信息安全等级测评报告资料
报告编号:
XXXX
测
评
报
告
系统名称:XX
被测单位:XX
测评单位: xx信息安全技术有限公司
报告时间:
信息系统等级测评基本信息表
声明
本次测评由XX委托xx信息安全技术有限公司负责实施。项目组人员:XX。
本报告是XX的等级测评报告。
本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。
本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。当测评工作完成后,由于信息系统发生变更而涉及到的系统构成组件(或子系统)都应重新进行等级测评,本报告不再适用。
本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件(或产品)的测评结论。
在任何情况下,若需引用本报告中的测评结果或结论都应保持其原有的意义,不得对相关内容擅自进行增加、修改和伪造或掩盖事实。
xx信息安全技术有限公司(盖章)
20 年 6月
目录
报告摘要 (1)
第1章测评项目概述 (3)
1.1 测评目的 (3)
1.2 测评依据 (3)
1.3 测评过程 (3)
1.4 报告分发范围 (5)
第2章被测信息系统情况 (6)
2.1 网络结构 (6)
2.2 系统构成 (7)
2.2.1 业务应用软件 (7)
2.2.2 主机/存储设备 (7)
2.2.3 网络互联设备 (8)
2.2.4 安全设备 (8)
2.2.5 安全相关人员 (8)
2.2.6 安全管理文档 (8)
第3章等级测评范围与方法 (10)
3.1 测评指标 (10)
3.1.1 基本指标 (10)
3.1.2 特殊指标 (11)
3.2 测评对象 (11)
3.2.1 测评对象选择方法 (11)
3.2.2 测评对象选择结果 (11)
3.3 测评方法 (14)
第4章单元测评 (16)
4.1 物理安全 (16)
4.1.1 结果记录 (16)
4.1.2 汇总与分析 (23)
4.2 网络安全 (24)
4.2.1 结果记录 (24)
4.2.2 汇总与分析 (35)
4.3 主机安全(操作系统) (37)
4.3.1 结果记录 (37)
4.3.2 汇总与分析 (51)
4.4 主机安全(数据库) (54)
4.4.1 结果记录 (54)
4.4.2 汇总与分析 (59)
4.5 应用安全 (61)
4.5.1 结果记录 (61)
4.5.2 汇总与分析 (70)
4.6 数据安全及备份恢复 (72)
4.6.1 结果记录 (72)
4.7 安全管理制度 (76)
4.7.1 结果记录 (76)
4.7.2 汇总与分析 (78)
4.8 安全管理机构 (79)
4.8.1 结果记录 (79)
4.8.2 汇总与分析 (83)
4.9 人员安全管理 (84)
4.9.1 结果记录 (84)
4.9.2 汇总与分析 (87)
4.10 系统建设管理 (88)
4.10.1 结果记录 (88)
4.10.2 汇总与分析 (98)
4.11 系统运维管理 (99)
4.11.1 结果记录 (99)
4.11.2 汇总与分析 (114)
第5章整体测评 (116)
5.1 安全控制间安全测评 (116)
5.2 层面间安全测评 (117)
5.3 区域间安全测评 (117)
5.4 关联互补分析 (118)
5.4.1 物理安全互补分析 (118)
5.4.2 网络安全互补分析 (118)
5.4.3 主机安全互补分析 (120)
5.4.4 数据安全互补分析 (121)
5.4.5 应用安全互补分析 (122)
5.4.6 安全管理互补分析 (124)
第6章测评结果汇总 (126)
第7章风险分析与评价 (130)
7.1 信息资产赋值 (130)
7.2 威胁分析 (131)
7.3 风险分析 (135)
第8章等级测评结论 (137)
第9章安全建设整改建议 (138)
9.1 物理安全 (138)
9.2 网络安全 (138)
9.3 主机安全 (138)
9.4 应用系统 (139)
9.5 安全管理 (139)
表索引
表1-1 测评任务表 (4)
表2-1业务应用软件 (7)
表2-2主机/存储设备 (7)
表2-3 网络互连设备表 (8)
表2-4 安全设备 (8)
表2-5 安全相关人员 (8)
表2-6 安全管理文档 (8)
表3-1 基本指标 (10)
表3-3 机房 (11)
表3-4 网络互连设备 (11)
表3-5 安全设备 (11)
表3-6 主机操作系统/数据库管理系统(存储) (12)
表3-7 业务库应用软件 (12)
表3-8 访谈人员 (12)
表3-9 安全管理文档 (13)
表4-1 物理位置的选择 (16)
表4-2物理访问控制 (16)
表4-3防盗窃和防破坏 (17)
表4-4防雷击 (18)
表4-5防火 (19)
表4-6防水和防潮 (20)
表4-7防静电 (21)
表4-8温湿度控制 (21)
表4-9电力供应 (21)
表4-10电磁防护 (22)
表4-11 物理安全方面的单项测评结果 (23)
表4-12结构安全 (24)
表4-13网络访问控制 (26)
表4-14安全审计 (28)
表4-15边界完整性检查 (30)
表4-16网络入侵防范 (30)
表4-17恶意代码 (31)
表4-18网络设备防护 (31)
表4-19 结构安全方面的单项测评结果 (35)
表4-20 网络访问控制方面的单项测评结果 (35)
表4-21 安全审计方面的单项测评结果 (35)
表4-22 边界完整性检查方面的单项测评结果 (36)
表4-23 网络入侵防范方面的单项测评结果 (36)
表4-24 恶意代码防范方面的单项测评结果 (36)
表4-25 网络设备防护方面的单项测评结果 (37)
表4-26身份鉴别的选择 (37)
表4-27访问控制 (40)
表4-28安全审计 (43)
表4-29剩余信息保护 (45)
表4-30入侵防范 (46)
表4-31恶意代码防范 (48)
表4-32 资源控制 (49)
表4-33 身份鉴别方面的单项测评结果 (51)
表4-34 访问控制方面的单项测评结果 (52)
表4-35 安全审计方面的单项测评结果 (52)
表4-36 剩余信息保护方面的单项测评结果 (52)
表4-37 入侵防范方面的单项测评结果 (53)
表4-38 恶意代码防范方面的单项测评结果 (53)
表4-39 资源控制方面的单项测评结果 (53)
表4-40 身份鉴别 (54)
表4-41访问控制 (55)
表4-42安全审计 (57)
表4-43资源控制 (59)
表4-44 身份鉴别方面的单项测评结果 (60)
表4-45 访问控制方面的单项测评结果 (60)
表4-46 安全审计方面的单项测评结果 (60)
表4-47 资源控制方面的单项测评结果 (60)
表4-48 身份鉴别 (61)
表4-49 访问控制 (62)
表4-50 安全审计 (64)
表4-51 剩余信息保护 (65)
表4-52 通信完整性 (66)
表4-53通信保密性 (66)
表4-54 抗抵赖 (67)
表4-55 软件容错 (67)
表4-56 资源控制 (68)
表4-57 身份鉴别单项测评结论 (70)
表4-58 访问控制单项测评结论 (70)
表4-59 安全审计单项测评结论 (70)
表4-60 剩余信息保护单项测评结论 (71)
表4-61 通信完整性单项测评结论 (71)
表4-62 通信保密性单项测评结论 (71)
表4-63 抗抵赖单项测评结论 (71)
表4-64 软件容错单项测评结论 (72)
表4-65 资源控制单项测评结论 (72)
表4-66 数据完整性 (72)
表4-67 数据保密性 (73)
表4-68 备份和恢复 (74)
表4-70 数据保密性方面的单项测评结果 (75)
表4-71 数据备份与恢复方面的单项测评结果 (75)
表4-72管理制度 (76)
表4-73制定和发布 (77)
表4-74 评审和修订 (78)
表4-75 安全管理制度方面的单项测评结果 (78)
表4-76岗位设置 (79)
表4-77人员配备 (80)
表4-78授权和审批 (80)
表4-79 沟通和合作 (81)
表4-80审核和检查 (82)
表4-81 安全管理机构方面的单项测评结果 (83)
表4-82人员录用 (84)
表4-83人员离岗 (85)
表4-84 人员考核 (85)
表4-85 安全意识教育和培训 (86)
表4-86外部人员访问管理 (87)
表4-87 人员安全管理方面的单项测评结果 (87)
表4-88系统定级 (88)
表4-89 安全方案设计 (89)
表4-90产品采购和使用 (90)
表4-91自行软件开发 (91)
表4-92外包软件开发 (92)
表4-93工程实施 (93)
表4-94测试验收 (94)
表4-95系统交付 (95)
表4-96系统备案 (96)
表4-97等级测评 (96)
表4-98安全服务商选择 (97)
表4-99 系统建设管理方面的单项测评结果 (99)
表4-100环境管理 (100)
表4-101资产管理 (101)
表4-102介质管理 (102)
表4-103设备管理 (103)
表4-104监控管理和安全管理中心 (104)
表4-105网络安全管理 (105)
表4-106系统安全管理 (106)
表4-107恶意代码防范管理 (108)
表4-108密码管理 (109)
表4-109 变更管理 (109)
表4-110备份与恢复管理 (110)
表4-111安全事件处理 (111)
表4-112 应急预案管理 (113)
表5-1 物理安全互补分析 (118)
表5-2 网络安全互补分析 (118)
表5-3 主机安全互补分析 (120)
表5-4 数据安全互补分析 (121)
表5-5 应用安全互补分析 (123)
表5-6 安全管理互补分析 (124)
表6-1 测评结果汇总 (126)
表7-1 信息资产赋值 (130)
表7-2 资产赋值 (131)
表7-3 信息安全威胁分析 (131)
表7-4 风险分析 (135)
图索引
图2-1 XX总体架构图 (6)
报告摘要
本次测评的对象是XX,该系统向企业用户和社会渠道提供车辆信息服务,基于XX业务信息包含:运输企业信息、运输企业车辆信息、从业人员信息、危险品车辆电子运单信息、车辆时时状态信息。该系统是对运输企业营运车辆的时时监控,运输企业可通过该系统设置形式速度、行驶区域对车辆进行管制,对违章行驶的车辆进行及时通知、及时制止。该系统以省集中结构模式,负责各地市以及相关企业及部门车辆批量数据的采集、集中存储,相关企业和部门的查询等。各车辆运营相关企业和单位可以通过网络与平台进行数据交换,满足各企业和地市平台向省平台进行数据交换的需求。
根据定级报告,XX的业务信息安全保护等级为第三级,系统服务安全保护等级为第三级,安全保护等级第三级。
本次测评工作大致分为准备阶段、现场实施阶段、报告分析编写阶段,历时10天左右;投入人员4人。测评内容涵盖等级保护安全技术要求的5个层面和安全管理要求的5个方面,涉及测评分类73类。
本次测评结果表明被测系统的信息安全保障架构已经初具规模。被测系统的信息安全技术措施已基本到位,在技术上已从物理、网络、主机和应用等层面形成了架构比较合理、设备比较齐全、措施比较到位的安全防范技术体系。被测系统的信息安全管理机制已初步形成,在安全管理上已基本能够做到策略明确、制度完善、组织严密、人员职责清晰、操作规程化、运行维护常态化、初步形成了长期、有效的安全管理机制。
本次测评也发现被测系统存在一些安全问题,主要包括:
1、网络边界未部署入侵检测设备;
2、未采用两种鉴别技术对管理用户身份进行鉴别。
针对被测系统存在的安全问题,结合等级保护三级相关要求,提出以下整改建议:
1、应在网络边界部署入侵检测设备,如IDS。
2、应采用两种或两种以上组合的鉴别技术对管理用户身份进行鉴别。
通过本次测评可以看出,被测系统基本能够满足GB/T 22239-2008 《信息安全技术信息系统安全等级保护基本要求》第三级的要求。因此,本次XX的等级测评结论为:基本符合。
测评结果符合率为:82.15%。
第1章测评项目概述
1.1 测评目的
根据XX定级结果情况,从《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)中选择相应等级的测评指标,结合XX的构成特点,确定具体的测评对象,制定测评方案,通过访谈、检查和测试等方式判断其安全技术和安全管理的各个方面对测评指标的符合程度,判断被测系统的安全保护能力是否满足国家信息系统安全等级保护要求。
1.2 测评依据
1)《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)
2)《信息安全技术信息系统安全等级保护测评要求》(报批稿)
3)《信息安全技术信息系统安全等级保护实施指南》(报批稿)
4)《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)
5)《计算机信息系统安全保护等级划分准则》(GB17859-1999)
1.3 测评过程
等保测评工作流程分为三个阶段:测评准备阶段、现场实施阶段以及报告分析编写阶段。
1)准备阶段
准备阶段主要包括:现场调研,制定评估工作方案,人员、设备调配,技术准备,保密教育等工作。
2)现场实施阶段
依据工作方案,完成现场检测与数据采集工作。
3)等保符合性评估与编写等保方案阶段
根据检测结果,通过定量计算、综合分析,对被检测系统做出全面评估,编写相关报告,组织专家审议。
本次项目现场工作日程安排:上午9:00---12:00、下午13:00---17:30。项目进度参照计划安排实施,根据实际情况进行合理调整。若有变更和调整,将由双方协商讨论最终确认,并由质量管理员(QA)进行跟踪记录,做到项目切实可行的可控性。本次项目整体周期为10天,具体工作时间安排如下表1-1:
表1-1 测评任务表
1.4 报告分发范围
依据项目要求,本次测评交付等级测评报告一式三份,分别提交测评委托单位(两份)、测评实施单位留存。