等保测评报告模板Word下载.docx

资源描述

等保测评报告模板Word下载.docx

《等保测评报告模板Word下载.docx》由会员分享，可在线阅读，更多相关《等保测评报告模板Word下载.docx（29页珍藏版）》请在冰豆网上搜索。

等保测评报告模板Word下载.docx

在任何情况下，若需引用本报告中的结果或数据都应保持其本来的意义，不得擅自进行增加、修改、伪造或掩盖事实。

测评单位机构名称

年月

报告目录

1测评项目概述1..

1.1测评目的1

1.2测评依据1

1.3测评过程1

1.4报告分发范围2

2被测系统情况3..

2.1基本信息3

2.2业务应用4

2.3网络结构4

2.4系统构成4

2.4.1业务应用软件4

2.4.2关键数据类别4

2.4.3主机/存储设备5

2.4.4网络互联与安全设备5

2.4.5安全相关人员5

2.4.6安全管理文档6

2.5安全环境6

3等级测评范围与方法7.

3.1测评指标7

3.1.1基本指标7

3.1.2附加指标9

3.2测评对象9

3.2.1选择方法9

3.2.2选择结果9

3.3测评方法11

3.3.1现场测评方法11

3.3.2风险分析方法11

4等级测评内容12

4.1物理安全12

4.1.1结果记录12

4.1.2问题分析12

4.1.3单元测评结果12

4.2网络安全12

4.2.1结果记录12

4.2.2问题分析14

4.2.3单元测评结果14

4.3主机安全14

4.3.1结果记录14

4.3.2问题分析15

4.3.3单元测评结果15

4.4应用安全15

4.4.1结果记录15

4.4.2问题分析15

4.4.3单元测评结果15

4.5数据安全及备份恢复15

4.5.1结果记录15

4.5.2问题分析15

4.5.3单元测评结果15

4.6安全管理制度15

4.6.1结果记录15

4.6.2问题分析16

4.6.3单元测评结果16

4.7安全管理机构16

4.7.1结果记录16

4.7.2问题分析16

4.7.3单元测评结果16

4.8人员安全管理16

4.8.1结果记录16

4.8.2问题分析16

4.8.3单元测评结果16

4.9系统建设管理16

4.9.1结果记录16

4.9.2问题分析17

4.9.3单元测评结果17

4.10系统运维管理17

4.10.1结果记录17

4.10.2问题分析17

4.10.3单元测评结果17

4.11工具测试17

4.11.1结果记录17

4.11.2问题分析17

5等级测评结果17

5.1整体测评17

5.1.1安全控制间安全测评17

5.1.2层面间安全测评18

5.1.3区域间安全测评18

5.1.4系统结构安全测评18

5.2测评结果18

5.3统计图表22

6风险分析和评价22

6.1安全事件可能性分析22

6.2安全事件后果分析23

6.3风险分析和评价23

7系统安全建设、整改建议25

7.1物理安全25

7.2网络安全25

7.3主机安全25

7.4应用安全25

7.5数据安全及备份恢复25

7.6安全管理制度25

7.7安全管理机构25

7.8人员安全管理26

7.9系统建设管理26

7.10系统运维管理26

附：

信息系统安全等级保护备案表

测评项目概述

1测评目的

描述信息系统的重要性：

通过描述信息系统的基本情况，包括运营使用单位的性质，承载的主要业务和系统服务情况，进一步阐明其在国家安全、经济建设、社会生活中的重要程度，受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等。

描述等级测评工作的基本情况，包括委托单位、测评单位、测评范围及预期（如,通过等级测评找出与国家标准要求之间的差距）。

描述测评报告的用途（如，作为后续安全整改的依据）。

2测评依据

开展测评活动所依据的合同、标准和文件：

《信息安全等级保护管理办法》（公通字[2007]43号）

《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改

高技[2008]2071号）

GB/T22239-2008信息安全技术信息系统安全等级保护基本要求

GB/T20984-2007信息安全技术信息安全风险评估规范

《信息安全技术信息系统安全等级保护测评要求》（国标报批稿）

被测信息系统安全等级保护定级报告

等级测评任务书/测评合同等

1测评过程

描述本次等级测评的工作流程（可参考《信息系统安全等级保护测评过程指南》），具体内容包括但不限于：

测评工作流程图

各阶段完成的关键任务

工作的时间节点

1报告分发范围

依据项目需求，明确应交付等级测评报告的数量与分发范围（如本报告一式三

份，一份提交测评委托单位、一份提交受理备案的公安机关、一份由测评单位留存）

被测系统情况

1基本信息

主管机构

系统承载业务情况

业务类型

1生产作业2指挥调度3管理控制

4内部办公5公众服务

9其他

业务描述

系统服务情况

服务范围

10全国11跨省（区、市）跨个

20全省（区、市）21跨地（市、区）跨个

30地（市、区）内

99其它

服务对象

1单位内部人贝2社会公众人贝3两者均包括

系统网络平台

覆盖范围

1局域网2城域网3广域网

网络性质

1业务专网2互联网

9其它

系统互联情况

1与其他行业系统连接2与本行业其他单位系统连接

3与本单位其他系统连接

业务信息安全保护等级

系统服务安全保护等级

信息系统安全保护等级

本报告模板针对作为单一定级对象的信息系统制定。

2业务应用

描述信息系统承载的业务应用情况。

3网络结构

给出被测信息系统的拓扑结构示意图，并基于示意图说明被测信息系统的网络结构基本情况，包括但不限于：

功能/安全区域划分、隔离与防护情况

关键网络和主机设备的部署情况和功能简介

与其他信息系统的互联情况和边界设备

本地备份和灾备中心的情况

1系统构成

以列表的形式分类描述信息系统的软、硬件构成情况。

1.1业务应用软件

以列表的形式给出被测信息系统中的业务应用软件（包括含中间件等应用平台软件），描述项目包括软件名称、主要功能简介和重要程度。

序号

软件名称

主要功能

重要程度

1.2关键数据类别

数据类型

所属业务应用

主机/存储设备

1.3主机/存储设备

以列表形式给出被测信息系统中的主机设备（包含操作系统和数据库管理系统

软件），描述项目包括设备名称、操作系统、数据库管理系统以及承载的业务应用软件系统。

设备名称

操作系统/数据库管理系统

业务应用软件

1.4网络互联与安全设备

以列表形式给出被测信息系统中的网络互联及安全设备。

设备名称应确保在被测信息系统范围内的唯一性，建议采取类别-用途/功能/

型号-编号（可选）的三段命名方式。

用途

路由器_内部_1

内部边界路由

重要

路由器_VPN_1

远程管理维护

路由器_VPN_2

防火墙_WEB_1

Web区之间访问控制

1.5安全相关人员

以列表形式给出与被测信息系统安全相关的人员，描述项目包括姓名、岗位/

角色和联系方式。

人员包括但不限于安全主管、系统建设负责人、系统运维负责人、

网络（安全）管理员、主机（安全）管理员、数据库（安全）管理员、应用（安全）管理员、机房管理人员、资产管理员、业务操作员、安全审计人员等。

姓名

岗位/角色

联系方式

1.6安全管理文档

与信息系统安全相关的文档，包括：

管理类文档，如机构总体安全方针和政策方面的管理制度、、人员安全教育和培训方面的管理制度、第三方人员访问控制方面的管理制度、机房安全管理方面的管理制度等；

记录类文档，如设备运行维护记录、会议记录等；

其他类文档，如专家评审意见等。

文档名称

主要内容

1安全环境

描述被测信息系统的运行环境中与安全相关的部分：

如数据中心位于运营服务

商机房中、网络存在互联网连接、网络中部署无线接入点以及支持远程拨号访问用

以列表形式给出被测信息系统的威胁列表，并基于历史统计或者行业判断进行威胁赋值，具体内容可参考《风险评估规范》。

威胁分（子）类

描述

威胁赋值

网络攻击

利用工具和技术通过网络对信

息系统进行攻击和入侵

高

等级测评范围与方法

1测评指标

测评指标包括基本指标和附加指标两部分，以列表的形式给出。

依据定级结果选择《基本要求》中对应级别的安全要求作为等级测评的基本指标；

1.1基本指标

基本指标（物理和网络子类）的例子如下所示：

分类

子类

基本要求

测评项数3

物理位置的选

择

测评物理机房所在的外部环境安全性。

物理访问控制

测评进出机房的审批控制手段以及机房出入口的安全控制情况。

防盗窃和防破

测评机房内设备和通信线缆的安全性

坏

以及监控报警系统建设情况。

物理安全

防雷击

测评建筑防雷和防感应雷的建设情况。

防火

测评自动监控防火系统设置情况以及机房材料防火情况。

防水和防潮

测评机房内水管设置情况、防止结露所

采取的措施以及监控报警系统建设情

况。

防静电

测评机房防静电所采取的措施。

温湿度控制

测评机房温湿度控制措施

测评项数量随信息系统的安全保护等级不同而变化

分类子类

电力供应

测评电力线路、备用电源以及发电机的配备情况。

电磁防护

测评线缆电磁防护手段和设备电磁防护手段。

网络安全

结构安全

主要核查：

主要网络设备的处理能力、业务高峰期需求带宽、路由控制、网络拓扑结构图是否一致、子网划分、技术隔离手段和带宽分配策略。

访问控制

访冋控制功能、协议深层检测、网络连接超时、流量限制和并发连接数限制等等。

安全审计

网络设备日志收集、分析和统计以及保护等等。

边界完整性检

查

是否能够对非授权设备私自联到内部网络的行为进行检查并准确定位和阻断；

是否能够对内部网络用户私自联到外部网络的行为进行检查并准确定位和阻断。

入侵防范

部署IDS系统以及使用情况。

恶意代码防范

是否有完整的防病毒体系以及代码库的升级情况。

网络设备防护

用户身份鉴别、管理员登录地址限制、用户标识唯一性、组合鉴别技术、口令策略、登录策略、远程管理和权限分离。

1.2附加指标

参照基本指标的表述模式以列表形式给出附加指标

附加指标包括但不限于：

行业标准/规范的具体指标

主管部门的规定的具体指标

信息系统的运营、使用单位基于特定安全环境或者业务应用提出的具体指标

附加要求

测评项数

1测评对象

1.1测评对象选择方法

描述本次等级测评中采用的测评对象选择方法和具体规则，通常采用抽查的方

法，兼顾类别与数量。

测评对象包括网络互联与安全设备操作系统、业务应用软件、主机操作系统、存储设备操作系统、数据库管理系统、安全相关人员、机房、介质以及管理文档。

选择过程中应综合考虑信息系统的安全保护等级、业务应用特点和对象所在具体设备的重要情况等要素，并兼顾工作投入与结果产出两者的平衡关系。

其中，主机设备的重要程度由其承载的业务应用和业务数据的重要程度决定；

机房、介质4和管理

文档不需要抽样。

具体方法和规则可参考《信息系统安全等级保护测评过程指南》。

1.2测评对象选择结果

1.2.1网络互联设备操作系统

操作系统名称

IOS_路由器_内部_1

路由器—内部_1

IOS_路由器_VPN_1

IOS_路由器_VPN_2

非个人使用存储介质

1.2.2安全设备操作系统

JOS_防火墙_WEB_1

123业务应用软件

124主机（存储）操作系统

125数据库管理系统

1.2.6访谈人员

岗位/职责

127安全管理文档

2测评方法

2.1现场测评方法

描述本次等级测评工作中采用的测评方法。

现场测评方法主要包括访谈、检查和测试等三类，可细分为人员访谈、文档审查、配置核查、现场观测和工具测试等。

如果采用工具测试，应给出工具接入示意图，并对测评工具的接入点和预期的测试路径进行描述。

2.2风险分析方法

本项目依据安全事件可能性和安全事件后果对信息系统面临的风险进行分析，

分析过程包括：

1）判断信息系统安全保护能力缺失（等级测评结果中的部分符合项和不符合项）被威胁利用导致安全事件发生的可能性，可能性的取值范围为高、中和低；

2）判断安全事件对信息系统业务信息安全和系统服务安全造成的影响程度，影响程度取值范围为高、中和低；

3）综合1）和2）的结果对信息系统面临的风险进行汇总和分等级，风险等级的取值范围为高、中和低；

4）结合信息系统的安全保护等级对风险分析结果进行评价，即对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的风险

等级测评内容

单元测评的内容及结果记录如下所示：

1物理安全

1.1结果记录

1.2问题分析

1.3单元测评结果

2网络安全

2.1结果记录

以表格形式分别给出不同测评对象的现场测评结果。

2.1.1IOS_路由器—内部_1

类别

测评内容

结果记录

符合情况

控

a）应在网络边界部署访

冋控制设备，启用访冋控制功能；

b）应能根据会话状态信

息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；

C）应对进出网络的信息

内容进行过滤，实现对应用层HTTPFTPTELNETSMTP

POP3等协议命令级的控制；

d）应在会话处于非活跃

一定时间或会话结束后终止网络连接；

e）应限制网络最大流量

数及网络连接数；

f）重要网段应米取技术

手段防止地址欺骗；

g）应按用户和系统之间

的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；

h）应限制具有拨号访问

权限的用户数量。

…

2.1.2IOS_路由器_VPN_1

22问题分析

汇总网络安全中存在的问题并加以分析，找出共性和危害严重的问题，如边界防火墙的管理口令为空。

2.3单元测评结果

针对网络设备的不同测评指标子类对单项测评结果进行汇总和统计可得单元测评结果。

单元测评结果的判定依据为：

如某对象的特定测评指标的全部测评项结果均为符合，则该单元的测评结果为符合；

如全部测评项结果均为不符合，则该单元的测评结果为不符合；

否则该单元测评结果为不符合。

表格中分数的分母表示单元测评包含的测评项数量，分子表示不符合项和部分符合项的数量之和；

斜线表明该指标子类不适用。

网络安全单元测评结果汇总表

序

号

名称

测评指标子类

网络结

构安全

网络访

问控制

网络安

全审计

边界完整

性检查

网络入

侵防范

恶意代

码防范

网络设

备防护

IOS_路由器_内部1

部分符合

4/7

符合

0/4

0/6

0/2

不符合

2/2

6/9

IOS_路由器

VPN1

3.2问题分析

3.3单元测评结果

4应用安全

4.1结果记录

4.2问题分析

4.3单元测评结果

5数据安全及备份恢复

5.1结果记录

5.2问题分析

5.3单元测评结果

6.2问题分析

6.3单元测评结果

7安全管理机构

7.1结果记录

7.2问题分析

7.3单元测评结果

8人员安全管理

8.1结果记录

8.2问题分析

8.3单元测评结果

9.2问题分析

9.3单元测评结果

10系统运维管理

10.1结果记录

10.2问题分析

10.3单元测评结果

11工具测试

11.1结果记录

依据测评工具的结果报告形成工具测试的结果。

11.2问题分析

汇总工具测试的结果，分析信息系统中存在的主要问题。

等级测评结果

1整体测评根据《基本要求》的要求，对这些问题进行系统整体测评分析，包括从安全控制间、层面间、区域间和系统结构等方面进行安全测评。

1.1安全控制间安全测评

1.2层面间安全测评

1.3区域间安全测评

1.4系统结构安全测评

2测评结果

对整体测评后的等级测评结果基于安全子类进行汇总，并以表格形式进行展示表格中使用不同颜色对测评结果进行区分，测评结果为部分符合的指标子类采黄色标识，不符合的指标子类采用红色标识，如表中“物理安全”中指标子类对应表格单元的颜色所示。

通过对信息系统基本安全保护状态的分析，给出等级测评结论（结论为达标、基本达标、不达标）。

物理位置的选择

防盗窃和防破坏

况情合符

合符

合符分K>

立口

合符不

全安构结

计审全安

4^1

完界边

范防侵入

主机安全

径

M路信

护自心信剩

应用安全

性整完信画

性密保信画

赖抵抗

合

展开阅读全文