XX系统网络安全等级测评服务报告模板Word格式.docx

1、xxx市xxx公司机构代码广州市xxx路xxx大厦xxx室袁xxx高级安全工程师网络安全顾问部135xxxxyxxxxxx审核批准编制人（签字）编制日期审核人审核日期批准人批准日期声明【填写说明：声明是测评机构对测评报告的有效性前提、测评结论的适用范围以及使用方式等有关事项的陈述。针对特殊情况下的测评工作，测评机构可在以下建议内容的基础上增加特殊声明。】本报告是被测对象名称的等级测评报告。本报告是对被测对象名称的整体安全性进行检测分析，针对等级测评过程中发现的安全问题，结合风险分析，提出合理化建议。本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。本报告中给出的测评结论仅对被

2、测对象当时的安全状态有效。当测评工作完成后，由于被测对象发生变更而涉及到的系统构成组件（或子系统）都应重新进行等级测评，本报告不再适用。本报告中给出的测评结论不能作为对被测对象内部部署的相关系统构成组件（或产品）的测评结论。在任何情况下，若需引用本报告中的测评结果或结论都应保持其原有的意义，不得对相关内容擅自进行增加、修改和伪造或掩盖事实。单位名称（加盖单位公章） 年 月 日等级测评结论此表描述等级保护对象及等级测评活动中的一般属性。包括被测对 象名称、安全保护等级、被测对象描述、测评工作描述、等级测评结论及综合得 分。如被测对象为云计算（包括平台/系统）或大数据（包括平台/应用/资源），则需

3、要增加云计算安全扩展表或大数据安全扩展表。测评结论和综合得分XXXX 系统等级保护对象形态传统IT系统 云计算 采用移动互联技术的系统物联网 工业控制系统 大数据 其他系统被测对象描述简要描述被测对象承载的业务功能等基本情况，以及被测对象安全技术情况和安全管理情况。建议不超过 400 字】测评工作描述简要描述测评机构、测评时间、测评过程等，并在等级测评结论处加盖测评机构单位公章。建议不超过 400 字。综合得分等级测评结论扩展表（云计算安全）此表描述与云计算（包括平台/系统）相关的扩展信息。云计算形态用于明确被测对象为云计算平台还是云服务客户业务应用系统，此处为单选。运维所在地用于明确云计算服

4、务的后台技术管理者所在位置，方便公安机关监管。云服务模式用于明确被测对象所采用的服务模式，此处为单选。注意，一个云计算平台可能有多种服务模式，每种服务模式单独构成一个定级系统，对应一份定级报告及一份等级测评报告。云计算服务安全能力评价用于评价当前服务模式下云计算平台为云服务客户提供的服务的安全能力。云计算平台可能有多种服务模式，每种服务模式下会提供不同的服务，此处应只填写被测对象当前服务模式下 提供的服务列表。云计算安全等级测评结论扩展表云计算形态云计算平台云服务客户业务应用系统（平台报告编号： ）此项为云服务客户业务应用系统测评时填写，填写内容为该 云服务客户业务应用系统在当前服务模式下所使

5、用的云计算平台的测评 报告编号。对于云计算平台的测评，此项填“N/A”】运维所在地云服务模式 IaaS PaaS SaaS云计算服务安 全能力评价云计算平台服务列表（以 IaaS 服务模式为例）符合性评价虚拟主机服务虚拟网络隔离服务虚拟防火墙服务虚拟主机入侵检测服务云服务客户系统安全审计服务云服务客户系统防恶意代码服务KMS 密钥管理服务抗 DDoS 流量清洗服务等级测评结论扩展表（大数据安全）此表描述与大数据安全相关的扩展信息。大数据形态用于明确被测对象范围，被测对象的大数据形态是否包括大数据平台、大数据应用或大数据资源，此处为多选。如被测对象含大数据平台，则大数据平台服务安全能力评价部 分

6、应由测评机构给出评价结论；如被测对象不含大数据平台，则评价由大数据平台提供方出具该平台的测评结论，供测评机构引用。大数据安全等级测评结论扩展表大数据形态大数据平台大数据应用（平台报告编号： ）大数据资源（平台报告编号：当大数据资源或大数据应用采用大数据平台提供方提供平台 支撑时，平台报告编号为该大数据平台的等级测评报告编号。部署模式公共大数据服务私有大数据服务大数据平台服务安全能力评价大数据平台服务列表静态脱敏和去标识化服务数据隔离服务数据加解密及密钥管理服务基于安全标记的访问控制服务数据分类分级的标识服务数据溯源服务总体评价根据被测对象测评结果和测评过程中了解的相关信息，对被测对象的安全保护

7、状况进行说明和评价，基于综合评价结果对安全保护状况给出总括性结论。Ylr示例：一、测评工作概述由XXOO保险有限公司主管的财务系统属于等级保护三级系统。财务系统主要应用于财务帐务结算处理。本次测评主要依据GB/T-22239信息系统安全等级保护基本要求、信息系统安全等级保护测评准则进行测评。二、等级测评结果XXOO保险有限公司主管的财务系统的基本符合项和不符合项总数较少，但其中存在的不符合项有可能会导致信息系统面临高等级安全风险，建议按照提出的安全整改建议进行整改，以完全达到国家信息系统网络安全等级保护三级要求。主要安全问题及整改建议描述被测对象存在的主要安全问题，以及对主要安全问题提出针对性

8、的整改建议。一、系统存在的主要问题该系统在网络层有审计日志，服务器区未设置防火墙等防护设备，缺少对服务器的有效防护。在管理方面系统建设时没有请公正的第三方进行软件安全性方面的测试。二、系统安全建设、整改建议建议部署专门的帐号集中管理与审计系统；建议在服务器区部署专门的建立安全访问路径的网络设备；建议部署数据库及业务应用安全监控审计系统对数据库及业务进行有效的保护；建议数据库服务器与应用服务器进行分离。系统建设管理方面建议请公正的第三方进行软件安全方面的测试，并形成测试报告。网络安全等级测评基本信息表 I声明 II等级测评结论 III等级测评结论扩展表（云计算安全） IV等级测评结论扩展表（大数

9、据安全） V总体评价 VI主要安全问题及整改建议 VII目录 VIII正文表格索引 XI附录表格索引 XII插图索引 XIV1. 测评项目概述 11.1 测评目的 11.2 测评依据 11.3 测评过程 11.4 报告分发范围 52. 被测对象描述 52.1 被测对象概述 52.1.1 定级结果 52.1.2 业务和采用的技术 62.1.3 网络结构 62.2 测评指标 72.2.1 安全通用要求指标 72.2.2 安全扩展要求指标 72.2.3 其他安全要求指标 82.2.4 不适用安全要求指标 82.3 测评对象 92.3.1 测评对象选择方法 92.3.2 测评对象选择结果 93. 单项

10、测评结果分析 123.1 安全物理环境 133.1.1 已有安全控制措施汇总分析 133.1.2 主要安全问题汇总分析 133.2 安全通信网络 133.2.1 已有安全控制措施汇总分析 133.2.2 主要安全问题汇总分析 133.3 安全区域边界 143.3.1 已有安全控制措施汇总分析 143.3.2 主要安全问题汇总分析 143.4 安全计算环境 143.4.1 网络设备和安全设备 143.4.2 服务器和终端 153.4.3 应用和数据 153.4.4 其他系统和设备 163.5 安全管理中心 173.5.1 已有安全控制措施汇总分析 173.5.2 主要安全问题汇总分析 173.6

11、 安全管理制度 173.6.1 已有安全控制措施汇总分析 173.6.2 主要安全问题汇总分析 173.7 安全管理机构 183.7.1 已有安全控制措施汇总分析 183.7.2 主要安全问题汇总分析 183.8 安全管理人员 183.8.1 已有安全控制措施汇总分析 183.8.2 主要安全问题汇总分析 183.9 安全建设管理 193.9.1 已有安全控制措施汇总分析 193.9.2 主要安全问题汇总分析 193.10 安全运维管理 193.10.1 已有安全控制措施汇总分析 193.10.2 主要安全问题汇总分析 193.11 其他安全要求指标 203.11.1 已有安全控制措施汇总分析

12、 203.11.2 主要安全问题汇总分析 203.12 验证测试 203.12.1 漏洞扫描 213.12.2 渗透测试 223.12.3 其他测试验证问题汇总 223.13 单项测评小结 223.13.1 控制点符合情况汇总 223.13.2 安全问题汇总 244. 整体测评结果分析 244.1 安全控制点间安全测评 244.2 区域间/层面间安全测评 244.3 整体测评结果汇总 255. 安全问题风险分析 256. 等级测评结论 267. 安全问题整改建议 278. 附录A 被测对象资产 29A.1 物理机房 29A.2 网络设备 29A.3 安全设备 29A.4 服务器/存储设备 30

13、A.5 终端/现场设备 30A.6 系统管理软件/平台 31A.7 业务应用系统/平台 31A.8 数据类别 31A.9 安全相关人员 32A.10 安全管理文档 339. 附录B 上次测评问题整改情况说明 3310. 附录C 单项测评结果汇总 33C.1 安全物理环境 33C.2 安全通信网络 34C.3 安全区域边界 35C.4 安全计算环境 36C.4.1 网络设备和安全设备 36C.4.2 服务器和终端 39C.4.3 应用和数据 41C.4.4 其他系统和设备 44C.5 安全管理中心 45C.6 安全管理制度 46C.7 安全管理机构 46C.8 安全管理人员 47C.9 安全建设

14、管理 47C.10 安全运维管理 48C.11 其他安全要求指标 4911. 附录D 单项测评结果记录 50D.1 安全物理环境 50D.1.1 安全通用要求部分 50D.1.2 安全扩展要求部分 51D.2 安全通信网络 51D.2.1 安全通用要求部分 51D.2.2 安全扩展要求部分 51D.3 安全区域边界 52D.3.1 安全通用要求部分 52D.3.2 安全扩展要求部分 52D.4 安全计算环境 53D.4.1 安全通用要求部分 53D.4.2 安全扩展要求部分 53D.5 安全管理中心 53D.6 安全管理制度 54D.7 安全管理机构 54D.8 安全管理人员 54D.9 安全

15、建设管理 54D.9.1 安全通用要求部分 54D.9.2 安全扩展要求部分 54D.10 安全运维管理 55D.10.1 安全通用部分 55D.10.2 安全扩展部分 55D.11 其他安全要求 5512. 附录E 漏洞扫描结果记录 5513. 附录F 渗透测试结果记录 5514. 附录G 常见威胁列表 5515. 附录H 云计算平台测评及整改情况 5616. 附录I 大数据平台测评及整改情况 56正文表格索引表 2-1 被测对象名称定级结果 5表 2-2 安全通用要求指标 7表 2-3 安全扩展要求指标 8表 2-4 其他安全要求指标 8表 2-5 不适用安全要求指标 8表 2-6 物理机

16、房 9表 2-7 网络设备 9表 2-8 安全设备 10表 2-9 服务器/存储设备 10表 2-10 终端/现场设备 10表 2-11 系统管理软件/平台 11表 2-12 业务应用系统/平台 11表 2-13-a 关键数据类别 11表 2-13-b 数据类别 12表 2-14 安全相关人员 12表 2-15 安全管理文档 12表 3-1 接入点 A 漏洞扫描结果统计表 21表 3-2 测评结果分类统计表 23表 3-3 安全问题汇总表 24表 4-1 修正后的安全问题汇总表 25表 5-1 安全问题风险分析表 25表 6-1 等级测评结论判别依据 26表 6-2 安全风险汇总表 27表 7

17、-1 安全问题整改建议表 27附录表格索引附录 A 表- 1 物理机房 29附录 A 表- 2 网络设备 29附录 A 表- 3 安全设备 29附录 A 表- 4 服务器/存储设备 30附录 A 表- 5 终端/现场设备 30附录 A 表- 6 系统管理软件/平台 31附录 A 表- 7 业务应用系统/平台 31附录 A 表- 8- a 关键数据类别 31附录 A 表- 8- b 数据类别 32附录 A 表- 9 安全相关人员 32附录 A 表- 10 安全管理文档 33附录 C 表- 1 安全物理环境单项测评结果汇总表（安全通用要求部分） 33附录 C 表- 2 安全物理环境单项测评结果汇总

18、表（安全扩展要求部分） 34附录 C 表- 3 安全通信网络单项测评结果汇总表（安全通用要求部分） 34附录 C 表- 4 安全通信网络单项测评结果汇总表（安全扩展要求部分） 35附录 C 表- 5 安全区域边界单项测评结果汇总表（安全通用要求部分） 35附录 C 表- 6 安全区域边界单项测评结果汇总表（安全扩展要求部分） 36附录 C 表- 7 安全计算环境单项测评结果汇总表（安全通用要求部分） 37附录 C 表- 8 安全计算环境单项测评结果汇总表（安全扩展要求部分） 38附录 C 表- 9 安全计算环境单项测评结果汇总表（安全通用要求部分） 39附录 C 表- 10 安全计算环境单项测

19、评结果汇总表（安全扩展要求部分） 40附录 C 表- 11 安全计算环境单项测评结果汇总表（安全通用要求部分） 41附录 C 表- 12 安全计算环境单项测评结果汇总表（安全扩展要求部分） 42附录 C 表- 13 大数据生命周期单项测评结果汇总表（安全扩展要求部分） 43附录 C 表- 14 安全计算环境单项测评结果汇总表（安全通用要求部分） 44附录 C 表- 15 安全计算环境单项测评结果汇总表（安全扩展要求部分） 44附录 C 表- 16 安全管理中心单项测评结果汇总表 46附录 C 表- 17 安全管理制度单项测评结果汇总表 46附录 C 表- 18 安全管理机构单项测评结果汇总表

20、46附录 C 表- 19 安全管理人员单项测评结果汇总表 47附录 C 表- 20 安全建设管理单项测评结果汇总表（安全通用要求部分） 47附录 C 表- 21 安全建设管理单项测评结果汇总表（安全扩展要求部分） 48附录 C 表- 22 安全运维管理单项测评结果汇总表（安全通用要求） 49附录 C 表- 23 安全运维管理单项测评结果汇总表（安全扩展要求部分） 49附录 C 表- 24 其他指标单项测评结果汇总表 50插图索引图 2-1 被测对象名称网络拓扑图 7图 3-1 漏洞扫描工具接入测试示意图 211.测评项目概述1.1测评目的简述测评项目背景和项目目标等。实施信息安全等级保护，找出

21、本系统与国家计算机安全保护等级要求标准GBT22239之间的差距，可以有效地提高XXX信息安全建设的整体水平，并且指明了信息安全建设发展方向。有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调；有利于加强对涉及国家安全、经济秩序、社会稳定和公共利益的信息系统的安全保护和管理监督；有利于明确国家、法人和其他组织、公民的安全责任，强化政府监管职能，共同落实各项安全建设和安全管理措施；有利于提高安全保护的科学性、整体性、针对性，推动信息安全产业水平，逐步探索一条适应社会主义市场经济发展的信息安全发展模式。1.2测评依据开展测评活动主要所依据的合同、标准和文件：1）GB/T

22、22239-2019 信息安全技术 网络安全等级保护基本要求2）GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求3）GB/T 28449-2018 信息安全技术 网络安全等级保护测评过程指南4）GB/T 25058-2019 信息安全技术 信息系统安全等级保护实施指南5）GB/T 22240-2020 信息安全技术 信息系统安全等级保护定级指南6）GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求7）GB/T 20984-2007 信息安全技术 信息安全风险评估模型8）GB/T 17859-1999 信息安全技术 计算机信息系统安全保护等级划分

23、准则9）GB/T 37988-2019 信息安全技术 数据安全能力成熟度模型10）被测信息系统安全等级保护定级报告11）等级测评任务书/测评合同等1.3测评过程描述等级测评工作流程、各阶段完成的关键任务和工作的时间节点 等内容。描述本次等级测评的工作流程（可参考信息系统安全等级保护测评过程指南），具体内容包括但不限于：（一） 测评工作流程图（二） 各阶段完成的关键任务1、测评准备阶段：1.成立项目组2.测评启动会3.项目计划制定4.人员/工具/表格准备5.相关数据（资料）收集与分析6.测评方案制定2、现场测评阶段：现场勘查人员访谈确定测评工具接入点工具测试（扫描/渗透等）测评过程结果整理3、测

24、评分析阶段：单项测评结果判定单项测评结果汇总分析系统整体测评分析最终测评结果形成等级测评报告编写 等级测评整改方案编写7. 内部方案评审（三）工作的时间点各阶段完成的关键任务列表如下：序号阶段任务时间（工作日）1测评准备阶段0.52项目计划制定，双方达成共识3测评方案制定/双方达成共识45资料收集阶段数据（资料）收集6789分析阶段对数据进行分析1.510对照对应的信息系统等级技术和管理要求进行测评11测评报告阶段整理测评结果，形成报告12对报告进行评审13项目验收总天数:15 1.4报告分发范围说明等级测评报告正本的份数与分发范围。测评报告一式三份，一份提交测评委托单位（即被测评单位）、一份

25、提交公安监管部门，一份由测评单位留存。本报告一式三份，一份提交XX管理局、一份提交受理备案的GGGG公安厅网监、一份由YYY市OOOOOOOO公司留存。2.被测对象描述2.1被测对象概述2.1.1定级结果被测对象应为已定级备案的对象（包括基础信息网络、云计算（包括平台/系统）、大数据、物联网、工业控制系统和采用移动互联技术的系统、数据资源等），将定级结果填入下表。表 2-1 被测对象名称定级结果业务信息系统安全等级系统服务安全等级2.1.2业务和采用的技术描述被测对象承载的业务、主要功能，以及采用云计算/移动互联/ 物联网/工业控制/大数据等技术情况，如果被测对象采用了多种新技术，则不同新技术应单独成段描述。该信息系统的系统服务对象是：XXX。其服务范围为XXX。城建业务系统主要用于全市城建项目工程档案的监督指导及档案的接收、管理和利用，系统包括有项目报建备案、工程档案指导、档案预验收、接收审查，档案信息著录、档案数字化和查询利用等功能。根据城市规划、设计、施工、管理等项目工作的需要，汇编、整