信息系统安全等级定级建议书.doc

此文档收集于网络 如有侵权 请联系网站删除 精品文档 xxxxxxx xxxx xxxxxxx xxxx 网站信息系统网站信息系统 安全等级测评报告安全等级测评报告 系统名称 系统名称 xxxxxxxx xxxx 网站信息系统 被测单位 被测单位 xxxxxxxx 测评单位 测评单位 xxxxxxxx 报告时间 报告时间 2010 年年 9 月月 6 日日 此文档收集于网络 如有侵权 请联系网站删除 精品文档 信息系统等级测评基本信息信息系统等级测评基本信息表表 系统名称系统名称 xxxxxxxx xxxx 网站系统安全保护等级安全保护等级 2 备案证明编号备案证明编号测评结论测评结论基本符合 被测单位被测单位 单位名称单位名称 xxxxxxxx 单位地址单位地址 xxxxxxxx 邮政编码邮政编码 姓 名职务 职称 所属部门办公电话联联 系系 人人 移动电话电子邮件 测评单位测评单位 单位名称单位名称xxxxxx 公司单位代码单位代码 通信地址通信地址xxxxxxxx邮政编码邮政编码 姓 名职务 职称技术总监 所属部门技术部办公电话联联 系系 人人 移动电话 编 制 人编制日期 审 核 人审核日期 审核批准审核批准 批 准 人批准日期 注 单位代码由受理测评机构备案的公安机关给出 注 单位代码由受理测评机构备案的公安机关给出 此文档收集于网络 如有侵权 请联系网站删除 精品文档 声明声明 本报告是本报告是 xxxxxxxx xxxxxxxxxxxx xxxx 门户网站信息系统的等级测门户网站信息系统的等级测 评报告 评报告 本报告测评结论的有效性建立在被测评单位提供相关证据本报告测评结论的有效性建立在被测评单位提供相关证据 的真实性基础之上 的真实性基础之上 本报告中给出的测评结论仅对被测信息系统当时的安全状本报告中给出的测评结论仅对被测信息系统当时的安全状 态有效 当测评工作完成后 由于信息系统发生变更而涉及到态有效 当测评工作完成后 由于信息系统发生变更而涉及到 的系统构成组件 或子系统 都应重新进行等级测评 本报告的系统构成组件 或子系统 都应重新进行等级测评 本报告 不再适用 不再适用 本报告中给出的测评结论不能作为对信息系统内部署的相本报告中给出的测评结论不能作为对信息系统内部署的相 关系统构成组件 或产品 的测评结论 关系统构成组件 或产品 的测评结论 在任何情况下 若需引用本报告中的测评结果或结论都应在任何情况下 若需引用本报告中的测评结果或结论都应 保持其原有的意义 不得对相关内容擅自进行增加 修改和伪保持其原有的意义 不得对相关内容擅自进行增加 修改和伪 造或掩盖事实 造或掩盖事实 此文档收集于网络 如有侵权 请联系网站删除 精品文档 目目 录录 报告摘要报告摘要 信息系统等级测评基本信息表信息系统等级测评基本信息表 信息系统等级测评基本信息表信息系统等级测评基本信息表 1 报告摘要报告摘要 I 1测评项目概述测评项目概述 1 1 1测评目的 1 1 2测评依据 1 1 3测评过程 2 1 4报告分发范围 2 2被测信息系统情况被测信息系统情况 3 2 1承载的业务情况 3 2 2网络结构 4 系统构成 4 2 2 1业务应用软件 4 2 2 2主机 存储设备 5 2 2 3网络互联设备 5 2 2 4安全设备 6 2 2 5安全相关人员 6 2 2 6安全管理文档 7 3等级测评范围与方法等级测评范围与方法 7 3 1测评对象 7 3 1 1测评对象选择方法 7 3 1 2测评对象选择结果 9 4测评结果汇总测评结果汇总 11 5风险分析和评价风险分析和评价 15 6等级测评结论等级测评结论 17 7安全建设整改建议安全建设整改建议 18 此文档收集于网络 如有侵权 请联系网站删除 精品文档 报告摘要报告摘要 xxxxxxxx xxxx 门户网站是由 xxxxxxxx 市 xxxx 办公 室负责维护 建设 主管部门为 xxxxxxxx xxxxxxxx 市 xxxx 办公室负责该系统的信息系统安全责任 xxxxxxxx xxxx 门户网站系统承载 xxxx 公开信息发 布 xx 论坛等应用 目前承载的为相对独立的业务 本次测评的范围是对 xxxxxxxx xxxx 门户网站系统从 物理安全 主机安全 应用安全 数据安全及备份恢复 安全 管理制度 安全管理机构 人员安全管理 系统建设管理 系 统运维管理等方面检查是否符合等级化保护二级建设要求 通过本次测评 我们发现在物理安全 主机安全 安全管 理制度 安全管理机构 人员安全管理 系统建设管理 系统 运维管理方面符合二级系统建设要求 在应用安全 数据安全 及备份恢复方面基本符合要求 在本次测评过程中我们发现对于主机安全审计 6 1 3 3 做得不够 建议在以后的系统改造过程中考虑 此文档收集于网络 如有侵权 请联系网站删除 精品文档 1测评项目概述测评项目概述 1 1测评目的测评目的 本次测评是对 xxxxxxxx xxxx 门户网站系统从物理安 全 主机安全 应用安全 数据安全及备份恢复 安全管理制 度 安全管理机构 人员安全管理 系统建设管理 系统运维 管理等方面检查验证是否符合等级化保护二级建设要求 1 2测评依据测评依据 信息安全技术 信息系统安全等级保护定级指南 GB T 22240 2008 信息安全技术 信息系统安全等级保护基本要求 GB T 22239 2008 信息安全技术 信息系统安全等级保护实施指南 国标 报批稿 等标准 信息安全技术 信息系统安全等级保护测评准则 国标 报批稿 等标准 此文档收集于网络 如有侵权 请联系网站删除 精品文档 1 3测评过程测评过程 1 4报告分发范围报告分发范围 本次测评报告一式三份 xxxxxxxx 市公安局网监处 xxxxxxxx 市信息中心 xxxxxxxx 市有限公司各执一份 此文档收集于网络 如有侵权 请联系网站删除 精品文档 2被测信息系统被测信息系统情况情况 xxxxxxxx xxxx 门户网站是由 xxxxxxxx 市 xxxx 办公 室负责维护 建设 主管部门为 xxxxxxxx xxxxxxxx 办公室 负责该系统的信息系统安全责任 xxxxxxxx xxxx 门户网站系统包括两台 WEB 主站发布 服务器 两台 WEB 子站发布服务器 一台论坛访谈服务器 一 台互动公开服务器和一台视频服务器 应用支持包括一台防篡 改服务器 一台内容管理服务器 一台数据库服务器 一台动 态模块服务器和存储设备 以及相关的网络和安全设备 具备 了信息系统的基本要素 服务范围为全互联网访问 符合大型 网络架构 系统的安全域以防火墙为界 2 1承载的业务承载的业务情况情况 xxxxxxxx xxxx 门户网站系统承载 xxxx 政务公开信息 发布 信箱 论坛等应用 目前承载的为相对独立的业务 2 2网络结构网络结构 图 系统系统构成构成 2 2 1业务应用软件业务应用软件 序号序号软件名称软件名称主要功能主要功能重要程度重要程度 1 1 此文档收集于网络 如有侵权 请联系网站删除 精品文档 序号序号软件名称软件名称主要功能主要功能重要程度重要程度 1 1 1 Linux 操作系统 很重要 Apache WEB 发布软件 很重要 Oracle 数据库软件 很重要 Iguard 防篡改软件重要 Iwall 应用层防护软件重要 2 2 2主机主机 存储设备存储设备 以列表形式给出被测信息系统中的主机设备 描述主机设备的项 目包括设备名称 操作系统 数据库管理系统以及承载的业务应用软 件系统 序序 号号 设备名称设备名称 操作系统操作系统 数据库数据库 管理系统管理系统 业务应用软件业务应用软件 1 IBM3650 主站 WEB1 Linux 2 IBM3650 主站 WEB2 Linux 3 IBM3650 子站 WEB1 Linux 4 IBM3650 主站 WEB2 Linux 5 IBM3650M2 论坛访谈 Linux 6 IBM3650M2 信息公开 互动 Linux 7 IBM3850 动态模块 Linux 8 IBM3850 数据库 LinuxOracle 9 IBM3850 内容管理 LinuxJcms 1 依据 信息系统安全等级测评过程指南 判定 此文档收集于网络 如有侵权 请联系网站删除 精品文档 序序 号号 设备名称设备名称 操作系统操作系统 数据库数据库 管理系统管理系统 业务应用软件业务应用软件 10 IBM3650 防篡改发布 LinuxIguard 11 IBM346 SSO 跳转 Linux 12IBM346 NDS Windows 2003 13 IBM346 视频 Windows 2003 14 浪潮 H18064F 杀毒服务器 Windows 2003 Kaspersky 2 2 3网络互联设备网络互联设备 以列表形式给出被测信息系统中的网络互联设备 序号序号设备名称设备名称用用 途途重要程度重要程度 1H3C 8812 核心交换很重要 2 华为 3900主站汇聚交换很重要 3H3C3600 子站汇聚交换很重要 2 2 4安全设备安全设备 以列表形式给出被测信息系统中的安全设备 序序 号号 设备名称设备名称用用 途途重要程度重要程度 1 天融信防火墙互联网出口很重要 此文档收集于网络 如有侵权 请联系网站删除 精品文档 序序 号号 设备名称设备名称用用 途途重要程度重要程度 NGFW4000UF H 2 金盾网络行为审计系统网络行为审计重要 3 网御神州 IPS 3600 透明网桥方式部署 入 侵防护 很重要 4 F5 3600 负载均衡网络访问资源控制很重要 2 2 5安全相关人员安全相关人员 以列表形式给出与被测信息系统安全相关的人员情况 相关人员 包括 但不限于 安全主管 系统建设负责人 系统运维负责人 网 络 安全 管理员 主机 安全 管理员 数据库 安全 管理员 应用 安全 管理员 机房管理人员 资产管理员 业务操作员 安 全审计人员等 序序 号号 姓名姓名岗位岗位 角色角色联系方式联系方式 1 系统建设负责人 2 系统运维负责人 3 安全负责人 4 安全管理员 5 网络管理员 此文档收集于网络 如有侵权 请联系网站删除 精品文档 2 2 6安全管理文档安全管理文档 以列表形式给出与信息系统安全相关的文档 包括管理类文档 记录类文档和其他文档 序号序号文档名称文档名称主要内容主要内容 3等级测评等级测评范围与方法范围与方法 3 1测评对象测评对象 3 1 1测评对象选择方法测评对象选择方法 测评对象的选择原则 种类上基本覆盖 数量进行抽样 重点抽 查主要的设备 设施 人员和文档等 可以抽查的测评对象种类主要 考虑以下几个方面 1 主机房 包括其环境 设备和设施等 和部分辅机房 应将 放置了服务于信息系统的局部 包括整体 或对信息系统的局部 包括整体 安全性起重要作用的设备 设施的辅机房选取作为 测评对象 2 存储被测系统重要数据的介质的存放环境 3 办公场地 4 整个系统的网络拓扑结构 5 安全设备 包括防火墙 入侵检测设备和防病毒网关等 此文档收集于网络 如有侵权 请联系网站删除 精品文档 6 边界网络设备 可能会包含安全设备 包括路由器 防火 墙 认证网关和边界接入设备 如楼层交换机 等 7 对整个信息系统或其局部的安全性起作用的网络互联设备 如核心交换机 汇聚层交换机 路由器等 8 承载被测系统主要业务或数据的服务器 包括其操作系统和 数据库 9 管理终端和主要业务应用系统终端 10 能够完成被测系统不同业务使命的业务应用系统 11 业务备份系统 12 信息安全主管人员 各方面的负责人员 具体负责安全管理 的当事人 业务负责人 13 涉及到信息系统安全的所有管理制度和记录 在本级信息系统测评时 信息系统中配置相同的安全设备 边界 网络设备 网络互联设备 服务器 终端以及备份设备 每类应至少 抽查两台作为测评对象 测评方法是采用访谈 文档审查 配置检查 工具测试和实地察看等方法 3 1 2测评对象选择结果测评对象选择结果 1 机房机房 序号序号机房名称机房名称物理位置物理位置 1 xxxxx 机房xxxxxx 楼 xxx 楼 此文档收集于网络 如有侵权 请联系网站删除 精品文档 2 业务应用软件业务应用软件 序号序号软件名称软件名称主要功能主要功能 1Apache 信息发布软件 2Oracle 数据库软件 3 主机 存储 操作系统主机 存储 操作系统 序号序号设备名称设备名称操作系统操作系统 数据库管理系统数据库管理系统 1 主站 WEB1 服务器 Linux 2 数据库服务器 Linux Oracle 4 网络互联设备网络互联设备 序号序号设备名称设备名称主要作用主要作用 1H3C 8812 核心交换机 2 华为 3900主站汇聚交换机 3H3C 3600 子站汇聚交换机 5 安全设备操作系统安全设备操作系统 序号序号设备名称设备名称操作系统名称操作系统名称 1 防火墙天融信 TOS 2 入侵防御网御神州 secgate 6 访谈人员访谈人员 序号序号姓名姓名岗位岗位 职责职责 1 安全员 此文档收集于网络 如有侵权 请联系网站删除 精品文档 序号序号姓名姓名岗位岗位 职责职责 2 网络管理员 3 系统建设负责人 分管领导 7 安全管理文档安全管理文档 序号序号文档名称文档名称主要内容主要内容 此文档收集于网络 如有侵权 请联系网站删除 精品文档 4测评结果测评结果汇总汇总 以表格形式汇总测评结果 表格以不同颜色对测评结果进行区分 部分符合的安全子类采用黄色标识 不符合的安全子类采用红色标识 符合情况符合情况 序号序号安全分类安全分类安全子类安全子类 符合符合部分符合部分符合不符合不符合 1物理位置的选择 2物理访问控制 3防盗窃和防破坏 4防雷击 5防火 6防水和防潮 7防静电 8温湿度控制 9电力供应 10 物理安全 电磁防护 11 结构安全 12 访问控制 13 安全审计 14 边界完整性检查 15 网络安全 入侵防范 此文档收集于网络 如有侵权 请联系网站删除 精品文档 序号序号安全分类安全分类安全子类安全子类 符合情况符合情况 符合符合部分符合部分符合不符合不符合 16 网络设备防护 17身份鉴别 18访问控制 19安全审计 20入侵防范 21恶意代码防范 22 主机安全 资源控制 23身份鉴别 24访问控制 25安全审计 26通信完整性 27通信保密性 28软件容错 29 应用安全 资源控制 30数据完整性 31数据保密性 32 数据安全及备份恢复 备份和恢复 33管理制度 34 安全管理 制度 制定和发布 此文档收集于网络 如有侵权 请联系网站删除 精品文档 序号序号安全分类安全分类安全子类安全子类 符合情况符合情况 符合符合部分符合部分符合不符合不符合 35评审和修订 36岗位设置 37人员配备 38授权和审批 39沟通和合作 40 安全管理机构 审核和检查 41人员录用 42人员离岗 43人员考核 44安全意识教育和培训 45 人员安全管理 外部人员访问和管理 46系统定级 47安全方案设计 48产品采购和使用 49自行软件开发 50外包软件开发 51工程实施 52测试验收 53系统交付 54 系统建设管理 安全服务商选择 此文档收集于网络 如有侵权 请联系网站删除 精品文档 序号序号安全分类安全分类安全子类安全子类 符合情况符合情况 符合符合部分符合部分符合不符合不符合 55安全服务商选择 56环境管理 57资产管理 58介质管理 59设备管理 60网络安全管理 61系统安全管理 62恶意代码防范管理 63密码管理 64变更管理 65备份与恢复管理 66安全事件处置 67 系统运维管理 应急预案管理 统 计 6511 此文档收集于网络 如有侵权 请联系网站删除 精品文档 5风险分析和评价风险分析和评价 依据等级保护的相关规范和标准 采用风险分析的方法分析信息 系统等级测评结果中存在的安全问题 等级测评结果中部分符合项或 不符合项的汇总结果 可能对信息系统安全造成的影响 分析过程包括 1 判断安全问题被威胁利用的可能性 可能性的取值范围为高 中和 低 2 判断安全问题被威胁利用后 对信息系统安全 业务信息安全和系 统服务安全 造成的影响程度 影响程度取值范围为高 中和低 3 综合 1 和 2 的结果对信息系统面临的安全风险进行赋值 风险 值的取值范围为高 中和低 4 结合信息系统的安全保护等级对风险分析结果进行评价 即对国家 安全 社会秩序 公共利益以及公民 法人和其他组织的合法权益造 成的风险 以列表形式给出等级测评发现安全问题以及风险分析和评价情况 系统安全问题风险分析和评价表系统安全问题风险分析和评价表 序号序号问题