收藏
下载资源

网络实验室系统信息安全等级测评报告

上传人:QQ15****706 文档编号:99552409 上传时间:2019-09-19 格式:DOC 页数:37 大小:461KB
返回 下载 相关 举报
网络实验室系统信息安全等级测评报告_第1页
第1页 / 共37页
网络实验室系统信息安全等级测评报告_第2页
第2页 / 共37页
网络实验室系统信息安全等级测评报告_第3页
第3页 / 共37页
网络实验室系统信息安全等级测评报告_第4页
第4页 / 共37页
网络实验室系统信息安全等级测评报告_第5页
第5页 / 共37页
点击查看更多>>
资源描述

《网络实验室系统信息安全等级测评报告》由会员分享,可在线阅读,更多相关《网络实验室系统信息安全等级测评报告(37页珍藏版)》请在金锄头文库上搜索。

1、网络实验室系统网络实验室系统 信息安全等级测评报告信息安全等级测评报告 系统名称:系统名称:网络实验室系统网络实验室系统 被测单位:被测单位:西科大西科大 测评单位:测评单位: 报告时间:报告时间:20152015 年年 4 4 月月 1010 日日 内部资料内部资料 注意保管注意保管 项目编号项目编号 合同编号合同编号 报告编号报告编号 文档编号文档编号 XXX 系统信息安全等级测评报告 2014 说明:说明: 一、每个备案信息系统单独出具测评报告。 二、测评报告编号为四组数据。各组含义和编码规则如下: 第一组为信息系统备案表编号,由 12 位数字组成,可以从公安机 关颁发的信息系统备案证明

2、(或备案回执)上获得,即证书编号的前 12 位(前 6 位为受理备案公安机关代码,后 6 位为受理备案的公安机 关给出的备案单位的顺序编号) 。 第二组为年份,由 2 位数字组成。例如 09 代表 2009 年。 第三组为测评机构代码,由四位数字组成。前两位为省级行政区 划数字代码的前两位或行业主管部门编号:00 为公安部,11 为北京, 12 为天津,13 为河北,14 为山西,15 为内蒙古,21 为辽宁,22 为吉 林,23 为黑龙江,31 为上海,32 为江苏,33 为浙江,34 为安徽,35 为福建,36 为江西,37 为山东,41 为河南,42 为湖北,43 为湖南, 44 为广东

3、,45 为广西,46 为海南,50 为重庆,51 为四川,52 为贵州, 53 为云南,54 为西藏,61 为陕西,62 为甘肃,63 为青海,64 为宁夏, 65 为新疆,66 为新疆兵团。90 为国防科工局,91 为电监会,92 为教 育部。后两位为公安机关或行业主管部门推荐的测评机构顺序号。 第四组为本年度信息系统测评次数,由两位构成。例如 02 表示该 信息系统本年度测评 2 次。 XXX 系统信息安全等级测评报告 2014 信息系统等级测评基本信息信息系统等级测评基本信息表表 信息系统信息系统 系统名称系统名称网络实验室系统安全保护等级安全保护等级第 2 级 备案证明编号备案证明编号

4、测评结论测评结论部分符合 委托单位委托单位 单位名称单位名称 单位地址单位地址邮政编码邮政编码 姓 名职务/职称 所属部门办公电话联联 系系 人人 移动电话电子邮件 测评单位测评单位 单位名称单位名称单位代码单位代码 通信地址通信地址邮政编码邮政编码 姓 名职务/职称 所属部门办公电话联联 系系 人人 移动电话电子邮件 编 制 人编制日期 审 核 人审核日期审核批准审核批准 批 准 人批准日期 信息安全等级测评报告 2015 声明声明 本报告是西科大网络实验室系统的安全等级测评报告。 本报告测评结论的有效性建立在被测评单位提供相关证据 的真实性基础之上。 本报告中给出的测评结论仅对被测信息系统

5、当时的安全状 态有效。当测评工作完成后,由于信息系统发生变更而涉及到 的系统构成组件(或子系统)都应重新进行等级测评,本报告 不再适用。 本报告中给出的测评结论不能作为对信息系统内部署的相 关系统构成组件(或产品)的测评结论。 在任何情况下,若需引用本报告中的测评结果或结论都应 保持其原有的意义,不得对相关内容擅自进行增加、修改和伪 造或掩盖事实。 20152015 年年 5 5 月月 1010 日日 信息安全等级测评报告 2015 目录 -I- 目目 录录 报告摘要报告摘要.I 1 1测评项目概述测评项目概述.1 1.1 测评目的1 1.2 测评依据1 1.3 参考依据1 1.4 测评过程2

6、 1.5 报告分发范围4 2 2被测信息系统情况被测信息系统情况 .5 2.1 承载的业务情况5 2.2 系统构成5 2.2.1 机房5 2.2.2 主机设备5 2.2.3 安全设备6 2.2.4 安全管理文档6 2.3 安全环境10 2.4 前次测评情况11 3 3等级测评范围与方法等级测评范围与方法11 3.1 测评指标11 3.2 测评对象12 3.2.1 测评对象选择方法12 3.2.2 测评对象选择结果12 3.3 测评方法18 3.3.1 现场测评方法18 3.3.2 风险分析方法19 4 4单元测评单元测评 20 4.1 网络安全20 4.1.1结果汇总20 4.1.2结果分析2

7、1 4.2 主机安全22 4.2.1 结果汇总22 4.2.2 结果分析22 4.3 应用安全23 4.3.1 结果汇总23 4.3.2 结果分析23 5 5整体测评整体测评 24 5.1 安全控制间安全测评25 5.2 层面间安全测评25 5.3 区域间安全测评26 6 6测评结果汇总测评结果汇总.26 信息安全等级测评报告 2015 目录 -II- 7 7风险分析和评价风险分析和评价.28 8 8安全建设安全建设/ /整改建议整改建议30 9等级测评结论等级测评结论.31 信息安全等级测评报告 2015 摘要-I- 报告摘要报告摘要 西科大网络实验室系统作为西科大的重要信息系统,主要业务有

8、:为西科大的 学生提供安全的网络实验环境与流畅的实验网络。西科大“网络实验室系统”的业 务信息安全等级为第二级,系统服务安全等级为第二级,系统安全保护等级为第二 级。 受西科大的委托,成都市锐信安信息安全技术有限公司项目组于 2014 年 10 月 8 日对被测信息系统进行了等级保护现场测评。项目组人员依据 GB/T 22239- 2008信息安全技术 信息系统安全等级保护基本要求标准中二级要求,选取 S2A2G2 指标项组合,分别从管理与技术两个方面对被测信息系统进行客观的访谈、 检查、测试。 本次“西科大网络实验室系统”系统测评的范围为西科大主机房,涉及安全技 术要求的网络安全、主机安全、

9、应用安全共计三个测评单元。测评应用系统 1 套、 网络与安全设备 1 台,安全管理文档若干,服务器主机 1 台、0 套 VMWare vSphere ESXi 系统和西科大主机房。 本次测评指标按照GB/T 22239-2008 信息安全技术 信息系统安全等级保护 基本要求中对信息系统安全保护等级第二级(S2A2G2)系统要求确定安全子类 66 项。通过单项测评、单元测评和整体测评,系统未发现高风险问题,依据关于 印发信息系统安全等级测评报告模版(试行) 的通知(公信安20091487 号) 中的规定,本次测评结论为基本符合基本符合。 被测信息系统基本符合第二级信息系统等级保护的安全要求,但仍

10、存在不足之 处,希望在以后安全建设整改中继续完善。 网络实验室系统信息安全等级测评报告 2015 正文第 1 页/共 58 页 1 1测评项目概述测评项目概述 1.11.1 测评目的测评目的 通过对西科大“网络实验室系统”开展安全测评工作,可以全面、完整地了解 当前西科大网络实验室系统的安全状况,分析系统所面临的各种风险。根据测评结 果发现系统存在的安全问题,并对严重问题提出相应的风险控制策略,并为下一步 进行整个系统的信息系统安全建设做前期准备。 对信息系统进行安全等级测评是国家推行等级保护制度的一个重要环节,也是 对信息系统进行安全建设和管理的重要组成部分。通过对西科大“网络实验室系统”

11、实施等级测评,可以发现信息系统的安全现状与需要达到的安全等级或目标的差异, 可以在技术和管理方面进行有针对性的加强和完善,使重要信息系统安全工作有的 放矢。 西科大可依据等级测评结果,并结合单位实际情况,区分轻重缓急,制定针对 性的安全整改计划,通过安全整改不断提高信息系统的整体安全保护水平。 1.21.2 测评依据测评依据 1) GB/T 22239-2008信息安全技术 信息系统安全等级保护基本要求 (简称 基本要求 ) 2) GB/T 28448-2012信息安全技术 信息系统安全等级保护测评要求 (简称 测评要求 ) 3) 西科大网络实验室系统定级报告 1.31.3 参考依据参考依据

12、1) 中华人民共和国计算机信息系统安全保护条例(国务院 147 号令) 2) 关于印发信息系统安全等级测评报告模版(试行) 的通知(公信安 20091487 号) 3) GB/T 22240-2008信息安全技术 信息系统安全等级保护定级指南 (简称 网络实验室系统信息安全等级测评报告 2015 正文第 2 页/共 58 页 定级指南 ) 4) GB/T 25058-2010信息安全技术 信息系统安全等级保护实施指南 (简称 实施指南 ) 5) GB/T 28449-2012信息安全技术 信息系统安全等级保护测评过程指南 (简称测评过程指南 ) 6) 卫生行业信息安全等级保护工作的指导意见 (

13、卫办发201185 号) 1.41.4 测评过程测评过程 本次测评过程分为四个阶段,即测评准备阶段、方案编制阶段、现场测评阶段、 分析与报告编制阶段。 测评准备阶段,对西科大“网络实验室系统”进行前期调查,掌握信息系统的 详细情况,并确定测评对象;根据信息系统的实际情况准备现场测评表与测试工具。 方案编制阶段,编制与西科大“网络实验室系统”相适应的测评内容及实施方 法。 测评实施阶段,按照测评方案的总体要求,严格执行测评实施手册,分步实施 所有测评项目;通过单项测评和系统整体测评两个方面,了解系统的真实保护情况, 获取足够证据,发现系统存在的安全问题。 报告编制阶段,根据现场测评结果和相关标准

14、的有关要求,通过单项测评结果 判定和系统整体测评分析等方法,分析整个系统的安全保护现状与相应等级的保护 要求之间的差距,综合评价被测信息系统保护状况,并形成测评报告文本。 基本工作流程图如下图 1-1 所示: 网络实验室系统信息安全等级测评报告 2015 正文第 3 页/共 58 页 等级测评项目启动 信息收集与分析 工具和表单准备 测评准备活动 测评对象确定测评指标确定 测评工具接入点确定 测评方案编制 测评内容确定 测评实施手册开发 方案编制活动 测评实施准备 现场测评和结果记录 结果确认和资料归还 单项测评结果判定 单项测评结果汇总分析 系统整体测评分析 风险分析 测评报告编制 现场测评

15、活 修订 分析与报告编制活动 沟通与洽谈 图 1-1 基本工作流程图 在整个等级测评过程中与项目组与西科大保持良好地沟通与访谈,促进本次测 评顺利完成。 测评准备活动:时间为 2015 年 4 月 08 日,主要工作内容为:准备调研内容, 收集调查结果和整理分析调查材料。 方案编制活动:时间为 2015 年 4 月 09 日-10 日,主要工作内容为:制定测评 方案。 网络实验室系统信息安全等级测评报告 2015 正文第 4 页/共 58 页 现场测评活动:时间为 2015 年 4 月 11 日-5 月 1 日,主要工作内容为:准备 现场文档,现场测评本次测评范围内所属应用系统、服务器、相关网络安全设备并 记录现场测评结果,对安全管理机构、人员安全管理、安全管理制度、系统建设安 全管理、系统运维安全管理做现场

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 学术论文 > 论文指导/设计

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号