信息系统安全等级测评报告

《信息系统安全等级测评报告》由会员分享，可在线阅读，更多相关《信息系统安全等级测评报告（244页珍藏版）》请在金锄头文库上搜索。

1、 报告编号：（ ）信息系统安全等级测评报告系统名称：一级分行网络系统被测单位：xxx测评单位：xxx报告时间：20xx年x月xx日241说明：一、每个备案信息系统单独出具测评报告。二、测评报告编号为四组数据，各组含义和编码规则如下。第一组为信息系统备案表编号，有11位数字组成，可以从公安机关颁发的信息系统备案证明（或备案回执）上获得，即证书编号的前11位（前6位为受理备案公安机关代码，后5位为受理备案的公安机关给出的备案单位的顺序编号）。第二组为年份，由2位数字组成。例如09代表2009年。第三组为测评机构代码，由4位数字组成。前两位为省级行政区划数字代码的前两位或行业主管部门编号：00为公安

2、部，11为北京，12为某，13为河北，14为山西，15为内蒙古，21为辽宁，22为吉林，23为黑龙江，31为上海，32为江苏，33为浙江，34为安徽，35为福建，36为江西，37为山东，41为河南，42为湖北，43为湖南，44为广东，45为广西，46为海南，50为重庆，51为四川，52为贵州，53为云南，54为西藏，61为陕西，62为甘肃，63为青海，64为宁夏，65为新疆，66为新疆兵团。90为国防科工局，91为电监会，92为教育部。后两位为公安机关或行业主管部门推荐的测评机构顺序号。第四组为本年度信息系统测评次数，由两位构成。例如02表示该信息系统本年度测评2次。信息系统等级测评基本信息表

3、信息系统系统名称一级分行网络系统安全保护等级第三级备案证明编号测评结论基本符合被测单位单位名称xxx单位地址邮政编码联系人姓 名职务/职称所属部门办公电话移动电话电子邮件测评单位单位名称单位代码通信地址邮政编码联系人姓 名职务/职称所属部门办公电话移动电话电子邮件审核批准编制人编制日期审核人审核日期批准人批准日期注:单位代码由受理测评机构备案的公安机关给出。声 明本报告是某银行一级分行网络系统的等级测评报告。本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。当测评工作完成后，由于信息系统发生变更而涉及到的系统构成组件（

4、或子系统）都应重新进行等级测评，本报告不再适用。本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件（或产品）的测评结论。在任何情况下，若需引用本报告中的测评结果或结论都应保持其原有的意义，不得对相关内容擅自进行增加、修改和伪造或掩盖事实。目 录信息系统等级测评基本信息表II声 明III报告摘要1第1章 测评项目概述21.1测评目的21.2测评依据51.3测评过程111.4报告分发范围34第2章 被测信息系统情况352.1承载的业务情况352.2网络结构362.3系统构成372.3.1 业务应用软件372.3.2 关键数据类别372.3.3 主机/存储设备372.3.4 网络互联设

5、备372.3.5 安全设备382.3.6 安全相关人员402.3.7 安全管理文档402.4安全环境512.5前次测评情况53第3章 等级测评范围与方法543.1测评指标543.1.1基本指标543.1.2特殊指标903.2测评对象1053.2.1 测评对象选择方法1053.2.2 测评对象选择结果1063.3测评方法119第4章 单元测评1214.1 物理安全1214.1.1 结果记录1214.1.2结果汇总1324.1.3 问题分析1334.2网络安全1344.2.1 结果记录1344.2.2 结果汇总1424.2.3 问题分析1434.3主机安全1444.4 应用安全1454.5数据安全

6、及备份恢复1464.5.1 结果记录1464.5.2 结果汇总1494.5.3 问题分析1504.6 安全管理制度1514.6.1 结果记录1514.6.2 结果汇总1554.6.3 问题分析1564.7 安全管理机构1574.7.1 结果记录1574.7.2 结果汇总1644.7.3 问题分析1644.8 人员安全管理1664.8.1 结果记录1664.8.2 结果汇总1704.8.3 问题分析1714.9 系统建设管理1724.9.1 结果记录1724.9.2 结果汇总1844.9.3问题分析1854.10 系统运维管理1864.10.1 结果记录1864.10.2 结果汇总2154.10

7、.3 问题分析216第5章 整体测评2175.1安全控制间安全测评2205.2层面间安全测评2235.3区域间安全测评2265.4系统结构安全测评229第6章 测评结果汇总232第7章 风险分析和评价235第8章 等级测评结论240第9章 安全建设整改建议241报告摘要一级分行网络系统业务信息安全等级为3级，系统服务安全等级为3级，通用安全保护等级为3级。一级分行网络系统主要是负责承载某分行所辖所有机构的业务数据、管理数据的传输，承载某分行与各外联单位的数据传输。本次测评范围为某银行一级分行网络系统，从技术与管理两方面测评该信息系统是否符合信息安全保护等级第3级的标准要求，技术方面包括物理安全

8、、网络安全、主机安全、应用安全和数据安全及备份恢复，管理方面包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理。综合单元测评、整体测评和风险分析结果，得出某银行某市分行一级分行网络系统的等级测评结论为基本符合。一级分行网络系统存在着一些安全问题，在技术方面，机房内未安装机房专用空调对温湿度进行控制，不能对温湿度进行精密控制；互联网区、外联区防火墙上没有开启深度检测功能，不能对进入网络的流量进行应用层的检测；网络系统由代理服务器中的软件对部分数据进行分析，不能生成审计报表；无法对内部人员使用其他途径的上网方式（如无线上网卡等）进行控制、阻断；互联网区域部署了飞塔（Forti

9、net）防病毒网关，可以对进入网络的内容进行恶意代码检测和清除，外联区只有启明星辰IDS进行检测，没有部署防病毒网关；分行在河北支行设置了同城数据备份中心，与其生产中心直线距离未达到30公里，河北支行只有介质库，无法接管所有核心业务的运行等；在管理方面无问题。根据安全问题，建议信息系统做如下改进，在技术方面，建议机房使用专用的空调设备；建议通过配置防火墙策略对互联网区、外联区的数据内容进行检测；建议添加审计设备便于数据分析和生成审计报表；建议屏蔽终端通过无线上网卡跨接，来控制和阻断非法外联；建议在外联区设置防毒墙设备，来防止恶意代码入侵；建议完善同城数据中心的相关功能，保证大楼主机房发生故障时

10、，同城数据中心接管所有核心业务的运行。第1章 测评项目概述1.1测评目的随着科学技术的迅猛发展和信息技术的广泛应用，特别是我国国民经济和社会信息化进程的全面加快，信息化带动了工业化的发展，初步实现了互联互通、资源共享、跨越式发展的信息化发展目标。基础信息网络与重要信息系统的基础性、全局性作用日益增强，已成为国家和社会发展新的重要战略资源。与此同时，随着社会信息化的依赖程度越来越高，网络和信息系统的安全问题愈加重要。保障基础网络和重要信息系统安全，更好地维护国家安全、保障社会稳定和经济命脉，是信息化发展中必须要解决的重大问题。但是从整体上看，我国的信息安全保障工作尚处于初级阶段，基础薄弱，水平不

11、高，存在许多亟待解决的问题。应当看到，我国信息安全面临的形势非常严峻，互联网上影响国家安全和社会稳定的问题日益突出，网上斗争越来越尖锐复杂。作为非传统安全范畴的信息安全问题，已经成为当前最难控制、最难把握的问题之一，必须高度重视信息安全，维护网络空间的国家安全和国家利益。信息安全等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法，是促进信息化健康发展，维护国家安全、社会秩序和公共利益的根本保障。国务院法规和中央文件明确规定，要实行信息安全等级保护，重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度。信息安全等级保护是当今发达国

12、家保护关键信息基础设施、保障信息安全的通行做法，也是我国多年来信息安全工作经验的总结。开展信息安全等级保护工作不仅是保障重要信息系统安全的重大措施，也是一项事关国家安全、社会稳定、国家利益的重要任务。信息系统安全等级保护测评工作是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。等级测评是标准符合性评判活动，即依据信息安全等级保护的国家标准或行业标准，按照特定方法对信息系统的安全保护能力进行科学公正的综合评判过程。某银行是一家在中国市场处于领先地位的股份制商业银行，为客户提供全面的商业银行产品与服务。主要经营领

13、域包括公司银行业务、个人银行业务和资金业务，多种产品和服务（如基本建设贷款、住房按揭贷款和银行卡业务等）在某银行业居于市场领先地位。在“2010年中国25家最受尊敬上市公司”排行榜中，位列第5位，公司董秘陈彩虹荣膺“中国上市公司最佳董秘”大奖。 某银行拥有广泛的客户基础，与多个大型企业集团及中国经济战略性行业的主导企业保持银行业务联系，营销网络覆盖全国的主要地区，设有13600多家分支机构。某银行在大陆境外的中国香港、新加坡、德国法兰克福、南非约翰内斯堡、日本东京、韩国首尔、美国纽约、越南胡志明市和澳大利亚悉尼设有海外分行，在英国伦敦设有子银行，在中国台湾台北、俄罗斯莫斯科设有代表处。某银行的

14、子公司包括某银行（亚洲）股份有限公司、建银国际（控股）有限公司、中德住房储蓄银行有限责任公司、建信基金管理有限责任公司和建信金融租赁股份有限公司。某银行已与世界上600家银行建立了代理行关系，其业务往来遍及五大洲的近80个国家。 某银行被巴菲特杂志、世界企业竞争力实验室、世界经济学人周刊联合评为2010年（第七届）中国上市公司100强，排名第7位。 该金融品牌在世界品牌价值实验室（World Brand Value Lab）编制的2010年度中国品牌500强排行榜中排名第十，品牌价值876.32亿元。 在由中国企业联合会、中国企业家协会共同发布的2011中国企业500强名单中某银行位列第8。某测评公司是某市高新技术企业，以高新技术为导向，雄厚的技术实力为依托，凝聚了大量网络安全专业的优秀人才，以技术为核心竞争力的企业文化打造了强悍的公司团队，从而建立了良好的公司发展基础。作为公安部推荐的等级保护测评机构，xxxx为客户提供等级保护定级咨询、等级保护测评、计算机安全检测、网络安全审计、网络与信息系统安全测评、信息安全产品检测、信息系统安全监控、信息安全应急响应、容灾备份及灾难恢复等相关技术、标准、实施指南的咨询与服务