信息系统上线评估报告模板

XXX信息系统上线评估报告XXXXX年XX月

目录TOC\o"1-3"\h\u1571.系统安全评估 系统安全评估信息系统安全是企业正常安全运行的重要组成部分，为确保新开发的信息系统“不带病上线”，上线前应进行多项安全评估，即系统安全漏洞扫描、系统安全配置核查、系统安全建设管理、系统安全渗透测试。安全漏洞扫描信息系统安全漏洞扫描分为主机和Web应用2种扫描类型，可以有效的排查操作系统和网站，以便于针对性的修复及加固发现的漏洞。单一漏洞风险等级评定标准如下表所示：危险程度危险值区域危险程度说明高7<=漏洞风险值<=10攻击者可以远程执行任意命令或者代码，或对系统进行远程拒绝服务攻击。中4<=漏洞风险值<7攻击者可以远程创建、修改、删除文件或数据，或对普通服务进行拒绝服务攻击。低0<=漏洞风险值<4攻击者可以获取某些系统、服务的信息，或读取系统文件和数据。信息系统主机安全漏洞扫描本次对信息系统所属服务器的主机安全漏洞扫描发现，主机均存在高危风险漏洞，高危漏洞数及类型分布如下表所示，详见附件扫描报告：主机IP高危漏洞类型服务端口高危漏洞数高危漏洞数总计：

信息系统Web应用安全漏洞扫描本次对信息系统所属网站的Web应用安全漏洞扫描发现，网站存在中危风险漏洞，中危漏洞数及类型分布如下表所示，详见附件扫描报告：域名中危漏洞类型服务端口中危漏洞数本次对信息系统所属网站的Web应用安全漏洞扫描扫描详情如下图所示：安全配置核查信息系统安全配置核查分为主机配置和数据库配置2种核查类型，可以有效的排查操作系统和数据库安全配置是否符合要求规范，以便于针对性的预防加固存在的安全配置风险隐患。单一配置检查项风险等级评定标准如下表所示：危险程度危险值区域危险程度说明高7<=漏洞风险值<=10不当的配置导致攻击者可以通过其他方式获得管理员权限、或者只有管理员权限才能加固的配置。中4<=漏洞风险值<7不当的配置导致攻击者可以对主机进行破坏或者收集主机的信息、或者遭受攻击后，重要事件没有记录。低0<=漏洞风险值<4不当地配置对主机安全不会造成太大的影响。

信息系统主机安全配置扫描本次对信息系统所属服务器的主机安全配置扫描发现，主机均存在高危风险不合规配置，高危风险不合规配置类型分布如下表所示，详见附件配置扫描报告：控制点分组高危风险不合规检查配置项不合规主机IP访问控制资源控制身份鉴别高危风险不合规检查配置项总计：

信息系统数据库安全配置核查本次对信息系统所属数据库的安全配置核查发现，该数据库存在高危风险不合规配置，高危风险不合规配置类型分布如下表所示，详见附件数据库配置核查报告：控制点分组高危风险不合规检查配置项不合规数据库IP身份鉴别访问控制安全建设管理通过建立信息系统及信息系统工程规划设计、软件开发、工程实施、测试验收及交付等阶段的控制措施，将这些控制措施和流程落实到管理制度文档，并进行合理的发布和实施。确保信息系统在规划、开发、实施、测试验收和交付阶段工作内容和工作流程的全面、规范、符合项目管理的要求。应包含但不限于以下文件/文档，如下表所示：系统建设过程文档

安全渗透测试待信息系统安全整改完成后，再进行信息系统安全渗透测试。安全评估结果本次对信息系统上线评估已完成的安全漏洞扫描和安全配置核查的2项技术安全检测报告中，其所属主机均存在高危风险漏洞X个以及不合规检查配置项X项。另外由于信息还未验收，安全建设管理文档暂无。且信息系统安全整改未完成，信息系统安全渗未透测试。因此，综合上述已完成评估报告结果，判定信息系统安全评估结果：!高危!建议整改加