信息安全等级测评报告案例（全）.docVIP

管理软件系统 安全等级测评报告 系统名称： 委托单位： 测评单位： 2010年05月 报告摘要 一、测评工作概述 XXXXXX国库集中支付单位版系统是XXXXXX的一个等级保护二级系统。该系统主要提供预算单位使用，主要包括上报用款计划、直接支付用款申请、开具单位授权支付令等业务。 本次测评主要依据GB/T-22239《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》，针对XXXXXX国库集中支付单位版系统，按照物理安全、网络安全、主机安全、应用安全、数据安全、安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理10个类别进行测评。 二、等级测评结果 由于XXXXXX国库集中支付单位版系统的基本符合项和不符合项总数较多且会导致信息系统面临高等级安全风险，因此该系统的测评结论为不符合。 三、系统存在的主要问题 在网络层面：未采取措施对网络设备运行状况、网络流量、用户行为等进行日志记录，无入侵防范措施措施。 主机层面：主机安全配置大部分为默认配置，未根据业务进行优化；未采取技术手段，定期对网络系统和业务应用系统进行漏洞扫描，不能及时发现系统自身存在的高危风险漏洞。 在应用层面：未采取技术措施保障通信的完整性，应用层资源控制力度较弱。 四、系统安全建设、整改建议 建议采取漏洞扫描、安全审计、入侵防范等措施，消除网络层面和主机层面存在的安全隐患。 报告目录 1 测评项目概述 1 1.1 测评目的 1 1.2 测评依据 1 1.3 测评过程 1 1.4 报告分发范围 3 2 被测系统情况 4 2.1 基本信息 4 2.2 业务应用 4 2.3 网络结构 4 2.4 系统构成 5 2.4.1 业务应用软件 5 2.4.2 关键数据类别 6 2.4.3 主机/存储设备 6 2.4.4 网络互联与安全设备 6 2.4.5 安全相关人员 7 2.4.6 安全管理文档 7 2.5 安全环境 8 3 等级测评范围与方法 9 3.1 测评指标 9 3.1.1 基本指标 9 3.1.2 附加指标 11 3.2 测评对象 11 3.2.1 测评对象选择方法 11 3.2.2 测评对象选择结果 12 3.3 测评方法 15 3.3.1 现场测评方法 15 3.3.2 风险分析方法 15 4 等级测评内容 16 4.1 物理安全 16 4.1.1 结果记录 16 4.1.2 问题分析 17 4.1.3 单元测评结果 17 4.2 网络安全 18 4.2.1 结果记录 18 4.2.2 问题分析 19 4.2.3 单元测评结果 20 4.3 主机安全 20 4.3.1 结果记录 20 4.3.2 问题分析 21 4.3.3 单元测评结果 22 4.4 应用安全 22 4.4.1 结果记录 22 4.4.2 问题分析 24 4.4.3 单元测评结果 24 4.5 数据安全及备份恢复 24 4.5.1 结果记录 24 4.5.2 问题分析 25 4.5.3 单元测评结果 25 4.6 安全管理制度 25 4.6.1 结果记录 25 4.6.2 问题分析 26 4.6.3 单元测评结果 26 4.7 安全管理机构 27 4.7.1 结果记录 27 4.7.2 问题分析 27 4.7.3 单元测评结果 28 4.8 人员安全管理 29 4.8.1 结果记录 29 4.8.2 问题分析 29 4.8.3 单元测评结果 30 4.9 系统建设管理 30 4.9.1 结果记录 30 4.9.2 问题分析 32 4.9.3 单元测评结果 32 4.10 系统运维管理 33 4.10.1 结果记录 33 4.10.2 问题分析 36 4.10.3 单元测评结果 36 4.11 工具测试 37 5 等级测评结果 38 5.1 整体测评 38 5.1.1 安全控制间安全测评 38 5.1.2 层面间安全测评 41 5.1.3 区域间安全测评 42 5.1.4 系统结构安全测评 42 5.2 测评结果 42 5.3 统计图表 46 6 风险分析和评价 47 6.1 安全事件可能性及后果分析 47 6.2 系统安全问题风险分析和评价表 49 7 系统安全建设、整改建议 52 7.1 物理安全 52 7.2 网络安全 52 7.3 主机安全 52 7.4 应用安全 52 7.5 数据安全及备份恢复 53 7.6 安全管理制度 53 7.7 安全管理机构 53 7.8 人员安全管理 53 7.9 系统建设管理 53 7.10 系统运维管理 54 附录一：安全漏洞扫描报告 55 附录二：XXXXXX国库集中支付单位版系统等级保护评估表 104 测评项目概述 测评目的 实施信息安全等级保护，可以有效地提高XXXXXX信息安全建设的整体水平，并且指明方