信息安全等级测评的报告.doc

报告编号： XXXX 测 评 报 告 系统名称： XX 被测单位： XX 测评单位： xx信息安全技术有限公司 报告时间： 信息系统等级测评基本信息表 信息系统 系统名称 安全保护等级 备案证明编号 测评结论 被测单位 单位名称 单位地址 邮政编码 联 系 人 姓 名 职务/职称 所属部门 办公电话 移动电话 电子邮件 测评单位 单位名称 xx信息安全技术有限公司 单位代码 通信地址 郑 邮政编码 1 联 系 人 姓 名 职务/职称 总经理 所属部门 办公电话 0 移动电话 电子邮件 审核批准 编 制 人 编制日期 20 -06-30 审 核 人 审核日期 20 -06-30 批 准 人 批准日期 20 -06-30 声 明 本次测评由XX委托xx信息安全技术有限公司负责实施。项目组人员：XX。 本报告是XX的等级测评报告。 本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。 本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。当测评工作完成后，由于信息系统发生变更而涉及到的系统构成组件（或子系统）都应重新进行等级测评，本报告不再适用。 本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件（或产品）的测评结论。 在任何情况下，若需引用本报告中的测评结果或结论都应保持其原有的意义，不得对相关内容擅自进行增加、修改和伪造或掩盖事实。 xx信息安全技术有限公司(盖章) 20 年 6月目 录 报告摘要 1 第1章 测评项目概述 3 1.1 测评目的 3 1.2 测评依据 3 1.3 测评过程 3 1.4 报告分发范围 5 第2章 被测信息系统情况 6 2.1 网络结构 6 2.2 系统构成 7 2.2.1 业务应用软件 7 2.2.2 主机/存储设备 7 2.2.3 网络互联设备 8 2.2.4 安全设备 8 2.2.5 安全相关人员 8 2.2.6 安全管理文档 8 第3章 等级测评范围与方法 11 3.1 测评指标 11 3.1.1 基本指标 11 3.1.2 特殊指标 12 3.2 测评对象 12 3.2.1 测评对象选择方法 12 3.2.2 测评对象选择结果 12 3.3 测评方法 15 第4章 单元测评 17 4.1 物理安全 17 4.1.1 结果记录 17 4.1.2 汇总与分析 24 4.2 网络安全 25 4.2.1 结果记录 25 4.2.2 汇总与分析 36 4.3 主机安全（操作系统） 38 4.3.1 结果记录 38 4.3.2 汇总与分析 52 4.4 主机安全（数据库） 55 4.4.1 结果记录 55 4.4.2 汇总与分析 61 4.5 应用安全 62 4.5.1 结果记录 62 4.5.2 汇总与分析 71 4.6 数据安全及备份恢复 73 4.6.1 结果记录 73 4.7 安全管理制度 77 4.7.1 结果记录 77 4.7.2 汇总与分析 79 4.8 安全管理机构 80 4.8.1 结果记录 80 4.8.2 汇总与分析 84 4.9 人员安全管理 85 4.9.1 结果记录 85 4.9.2 汇总与分析 88 4.10 系统建设管理 89 4.10.1 结果记录 89 4.10.2 汇总与分析 99 4.11 系统运维管理 100 4.11.1 结果记录 100 4.11.2 汇总与分析 115 第5章 整体测评 117 5.1 安全控制间安全测评 117 5.2 层面间安全测评 118 5.3 区域间安全测评 118 5.4 关联互补分析 119 5.4.1 物理安全互补分析 119 5.4.2 网络安全互补分析 119 5.4.3 主机安全互补分析 121 5.4.4 数据安全互补分析 122 5.4.5 应用安全互补分析 123 5.4.6 安全管理互补分析 125 第6章 测评结果汇总 127 第7章 风险分析与评价 131 7.1 信息资产赋值 131 7.2 威胁分析 132 7.3 风险分析 136 第8章 等级测评结论 138 第9章 安全建设整改建议 139 9.1 物理安全 139 9.2 网络安全 139 9.3