XX系统网络安全等级测评服务报告模板Word格式.docx
《XX系统网络安全等级测评服务报告模板Word格式.docx》由会员分享,可在线阅读,更多相关《XX系统网络安全等级测评服务报告模板Word格式.docx(75页珍藏版)》请在冰点文库上搜索。
xxx市xxx公司
机构代码
广州市xxx路xxx大厦xxx室
袁xxx
高级安全工程师
网络安全顾问部
135xxxx
yxxxxxx@
审核批准
编制人
(签字)
编制日期
审核人
审核日期
批准人
批准日期
声明
【填写说明:
声明是测评机构对测评报告的有效性前提、测评结论的适用范围以及使用方式等有关事项的陈述。
针对特殊情况下的测评工作,测评机构可在以下建议内容的基础上增加特殊声明。
】
本报告是[被测对象名称]的等级测评报告。
本报告是对[被测对象名称]的整体安全性进行检测分析,针对等级测评过程中发现的安全问题,结合风险分析,提出合理化建议。
本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。
本报告中给出的测评结论仅对被测对象当时的安全状态有效。
当测评工作完成后,由于被测对象发生变更而涉及到的系统构成组件(或子系统)都应重新进行等级测评,本报告不再适用。
本报告中给出的测评结论不能作为对被测对象内部部署的相关系统构成组件(或产品)的测评结论。
在任何情况下,若需引用本报告中的测评结果或结论都应保持其原有的意义,不得对相关内容擅自进行增加、修改和伪造或掩盖事实。
单位名称(加盖单位公章)
年月日
等级测评结论
此表描述等级保护对象及等级测评活动中的一般属性。
包括被测对象名称、安全保护等级、被测对象描述、测评工作描述、等级测评结论及综合得分。
如被测对象为云计算(包括平台/系统)或大数据(包括平台/应用/资源),则需要增加云计算安全扩展表或大数据安全扩展表。
测评结论和综合得分
XXXX系统
等级保护对象形态
☐传统IT系统☐云计算☐采用移动互联技术的系统
☐物联网☐工业控制系统☐大数据☐其他系统
被测对象描述
简要描述被测对象承载的业务功能等基本情况,以及被测对象安全技术情况和安全管理情况。
建议不超过400字】
测评工作描述
简要描述测评机构、测评时间、测评过程等,并在等级测评结论处加盖测评机构单位公章。
建议不超过400字。
综合得分
等级测评结论扩展表(云计算安全)
此表描述与云计算(包括平台/系统)相关的扩展信息。
云计算形态用于明确被测对象为云计算平台还是云服务客户业务应用系统,此处为单选。
运维所在地用于明确云计算服务的后台技术管理者所在位置,方便公安机关监管。
云服务模式用于明确被测对象所采用的服务模式,此处为单选。
注意,一个云计算平台可能有多种服务模式,每种服务模式单独构成一个定级系统,对应一份定级报告及一份等级测评报告。
云计算服务安全能力评价用于评价当前服务模式下云计算平台为云服务客户提供的服务的安全能力。
云计算平台可能有多种服务模式,每种服务模式下会提供不同的服务,此处应只填写被测对象当前服务模式下提供的服务列表。
云计算安全等级测评结论扩展表
云计算形态
☐云计算平台
☐云服务客户业务应用系统(平台报告编号:
)
此项为云服务客户业务应用系统测评时填写,填写内容为该云服务客户业务应用系统在当前服务模式下所使用的云计算平台的测评报告编号。
对于云计算平台的测评,此项填“N/A”】
运维所在地
云服务模式
☐IaaS
☐PaaS
☐SaaS
云计算服务安全能力评价
云计算平台服务列表
(以IaaS服务模式为例)
符合性评价
虚拟主机服务
虚拟网络隔离服务
虚拟防火墙服务
虚拟主机入侵检测服务
云服务客户系统安全审计服务
云服务客户系统防恶意代码服务
KMS密钥管理服务
抗DDoS流量清洗服务
……
等级测评结论扩展表(大数据安全)
此表描述与大数据安全相关的扩展信息。
大数据形态用于明确被测对象范围,被测对象的大数据形态是否包括大数据平台、大数据应用或大数据资源,此处为多选。
如被测对象含大数据平台,则大数据平台服务安全能力评价部分应由测评机构给出评价结论;
如被测对象不含大数据平台,则评价由大数据平台提供方出具该平台的测评结论,供测评机构引用。
大数据安全等级测评结论扩展表
大数据形态
☐大数据平台
☐大数据应用(平台报告编号:
)
☐大数据资源(平台报告编号:
当大数据资源或大数据应用采用大数据平台提供方提供平台支撑时,平台报告编号为该大数据平台的等级测评报告编号。
部署模式
☐公共大数据服务
☐私有大数据服务
大数据平台服务安全能力评价
大数据平台服务列表
静态脱敏和去标识化服务
数据隔离服务
数据加解密及密钥管理服务
基于安全标记的访问控制服务
数据分类分级的标识服务
数据溯源服务
总体评价
根据被测对象测评结果和测评过程中了解的相关信息,对被测对象的安全保护状况进行说明和评价,基于综合评价结果对安全保护状况给出总括性结论。
Ylr示例:
一、测评工作概述
由XXOO保险有限公司主管的财务系统属于等级保护三级系统。
财务系统主要应用于财务帐务结算处理。
本次测评主要依据GB/T-22239《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》进行测评。
二、等级测评结果
XXOO保险有限公司主管的财务系统的基本符合项和不符合项总数较少,但其中存在的不符合项有可能会导致信息系统面临高等级安全风险,建议按照提出的安全整改建议进行整改,以完全达到国家信息系统网络安全等级保护三级要求。
主要安全问题及整改建议
描述被测对象存在的主要安全问题,以及对主要安全问题提出针对性的整改建议。
一、系统存在的主要问题
该系统在网络层有审计日志,服务器区未设置防火墙等防护设备,缺少对服务器的有效防护。
在管理方面系统建设时没有请公正的第三方进行软件安全性方面的测试。
二、系统安全建设、整改建议
建议部署专门的帐号集中管理与审计系统;
建议在服务器区部署专门的建立安全访问路径的网络设备;
建议部署数据库及业务应用安全监控审计系统对数据库及业务进行有效的保护;
建议数据库服务器与应用服务器进行分离。
系统建设管理方面建议请公正的第三方进行软件安全方面的测试,并形成测试报告。
网络安全等级测评基本信息表I
声明II
等级测评结论III
等级测评结论扩展表(云计算安全)IV
等级测评结论扩展表(大数据安全)V
总体评价VI
主要安全问题及整改建议VII
目录VIII
正文表格索引XI
附录表格索引XII
插图索引XIV
1.测评项目概述1
1.1测评目的1
1.2测评依据1
1.3测评过程1
1.4报告分发范围5
2.被测对象描述5
2.1被测对象概述5
2.1.1定级结果5
2.1.2业务和采用的技术6
2.1.3网络结构6
2.2测评指标7
2.2.1安全通用要求指标7
2.2.2安全扩展要求指标7
2.2.3其他安全要求指标8
2.2.4不适用安全要求指标8
2.3测评对象9
2.3.1测评对象选择方法9
2.3.2测评对象选择结果9
3.单项测评结果分析12
3.1安全物理环境13
3.1.1已有安全控制措施汇总分析13
3.1.2主要安全问题汇总分析13
3.2安全通信网络13
3.2.1已有安全控制措施汇总分析13
3.2.2主要安全问题汇总分析13
3.3安全区域边界14
3.3.1已有安全控制措施汇总分析14
3.3.2主要安全问题汇总分析14
3.4安全计算环境14
3.4.1网络设备和安全设备14
3.4.2服务器和终端15
3.4.3应用和数据15
3.4.4其他系统和设备16
3.5安全管理中心17
3.5.1已有安全控制措施汇总分析17
3.5.2主要安全问题汇总分析17
3.6安全管理制度17
3.6.1已有安全控制措施汇总分析17
3.6.2主要安全问题汇总分析17
3.7安全管理机构18
3.7.1已有安全控制措施汇总分析18
3.7.2主要安全问题汇总分析18
3.8安全管理人员18
3.8.1已有安全控制措施汇总分析18
3.8.2主要安全问题汇总分析18
3.9安全建设管理19
3.9.1已有安全控制措施汇总分析19
3.9.2主要安全问题汇总分析19
3.10安全运维管理19
3.10.1已有安全控制措施汇总分析19
3.10.2主要安全问题汇总分析19
3.11其他安全要求指标20
3.11.1已有安全控制措施汇总分析20
3.11.2主要安全问题汇总分析20
3.12验证测试20
3.12.1漏洞扫描21
3.12.2渗透测试22
3.12.3其他测试验证问题汇总22
3.13单项测评小结22
3.13.1控制点符合情况汇总22
3.13.2安全问题汇总24
4.整体测评结果分析24
4.1安全控制点间安全测评24
4.2区域间/层面间安全测评24
4.3整体测评结果汇总25
5.安全问题风险分析25
6.等级测评结论26
7.安全问题整改建议27
8.附录A被测对象资产29
A.1物理机房29
A.2网络设备29
A.3安全设备29
A.4服务器/存储设备30
A.5终端/现场设备30
A.6系统管理软件/平台31
A.7业务应用系统/平台31
A.8数据类别31
A.9安全相关人员32
A.10安全管理文档33
9.附录B上次测评问题整改情况说明33
10.附录C单项测评结果汇总33
C.1安全物理环境33
C.2安全通信网络34
C.3安全区域边界35
C.4安全计算环境36
C.4.1网络设备和安全设备36
C.4.2服务器和终端39
C.4.3应用和数据41
C.4.4其他系统和设备44
C.5安全管理中心45
C.6安全管理制度46
C.7安全管理机构46
C.8安全管理人员47
C.9安全建设管理47
C.10安全运维管理48
C.11其他安全要求指标49
11.附录D单项测评结果记录50
D.1安全物理环境50
D.1.1安全通用要求部分50
D.1.2安全扩展要求部分51
D.2安全通信网络51
D.2.1安全通用要求部分51
D.2.2安全扩展要求部分51
D.3安全区域边界52
D.3.1安全通用要求部分52
D.3.2安全扩展要求部分52
D.4安全计算环境53
D.4.1安全通用要求部分53
D.4.2安全扩展要求部分53
D.5安全管理中心53
D.6安全管理制度54
D.7安全管理机构54
D.8安全管理人员54
D.9安全建设管理54
D.9.1安全通用要求部分54
D.9.2安全扩展要求部分54
D.10安全运维管理55
D.10.1安全通用部分55
D.10.2安全扩展部分55
D.11其他安全要求55
12.附录E漏洞扫描结果记录55
13.附录F渗透测试结果记录55
14.附录G常见威胁列表55
15.附录H云计算平台测评及整改情况56
16.附录I大数据平台测评及整改情况56
正文表格索引
表2-1[被测对象名称]定级结果5
表2-2安全通用要求指标7
表2-3安全扩展要求指标8
表2-4其他安全要求指标8
表2-5不适用安全要求指标8
表2-6物理机房9
表2-7网络设备9
表2-8安全设备10
表2-9服务器/存储设备10
表2-10终端/现场设备10
表2-11系统管理软件/平台11
表2-12业务应用系统/平台11
表2-13-a关键数据类别11
表2-13-b数据类别12
表2-14安全相关人员12
表2-15安全管理文档12
表3-1接入点A漏洞扫描结果统计表21
表3-2测评结果分类统计表23
表3-3安全问题汇总表24
表4-1修正后的安全问题汇总表25
表5-1安全问题风险分析表25
表6-1等级测评结论判别依据26
表6-2安全风险汇总表27
表7-1安全问题整改建议表27
附录表格索引
附录A表-1物理机房29
附录A表-2网络设备29
附录A表-3安全设备29
附录A表-4服务器/存储设备30
附录A表-5终端/现场设备30
附录A表-6系统管理软件/平台31
附录A表-7业务应用系统/平台31
附录A表-8-a关键数据类别31
附录A表-8-b数据类别32
附录A表-9安全相关人员32
附录A表-10安全管理文档33
附录C表-1安全物理环境单项测评结果汇总表(安全通用要求部分)33
附录C表-2安全物理环境单项测评结果汇总表(安全扩展要求部分)34
附录C表-3安全通信网络单项测评结果汇总表(安全通用要求部分)34
附录C表-4安全通信网络单项测评结果汇总表(安全扩展要求部分)35
附录C表-5安全区域边界单项测评结果汇总表(安全通用要求部分)35
附录C表-6安全区域边界单项测评结果汇总表(安全扩展要求部分)36
附录C表-7安全计算环境单项测评结果汇总表(安全通用要求部分)37
附录C表-8安全计算环境单项测评结果汇总表(安全扩展要求部分)38
附录C表-9安全计算环境单项测评结果汇总表(安全通用要求部分)39
附录C表-10安全计算环境单项测评结果汇总表(安全扩展要求部分)40
附录C表-11安全计算环境单项测评结果汇总表(安全通用要求部分)41
附录C表-12安全计算环境单项测评结果汇总表(安全扩展要求部分)42
附录C表-13大数据生命周期单项测评结果汇总表(安全扩展要求部分)43
附录C表-14安全计算环境单项测评结果汇总表(安全通用要求部分)44
附录C表-15安全计算环境单项测评结果汇总表(安全扩展要求部分)44
附录C表-16安全管理中心单项测评结果汇总表46
附录C表-17安全管理制度单项测评结果汇总表46
附录C表-18安全管理机构单项测评结果汇总表46
附录C表-19安全管理人员单项测评结果汇总表47
附录C表-20安全建设管理单项测评结果汇总表(安全通用要求部分)47
附录C表-21安全建设管理单项测评结果汇总表(安全扩展要求部分)48
附录C表-22安全运维管理单项测评结果汇总表(安全通用要求)49
附录C表-23安全运维管理单项测评结果汇总表(安全扩展要求部分)49
附录C表-24其他指标单项测评结果汇总表50
插图索引
图2-1[被测对象名称]网络拓扑图7
图3-1漏洞扫描工具接入测试示意图21
1.测评项目概述
1.1测评目的
简述测评项目背景和项目目标等。
实施信息安全等级保护,找出本系统与国家计算机安全保护等级要求标准GBT22239之间的差距,可以有效地提高XXX信息安全建设的整体水平,并且指明了信息安全建设发展方向。
有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;
有利于加强对涉及国家安全、经济秩序、社会稳定和公共利益的信息系统的安全保护和管理监督;
有利于明确国家、法人和其他组织、公民的安全责任,强化政府监管职能,共同落实各项安全建设和安全管理措施;
有利于提高安全保护的科学性、整体性、针对性,推动信息安全产业水平,逐步探索一条适应社会主义市场经济发展的信息安全发展模式。
1.2测评依据
开展测评活动主要所依据的合同、标准和文件:
1)GB/T22239-2019《信息安全技术网络安全等级保护基本要求》
2)GB/T28448-2019《信息安全技术网络安全等级保护测评要求》
3)GB/T28449-2018《信息安全技术网络安全等级保护测评过程指南》
4)GB/T25058-2019《信息安全技术信息系统安全等级保护实施指南》
5)GB/T22240-2020《信息安全技术信息系统安全等级保护定级指南》
6)GB/T25070-2019《信息安全技术网络安全等级保护安全设计技术要求》
7)GB/T20984-2007《信息安全技术信息安全风险评估模型》
8)GB/T17859-1999《信息安全技术计算机信息系统安全保护等级划分准则》
9)GB/T37988-2019《信息安全技术数据安全能力成熟度模型》
10)被测信息系统安全等级保护定级报告
11)等级测评任务书/测评合同等
1.3测评过程
描述等级测评工作流程、各阶段完成的关键任务和工作的时间节点等内容。
描述本次等级测评的工作流程(可参考《信息系统安全等级保护测评过程指南》),具体内容包括但不限于:
(一)测评工作流程图
(二)各阶段完成的关键任务
1、测评准备阶段:
1.Ø
成立项目组
2.Ø
测评启动会
3.Ø
项目计划制定
4.Ø
人员/工具/表格准备
5.Ø
相关数据(资料)收集与分析
6.Ø
测评方案制定
2、现场测评阶段:
现场勘查
人员访谈
确定测评工具接入点
工具测试(扫描/渗透等)
测评过程结果整理
3、测评分析阶段:
单项测评结果判定
单项测评结果汇总分析
系统整体测评分析
最终测评结果形成
等级测评报告编写
等级测评整改方案编写
7.Ø
内部方案评审
(三)工作的时间点
各阶段完成的关键任务列表如下:
序号
阶段
任务
时间(工作日)
1
测评准备阶段
0.5
2
项目计划制定,双方达成共识
3
测评方案制定/双方达成共识
4
5
资料收集阶段
数据(资料)收集
6
7
8
9
分析阶段
对数据进行分析
1.5
10
对照对应的信息系统等级技术和管理要求进行测评
11
测评报告阶段
整理测评结果,形成报告
12
对报告进行评审
13
项目验收
总天数:
15
1.4报告分发范围
说明等级测评报告正本的份数与分发范围。
测评报告一式三份,一份提交测评委托单位(即被测评单位)、一份提交公安监管部门,一份由测评单位留存。
本报告一式三份,一份提交XX管理局、一份提交受理备案的GGGG公安厅网监、一份由YYY市OOOOOOOO公司留存。
2.被测对象描述
2.1被测对象概述
2.1.1定级结果
被测对象应为已定级备案的对象(包括基础信息网络、云计算(包括平台/系统)、大数据、物联网、工业控制系统和采用移动互联技术的系统、数据资源等),将定级结果填入下表。
表2-1[被测对象名称]定级结果
业务信息系统安全等级
系统服务安全等级
2.1.2业务和采用的技术
描述被测对象承载的业务、主要功能,以及采用云计算/移动互联/物联网/工业控制/大数据等技术情况,如果被测对象采用了多种新技术,则不同新技术应单独成段描述。
该信息系统的系统服务对象是:
XXX。
其服务范围为XXX。
城建业务系统主要用于全市城建项目工程档案的监督指导及档案的接收、管理和利用,系统包括有项目报建备案、工程档案指导、档案预验收、接收审查,档案信息著录、档案数字化和查询利用等功能。
根据城市规划、设计、施工、管理等项目工作的需要,汇编、整
升级会员 