。姜某银土行着在大舱陆境揉外的区中国欲香港余、新演加坡谱、德驰国法抱兰克非福、亩南非型约翰卸内斯倡堡、述日本柔东京欲、韩引国首鸟尔、彻美国刘纽约扔、越聚南胡高志明天市和秧澳大膝利亚斜悉尼肌设有返海外祝分行页，在信英国炎伦敦拿设有沸子银鄙行，争在中挪国台很湾台包北、施俄罗添斯莫菌斯科验设有脚代表礼处。牌某银逃行越的子材公司碗包括宽某银俊行劣（亚别洲）州股份溪有限溪公司移、建拴银国币际（脱控股功）有化限公影司、血中德柴住房珍储蓄屡银行拉有限踪责任稳公司婚、建堤信基顶金管拐理有务限责浑任公蝇司和择建信注金融搭租赁漠股份茎有限速公司们。扇某银于行刊已与秃世界阴上6有00侦家银皂行建零立了谣代理玉行关辈系，坝其业递务往帮来遍芽及五角大洲袖的近班80枯个国惕家。合挡某银划行钻被巴诉菲特妻杂志支、世棒界企膝业竞蜜争力阵实验摊室、幻世界慕经济巾学人左周刊青联合荐评为鱼20浅10渴年（码第七娱届）惹中国币上市睁公司秋10魂0强植，排毙名第熟7位拖。絮该金翠融品怒牌在苗世界康品牌积价值殿实验抵室（笔Wo鲁rl毒d新Br王an竖d适Va陷lu半e牢La徐b）健编制其的2磁01还0年将度《虏中国萌品牌海50曾0强盐》排誉行榜材中排症名第经十，油品牌吊价值猴87于6.脏32扎亿元扩。谁在由漏中国腔企业倾联合雀会、银中国饮企业跳家协洗会共训同发楚布的烛20捉11束中国麻企业瓣50超0强贺名单箭中婚某银竟行损位列位第8项。郊某测段评公圾司能是我某市崖高新密技术仔企业公，以棚高新乱技术穗为导剪向，正雄厚长的技隶术实当力为张依托恋，凝写聚了蛾大量呢网络专安全那专业锄的优击秀人广才，登以技映术为楼核心瞒竞争结力的未企业滔文化培打造猛了强贡悍的震公司僚团队巧，从洽而建壶立了箭良好蕉的公万司发横展基驾础。窃作为宅公安爸部推鹊荐的稍等级报保护贿测评湖机构史，芽xx或xx脂为客闭户提散供等沈级保谈护定久级咨康询、伶等级滴保护肌测评氧、计严算机铸安全工检测加、网幕络安铲全审崖计、指网络吹与信活息系帮统安男全测裂评、死信息吐安全盟产品基检测循、信下息系丙统安初全监靠控、丰信息影安全什应急舞响应男、容沈灾备泪份及妇灾难恨恢复肿等相预关技直术、招标准前、实减施指俗南的凶咨询特与服塞务，爬并提江供全鸣面的桃网络壳安全雀解决洲方案蝴和网诚络安端全运蜓维服拦务。探某测咏评公面司搂作为董某银黑行某苦市碑分行胸信息床系统拦测评饰单位挖，将幕从1拴0个谣方面质对洋某银戚行某饺市帆分行垫信息潜系统泰进行趣全面躺检查逆，其本中包协括物剩理安张全、用网络采安全傲、主企机安阻全、占应用伏安全俱、数菌据安掌全、智安全舱制度驶管理姐、安聋全机晃构管稳理、程人员当安全凯管理剃、系卧统建嫁设管蹲理和搞系统扇运维室管理敲。踩通过期本次恼测评沉项目职，一建是可搞以掌绵握荷某银茧行某陷市干分行情信息版系统级的安贵全状派况、智排查欣系统信安全杜隐患蹦和薄梢弱环税节、匀明确寿信息荐系统答安全砖建设疲整改毯需求研；二常是衡尊量信脾息系鸡统的茫安全糠保护薯管理隆措施钳和技包术措旬施是州否符斜合等粘级保皂护基产本要元求，堤是否糠具备刮了相纳应的蓄安全村保护辜能力史。等蹦级测库评结害果也交是公砌安机槐关等宿安全脊监督郊部门粒进行亡监督姥、检苍查、呀指导美的参刘照。绒1.隙2乒测评卷依据硬信息雀安全号等级带保护半相关默标准药大致份可以径分为讨四类雷：政衣策基矩础类摧、应基用类尺、产猛品类戒和其妨他类叔。握政策映基础赠类标躺准旱Ⅰ葛政策势类北但《中宵华人阿民共简和国侄计算杂机信掩息系绝统安破全保愈护条幸例》滑（国牌务院疑14鱼7号丝令）看民从《关盯于信群息安亮全等俗级保碍护工妈作的杯实施搁意见素》（付公通伞字[狸20灶04户]6朝6号自）屋革误《信瘦息安崇全等劳级保轻护管摇理办视法》持（公计通字汗[2误00片7]末43而号）睬幻所《国摊家信刷息化坛领导窑小组终关于劲加强辞信息摧安全匹保障按工作纯的意款见》腥（中才办发虹[2练00问3]徐27缴号）必健维《关察于开崖展全俱国重桨要信部息系涨统安界全等刑级保倾护定慢级工风作的撑通知椅》（剖公信糕安[逢20肌07遭]8惩61魂号）劳遇过《信巴息安黄全等善级保纤护备迹案实羊施细寇则》筐（公奴信安披[2唐00巧7]农13肢60唉号）却睁绵《公伸安机园关信挂息安腔全等晋级保焰护检捷查工鞋作规钓范》依（公喇信安坑[2鞋00炒8]巾73滩6号上）还雷《关咏于加坚强国往家电想子政征务工盟程建总设项笔目信势息安疑全风魔险评诱估工犁作的化通知喝》（留发改黑高技瓦[2末00膜8]救20泰71婚号）骆透军《关蹈于开摇展信利息安昏全等执级保念护安肉全建慢设整淘改工耗作的触指导氏意见尝》（像公信狭安[炸20邮09略]1魄42鞭9号螺）戒链悔《信底息系支统安兔全等兔级测锐评报让告模铸版（龟试行摧）》编（公绵信安毛[2早00盐9]疲14管87恼）雀Ⅱ吩基础贿类宏妈《孔计算南机信抽息系剑统安屑全保耕护等湿级划迷分准片则》悼（G新B1闸78稿59绳-1纹99菌9）剖壤《创信息关系统吩安全剃等级码保护普基本贝要求酸》（犹GB绳/T迹22历23蝴9-袭20孔08昂）养应用趋类标刻准增Ⅰ难信息做系统确定级当争《去信息助系统珍安全腰保护舍等级往定级煎指南笔》（压GB尖/T经22怜24之0-而20榴08务）索Ⅱ碰等级你保护般实施浸帅《对信息勺系统烛安全蜂等级容保护奔实施盏指南蚊》（归信安仆字[办20湖07颈]1钥0号眼）帝Ⅲ熔信息税系统句安全让建设争量《掩信息腰系统炊通用艰安全渠技术将要求况》（晶GB羡/T纤20千27童1-馆20师06治）拔军《镰信息衔系统忍等级漂保护台安全附设计诚技术艳要求家》（笑信安感秘字请[2白00普9]诸05障9号絮）则双《阵信息搏系统枪安全忧管理静要求卫》（乓GB贩/T吩20抱26吗9-拖20朋06晌）誉算《搜信息电系统部安全湿工程飘管理晓要求闷》（叮GB链/T汤20筑28蹈2-捕20估06网）罩砖《蛛信息酸系统用物理酿安全秋技术胁要求晋》（蔬GB私/T也21嫂05剪2-肃20方07胃）归放《蜡网络队基础脱安全秘技术禁要求对》（撤GB秀/T棵20君27紧0-训20健06坐）旬腥《兽信息挠系统帅安全懒等级拉保护械体系贞框架佳》（挥GA筛/T笼70材8-构20翅07贴）波用《军信息送系统拦安全揪等级约保护旱基本嚼模型业》（呆GA兴/T剃70醋9-净20可07麻）甲目《及信息恼系统像安全负等级辱保护某基本贫配置侮》（街GA半/T加71五0-信20颠07善）费Ⅳ剑等级菠测评于财《劈信息宿系统辩安全摩等级伟保护蔑测评尖要求类》（输报批谷稿）榨阔《兵信息愉系统骆安全青等级箱保护晃测评稠过程类指南耽》（剪报批蝴稿）坑躺《李信息延系统苹安全心管理释测评袖》（繁GA络/T杰71酿3-捆20摆07缘）荷产品降类标瘦准玉Ⅰ橡操作惹系统声教《惯操作芬系统氧安全骑技术科要求姿》（蚀GB矩/T锤20迹27顾2-删20川06垄）没售《杆操作树系统秧安全嘉评估鹅准则楚》（汤GB基/T凑20喊00缘8-梨20私05遗）耍Ⅱ盐数据犯库落票《宽数据皂库管西理系差统安勉全技朗术要蹈求》残（G性B/缝T2窝02振73练-2毕00讲6）楚房《斩数据顶库管耐理系荐统安傻全评暖估准酱则》飞（G巨B/亦T2虹00斩09敲-2侵00边5）挨Ⅲ葬网始络摧乎《路网络箱端设杏备隔迎离部驴件技东术要绞求》舱（G筋B/锡T2触02庸79吃-2剂00布6）坏昂《昨网络付端设色备隔报离部郑件测是试评塑价方你法》葡（G卸B/尝T2残02贫77纹-2切00算6）久筒《录网络活脆弱禽性扫稳描产篮品技欠术要丝求》话（G侵B/轧T2粗02亚78详-2嘴00获6）僵付《歪网络慌脆弱汇性扫菜描产乳品测趁试评外价方否法》文（G积B/淹T2求02受80糊-2昨00饭6）焦公《辉网络者交换泰机安费全技亡术要抬求》斥（G搬A/诸T6呼84也-2宫00央7）扶倡《梅虚拟于专用券网安弟全技逢术要览求》招（G吐A/矩T6首86玉-2按00狱7）昂Ⅳ盖PK饥I吐篇《丑公钥雅基础桂设施棉安全研技术歼要求周》（势GA塌/T丛68吴7-猜20荷07能）军液《断PK距I系挽统安询全等葵级保讨护技桐术要谨求》到（G广B/岗T悠21房05唱3-隆20哭07液）老Ⅴ绩网关郑钓《玻网关略安全衡技术悬要求性》（挽GA墙/T勿68富1-觉20责07后）貌Ⅵ功服务保器匙腥《叼服务储器安农全技聪术要坊求》伞（G折B/用T2族10艰28丈-2牢00振7）扣Ⅶ鞭入侵明检测娘智《驰入侵冷检测纷系统碍技术锻要求联和检塌测方捎法》羊（G临B/筑T2舌02迈75绵-2韵00现6）县寇《隐计算仆机网呀络入蔽侵分兵级要子求》应（G泉A/控T7滩00泼-2盒00棚7）磨Ⅷ史防火形墙伶党《寿防火择墙安盐全技槽术要燥求》皆（G叼A/星T6民83女-2敲00菌7）迅糕《屡防火惹墙技板术测隆评方卫法》轻（报蜂批稿度）迅便《脸信息谣系统升安全妥等级慧保护赚防火杂墙安丙全配故置指代南》诉（报付批稿炸）甩蛙《位防火金墙技达术要活求和冒测评嚷方法怜》（深GB带/T镰20猫28慎1-利20疗06笨）职盾《诚包过包滤防凶火墙雄评估馅准则残》（敌GB瓶/T选20膊01穴0-谱20驶05愧）盆Ⅸ连路由义器识闭《顽路由井器安租全技柴术要搅求》桨（G喜B/康T贺18载01朗8-亏20绒07互）猜僚《见路由杯器安筛全评绒估准耕则》晨（G怒B/叹T顾20忙01命1-坑20脸05沃）哄磁《序路由迎器安售全测杏评要奋求》列（G命A/啊T完68车2-责20她07耽）差Ⅹ灾交换势机浩素《晴网络银交换瘦机安恐全技栋术要沟求》告（G踪B/痒T迁21否05允0-替20睡07插）吴姜《摸交换国机安爸全测种评要道求》月（G梁A/达T王68鞭5-鹅20爪07拨）矿Ⅺ倡其他冶产品秒优《里终端仰计算锁机系亚统安占全等笔级技愧术要遵求》线（G虎A/妹T6匀71劲-2及00射6）肆准《凳终端端计算巴机系震统测踪评方句法》受（G桥A/贩T雹67喷1-虚20校06辱）钥傲《交审计棒产品感技术迫要求卸和测尿评方拢法》除（G棍B/小T谣20疤94圆5-畅20理06寒）匹膜《扶虹膜喜特征纱识别杰技术五要求区》（羊GB债/T的2膏09兔79寄-2珍00异7）播浸《朗虚拟萝专网厘安全锤技术珠要求丢》（悬GA牧/T牢6壁86扫-2顽00妈7）剪幅《江应用胡软件夫系统惑安全春等级眨保护谢通用眨技术择指南但》（斗GA胡/T元愿71卡1-赢20潮07四）锄处《响应用不软件炭系统樱安全躁等级驰保护棒通用妄测试保指南畅》（挡GA展/T道踢71纷2-阔20孤07向）中厚《绵网络旨和终拜端设钓备隔亭离部岂件测嘉试评帆价方显法》骂（G骂B/勺T

睬2捆02隐77顺-2间00挥6）橡竖《精网络贿脆弱拳性扫傍描产般品测捏评方峰法》辣（G古B/屋T

省2巷02匆80理-2剧00旱6）挂其他茫类标疼准浴Ⅰ哨风险家评估染校《勉信息弹安全减风险娇评估以规范巧》（勾GB种/T役20迈98轨4-战20吹07花）会Ⅱ曲事件丈管理蛛育《摘信息育安全摇事件打管理蒸指南线》（徒GB骑/T奉20况98穷5-凭20伪07两）搭禁《惑信息杀系统胞安全游工程接管理扬要求司》（靠GB旦/T劈20陆28取2-如20搭07榨）撑篮《鲁信息搜系统些灾难侍恢复客规范滥》（刊GB煎/T寄庄20啊98却8-均20讯07援）其他相关参考标准Ⅰ公钥基础设施

《PKI组件最小互操作规范》（GB/T19771-2005）

《在线证书状态协议》（GB/T19713-2005）

《证书管理协议》（GB/T19714-2005）

《数字证书格式》（GB/T20518-2006）

《时间戳规范》（GB/T20520-2006）

《特定权限管理中心技术规范》（GB/T20519-2006）

《PKI系统安全等级保护评估准则》（GB/T21054-2006）

《安全支撑平台技术框架》（GB/T24851-2023）

《签名生成应用程序的安全要求》（GB/T24857-2023）

《XML数字签名语法与处理规范》（GB/T24855-2023）

《X.509数字证书应用接口规范》（GB/T24854-2023）

《建议在线证书状态协议》（GB/T24853-2023）揪搜《委电子询签名刻卡应两用接棒口基枯本要友求》核（G样B/摆T毁24鹿85着2-崇20递09本）洁Ⅱ伴安全艘管理睛浆《眼信息储安全躬管理另实用牲规则澡》抓（G舍B/等T培19劲71晕6-最20柏05论）短敌《辆信息烟技术谁安全海管理胳指南炸》感第1院部分口：信拿息技爪术安丑全概剑念和略模型借（例GB蚕/T阔1秤97进15嫂.1哈-2讨00副5）来攻《乳信息寇技术沉安全液管理述指南械》朴第2午部分薄：管恶理和园规划戏信息洗技术练安全道（瘦GB蹄/T失1暮97俯15友.2古-2队00腥5）室喇《简信息熔安全烧风险陶管理杜指南境》（携GB伪/T稻2桶43钟64糕-2犁00镇9）继济《董信息预安全伴管理训使用般规则修》（吓GB贷/T传2构20牺81用-2所00厕8）革联《脖信息六安全涂管理锅体系捉：要惧求》体（G胞B/纳T伐22膜08赞0-练20协08孤）送笼《基泻于角怕色的胖访问祥控制妥模型编与管举理规渐范》坊（G屈B/看T建24血84抵8-微20陷09酷）辽Ⅲ毕其他罚安全京技术撒标准论汗《基疑于多依用途星互联毛网邮遥件扩悠展（荷MI童ME比）的但安全匙报文极交换巩》（梢GB慨/T访1邪97戏17迹-2嫩00拾5）项培《实浆体鉴毅别碑第1帆部分崭：概钉述》怠（G器B/召T益15逢84岩3.训1-斤20球08趟）粘钓《实辣体鉴蓄别缘第2蝶部分塘：采觉用对去称加禽密算京法的仅机制秆》（孔GB慨/T焦1灾58哪43庭.2做-2滋00柱8）趟维《实腿体鉴司别宾第3仙部分请：采绿用数容字签速名技闭术的捎机制壶》（棋GB住/T减1爷58先43教.3常-2铅00悟8）子荐《实叼体鉴期别族第4识部分场：采喜用密狸码校献验函度数的拔机制因》（阵GB逐/T王1辽58宫43县.4桑-2骂00沸8）香南《实滑体鉴热别发第5话部分钉：使回用零莲知识旺技术惹的机用制》镇（G罚B/协T搂15狼84嫁3.城5-光20霸05通）支治《带典附录迫的数则字签弦名陈第2佛部分心：基肺于身寄份的镜机制端》（攻GB退/T秆1红79蚕02摔.2胶-2浓00客5）猛食《带都附录渐的数垫字签宗名锁第3迟部分幻：基李于证朋书的姐机制恳》（贪GB趟/T拣1藏79杀02棒.3矛-2煌00胆5）晕洗《信劳息系热统安宅全保封障评进估框盾架质第1肿部分汇：简救介和喇一般妙模型梅》（死GB套/T叫2金02瞎74酱.1具-2狭00向6）敞率《锐信息泼系统节安全宋保障女评估资框架旱第前2部税分：岔技术锤保障手》（泉GB忙/T秃2踢02逗74煤.2逐-2砍00执8）祸猫《计信息柿系统跑安全随保障划评估冈框架怕第赌3部辽分：透管理菌保障途》（砍GB栏/T熟2判02梯74价.3酸-2以00孤8）设凤《愁信息邪系统用安全魄保障提评估玩框架冻第泊4部艰分：贯工程跳保障炮》（私GB改/T构2炒02拼74睬.4梅-2轧00代8）肢招《网肯上银稠行系畅统信技息安输全保睡障评险估准字则》贿（G校B/符T主20印98宪3-哗20沙07侮）池眼《业网上震证券筋交易厕系统拥信息段安全顽保障少评估盼准则吹》（互GB葡/T提2藏09求87座-2泳00斗6）等砌《加智能盆卡嵌肥入式菌软件暖安全莫技术喊要求谨（E珍AL酸4增执强级脸）》塌（G鹊B/侍T给20穗27启6-波20云06茎）藏以《耻保护词轮廓柿和安识全目煌标的三生产磨指南郑》注（G花B/仆T

统2甚02饺83帽-2疾00廊6）疫溪《叉消息浊鉴别阔码苦第1否部分未：采辞用分更组密笑码的程机制砍》（长GB很/T预1踏58滩52科.1狠-2环00拢8）链枯《茧信息橡技术引安全仔性评蝇估准乱则晶第1啊部分它：简照介和示一般愉模型窄》（卫GB骂/T紫1薪83牺36贡.1销-2贯00摸8）咏灶《有信息钞技术眯安全纷性评沾估准渠则特第2株部分盖：安掩全功退能要驳求》托（G运B/通T务18片33匀6.请2-猾20势08病）伙宴《址信息溪技术秀安全赚性评滚估准袄则死第3干部分低：安次全保张证要党求》味（G愤B/浮T揭18雪33肥6.贵3-然20绣08检）菠芳《洽具有母中央齿处理捉器的搏集成射电路砍（I奏C）叫卡芯办片安因全技双术要饶求（纵评估薄保证折级4盆增强花）》上（G筋B/挂T扶22抓18备6-息20亮08挥）确布《员信息偏安全帖事件篇分类插分级求》（暖GB绵/T阅2芬09谷86颤-2粗00短7）捆芦《分床组密沃码算吸法的冲工作费模式灭》（放GB丑/T浸1蠢79揭64鞭-2边00折8）叮腥《消柿息鉴色别码新第皱1部质分：画采用喝分组柱密码吗的机超制》真（G途B/末T尝15毒85辨2.远1-逃20窜08晒）述男《员抗抵光赖具第1粘部分陆：概捏述》营（G天B/洁T花17鼓90英3.殃1-庆20雁08植）鹿动《毁抗抵钞赖弦第2蛛部分孝：采密用对跌称技镇术的起机制厚》（之GB羞/T拾1精79志03稳.2贤-2堆00宝8）召栏《探抗抵趣赖捆第3捞部分蜓：采径用非想对称练技术乞的机括制》扭（G则B/弟T洽17骆90负3.哭3-蛮20揭08塌）绵何《离基于毙互联鸟网电犬子政杨务信尽息安煤全实汗施指材南》上（G催B/沫Z建24氏29紧4-炒20从09阁）涉衔《普信息汇系统牺等级渠保护是安全伞技术衫设计脾要求恼》（蔑GB肃/T干2概48议56瓣-2朵00燕9）疏誉《饼信息先安全愧应急误响应温计划粮规范弹》（眼GB辩/T嚷2师43添63军-2摆00爱9）垂高《趋术语节》（盟GB夹/T唯2乌48云49葱-2寒00椅9）华耳《友基于毙角色语的访确问控移制模食型与非管理收规范着》（欣GB筒/T垄2纯48朴48暗-2耕00梅9）佣棍《厅证书求认证艺系统趁密码弯及其衰相关倘安全夫技术待规范内》（汽GB坏/T唯2汇48门50讯-2鄙00悬9）本次测评依据的合同文件：《某银行股份某市分行信息安全等级保护测评服务合同》1.3测评过程等级测评过程可以分为四个活动：测评准备、方案编制、现场测评以及分析与报告编制，而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。具体流程如下图所示。等级测评项目启动等级测评项目启动信息收集与分析工具和表单准备测评对象确定测评指标确定测评工具接入点确定测试内容确定测评指导书开发测评方案编制现场测评准备现场测评和结果记录单项测评结果判定单元测评结果判定整体测评整体测评测评报告编制整体测评风险分析整体测评等级测评结论形成整体测评测评准备活动方案编制活动现场测评活动报告编制活动沟通与洽谈测评准备活动的目标是顺利启动测评项目，准备测评所需的相关资料，为顺利编制测评方案打下良好的基础。测评准备活动包括项目启动、信息收集和分析、工具和表单准备三项主要任务。具体工作内容如下表。方案编制活动的目标是整理测评准备活动中获取的信息系统相关资料，为现场测评活动提供最基本的文档和指导方案。方案编制活动包括测评对象确定、测评指标确定、测试工具接入点确定、测评内容确定、测评指导书开发及测评方案编制六项主要任务。现场测评活动通过与测评委托单位进行沟通和协调，为现场测评的顺利开展打下良好基础，然后依据测评方案实施现场测评工作，将测评方案和测评工具等具体落实到现场测评活动中。现场测评工作应取得分析与报告编制活动所需的、足够的证据和资料。现场测评活动包括现场测评准备、现场测评和结果记录、结果确认和资料归还三项主要任务。在现场测评工作结束后，测评机构应对现场测评获得的测评结果（或称测评证据）进行汇总分析，形成等级测评结论，并编制测评报告。测评人员在初步判定单元测评结果后，还需进行整体测评，经过整体测评后，有的单元测评结果可能会有所变化，需进一步修订单元测评结果，而后进行风险分析和评价，形成等级测评结论。分析与报告编制活动包括单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成及测评报告编制六项主要任务。1.4报告分发范围本等级测评报告共分为1份正本2份副本，正本提交至某银行股份某市分行，副本由某市公安局公共信息网络安全监察总队信息安全等级保护办公室和某测评公司各保留一份。第2章被测信息系统情况2.1承载的业务情况一级分行网络系统主要是负责承载某分行所辖所有机构的业务数据、管理数据的传输，承载某分行与各外联单位的数据传输。2.2网络结构2.3系统构成2.3.1业务应用软件序号软件名称主要功能重要程度1无无无2.3.2关键数据类别2.3.3主机/存储设备2.3.4网络互联设备序号设备名称用途重要程度1Cisco6509E服务器汇聚交换机非常重要2Cisco6509E服务器汇聚交换机非常重要3cisco4507服务器接入交换机非常重要4cisco4507服务器接入交换机非常重要5cisco4506服务器接入交换机非常重要6cisco4506服务器接入交换机非常重要7cisco4506服务器接入交换机非常重要8cisco4506服务器接入交换机非常重要9cisco4506服务器接入交换机非常重要10Cisco4507R核心交换机非常重要11Cisco4507R核心交换机非常重要12Cisco4506外联DMZ区汇聚交换机非常重要13Cisco4506外联DMZ区汇聚交换机非常重要14cisco3750外联汇聚交换机非常重要15cisco3750外联汇聚交换机非常重要16Cisco2811外联路由器非常重要17Cisco2811外联路由器非常重要18Cisco7609外联路由器非常重要19Cisco7609外联路由器非常重要20Cisco7609SRTP区上联路由器非常重要21Cisco7609SRTP区上联路由器非常重要22Cisco3662RTP区上联路由器非常重要23Cisco4506RTP区交换机非常重要24Cisco4506RTP区交换机非常重要25Cisco7613RTP区下联路由器非常重要26Cisco7613RTP区下联路由器非常重要27Cisco3662RTP区下联路由器非常重要28Cisco3750G互联网区DMZ区交换机非常重要29Cisco3845互联网区路由器非常重要30Cisco6509客户端区汇聚交换机非常重要31Cisco3750G客户端区接入交换机非常重要2.3.5安全设备序号设备名称用途重要程度1JuniperISG1000防火墙服务器区防火墙非常重要2JuniperISG1000防火墙服务器区防火墙非常重要3JuniperISG1000防火墙外联区防火墙非常重要4JuniperISG1000防火墙外联区防火墙非常重要5启明星辰IDS外联DMZ区入侵检测非常重要6启明星辰IDS互联网DMZ区入侵检测非常重要7TOPSECNGFW4000防火墙互联网区第二道防火墙非常重要8TOPSECNGFW4000防火墙互联网区第二道防火墙非常重要9NetScreen500防火墙互联网区第一道防火墙非常重要10飞塔防病毒网关互联网区防病毒网关非常重要2.3.6安全相关人员略2.3.7安全管理文档2.4安全环境安全环境威胁列表及赋值是基于历史统计或者行业判断进行的，具体内容如下表所示。2.5前次测评情况本次测评为初次测评，故此项不适用。第3章等级测评范围与方法3.1测评指标3.1.1基本指标某银行某市分行一级网络系统业务信息安全等级为3级，系统服务安全等级为3级，通用安全保护等级为3级。被测系统的测评指标应包括《信息系统安全等级保护基本要求》（GB/T22239-2023）所有3级业务信息安全类（S3）、3级系统服务保证类（A3）和3级通用安全保护类（G3），包括的安全控制指标类型情况具体要求如下表所示。3.1.2特殊指标某银行某分行一级分行网络系统系统信息安全等级为3级，系统服务安全等级为3级，通用安全保护等级为3级。由于被测系统从属金融行业信息系统，故此被测系统的特殊指标应包括《中华人民共和国金融行业标准JR/T0071—2023金融行业信息系统信息安全等级保护实施指引》节“技术要求”中的3级通用安全保护类（G3）、3级业务信息安全类（S3）和3级系统服务保证类（A3），以及6.2.2节“管理要求”中的所有要求,包括的安全控制指标类型情况具体要求如下表所示。3.2测评对象3.2.1测评对象选择方法测评对象是等级测评的直接工作对象，也是在被测系统中实现特定测评指标所对应的安全功能的具体系统组件，因此，选择测评对象是编制测评方案的必要步骤，也是整个测评工作的重要环节。恰当选择测评对象的种类和数量是整个等级测评工作能够获取足够证据、了解到被测系统的真实安全保护状况的重要保证。测评对象的确定一般采用抽查的方法，即：抽查信息系统中具有代表性的组件作为测评对象。并且，在测评对象确定任务中应兼顾工作投入与结果产出两者的平衡关系。在确定测评对象时，需遵循以下原则：1．恰当性，选择的设备、软件系统等应能满足相应等级的测评强度要求；2．重要性，应抽查对被测系统来说重要的服务器、数据库和网络设备等；3．安全性，应抽查对外暴露的网络边界；4．共享性，应抽查共享设备和数据交换平台/设备；5．代表性，抽查应尽量覆盖系统各种设备类型、操作系统类型、数据库系统类型和应用系统类型。第三级信息系统的等级测评，测评对象种类上基本覆盖、数量进行抽样，重点抽查主要的设备、设施、人员和文档等。可以抽查的测评对象种类主要考虑以下几个方面：1．主机房（包括其环境、设备和设施等）和部分辅机房，应将放置了服务于信息系统的局部（包括整体）或对信息系统的局部（包括整体）安全性起重要作用的设备、设施的辅机房选取作为测评对象；2．存储被测系统重要数据的介质的存放环境；3．办公场地；4．整个系统的网络拓扑结构；5．安全设备，包括防火墙、入侵检测设备和防病毒网关等；6．边界网络设备（可能会包含安全设备），包括路由器、防火墙、认证网关和边界接入设备（如楼层交换机）等；7．对整个信息系统或其局部的安全性起作用的网络互联设备，如核心交换机、汇聚层交换机、路由器等；8．承载被测系统主要业务或数据的服务器（包括其操作系统和数据库）；9．管理终端和主要业务应用系统终端；10．能够完成被测系统不同业务使命的业务应用系统；11．业务备份系统；12．信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人；13．涉及到信息系统安全的所有管理制度和记录。在本级信息系统测评时，信息系统中配置相同的安全设备、边界网络设备、网络互联设备、服务器、终端以及备份设备，每类应至少抽查两台作为测评对象。3.2.2测评对象选择结果1机房序号机房名称物理位置1某银行某市分行主机房某银行某市分行大楼1层、15层、16层2业务软件序号软件名称主要功能1无无3主机（存储）操作系统序号设备名称操作系统1无无4数据库管理系统5网络互联设备操作系统序号操作系统名称设备名称1CiscoIOS12.2Cisco6509E2CiscoIOS12.2Cisco4507R3CiscoIOS12.2Cisco45064CiscoIOS12.2Cisco28115CiscoIOS12.2Cisco7609S6CiscoIOS12.2Cisco45067CiscoIOS12.2Cisco76138CiscoIOS12.2Cisco3750G9CiscoIOS12.2Cisco3662CiscoIOS12.2Cisco38456安全设备操作系统序号操作系统名称设备名称1JUNOSJuniperISG10002JUNOSNS5003JUNOSJuniperISG10004TopsecOS天融信40005嵌入式Linux启明星辰IDS6FortiOS飞塔防病毒网关7.访谈人员8.安全管理文档3.3测评方法本次测评使用的方法主要有访谈、检查和测试；以访谈为主，文档检查、配置审查为辅助，以获取真实的信息系统安全性能情况。访谈是指测评人员通过引导信息系统相关人员进行有目的的、有针对性的交流以帮助测评人员理解、澄清或取得证据的过程。访谈的对象是人员，典型的访谈人员包括信息安全主管、系统建设负责人、系统运维负责人、物理安全负责人、人事管理相关人员、信息系统安全管理员、系统管理员、网络管理员、数据库管理员、安全审计员、资产管理员、文档管理员、软件开发人员、机房维护人员、机房值守人员等。访谈使用的工具是访谈表单。针对技术要求，使用‘访谈’的方法进行测评的目的是为了了解信息系统的全局性(包括局部，但不是细节)、方向性、策略性和过程性信息，一般不涉及到具体的实现细节和具体技术措施，但在遇到优势证据时最弱；针对管理要求，访谈的内容应该较为详细和明确。访谈的作用：一是了解基本情况，作为下一步测评工作的基础；二是访谈结果作为判断与其他几种测评方式所得到证据是否一致；三是作为相关管理方面实现要求与否的直接证据。作为第二级以上包含二级的信息系统访谈广度在数量上做到基本覆盖，深度上做到较为全面。检查是指测评人员通过对测评对象（如制度文档、各类设备、安全配置等）进行观察、查验、分析以帮助测评人员理解、澄清或取得证据的过程。检查对象包括各类设备及标识、各种系统、安全配置、安全框架及规划、机房物理环境、存储介质、资源敏感标记、备份和恢复功能、高可用性、各类制度和规定、各种操作规程和手册、各类文档、各类文件、各类记录、各类计划方案及报告、各类预案框架、各类信息表及说明书、各类检查表、各类清单、各类合同及协议、各类材料、授权书、联系表等。检查用到的主要工具是核查表。针对技术要求，‘检查’的内容应该是具体的、较为详细的机制配置和运行实现；针对管理要求，‘检查’方法主要用于规范性要求（检查文档）。作为第二级以上包含二级的信息系统检查广度对测评对象在数量上抽样，在种类中基本覆盖，在深度上做到较全面。测试是指测评人员使用预定的方法或者工具使测评对象（各类设备或安全配置）产生特定的结果，将运行结果与预期的结果进行比对的过程。测试主要指功能测试、性能测试、渗透测试等。测试一般需要借助特定工具：扫描检测工具、攻击工具、渗透工具。针对技术要求，‘测试’的目的是验证信息系统当前的、具体的安全机制或运行的有效性或安全强度；针对管理要求，一般不采用测试技术。作为第二级以上包含二级的信息系统测试在广度上做到数量、范围上抽样，基本覆盖，在深度上有功能测试、性能测试和渗透测试。测评项目组根据单项测评结果判定单元测评结果，针对测评对象“部分符合”及“不符合”要求的单个测评项，分析与该测评项相关的其他测评项能否和它发生关联关系，发生什么样的关联关系，这些关联关系产生的作用是否可以“弥补”该测评项的不足，以及该测评项的不足是否会影响与其有关联关系的其他测评项的测评结果。然后根据风险发生的可能性和被利用后对信息系统产生的危害，综合分析风险。第4章单元测评4.1物理安全4.1.1结果记录根据某银行某市分行一级分行网络系统的现场测评情况,物理安全的测评记录和符合情况如下表所示。4.1.2结果汇总根据某银行某市分行一级分行网络系统现场核查情况，可以得到该信息系统物理安全各个测评指标统计结果，具体汇总情况如下表所示。层面/方面测评指标物理位置的选择物理访问控制防盗窃和防破坏防雷击防火防水和防潮防静电温湿度控制电力供应电磁防护物理安全符合0/3符合0/4符合0/6符合0/3符合0/8符合0/4符合0/3部分符合2/5符合0/7符合0/4注：“N/A”表示“不适用”，“\”表示该级别系统无此要求。分母表示“该测评指标中的测评项个数”，分子表示“该测评指标中的部分符合和不符合的测评项的个数”。4.1.3问题分析某银行某市分行机房设置在某银行某市分行大楼内，该建筑物具有防震、防风和防雨能力。机房安排了专人值守，所有进出机房的外来人员均需经过领导审批并进行登记由专人陪同。所有设备均固定在机房内的机柜中，并且设置了标签用于鉴别。机房所在的建筑物设置了避雷针，避雷带等避雷设施，并且在机房的配电柜中设置了电源防雷模块，可以有效的避免雷击造成设备的损坏。机房的四壁采用的铝塑板进行装修，具有B级以上等级，并且在机房各个区域内均设置了足够密度的烟感装置以及自动灭火装置，当火灾发生时，可以有效的控制火情。机房内空调周围部署了对水敏感元件，可以有效的检测漏水事件的发生。机房采用中央空调对温湿度进行控制。机房采用双路市电进行供电，并且采用在线式UPS提供备用电源，当出现长时间停电事件时，将启用发电机进行供电。机房内所有设备均设置了安全接地，以起到防静电、防雷击、防电磁干扰的目的。但本系统在物理安全方面仍存在一些问题：温湿度控制方面：机房内未安装机房专用空调对温湿度进行控制，不能对温湿度进行精密控制。15、16层的机房未采用专用空调设备，而采用了中央空调。4.2网络安全4.2.1结果记录根据某银行某市分行一级分行网络系统的现场测评情况,网络安全的测评记录和符合情况如下表所示。4.2.2结果汇总根据某银行某市分行一级分行网络系统网络安全各个测评指标统计结果，具体汇总情况如下表所示。层面/方面测评指标结构安全访问控制安全审计边界完整性检查入侵防范恶意代码防护网络设备防护网络安全符合0/7部分符合1/9部分符合1/4部分符合1/2符合0/2部分符合1/2部分符合1/14注：“N/A”表示“不适用”，“\”表示该级别系统无此要求。分母表示“该测评指标中的测评项个数”，分子表示“该测评指标中的部分符合和不符合的测评项的个数”。4.2.3问题分析某银行某市分行网络结构合理，拓扑图完整清晰，并能及时更新。某银行某市分行根据不同的工作职能对不同的网段进行Vlan划分，使业务网段和办公网段逻辑隔离。在上联路由设备上启用了QOS对业务流量进行管理，优先保证生产业务带宽使用，防止因为某些业务流量过大而造成线路拥塞。在外联区域和互联网区域分别部署了防火墙，并且根据安全策略设置了合理的访问控制规则保证网络对资源的合理访问。在审计方面，所有的网络设备均开启了日志功能，并且在分行内设有日志服务器，并能通过SNMP网管平台对网络设备的运行状况、用户行为进行审计，并能生成报表形式进行分析。在互联网区域和外联区域部署了启明星辰IDS，能够对网络攻击行为进行监控、报警，且在互联网区域部署了飞塔防病毒网关，能够对进出网络的流量进行检查，阻断并清除恶意代码在网络中的传播。但某银行某市分行在网络方面仍存在以下问题：访问控制方面：互联网区、外联区防火墙上没有开启深度检测功能，不能对进入网络的流量进行应用层的检测。安全审计：网络系统由代理服务器中的软件对部分数据进行分析，不能生成审计报表。边界完整性检查方面：行内的客户端如有上网需求的话须向主管部门进行审批，审批通过后方可上网，但无法对内部人员使用其他途径的上网方式（如无线上网卡等）进行控制、阻断。恶意代码防护：互联网区域部署了飞塔（Fortinet）防病毒网关，可以对进入网络的内容进行恶意代码检测和清除，外联区只有启明星辰IDS进行检测，没有部署防病毒网关。网络设备防护方面：所有设备均使用用户名/密码的方式对用户身份进行验证，没有采用更加安全的验证方式或采用2种验证方式对用户身份进行验证。4.3主机安全该系统仅为基础网络系统，不涉及主机部分，故该系统主机安全部分所涉及的安全子类全部不适用。4.4应用安全该系统仅为基础网络系统，不涉及应用部分，故该系统应用安全部分所涉及的安全子类全部不适用。4.5数据安全及备份恢复4.5.1结果记录根据某银行某市分行一级分行网络系统的现场测评情况,数据安全及备份恢复的测评记录和符合情况如下表所示。4.5.2结果汇总根据某银行某市分行一级分行网络系统现场核查情况，可以得到该信息系统数据安全及备份恢复各个测评指标统计结果，具体汇总情况如下表所示。层面/方面测评指标数据完整性数据保密性备份和恢复数据安全及备份恢复不适用N/A不适用N/A符合1/6注：“N/A”表示“符合”，“\”表示该级别系统无此要求；分母表示“该测评指标中的测评项个数”，分子表示“该测评指标的部分符合和不符合的测评项的个数”。4.5.3问题分析某银行某市分行一级分行网络系统仅为基础网络系统，不涉及主机、应用部分，所以不涉及生产数据，网络设备配置在变更前后均进行备份，且配置本地、同城及总行均存在备份。网络系统实现硬件冗余设计，主要网络设备均为双机备份，所有通信线路均为冗余。但某银行某市分行在网络方面仍存在以下问题：备份和恢复方面：分行在河北支行设置了同城数据备份中心，与其生产中心直线距离未达到30公里，河北支行只有介质库，无法接管所有核心业务的运行。4.6安全管理制度4.6.1结果记录根据某银行某市分行一级分行网络系统的现场测评情况,安全管理制度的测评记录和符合情况如下表所示。4.6.2结果汇总根据某银行某市分行一级分行网络系统现场核查情况，可以得到该信息系统安全管理制度各个测评指标统计结果，具体汇总情况如下表所示。4.6.3问题分析某银行股份总行负责建立管理制度框架，其中包括了人员管理、运行安全管理、网上信息传输安全管理、防病毒管理、业务系统的用户、权限、申请与审批管理、技术服务管理等内容。某银行某市分行针对每个信息系统均制定了详细的操作手册，用来规范维护人员的行为。在制定与发布方面，某银行某市分行依据总行制度执行，并由各个部门制定相关细则，且对制定的管理制度进行评审，评审合格以后通过OA进行发布。某银行某市分行不定期对安全管理制度进行检查和审定，且系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时对安全管理制度进行审定，对存在不足或需要改进的安全管理制度进行修订。某银行某市分行一级分行网络系统在安全管理制度方面无问题。4.7安全管理机构4.7.1结果记录根据某银行某市分行一级分行网络系统的现场测评情况,安全管理机构的测评记录和符合情况如下表所示。4.7.2结果汇总根据某银行某市分行一级分行网络系统现场核查情况，可以得到该系统安全管理机构各个测评指标统计结果，具体汇总情况如下表所示。4.7.3问题分析某银行某市分行指定信息安全条线为安全管理工作职能部门，并设立了系统管理员、网络管理员、安全管理员、数据库管理员等岗位，并定义各个工作岗位的职责。某银行某市分行成立了指导和管理信息安全工作的领导小组，其最高领导由行长担任。在授权和审批方面，某银行某市分行具有严格的授权、审批流程，系统变更、重要操作、物理访问和系统接入等事项均需经过审批才能执行。某银行所有工作开始前均与相关部门开工作协调会进行沟通协调，以便更好的完成工作。某银行某市分行与外单位、兄弟单位、业界专家、专业安全组织经常进行交流联系，以便共同打造一个安全的信息系统。某银行某市分行每日均对信息系统进行健康检查，定期对机房环境、设备等进行健康检查，制定了安全检查表实施安全检查，安全检查表的内容大致包含检查内容、检查人员、检查数据汇总表、检查结果等描述，且形成安全检查报告，并以OA文件发送的形式对安全检查结果进行通报。限期整改的对相关整改情况进行后续跟踪，并将每次安全检查报告和整改落实情况整理汇总后，报总行科技部门备案，并具有违反和拒不执行安全管理措施规定的处罚细则。某银行股份某市分行一级分行网络系统在安全管理机构方面无问题。4.8人员安全管理4.8.1结果记录根据某银行某市分行一级分行网络系统的现场测评情况,人员安全管理的测评记录和符合情况如下表所示。4.8.2结果汇总根据某银行某市分行一级分行网络系统现场核查情况，可以得到该信息系统人员安全管理各个测评指标统计结果，具体汇总情况如下表所示。4.8.3问题分析某银行某市分行指定人力资源管理部负责人员录用，并对被录用人的身份、背景、专业资格和资质等进行审查，对其所具有的技术技能进行考核，所有人员入职时必须签署保密协议，其中注明了相关的保密条目。在人员离岗时，及时终止离岗人员的访问权限，并取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备，离岗人员必须承诺离岗后继续履行保密条例后才可离开。某银行某市分行定期对人员的专业技能和安全技能进行考核，并定期对员工进行安全知识的培训，提高员工的安全意识。某银行某市分行对外来人员管理十分严格，外来人员需经过严格的审批才可对受控区域进行访问，并要求要有人员陪同访问。某银行某市分行一级分行网络系统在人员安全管理方面无问题。4.9系统建设管理4.9.1结果记录根据某银行某市分行一级分行网络系统的现场测评情况，系统建设管理的测评记录和符合情况如下表所示。4.9.2结果汇总根据某银行某市分行一级分行网络系统现场核查情况，可以得到该信息系统系统建设管理各个测评指标统计结果，具体汇总情况如下表所示。4.9.3问题分析某银行指定专门的部门对计算机设备进行采购，采购标准符