三级等保评测文件.docx
- 文档编号:9503323
- 上传时间:2023-05-19
- 格式:DOCX
- 页数:27
- 大小:27.26KB
三级等保评测文件.docx
《三级等保评测文件.docx》由会员分享,可在线阅读,更多相关《三级等保评测文件.docx(27页珍藏版)》请在冰点文库上搜索。
三级等保评测文件
信息系统平安等级测评
报告模板
工程名称:
委托单位:
测评单位:
年月日
报告摘要
一、测评工作概述
概要描述被测信息系统的根本情况〔可参考信息系统平安等级保护备案表〕,包括但不限于:
系统的运营使用单位、投入运行时间、承载的业务情况、系统效劳情况以及定级情况。
〔见:
信息系统平安等级保护备案表〕
描述等级测评工作的委托单位、测评单位和等级测评工作的开展过程,包括投入测评人员与设备情况、完成的具体工作容统计〔涉及的测评分类与工程数量,检查的网络互联与平安设备、主机、应用系统、管理文档数量,访谈人员次数〕。
二、等级测评结果
依据第4、5章的结果对等级测评结果进展汇总统计〔测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果〕;通过对信息系统根本平安保护状态的分析给出等级测评结论〔结论为达标、根本达标、不达标〕。
三、系统存在的主要问题
依据6.3章节的分析结果,列出被测信息系统中存在的主要问题以及可能造成的后果〔如,未部署DDos防御措施,易遭受DDos攻击,导致系统无法提供正常效劳〕。
四、系统平安建立、整改建议
针对系统存在的主要问题提出平安建立、整改建议,是对第七章容的提炼和简要描述。
报告根本信息
信息系统根本情况
系统名称
平安保护等级
机房位置
中心机房
灾备中心
其他机房
委托单位
单位名称
单位地址
邮政编码
联系人
姓名
职务/职称
所属部门
办公
移动
电子
测评单位
单位名称
通信地址
邮政编码
联系人
姓名
职务/职称
所属部门
办公
移动
电子
报告
审核批准
编制人
日期
审核人
日期
批准人
日期
声明
声明是测评单位对于测评报告容以及用途等有关事项做出的约定性述,包含但不限于以下容:
本报告中给出的结论仅对目标系统的当时状况有效,当测评工作完成后系统出现任何变更,涉及到的模块〔或子系统〕都应重新进展测评,本报告不再适用。
本报告中给出的结论不能作为对系统相关产品的测评结论。
本报告结论的有效性建立在用户提供材料的真实性根底上。
在任何情况下,假设需引用本报告中的结果或数据都应保持其本来的意义,不得擅自进展增加、修改、伪造或掩盖事实。
测评单位机构名称
年月
报告目录
附:
信息系统平安等级保护备案表
1测评工程概述
测评目的
描述信息系统的重要性:
通过描述信息系统的根本情况,包括运营使用单位的性质,承载的主要业务和系统效劳情况,进一步说明其在国家平安、经济建立、社会生活中的重要程度,受到破坏后对国家平安、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等。
描述等级测评工作的根本情况,包括委托单位、测评单位、测评围及预期〔如,通过等级测评找出与国家标准要求之间的差距〕。
描述测评报告的用途〔如,作为后续平安整改的依据〕。
测评依据
开展测评活动所依据的合同、标准和文件:
1)"信息平安等级保护管理方法"〔公通字[2007]43号〕
2)"关于加强国家电子政务工程建立工程信息平安风险评估工作的通知"〔发改高技[2021]2071号〕
3)GB/T22239-2021信息平安技术信息系统平安等级保护根本要求
4)GB/T20984-2007信息平安技术信息平安风险评估规
5)"信息平安技术信息系统平安等级保护测评要求"〔国标报批稿〕
6)被测信息系统平安等级保护定级报告
7)等级测评任务书/测评合同等
测评过程
描述本次等级测评的工作流程〔可参考"信息系统平安等级保护测评过程指南"〕,具体容包括但不限于:
(一)测评工作流程图
(二)各阶段完成的关键任务
(三)工作的时间节点
报告分发围
依据工程需求,明确应交付等级测评报告的数量与分发围〔如本报告一式三份,一份提交测评委托单位、一份提交受理备案的公安机关、一份由测评单位留存〕。
2被测系统情况
根本信息
系统名称
主管机构
系统承载
业务情况
业务类型
☐1生产作业☐2指挥调度☐3管理控制
☐4部办公☐5公众效劳
☐9其他
业务描述
系统效劳
情况
效劳围
☐10全国☐11跨省〔区、市〕跨个
☐20全省〔区、市〕☐21跨地〔市、区〕跨个
☐30地〔市、区〕
☐99其它
效劳对象
☐1单位部人员☐2社会公众人员☐3两者均包括
☐9其他
系统网络
平台
覆盖围
☐1局域网☐2城域网☐3广域网
☐9其他
网络性质
☐1业务专网☐2互联网
☐9其它
系统互联
情况
☐1与其他行业系统连接☐2与本行业其他单位系统连接
☐3与本单位其他系统连接
☐9其它
业务信息平安保护等级
系统效劳平安保护等级
信息系统平安保护等级
业务应用
描述信息系统承载的业务应用情况。
网络构造
给出被测信息系统的拓扑构造示意图,并基于示意图说明被测信息系统的网络构造根本情况,包括但不限于:
(一)功能/平安区域划分、隔离与防护情况
(二)关键网络和主机设备的部署情况和功能简介
(三)与其他信息系统的互联情况和边界设备
(四)本地备份和灾备中心的情况
系统构成
以列表的形式分类描述信息系统的软、硬件构成情况。
2.1.1业务应用软件
以列表的形式给出被测信息系统中的业务应用软件〔包括含中间件等应用平台软件〕,描述工程包括软件名称、主要功能简介和重要程度。
序号
软件名称
主要功能
重要程度
…
…
…
…
2.1.2关键数据类别
序号
数据类型
所属业务应用
主机/存储设备
重要程度
…
…
…
…
2.1.3主机/存储设备
以列表形式给出被测信息系统中的主机设备〔包含操作系统和数据库管理系统软件〕,描述工程包括设备名称、操作系统、数据库管理系统以及承载的业务应用软件系统。
序号
设备名称
操作系统/数据库管理系统
业务应用软件
…
…
…
2.1.4网络互联与平安设备
以列表形式给出被测信息系统中的网络互联及平安设备。
设备名称应确保在被测信息系统围的唯一性,建议采取类别-用途/功能/型号-编号〔可选〕的三段命名方式。
序号
设备名称
用途
重要程度
1
路由器_部_1
部边界路由
重要
2
路由器_VPN_1
远程管理维护
重要
3
路由器_VPN_2
远程管理维护
重要
4
防火墙_WEB_1
Web区之间访问控制
重要
…
…
…
…
2.1.5平安相关人员
以列表形式给出与被测信息系统平安相关的人员,描述工程包括、岗位/角色和联系方式。
人员包括但不限于平安主管、系统建立负责人、系统运维负责人、网络〔平安〕管理员、主机〔平安〕管理员、数据库〔平安〕管理员、应用〔平安〕管理员、机房管理人员、资产管理员、业务操作员、平安审计人员等。
序号
岗位/角色
联系方式
…
…
…
…
2.1.6平安管理文档
与信息系统平安相关的文档,包括:
(一)管理类文档,如机构总体平安方针和政策方面的管理制度、、人员平安教育和培训方面的管理制度、第三方人员访问控制方面的管理制度、机房平安管理方面的管理制度等;
(二)记录类文档,如设备运行维护记录、会议记录等;
(三)其他类文档,如专家评审意见等。
序号
文档名称
主要容
…
…
…
平安环境
描述被测信息系统的运行环境中与平安相关的局部:
如数据中心位于运营效劳商机房中、网络存在互联网连接、网络中部署无线接入点以及支持远程拨号访问用户等。
以列表形式给出被测信息系统的威胁列表,并基于历史统计或者行业判断进展威胁赋值,具体容可参考"风险评估规"。
序号
威胁分(子)类
描述
威胁赋值
1
网络攻击
利用工具和技术通过网络对信息系统进展攻击和入侵
高
…
…
…
3等级测评围与方法
测评指标
测评指标包括根本指标和附加指标两局部,以列表的形式给出。
依据定级结果选择"根本要求"中对应级别的平安要求作为等级测评的根本指标;
3.1.1根本指标
根本指标〔物理和网络子类〕的例子如下所示:
分类
子类
根本要求
测评项数
物理平安
物理位置的选择
测评物理机房所在的外部环境平安性。
2
物理访问控制
测评进出机房的审批控制手段以及机房出入口的平安控制情况。
4
防盗窃和防破坏
测评机房设备和通信线缆的平安性以及监控报警系统建立情况。
6
防雷击
测评建筑防雷和防感应雷的建立情况。
3
防火
测评自动监控防火系统设置情况以及机房材料防火情况。
3
防水和防潮
测评机房水管设置情况、防止结露所采取的措施以及监控报警系统建立情况。
4
防静电
测评机房防静电所采取的措施。
3
温湿度控制
测评机房温湿度控制措施
1
电力供给
测评电力线路、备用电源以及发电机的配备情况。
4
电磁防护
测评线缆电磁防护手段和设备电磁防护手段。
3
网络平安
构造平安
主要核查:
主要网络设备的处理能力、业务顶峰期需求带宽、路由控制、网络拓扑构造图是否一致、子网划分、技术隔离手段和带宽分配策略。
7
访问控制
主要核查:
访问控制功能、协议深层检测、网络连接超时、流量限制和并发连接数限制等等。
4
平安审计
主要核查:
网络设备日志收集、分析和统计以及保护等等。
6
边界完整性检查
主要核查:
是否能够对非授权设备私自联到部网络的行为进展检查并准确定位和阻断;是否能够对部网络用户私自联到外部网络的行为进展检查并准确定位和阻断。
2
入侵防
主要核查:
部署IDS系统以及使用情况。
2
恶意代码防
主要核查:
是否有完整的防病毒体系以及代码库的升级情况。
2
网络设备防护
主要核查:
用户身份鉴别、管理员登录地址限制、用户标识唯一性、组合鉴别技术、口令策略、登录策略、远程管理和权限别离。
9
3.1.2附加指标
参照根本指标的表述模式以列表形式给出附加指标。
附加指标包括但不限于:
1)行业标准/规的具体指标
2)主管部门的规定的具体指标
3)信息系统的运营、使用单位基于特定平安环境或者业务应用提出的具体指标
分类
子类
附加要求
测评项数
测评对象
3.1.3测评对象选择方法
描述本次等级测评中采用的测评对象选择方法和具体规则,通常采用抽查的方法,兼顾类别与数量。
测评对象包括网络互联与平安设备操作系统、业务应用软件、主机操作系统、存储设备操作系统、数据库管理系统、平安相关人员、机房、介质以及管理文档。
选择过程中应综合考虑信息系统的平安保护等级、业务应用特点和对象所在具体设备的重要情况等要素,并兼顾工作投入与结果产出两者的平衡关系。
其中,主机设备的重要程度由其承载的业务应用和业务数据的重要程度决定;机房、介质和管理文档不需要抽样。
具体方法和规则可参考"信息系统平安等级保护测评过程指南"。
3.1.4测评对象选择结果
1)网络互联设备操作系统
序号
操作系统名称
设备名称
1
IOS_路由器_部_1
路由器_部_1
2
IOS_路由器_VPN_1
路由器_VPN_1
3
IOS_路由器_VPN_2
路由器_VPN_2
…
…
…
2)平安设备操作系统
序号
操作系统名称
设备名称
1
JOS_防火墙_WEB_1
防火墙_WEB_1
…
…
…
3)业务应用软件
序号
软件名称
主要功能
…
…
…
4)主机〔存储〕操作系统
序号
设备名称
操作系统/数据库管理系统
…
…
…
5)数据库管理系统
序号
设备名称
操作系统/数据库管理系统
…
…
…
6)访谈人员
序号
岗位/职责
…
…
…
7)平安管理文档
序号
文档名称
主要容
…
…
…
测评方法
3.1.5现场测评方法
描述本次等级测评工作中采用的测评方法。
现场测评方法主要包括访谈、检查和测试等三类,可细分为人员访谈、文档审查、配置核查、现场观测和工具测试等。
如果采用工具测试,应给出工具接入示意图,并对测评工具的接入点和预期的测试路径进展描述。
3.1.6风险分析方法
本工程依据平安事件可能性和平安事件后果对信息系统面临的风险进展分析,分析过程包括:
1〕判断信息系统平安保护能力缺失〔等级测评结果中的局部符合项和不符合项〕被威胁利用导致平安事件发生的可能性,可能性的取值围为高、中和低;
2〕判断平安事件对信息系统业务信息平安和系统效劳平安造成的影响程度,影响程度取值围为高、中和低;
3〕综合1〕和2〕的结果对信息系统面临的风险进展汇总和分等级,风险等级的取值围为高、中和低;
4〕结合信息系统的平安保护等级对风险分析结果进展评价,即对国家平安、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的风险。
4等级测评容
单元测评的容及结果记录如下所示:
物理平安
4.1.1结果记录
4.1.2问题分析
4.1.3单元测评结果
网络平安
4.1.4结果记录
以表格形式分别给出不同测评对象的现场测评结果。
1)IOS_路由器_部_1
类别
测评容
结果记录
符合情况
网络访问控制
a) 应在网络边界部署访问控制设备,启用访问控制功能;
b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;
c) 应对进出网络的信息容进展过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;
d) 应在会话处于非活泼一定时间或会话完毕后终止网络连接;
e) 应限制网络最大流量数及网络连接数;
f) 重要网段应采取技术手段防止地址欺骗;
g) 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进展资源访问,控制粒度为单个用户;
h) 应限制具有拨号访问权限的用户数量。
…
…
…
…
…
…
…
…
…
…
2)IOS_路由器_VPN_1
…
4.1.5问题分析
汇总网络平安中存在的问题并加以分析,找出共性和危害严重的问题,如边界防火墙的管理口令为空。
4.1.6单元测评结果
针对网络设备的不同测评指标子类对单项测评结果进展汇总和统计可得单元测评结果。
单元测评结果的判定依据为:
如*对象的特定测评指标的全部测评项结果均为符合,则该单元的测评结果为符合;如全部测评项结果均为不符合,则该单元的测评结果为不符合;否则该单元测评结果为不符合。
表格中分数的分母表示单元测评包含的测评项数量,分子表示不符合项和局部符合项的数量之和;斜线说明该指标子类不适用。
网络平安单元测评结果汇总表
序号
名称
测评指标子类
网络构造平安
网络访问控制
网络平安审计
边界完整性检查
网络入侵防
恶意代码防
网络设备防护
1
IOS_路由器_部_1
局部符合
4/7
符合
0/4
符合
0/6
符合
0/2
不符合
2/2
不符合
2/2
局部符合
6/9
2
IOS_路由器_VPN_1
3
…
4
5
6
主机平安
4.1.7结果记录
4.1.8问题分析
4.1.9单元测评结果
应用平安
4.1.10结果记录
4.1.11问题分析
4.1.12单元测评结果
数据平安及备份恢复
4.1.13结果记录
4.1.14问题分析
4.1.15单元测评结果
平安管理制度
4.1.16结果记录
4.1.17问题分析
4.1.18单元测评结果
平安管理机构
4.1.19结果记录
4.1.20问题分析
4.1.21单元测评结果
人员平安管理
4.1.22结果记录
4.1.23问题分析
4.1.24单元测评结果
系统建立管理
4.1.25结果记录
4.1.26问题分析
4.1.27单元测评结果
系统运维管理
4.1.28结果记录
4.1.29问题分析
4.1.30单元测评结果
工具测试
4.1.31结果记录
依据测评工具的结果报告形成工具测试的结果。
4.1.32问题分析
汇总工具测试的结果,分析信息系统中存在的主要问题。
5等级测评结果
整体测评
根据"根本要求"的要求,对这些问题进展系统整体测评分析,包括从平安控制间、层面间、区域间和系统构造等方面进展平安测评。
5.1.1平安控制间平安测评
5.1.2层面间平安测评
5.1.3区域间平安测评
5.1.4系统构造平安测评
测评结果
对整体测评后的等级测评结果基于平安子类进展汇总,并以表格形式进展展示。
表格中使用不同颜色对测评结果进展区分,测评结果为局部符合的指标子类采黄色标识,不符合的指标子类采用红色标识,如表中"物理平安〞中指标子类对应表格单元的颜色所示。
通过对信息系统根本平安保护状态的分析,给出等级测评结论〔结论为达标、根本达标、不达标〕。
序号
分类
子类
符合情况
符合
局部符合
不符合
1
物理平安
物理位置的选择
2
物理访问控制
3
防盗窃和防破坏
4
防雷击
5
防火
6
防水和防潮
7
防静电
8
温湿度控制
9
电力供给
10
电磁防护
11
网络平安
构造平安
12
访问控制
13
平安审计
14
边界完整性检查
15
入侵防
16
恶意代码防
17
网络设备防护
18
主机平安
身份鉴别
19
平安标记
20
访问控制
21
可信路径
22
平安审计
23
剩余信息保护
24
入侵防
25
恶意代码防
26
资源控制
27
应用平安
身份鉴别
28
平安标记
29
访问控制
30
可信路径
31
平安审计
32
剩余信息保护
33
通信完整性
34
通信性
35
抗抵赖
36
软件容错
37
资源控制
38
数据平安及备份恢复
数据完整性
39
数据性
40
备份和恢复
41
平安管理制度
管理制度
42
制定和发布
43
评审和修订
44
平安管理机构
岗位设置
45
人员配备
46
授权和审批
47
沟通和合作
48
审核和检查
49
人员平安管理
人员录用
50
人员离岗
51
人员考核
52
平安意识教育和培训
53
外部人员访问管理
54
系统建立管理
系统定级
55
平安方案设计
56
产品采购和使用
57
自行软件开发
58
外包软件开发
59
工程实施
60
测试验收
61
系统交付
62
系统备案
63
等级测评
64
平安效劳商选择
65
系统运维管理
环境管理
66
资产管理
67
介质管理
68
设备管理
69
监控管理和平安管理中心
70
网络平安管理
71
系统平安管理
72
恶意代码防管理
73
密码管理
74
变更管理
75
备份与恢复管理
76
平安事件处置
77
应急预案管理
统计图表
基于不同类别〔如设备和平安子类〕对测评结果以柱状图给出统计图表。
6风险分析和评价
平安事件可能性分析
序号
资产名称
等级测评结果中的
不符合项/局部符合项
关联威胁
平安事件
可能性
平安事件后果分析
序号
平安事件
平安事件后果描述
影响程度
风险分析和评价
综合平安事件可能性和后果以列表方式给出被测信息系统面临的风险排序和评价。
序号
风险描述
风险等级
7系统平安建立、整改建议
明确给出该系统是否达标、根本达标、不达标情况〔对于电子政务工程,该结论是电子政务工程验收的条件〕,根据情况给出系统平安建立整改意见。
针对主要的平安问题提出系统平安建立、整改建议。
结合风险分析的结果可将建立、整改容分为立即整改和持续改良两类。
对于电子政务工程,等级测评报告中的整改建议与风险评估报告中的整改建议不应存在冲突。
物理平安
网络平安
整改建议的例如如下:
1)在网络构造发生变化时应及时更新网络拓扑图,方便日常平安运维。
主机平安
应用平安
数据平安及备份恢复
平安管理制度
平安管理机构
人员平安管理
系统建立管理
系统运维管理
附:
信息系统平安等级保护备案表
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 三级 评测 文件