等保測(cè)評(píng)報(bào)告

信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告模板項(xiàng)目名稱(chēng)：委托單位：測(cè)評(píng)單位：年月日?qǐng)?bào)告摘要一、測(cè)評(píng)工作概述概要描述被測(cè)信息系統(tǒng)的基本狀況（可參考信息系統(tǒng)安全等級(jí)保護(hù)備案表），涉及但不限于：系統(tǒng)的運(yùn)行使用單位、投入運(yùn)行時(shí)間、承載的業(yè)務(wù)狀況、系統(tǒng)服務(wù)狀況以及定級(jí)狀況。（見(jiàn)附件：信息系統(tǒng)安全等級(jí)保護(hù)備案表）描述等級(jí)測(cè)評(píng)工作的委托單位、測(cè)評(píng)單位和等級(jí)測(cè)評(píng)工作的開(kāi)展過(guò)程，涉及投入測(cè)評(píng)人員與設(shè)備狀況、完畢的具體工作內(nèi)容統(tǒng)計(jì)（涉及的測(cè)評(píng)分類(lèi)與項(xiàng)目數(shù)量，檢查的網(wǎng)絡(luò)互聯(lián)與安全設(shè)備、主機(jī)、應(yīng)用系統(tǒng)、管理文檔數(shù)量，訪(fǎng)談人員次數(shù)）。二、等級(jí)測(cè)評(píng)成果根據(jù)第4、5章的成果對(duì)等級(jí)測(cè)評(píng)成果進(jìn)行匯總統(tǒng)計(jì)（測(cè)評(píng)項(xiàng)符合狀況及比例、單元測(cè)評(píng)成果符合狀況比例以及整體測(cè)評(píng)成果）；通過(guò)對(duì)信息系統(tǒng)基本安全保護(hù)狀態(tài)的分析給出等級(jí)測(cè)評(píng)結(jié)論（結(jié)論為達(dá)標(biāo)、基本達(dá)標(biāo)、不達(dá)標(biāo)）。三、系統(tǒng)存在的重要問(wèn)題根據(jù)6.3章節(jié)的分析成果，列出被測(cè)信息系統(tǒng)中存在的重要問(wèn)題以及可能造成的后果（如，未布署DDos防御方法，易遭受DDos攻擊，造成系統(tǒng)無(wú)法提供正常服務(wù)）。四、系統(tǒng)安全建設(shè)、整治建議針對(duì)系統(tǒng)存在的重要問(wèn)題提出安全建設(shè)、整治建議，是對(duì)第七章內(nèi)容的提煉和簡(jiǎn)要描述。報(bào)告基本信息信息系統(tǒng)基本狀況系統(tǒng)名稱(chēng)安全保護(hù)等級(jí)機(jī)房位置中心機(jī)房災(zāi)備中心其它機(jī)房委托單位單位名稱(chēng)單位地址郵政編碼聯(lián)系人姓名職務(wù)/職稱(chēng)所屬部門(mén)辦公電話(huà)移動(dòng)電話(huà)電子郵件測(cè)評(píng)單位單位名稱(chēng)通信地址郵政編碼聯(lián)系人姓名職務(wù)/職稱(chēng)所屬部門(mén)辦公電話(huà)移動(dòng)電話(huà)電子郵件報(bào)告審核同意編制人日期審核人日期同意人日期聲明聲明是測(cè)評(píng)單位對(duì)于測(cè)評(píng)報(bào)告內(nèi)容以及用途等有關(guān)事項(xiàng)做出的商定性陳說(shuō)，包含但不限于下列內(nèi)容：本報(bào)告中給出的結(jié)論僅對(duì)目的系統(tǒng)的當(dāng)時(shí)狀況有效，當(dāng)測(cè)評(píng)工作完畢后系統(tǒng)出現(xiàn)任何變更，涉及到的模塊（或子系統(tǒng)）都應(yīng)重新進(jìn)行測(cè)評(píng)，本報(bào)告不再合用。本報(bào)告中給出的結(jié)論不能作為對(duì)系統(tǒng)內(nèi)有關(guān)產(chǎn)品的測(cè)評(píng)結(jié)論。本報(bào)告結(jié)論的有效性建立在顧客提供材料的真實(shí)性基礎(chǔ)上。在任何狀況下，若需引用本報(bào)告中的成果或數(shù)據(jù)都應(yīng)保持其原來(lái)的意義，不得私自進(jìn)行增加、修改、偽造或掩蓋事實(shí)。測(cè)評(píng)單位機(jī)構(gòu)名稱(chēng)年月報(bào)告目錄TOC\o"1-4"\h\z\uHYPERLINK1 測(cè)評(píng)項(xiàng)目概述 1HYPERLINK1.1 測(cè)評(píng)目的 1HYPERLINK1.2 測(cè)評(píng)根據(jù) 1HYPERLINK1.3 測(cè)評(píng)過(guò)程 1HYPERLINK1.4 報(bào)告分發(fā)范疇 2HYPERLINK2 被測(cè)系統(tǒng)狀況 3HYPERLINK2.1 基本信息 3HYPERLINK2.2 業(yè)務(wù)應(yīng)用 4HYPERLINK2.3 網(wǎng)絡(luò)構(gòu)造 4HYPERLINK2.4 系統(tǒng)構(gòu)成 4HYPERLINK2.4.1 業(yè)務(wù)應(yīng)用軟件 4HYPERLINK2.4.2 核心數(shù)據(jù)類(lèi)別 4HYPERLINK2.4.3 主機(jī)/存儲(chǔ)設(shè)備 5HYPERLINK2.4.4 網(wǎng)絡(luò)互聯(lián)與安全設(shè)備 5HYPERLINK2.4.5 安全有關(guān)人員 6HYPERLINK2.4.6 安全管理文檔 6HYPERLINK2.5 安全環(huán)境 6HYPERLINK3 等級(jí)測(cè)評(píng)范疇與辦法 7HYPERLINK3.1 測(cè)評(píng)指標(biāo) 7HYPERLINK3.1.1 基本指標(biāo) 7HYPERLINK3.1.2 附加指標(biāo) 9HYPERLINK3.2 測(cè)評(píng)對(duì)象 9HYPERLINK3.2.1 選擇辦法 9HYPERLINK3.2.2 選擇成果 10HYPERLINK3.3 測(cè)評(píng)辦法 11HYPERLINK3.3.1 現(xiàn)場(chǎng)測(cè)評(píng)辦法 11HYPERLINK3.3.2 風(fēng)險(xiǎn)分析辦法 11HYPERLINK4 等級(jí)測(cè)評(píng)內(nèi)容 12HYPERLINK4.1 物理安全 12HYPERLINK4.1.1 成果統(tǒng)計(jì) 12HYPERLINK4.1.2 問(wèn)題分析 12HYPERLINK4.1.3 單元測(cè)評(píng)成果 12HYPERLINK4.2 網(wǎng)絡(luò)安全 12HYPERLINK4.2.1 成果統(tǒng)計(jì) 12HYPERLINK4.2.2 問(wèn)題分析 14HYPERLINK4.2.3 單元測(cè)評(píng)成果 14HYPERLINK4.3 主機(jī)安全 14HYPERLINK4.3.1 成果統(tǒng)計(jì) 14HYPERLINK4.3.2 問(wèn)題分析 15HYPERLINK4.3.3 單元測(cè)評(píng)成果 15HYPERLINK4.4 應(yīng)用安全 15HYPERLINK4.4.1 成果統(tǒng)計(jì) 15HYPERLINK4.4.2 問(wèn)題分析 15HYPERLINK4.4.3 單元測(cè)評(píng)成果 15HYPERLINK4.5 數(shù)據(jù)安全及備份恢復(fù) 15HYPERLINK4.5.1 成果統(tǒng)計(jì) 15HYPERLINK4.5.2 問(wèn)題分析 15HYPERLINK4.5.3 單元測(cè)評(píng)成果 15HYPERLINK4.6 安全管理制度 15HYPERLINK4.6.1 成果統(tǒng)計(jì) 15HYPERLINK4.6.2 問(wèn)題分析 16HYPERLINK4.6.3 單元測(cè)評(píng)成果 16HYPERLINK4.7 安全管理機(jī)構(gòu) 16HYPERLINK4.7.1 成果統(tǒng)計(jì) 16HYPERLINK4.7.2 問(wèn)題分析 16HYPERLINK4.7.3 單元測(cè)評(píng)成果 16HYPERLINK4.8 人員安全管理 16HYPERLINK4.8.1 成果統(tǒng)計(jì) 16HYPERLINK4.8.2 問(wèn)題分析 16HYPERLINK4.8.3 單元測(cè)評(píng)成果 16HYPERLINK4.9 系統(tǒng)建設(shè)管理 16HYPERLINK4.9.1 成果統(tǒng)計(jì) 16HYPERLINK4.9.2 問(wèn)題分析 17HYPERLINK4.9.3 單元測(cè)評(píng)成果 17HYPERLINK4.10 系統(tǒng)運(yùn)維管理 17HYPERLINK4.10.1 成果統(tǒng)計(jì) 17HYPERLINK4.10.2 問(wèn)題分析 17HYPERLINK4.10.3 單元測(cè)評(píng)成果 17HYPERLINK4.11 工具測(cè)試 17HYPERLINK4.11.1 成果統(tǒng)計(jì) 17HYPERLINK4.11.2 問(wèn)題分析 17HYPERLINK5 等級(jí)測(cè)評(píng)成果 17HYPERLINK5.1 整體測(cè)評(píng) 17HYPERLINK5.1.1 安全控制間安全測(cè)評(píng) 17HYPERLINK5.1.2 層面間安全測(cè)評(píng) 18HYPERLINK5.1.3 區(qū)域間安全測(cè)評(píng) 18HYPERLINK5.1.4 系統(tǒng)構(gòu)造安全測(cè)評(píng) 18HYPERLINK5.2 測(cè)評(píng)成果 18HYPERLINK5.3 統(tǒng)計(jì)圖表 22HYPERLINK6 風(fēng)險(xiǎn)分析和評(píng)價(jià) 22HYPERLINK6.1 安全事件可能性分析 22HYPERLINK6.2 安全事件后果分析 23HYPERLINK6.3 風(fēng)險(xiǎn)分析和評(píng)價(jià) 23HYPERLINK7 系統(tǒng)安全建設(shè)、整治建議 25HYPERLINK7.1 物理安全 25HYPERLINK7.2 網(wǎng)絡(luò)安全 25HYPERLINK7.3 主機(jī)安全 25HYPERLINK7.4 應(yīng)用安全 25HYPERLINK7.5 數(shù)據(jù)安全及備份恢復(fù) 25HYPERLINK7.6 安全管理制度 25HYPERLINK7.7 安全管理機(jī)構(gòu) 25HYPERLINK7.8 人員安全管理 25HYPERLINK7.9 系統(tǒng)建設(shè)管理 26HYPERLINK7.10 系統(tǒng)運(yùn)維管理 26附：信息系統(tǒng)安全等級(jí)保護(hù)備案表測(cè)評(píng)項(xiàng)目概述測(cè)評(píng)目的描述信息系統(tǒng)的重要性：通過(guò)描述信息系統(tǒng)的基本狀況，涉及運(yùn)行使用單位的性質(zhì)，承載的重要業(yè)務(wù)和系統(tǒng)服務(wù)狀況，進(jìn)一步闡明其在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，受到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其它組織的正當(dāng)權(quán)益的危害程度等。描述等級(jí)測(cè)評(píng)工作的基本狀況，涉及委托單位、測(cè)評(píng)單位、測(cè)評(píng)范疇及預(yù)期（如，通過(guò)等級(jí)測(cè)評(píng)找出與國(guó)標(biāo)規(guī)定之間的差距）。描述測(cè)評(píng)報(bào)告的用途（如，作為后續(xù)安全整治的根據(jù)）。測(cè)評(píng)根據(jù)開(kāi)展測(cè)評(píng)活動(dòng)所根據(jù)的合同、原則和文獻(xiàn)：《信息安全等級(jí)保護(hù)管理方法》（公通字[]43號(hào)）《有關(guān)加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)定工作的告知》（發(fā)改高技[]2071號(hào)）針對(duì)針對(duì)“國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目”有效GB/T22239-信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本規(guī)定GB/T20984-信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)定規(guī)范《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)規(guī)定》（國(guó)標(biāo)報(bào)批稿）被測(cè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告等級(jí)測(cè)評(píng)任務(wù)書(shū)/測(cè)評(píng)合同等測(cè)評(píng)過(guò)程描述本次等級(jí)測(cè)評(píng)的工作流程（可參考《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》），具體內(nèi)容涉及但不限于：測(cè)評(píng)工作流程圖各階段完畢的核心任務(wù)工作的時(shí)間節(jié)點(diǎn)報(bào)告分發(fā)范疇根據(jù)項(xiàng)目需求，明確應(yīng)交付等級(jí)測(cè)評(píng)報(bào)告的數(shù)量與分發(fā)范疇（如本報(bào)告一式三份，一份提交測(cè)評(píng)委托單位、一份提交受理備案的公安機(jī)關(guān)、一份由測(cè)評(píng)單位留存）。被測(cè)系統(tǒng)狀況基本信息系統(tǒng)名稱(chēng)本報(bào)告模板針對(duì)作為單一定級(jí)對(duì)象的信息系統(tǒng)制訂。主管機(jī)構(gòu)系統(tǒng)承載業(yè)務(wù)狀況業(yè)務(wù)類(lèi)型?1生產(chǎn)作業(yè)?2指揮調(diào)度?3管理控制?4內(nèi)部辦公?5公眾服務(wù)?9其它業(yè)務(wù)描述系統(tǒng)服務(wù)狀況服務(wù)范疇?10全國(guó)?11跨?。▍^(qū)、市）跨個(gè)?20全省（區(qū)、市）?21跨地（市、區(qū)）跨個(gè)?30地（市、區(qū)）內(nèi)?99其它服務(wù)對(duì)象?1單位內(nèi)部人員?2社會(huì)公眾人員?3兩者均涉及?9其它系統(tǒng)網(wǎng)絡(luò)平臺(tái)覆蓋范疇?1局域網(wǎng)?2城域網(wǎng)?3廣域網(wǎng)?9其它網(wǎng)絡(luò)性質(zhì)?1業(yè)務(wù)專(zhuān)網(wǎng)?2互聯(lián)網(wǎng)?9其它系統(tǒng)互聯(lián)狀況?1與其它行業(yè)系統(tǒng)連接?2與本行業(yè)其它單位系統(tǒng)連接?3與本單位其它系統(tǒng)連接?9其它業(yè)務(wù)信息安全保護(hù)等級(jí)系統(tǒng)服務(wù)安全保護(hù)等級(jí)信息系統(tǒng)安全保護(hù)等級(jí)業(yè)務(wù)應(yīng)用描述信息系統(tǒng)承載的業(yè)務(wù)應(yīng)用狀況。網(wǎng)絡(luò)構(gòu)造給出被測(cè)信息系統(tǒng)的拓?fù)錁?gòu)造示意圖，并基于示意圖闡明被測(cè)信息系統(tǒng)的網(wǎng)絡(luò)構(gòu)造基本狀況，涉及但不限于：功效/安全區(qū)域劃分、隔離與防護(hù)狀況核心網(wǎng)絡(luò)和主機(jī)設(shè)備的布署狀況和功效介紹與其它信息系統(tǒng)的互聯(lián)狀況和邊界設(shè)備本地備份和災(zāi)備中心的狀況系統(tǒng)構(gòu)成以列表的形式分類(lèi)描述信息系統(tǒng)的軟、硬件構(gòu)成狀況。業(yè)務(wù)應(yīng)用軟件以列表的形式給出被測(cè)信息系統(tǒng)中的業(yè)務(wù)應(yīng)用軟件（涉及含中間件等應(yīng)用平臺(tái)軟件），描述項(xiàng)目涉及軟件名稱(chēng)、重要功效介紹和重要程度。序號(hào)軟件名稱(chēng)重要功效重要程度…………核心數(shù)據(jù)類(lèi)別序號(hào)數(shù)據(jù)類(lèi)型所屬業(yè)務(wù)應(yīng)用主機(jī)/存儲(chǔ)設(shè)備重要程度…………主機(jī)/存儲(chǔ)設(shè)備以列表形式給出被測(cè)信息系統(tǒng)中的主機(jī)設(shè)備（包含操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)軟件），描述項(xiàng)目涉及設(shè)備名稱(chēng)、操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)以及承載的業(yè)務(wù)應(yīng)用軟件系統(tǒng)。序號(hào)設(shè)備名稱(chēng)操作系統(tǒng)/數(shù)據(jù)庫(kù)管理系統(tǒng)業(yè)務(wù)應(yīng)用軟件………網(wǎng)絡(luò)互聯(lián)與安全設(shè)備以列表形式給出被測(cè)信息系統(tǒng)中的網(wǎng)絡(luò)互聯(lián)及安全設(shè)備。設(shè)備名稱(chēng)應(yīng)確保在被測(cè)信息系統(tǒng)范疇內(nèi)的唯一性，建議采用類(lèi)別-用途/功效/型號(hào)-編號(hào)（可選）的三段命名方式。序號(hào)設(shè)備名稱(chēng)用途重要程度1路由器_內(nèi)部_1內(nèi)部邊界路由重要2路由器_VPN_1遠(yuǎn)程管理維護(hù)重要3路由器_VPN_2遠(yuǎn)程管理維護(hù)重要4防火墻_WEB_1Web區(qū)之間訪(fǎng)問(wèn)控制重要…………安全有關(guān)人員以列表形式給出與被測(cè)信息系統(tǒng)安全有關(guān)的人員，描述項(xiàng)目涉及姓名、崗位/角色和聯(lián)系方式。人員涉及但不限于安全主管、系統(tǒng)建設(shè)負(fù)責(zé)人、系統(tǒng)運(yùn)維負(fù)責(zé)人、網(wǎng)絡(luò)（安全）管理員、主機(jī)（安全）管理員、數(shù)據(jù)庫(kù)（安全）管理員、應(yīng)用（安全）管理員、機(jī)房管理人員、資產(chǎn)管理員、業(yè)務(wù)操作員、安全審計(jì)人員等。序號(hào)姓名崗位/角色聯(lián)系方式…………安全管理文檔與信息系統(tǒng)安全有關(guān)的文檔，涉及：管理類(lèi)文檔，如機(jī)構(gòu)總體安全方針和政策方面的管理制度、、人員安全教育和培訓(xùn)方面的管理制度、第三方人員訪(fǎng)問(wèn)控制方面的管理制度、機(jī)房安全管理方面的管理制度等；統(tǒng)計(jì)類(lèi)文檔，如設(shè)備運(yùn)行維護(hù)統(tǒng)計(jì)、會(huì)議統(tǒng)計(jì)等；其它類(lèi)文檔，如專(zhuān)家評(píng)審意見(jiàn)等。序號(hào)文檔名稱(chēng)重要內(nèi)容………安全環(huán)境描述被測(cè)信息系統(tǒng)的運(yùn)行環(huán)境中與安全有關(guān)的部分：如數(shù)據(jù)中心位于運(yùn)行服務(wù)商機(jī)房中、網(wǎng)絡(luò)存在互聯(lián)網(wǎng)連接、網(wǎng)絡(luò)中布署無(wú)線(xiàn)接入點(diǎn)以及支持遠(yuǎn)程撥號(hào)訪(fǎng)問(wèn)顧客等。以列表形式給出被測(cè)信息系統(tǒng)的威脅列表，并基于歷史統(tǒng)計(jì)或者行業(yè)判斷進(jìn)行威脅賦值，具體內(nèi)容可參考《風(fēng)險(xiǎn)評(píng)定規(guī)范》。序號(hào)威脅分(子)類(lèi)描述威脅賦值1網(wǎng)絡(luò)攻擊運(yùn)用工具和技術(shù)通過(guò)網(wǎng)絡(luò)對(duì)信息系統(tǒng)進(jìn)行攻擊和入侵高………等級(jí)測(cè)評(píng)范疇與辦法測(cè)評(píng)指標(biāo)測(cè)評(píng)指標(biāo)涉及基本指標(biāo)和附加指標(biāo)兩部分，以列表的形式給出。根據(jù)定級(jí)成果選擇《基本規(guī)定》中對(duì)應(yīng)級(jí)別的安全規(guī)定作為等級(jí)測(cè)評(píng)的基本指標(biāo)；基本指標(biāo)基本指標(biāo)（物理和網(wǎng)絡(luò)子類(lèi)）的例子以下所示：分類(lèi)子類(lèi)基本規(guī)定測(cè)評(píng)項(xiàng)數(shù)測(cè)評(píng)項(xiàng)數(shù)量隨信息系統(tǒng)的安全保護(hù)等級(jí)不同而變化物理安全物理位置的選擇測(cè)評(píng)物理機(jī)房所在的外部環(huán)境安全性。2物理訪(fǎng)問(wèn)控制測(cè)評(píng)進(jìn)出機(jī)房的審批控制手段以及機(jī)房出入口的安全控制狀況。4防盜竊和防破壞測(cè)評(píng)機(jī)房?jī)?nèi)設(shè)備和通信線(xiàn)纜的安全性以及監(jiān)控報(bào)警系統(tǒng)建設(shè)狀況。6防雷擊測(cè)評(píng)建筑防雷和防感應(yīng)雷的建設(shè)狀況。3防火測(cè)評(píng)自動(dòng)監(jiān)控防火系統(tǒng)設(shè)立狀況以及機(jī)房材料防火狀況。3防水和防潮測(cè)評(píng)機(jī)房?jī)?nèi)水管設(shè)立狀況、避免結(jié)露所采用的方法以及監(jiān)控報(bào)警系統(tǒng)建設(shè)狀況。4防靜電測(cè)評(píng)機(jī)房防靜電所采用的方法。3溫濕度控制測(cè)評(píng)機(jī)房溫濕度控制方法1電力供應(yīng)測(cè)評(píng)電力線(xiàn)路、備用電源以及發(fā)電機(jī)的配備狀況。4電磁防護(hù)測(cè)評(píng)線(xiàn)纜電磁防護(hù)手段和設(shè)備電磁防護(hù)手段。3網(wǎng)絡(luò)安全構(gòu)造安全重要核查：重要網(wǎng)絡(luò)設(shè)備的解決能力、業(yè)務(wù)高峰期需求帶寬、路由控制、網(wǎng)絡(luò)拓?fù)錁?gòu)造圖與否一致、子網(wǎng)劃分、技術(shù)隔離手段和帶寬分派方略。7訪(fǎng)問(wèn)控制重要核查：訪(fǎng)問(wèn)控制功效、合同深層檢測(cè)、網(wǎng)絡(luò)連接超時(shí)、流量限制和并發(fā)連接數(shù)限制等等。4安全審計(jì)重要核查：網(wǎng)絡(luò)設(shè)備日志收集、分析和統(tǒng)計(jì)以及保護(hù)等等。6邊界完整性檢查重要核查：與否能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查并精擬定位和阻斷；與否能夠?qū)?nèi)部網(wǎng)絡(luò)顧客私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查并精擬定位和阻斷。2入侵防備重要核查：布署IDS系統(tǒng)以及使用狀況。2惡意代碼防備重要核查：與否有完整的防病毒體系以及代碼庫(kù)的升級(jí)狀況。2網(wǎng)絡(luò)設(shè)備防護(hù)重要核查：顧客身份鑒別、管理員登錄地址限制、顧客標(biāo)記唯一性、組合鑒別技術(shù)、口令方略、登錄方略、遠(yuǎn)程管理和權(quán)限分離。9附加指標(biāo)參考基本指標(biāo)的表述模式以列表形式給出附加指標(biāo)。附加指標(biāo)涉及但不限于：行業(yè)原則/規(guī)范的具體指標(biāo)主管部門(mén)的規(guī)定的具體指標(biāo)信息系統(tǒng)的運(yùn)行、使用單位基于特定安全環(huán)境或者業(yè)務(wù)應(yīng)用提出的具體指標(biāo)分類(lèi)子類(lèi)附加規(guī)定測(cè)評(píng)項(xiàng)數(shù)測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象選擇辦法描述本次等級(jí)測(cè)評(píng)中采用的測(cè)評(píng)對(duì)象選擇辦法和具體規(guī)則，普通采用抽查的辦法，兼顧類(lèi)別與數(shù)量。測(cè)評(píng)對(duì)象涉及網(wǎng)絡(luò)互聯(lián)與安全設(shè)備操作系統(tǒng)、業(yè)務(wù)應(yīng)用軟件、主機(jī)操作系統(tǒng)、存儲(chǔ)設(shè)備操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、安全有關(guān)人員、機(jī)房、介質(zhì)以及管理文檔。選擇過(guò)程中應(yīng)綜合考慮信息系統(tǒng)的安全保護(hù)等級(jí)、業(yè)務(wù)應(yīng)用特點(diǎn)和對(duì)象所在具體設(shè)備的重要狀況等要素，并兼顧工作投入與成果產(chǎn)出兩者的平衡關(guān)系。其中，主機(jī)設(shè)備的重要程度由其承載的業(yè)務(wù)應(yīng)用和業(yè)務(wù)數(shù)據(jù)的重要程度決定；機(jī)房、介質(zhì)非個(gè)人使用存儲(chǔ)介質(zhì)非個(gè)人使用存儲(chǔ)介質(zhì)具體辦法和規(guī)則可參考《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》。測(cè)評(píng)對(duì)象選擇成果網(wǎng)絡(luò)互聯(lián)設(shè)備操作系統(tǒng)序號(hào)操作系統(tǒng)名稱(chēng)設(shè)備名稱(chēng)1IOS_路由器_內(nèi)部_1路由器_內(nèi)部_12IOS_路由器_VPN_1路由器_VPN_13IOS_路由器_VPN_2路由器_VPN_2………安全設(shè)備操作系統(tǒng)序號(hào)操作系統(tǒng)名稱(chēng)設(shè)備名稱(chēng)1JOS_防火墻_WEB_1防火墻_WEB_1………業(yè)務(wù)應(yīng)用軟件序號(hào)軟件名稱(chēng)重要功效………主機(jī)（存儲(chǔ)）操作系統(tǒng)序號(hào)設(shè)備名稱(chēng)操作系統(tǒng)/數(shù)據(jù)庫(kù)管理系統(tǒng)………數(shù)據(jù)庫(kù)管理系統(tǒng)序號(hào)設(shè)備名稱(chēng)操作系統(tǒng)/數(shù)據(jù)庫(kù)管理系統(tǒng)………訪(fǎng)談人員序號(hào)姓名崗位/職責(zé)………安全管理文檔序號(hào)文檔名稱(chēng)重要內(nèi)容………測(cè)評(píng)辦法現(xiàn)場(chǎng)測(cè)評(píng)辦法描述本次等級(jí)測(cè)評(píng)工作中采用的測(cè)評(píng)辦法?，F(xiàn)場(chǎng)測(cè)評(píng)辦法重要涉及訪(fǎng)談、檢查和測(cè)試等三類(lèi)，可細(xì)分為人員訪(fǎng)談、文檔審查、配備核查、現(xiàn)場(chǎng)觀察和工具測(cè)試等。如果采用工具測(cè)試，應(yīng)給出工具接入示意圖，并對(duì)測(cè)評(píng)工具的接入點(diǎn)和預(yù)期的測(cè)試途徑進(jìn)行描述。風(fēng)險(xiǎn)分析辦法本項(xiàng)目根據(jù)安全事件可能性和安全事件后果對(duì)信息系統(tǒng)面臨的風(fēng)險(xiǎn)進(jìn)行分析，分析過(guò)程涉及：1）判斷信息系統(tǒng)安全保護(hù)能力缺失（等級(jí)測(cè)評(píng)成果中的部分符合項(xiàng)和不符合項(xiàng)）被威脅運(yùn)用造成安全事件發(fā)生的可能性，可能性的取值范疇為高、中和低；2）判斷安全事件對(duì)信息系統(tǒng)業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全造成的影響程度，影響程度取值范疇為高、中和低；3）綜合1）和2）的成果對(duì)信息系統(tǒng)面臨的風(fēng)險(xiǎn)進(jìn)行匯總和分等級(jí)，風(fēng)險(xiǎn)等級(jí)的取值范疇為高、中和低；4）結(jié)合信息系統(tǒng)的安全保護(hù)等級(jí)對(duì)風(fēng)險(xiǎn)分析成果進(jìn)行評(píng)價(jià)，即對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其它組織的正當(dāng)權(quán)益造成的風(fēng)險(xiǎn)。等級(jí)測(cè)評(píng)內(nèi)容單元測(cè)評(píng)的內(nèi)容及成果統(tǒng)計(jì)以下所示：物理安全成果統(tǒng)計(jì)問(wèn)題分析單元測(cè)評(píng)成果網(wǎng)絡(luò)安全成果統(tǒng)計(jì)以表格形式分別給出不同測(cè)評(píng)對(duì)象的現(xiàn)場(chǎng)測(cè)評(píng)成果。IOS_路由器_內(nèi)部_1類(lèi)別測(cè)評(píng)內(nèi)容成果統(tǒng)計(jì)符合狀況網(wǎng)絡(luò)訪(fǎng)問(wèn)控制a)??應(yīng)在網(wǎng)絡(luò)邊界布署訪(fǎng)問(wèn)控制設(shè)備，啟用訪(fǎng)問(wèn)控制功效；b)??應(yīng)能根據(jù)會(huì)話(huà)狀態(tài)信息為數(shù)據(jù)流提供明確的允許/回絕訪(fǎng)問(wèn)的能力，控制粒度為端口級(jí)；c)??應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等合同命令級(jí)的控制；d)??應(yīng)在會(huì)話(huà)處在非活躍一定時(shí)間或會(huì)話(huà)結(jié)束后終止網(wǎng)絡(luò)連接；e)??應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；f)??重要網(wǎng)段應(yīng)采用技術(shù)手段避免地址欺騙；g)??應(yīng)按顧客和系統(tǒng)之間的允許訪(fǎng)問(wèn)規(guī)則，決定允許或回絕顧客對(duì)受控系統(tǒng)進(jìn)行資源訪(fǎng)問(wèn)，控制粒度為單個(gè)顧客；h)??應(yīng)限制含有撥號(hào)訪(fǎng)問(wèn)權(quán)限的顧客數(shù)量。…………IOS_路由器_VPN_1…問(wèn)題分析匯總網(wǎng)絡(luò)安全中存在的問(wèn)題并加以分析，找出共性和危害嚴(yán)重的問(wèn)題，如邊界防火墻的管理口令為空。單元測(cè)評(píng)成果針對(duì)網(wǎng)絡(luò)設(shè)備的不同測(cè)評(píng)指標(biāo)子類(lèi)對(duì)單項(xiàng)測(cè)評(píng)成果進(jìn)行匯總和統(tǒng)計(jì)可得單元測(cè)評(píng)成果。單元測(cè)評(píng)成果的鑒定根據(jù)為：如某對(duì)象的特定測(cè)評(píng)指標(biāo)的全部測(cè)評(píng)項(xiàng)成果均為符合，則該單元的測(cè)評(píng)成果為符合；如全部測(cè)評(píng)項(xiàng)成果均為不符合，則該單元的測(cè)評(píng)成果為不符合；否則該單元測(cè)評(píng)成果為不符合。表格中分?jǐn)?shù)的分母表達(dá)單元測(cè)評(píng)包含的測(cè)評(píng)項(xiàng)數(shù)量，分子表達(dá)不符合項(xiàng)和部分符合項(xiàng)的數(shù)量之和；斜線(xiàn)表明該指標(biāo)子類(lèi)不合用。網(wǎng)絡(luò)安全單元測(cè)評(píng)成果匯總表序號(hào)名稱(chēng)測(cè)評(píng)指標(biāo)子類(lèi)網(wǎng)絡(luò)構(gòu)造安全網(wǎng)絡(luò)訪(fǎng)問(wèn)控制網(wǎng)絡(luò)安全審計(jì)邊界完整性檢查網(wǎng)絡(luò)入侵防備惡意代碼防備網(wǎng)絡(luò)設(shè)備防護(hù)1IOS_路由器_內(nèi)部_1部分符合4/7符合0/4符合0/6符合0/2不符合2/2不符合2/2部分符合6/92IOS_路由器_VPN_13…456主機(jī)安全成果統(tǒng)計(jì)問(wèn)題分析單元測(cè)評(píng)成果應(yīng)用安全成果統(tǒng)計(jì)問(wèn)題分析單元測(cè)評(píng)成果數(shù)據(jù)安全及備份恢復(fù)成果統(tǒng)計(jì)問(wèn)題分析單元測(cè)評(píng)成果安全管理制度成果統(tǒng)計(jì)問(wèn)題分析單元測(cè)評(píng)成果安全管理機(jī)構(gòu)成果統(tǒng)計(jì)問(wèn)題分析單元測(cè)評(píng)成果人員安全管理成果統(tǒng)計(jì)問(wèn)題分析單元測(cè)評(píng)成果系統(tǒng)建設(shè)管理成果統(tǒng)計(jì)問(wèn)題分析單元測(cè)評(píng)成果系統(tǒng)運(yùn)維管理成果統(tǒng)計(jì)問(wèn)題分析單元測(cè)評(píng)成果工具測(cè)試成果統(tǒng)計(jì)根據(jù)測(cè)評(píng)工具的成果報(bào)告形成工具測(cè)試的成果。問(wèn)題分析匯總工具測(cè)試的成果，分析信息系統(tǒng)中存在的重要問(wèn)題。等級(jí)測(cè)評(píng)成果整體測(cè)評(píng)根據(jù)《基本規(guī)定》的規(guī)定，對(duì)這些問(wèn)題進(jìn)行系統(tǒng)整體測(cè)評(píng)分析，涉及從安全控制間、層面間、區(qū)域間和系統(tǒng)構(gòu)造等方面進(jìn)行安全測(cè)評(píng)。安全控制間安全測(cè)評(píng)層面間安全測(cè)評(píng)區(qū)域間安全測(cè)評(píng)系統(tǒng)構(gòu)造安全測(cè)評(píng)測(cè)評(píng)成果對(duì)整體測(cè)評(píng)后的等級(jí)測(cè)評(píng)成果基于安全子類(lèi)進(jìn)行匯總，并以表格形式進(jìn)行展示。表格中使用不同顏色對(duì)測(cè)評(píng)成果進(jìn)行分辨，測(cè)評(píng)成果為部分符合的指標(biāo)子類(lèi)采黃色標(biāo)記，不符合的指標(biāo)子類(lèi)采用紅色標(biāo)記，如表中“物理安全”中指標(biāo)子類(lèi)對(duì)應(yīng)表格單元的顏色所示。通過(guò)對(duì)信息系統(tǒng)基本安全保護(hù)狀態(tài)的分析，給出等級(jí)測(cè)評(píng)結(jié)論（結(jié)論為達(dá)標(biāo)、基本達(dá)標(biāo)、不達(dá)標(biāo)）。序號(hào)分類(lèi)子類(lèi)符合狀況符合部分符合不符合1物理安全物理位置的選擇?2物理訪(fǎng)問(wèn)控制?3防盜竊和防破壞?4防雷擊?5防火?6防水和防潮?7防靜電?8溫濕度控制?9電力供應(yīng)?10電磁防護(hù)