等保测评报告模板

公安部信息平安等级保护评估中心 信息系统平安等级测评报告模板工程名称： 委托单位： 测评单位： 年 月 日报告摘要一、测评工作概述概要描述被测信息系统的根本情况可参考信息系统平安等级保护备案表，包括但不限于：系统的运营使用单位、投入运行时间、承载的业务情况、系统效劳情况以及定级情况。见附件：信息系统平安等级保护备案表描述等级测评工作的委托单位、测评单位和等级测评工作的开展过程，包括投入测评人员与设备情况、完成的具体工作内容统计涉及的测评分类与工程数量，检查的网络互联与平安设备、主机、应用系统、管理文档数量，访谈人员次数。二、等级测评结果依据第4、5章的结果对等级测评结果进行汇总统计测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果；通过对信息系统根本平安保护状态的分析给出等级测评结论结论为达标、根本达标、不达标。三、系统存在的主要问题依据6.3章节的分析结果，列出被测信息系统中存在的主要问题以及可能造成的后果如，未部署DDos防御措施，易遭受DDos攻击，导致系统无法提供正常效劳。四、系统平安建设、整改建议针对系统存在的主要问题提出平安建设、整改建议，是对第七章内容的提炼和简要描述。报告根本信息信息系统根本情况系统名称平安保护等级机房位置中心机房灾备中心其他机房委托单位单位名称单位地址邮政编码联系人姓 名职务/职称所属部门办公 移动 电子邮件测评单位单位名称通信地址邮政编码联系人姓 名职务/职称所属部门办公 移动 电子邮件报告审核批准编制人日期审核人日期批准人日期声明声明是测评单位对于测评报告内容以及用途等有关事项做出的约定性陈述，包含但不限于以下内容：本报告中给出的结论仅对目标系统的当时状况有效，当测评工作完成后系统出现任何变更，涉及到的模块或子系统都应重新进行测评，本报告不再适用。本报告中给出的结论不能作为对系统内相关产品的测评结论。本报告结论的有效性建立在用户提供材料的真实性根底上。在任何情况下，假设需引用本报告中的结果或数据都应保持其本来的意义，不得擅自进行增加、修改、伪造或掩盖事实。 测评单位机构名称 年 月测评单位名称报告目录1测评工程概述11.1测评目的11.2测评依据11.3测评过程11.4报告分发范围22被测系统情况32.1根本信息32.2业务应用42.3网络结构42.4系统构成4业务应用软件4关键数据类别4主机/存储设备5网络互联与平安设备5平安相关人员6平安管理文档62.5平安环境63等级测评范围与方法73.1测评指标7根本指标7附加指标93.2测评对象9选择方法9选择结果103.3测评方法11现场测评方法11风险分析方法114等级测评内容124.1物理平安12结果记录12问题分析12单元测评结果124.2网络平安12结果记录12问题分析14单元测评结果144.3主机平安14结果记录14问题分析15单元测评结果154.4应用平安15结果记录15问题分析15单元测评结果154.5数据平安及备份恢复15结果记录15问题分析15单元测评结果154.6平安管理制度15结果记录15问题分析16单元测评结果164.7平安管理机构16结果记录16问题分析16单元测评结果164.8人员平安管理16结果记录16问题分析16单元测评结果164.9系统建设管理16结果记录16问题分析17单元测评结果174.10系统运维管理17结果记录17问题分析17单元测评结果174.11工具测试17结果记录17问题分析175等级测评结果175.1整体测评17平安控制间平安测评17层面间平安测评18区域间平安测评18系统结构平安测评185.2测评结果185.3统计图表226风险分析和评价226.1平安事件可能性分析226.2平安事件后果分析236.3风险分析和评价237系统平安建设、整改建议257.1物理平安257.2网络平安257.3主机平安257.4应用平安257.5数据平安及备份恢复257.6平安管理制度257.7平安管理机构257.8人员平安管理257.9系统建设管理267.10系统运维管理26附：信息系统平安等级保护备案表报告目录 -III-测评单位名称2022版1 测评工程概述1.1 测评目的描述信息系统的重要性：通过描述信息系统的根本情况，包括运营使用单位的性质，承载的主要业务和系统效劳情况，进一步说明其在国家平安、经济建设、社会生活中的重要程度，受到破坏后对国家平安、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等。描述等级测评工作的根本情况，包括委托单位、测评单位、测评范围及预期如，通过等级测评找出与国家标准要求之间的差距。描述测评报告的用途如，作为后续平安整改的依据。1.2 测评依据开展测评活动所依据的合同、标准和文件： 1) ?信息平安等级保护管理方法?公通字202243号2) ?关于加强国家电子政务工程建设工程信息平安风险评估工作的通知?发改高技20222071号 针对“国家电子政务工程建设工程有效3) GB/T 22239-2022 信息平安技术 信息系统平安等级保护根本要求4) GB/T 20984-2022 信息平安技术 信息平安风险评估标准5) ?信息平安技术 信息系统平安等级保护测评要求?国标报批稿6) 被测信息系统平安等级保护定级报告7) 等级测评任务书/测评合同等1.3 测评过程描述本次等级测评的工作流程可参考?信息系统平安等级保护测评过程指南?，具体内容包括但不限于：（一） 测评工作流程图（二） 各阶段完成的关键任务（三） 工作的时间节点1.4 报告分发范围依据工程需求，明确应交付等级测评报告的数量与分发范围如本报告一式三份，一份提交测评委托单位、一份提交受理备案的公安机关、一份由测评单位留存。2 被测系统情况2.1 根本信息系统名称 本报告模板针对作为单一定级对象的信息系统制定。主管机构系统承载业务情况业务类型01生产作业 02指挥调度 03管理控制 04内部办公 05公众效劳 09其他 业务描述 系统效劳情况效劳范围010全国 011跨省区、市 跨 个 020全省区、市 021跨地市、区 跨 个030地市、区内 099其它 效劳对象01单位内部人员 02社会公众人员 03两者均包括 09其他 系统网络平台覆盖范围01局域网 02城域网 03广域网 09其他 网络性质01业务专网 02互联网 09其它 系统互联情况 01与其他行业系统连接 02与本行业其他单位系统连接03与本单位其他系统连接 09其它 业务信息平安保护等级系统效劳平安保护等级信息系统平安保护等级2.2 业务应用描述信息系统承载的业务应用情况。2.3 网络结构给出被测信息系统的拓扑结构示意图，并基于示意图说明被测信息系统的网络结构根本情况，包括但不限于：（一） 功能/平安区域划分、隔离与防护情况（二） 关键网络和主机设备的部署情况和功能简介（三） 与其他信息系统的互联情况和边界设备（四） 本地备份和灾备中心的情况2.4 系统构成以列表的形式分类描述信息系统的软、硬件构成情况。2.4.1 业务应用软件以列表的形式给出被测信息系统中的业务应用软件包括含中间件等应用平台软件，描述工程包括软件名称、主要功能简介和重要程度。序号软件名称主要功能重要程度2.4.2 关键数据类别序号数据类型所属业务应用主机/存储设备重要程度2.4.3 主机/存储设备以列表形式给出被测信息系统中的主机设备包含操作系统和数据库管理系统软件，描述工程包括设备名称、操作系统、数据库管理系统以及承载的业务应用软件系统。序号设备名称操作系统/数据库管理系统业务应用软件2.4.4 网络互联与平安设备以列表形式给出被测信息系统中的网络互联及平安设备。设备名称应确保在被测信息系统范围内的唯一性，建议采取类别-用途/功能/型号-编号可选的三段命名方式。序号设备名称用 途重要程度1路由器_内部_1内部边界路由重要2路由器_VPN_1远程管理维护重要3路由器_VPN_2远程管理维护重要4防火墙_WEB_1Web区之间访问控制重要2.4.5 平安相关人员以列表形式给出与被测信息系统平安相关的人员，描述工程包括姓名、岗位/角色和联系方式。人员包括但不限于平安主管、系统建设负责人、系统运维负责人、网络平安管理员、主机平安管理员、数据库平安管理员、应用平安管理员、机房管理人员、资产管理员、业务操作员、平安审计人员等。序号姓名岗位/角色联系方式2.4.6 平安管理文档与信息系统平安相关的文档，包括：（一） 管理类文档，如机构总体平安方针和政策方面的管理制度、人员平安教育和培训方面的管理制度、第三方人员访问控制方面的管理制度、机房平安管理方面的管理制度等；（二） 记录类文档，如设备运行维护记录、会议记录等；（三） 其他类文档，如专家评审意见等。序号文档名称主要内容2.5 平安环境描述被测信息系统的运行环境中与平安相关的局部：如数据中心位于运营效劳商机房中、网络存在互联网连接、网络中部署无线接入点以及支持远程拨号访问用户等。以列表形式给出被测信息系统的威胁列表，并基于历史统计或者行业判断进行威胁赋值，具体内容可参考?风险评估标准?。序号威胁分(子)类描述威胁赋值1网络攻击利用工具和技术通过网络对信息系统进行攻击和入侵高3 等级测评范围与方法3.1 测评指标测评指标包括根本指标和附加指标两局部，以列表的形式给出。依据定级结果选择?根本要求?中对应级别的平安要求作为等级测评的根本指标； 3.1.1 根本指标根本指标物理和网络子类的例子如下所示：分类子类根本要求测评项数 测评项数量随信息系统的平安保护等级不同而变化物理平安物理位置的选择测评物理机房所在的外部环境平安性。2物理访问控制测评进出机房的审批控制手段以及机房出入口的平安控制情况。4防盗窃和防破坏测评机房内设备和通信线缆的平安性以及监控报警系统建设情况。6防雷击测评建筑防雷和防感应雷的建设情况。3防火测评自动监控防火系统设置情况以及机房材料防火情况。3防水和防潮测评机房内水管设置情况、防止结露所采取的措施以及监控报警系统建设情况。4防静电测评机房防静电所采取的措施。3温湿度控制测评机房温湿度控制措施1电力供给测评电力线路、备用电源以及发电机的配备情况。4电磁防护测评线缆电磁防护手段和设备电磁防护手段。3网络平安结构平安主要核查：主要网络设备的处理能力、业务顶峰期需求带宽、路由控制、网络拓扑结构图是否一致、子网划分、技术隔离手段和带宽分配策略。7访问控制主要核查：访问控制功能、协议深层检测、网络连接超时、流量限制和并发连接数限制等等。4平安审计主要核查：网络设备日志收集、分析和统计以及保护等等。6边界完整性检查主要核查：是否能够对非授权设备私自联到内部网络的行为进行检查并准确定位和阻断；是否能够对内部网络用户私自联到外部网络的行为进行检查并准确定位和阻断。2入侵防范主要核查：部署IDS系统以及使用情况。2恶意代码防范主要核查：是否有完整的防病毒体系以及代码库的升级情况。2网络设备防护主要核查：用户身份鉴别、管理员登录地址限制、用户标识唯一性、组合鉴别技术、口令策略、登录策略、远程管理和权限别离。93.1.2 附加指标参照根本指标的表述模式以列表形式给出附加指标。附加指标包括但不限于：1） 行业标准/标准的具体指标2） 主管部门的规定的具体指标3） 信息系统的运营、使用单位基于特定平安环境或者业务应用提出的具体指标分类子类附加要求测评项数3.2 测评对象3.2.1 测评对象选择方法描述本次等级测评中采用的测评对象选择方法和具体规那么，通常采用抽查的方法，兼顾类别与数量。测评对象包括网络互联与平安设备操作系统、业务应用软件、主机操作系统、存储设备操作系统、数据库管理系统、平安相关人员、机房、介质以及管理文档。选择过程中应综合考虑信息系统的平安保护等级、业务应用特点和对象所在具体设备的重要情况等要素，并兼顾工作投入与结果产出两者的平衡关系。其中，主机设备的重要程度由其承载的业务应用和业务数据的重要程度决定；机房、介质 非个人使用存储介质和管理文档不需要抽样。具体方法和规那么可参考?信息系统平安等级保护测评过程指南?。3.2.2 测评对象选择结果1) 网络互联设备操作系统序号操作系统名称设备名称1IOS_路由器_内部_1路由器_内部_12IOS_路由器_VPN_1路由器_VPN_13IOS_路由器_VPN_2路由器_VPN_22) 平安设备操作系统序号操作系统名称设备名称1JOS_防火墙_WEB_1防火墙_WEB_13) 业务应用软件序号软件名称主要功能4) 主机存储操作系统序号设备名称操作系统/数据库管理系统5) 数据库管理系统序号设备名称操作系统/数据库管理系统6) 访谈人员序号姓名岗位/职责7) 平安管理文档序号文档名称主要内容3.3 测评方法3.3.1 现场测评方法描述本次等级测评工作中采用的测评方法。现场测评方法主要包括访谈、检查和测试等三类，可细分为人员访谈、文档审查、配置核查、现场观测和工具测试等。如果采用工具测试，应给出工具接入示意图，并对测评工具的接入点和预期的测试路径进行描述。3.3.2 风险分析方法本工程依据平安事件可能性和平安事件后果对信息系统面临的风险进行分析，分析过程包括：1判断信息系统平安保护能力缺失等级测评结果中的局部符合项和不符合项被威胁利用导致平安事件发生的可能性，可能性的取值范围为高、中和低；2判断平安事件对信息系统业务信息平安和系统效劳平安造成的影响程度，影响程度取值范围为高、中和低；3综合1和2的结果对信息系统面临的风险进行汇总和分等级，风险等级的取值范围为高、中和低；4结合信息系统的平安保护等级对风险分析结果进行评价，即对国家平安、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的风险。4 等级测评内容单元测评的内容及结果记录如下所示：4.1 物理平安4.1.1 结果记录4.1.2 问题分析4.1.3 单元测评结果4.2 网络平安4.2.1 结果记录以表格形式分别给出不同测评对象的现场测评结果。1) IOS_路由器_内部_1类别测评内容结果记录符合情况网络访问控制a)   应在网络边界部署访问控制设备，启用访问控制功能；b)   应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；c)   应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；d)   应在会话处于非活泼一定时间或会话结束后终止网络连接；e)   应限制网络最大流量数及网络连接数；f)   重要网段应采取技术手段防止地址欺骗；g)   应按用户和系统之间的允许访问规那么，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；h)   应限制具有拨号访问权限的用户数量。2) IOS_路由器_VPN_14.2.2 问题分析汇总网络平安中存在的问题并加以分析，找出共性和危害严重的问题，如边界防火墙的管理口令为空。4.2.3 单元测评结果针对网络设备的不同测评指标子类对单项测评结果进行汇总和统计可得单元测评结果。单元测评结果的判定依据为：如某对象的特定测评指标的全部测评项结果均为符合，那么该单元的测评结果为符合；如全部测评项结果均为不符合，那么该单元的测评结果为不符合；否那么该单元测评结果为不符合。表格中分数的分母表示单元测评包含的测评项数量，分子表示不符合项和局部符合项的数量之和；斜线说明该指标子类不适用。网络平安单元测评结果汇总表序号名称测评指标子类网络结构平安网络访问控制网络平安审计边界完整性检查网络入侵防范恶意代码防范网络设备防护1IOS_路由器_内部_1局部符合4/7符合0/4符合0/6符合0/2不符合2/2不符合2/2局部符合6/92IOS_路由器_VPN_134564.3 主机平安4.3.1 结果记录4.3.2 问题分析4.3.3 单元测评结果4.4 应用平安4.4.1 结果记录4.4.2 问题分析4.4.3 单元测评结果4.5 数据平安及备份恢复4.5.1 结果记录4.5.2 问题分析4.5.3 单元测评结果4.6 平安管理制度4.6.1 结果记录4.6.2 问题分析4.6.3 单元测评结果4.7 平安管理机构4.7.1 结果记录4.7.2 问题分析4.7.3 单元测评结果4.8 人员平安管理4.8.1 结果记录4.8.2 问题分析4.8.3 单元测评结果4.9 系统建设管理4.9.1 结果记录4.9.2 问题分析4.9.3 单元测评结果4.10 系统运维管理4.10.1 结果记录4.10.2 问题分析4.10.3 单元测评结果4.11 工具测试 4.11.1 结果记录依据测评工具的结果报告形成工具测试的结果。4.11.2 问题分析汇总工具测试的结果，分析信息系统中存在的主要问题。5 等级测评结果5.1 整体测评根据?根本要求?的要求，对这些问题进行系统整体测评分析，包括从平安控制间、层面间、区域间和系统结构等方面进行平安测评。5.1.1 平安控制间平安测评5.1.2 层面间平安测评5.1.3 区域间平安测评5.1.4 系统结构平安测评5.2 测评结果对整体测评后的等级测评结果基于平安子类进行汇总，并以表格形式进行展示。表格中使用不同颜色对测评结果进行区分，测评结果为局部符合的指标子类采黄色标识，不符合的指标子类采用红色标识，如表中“物理平安中指标子类对应表格单元的颜色所示。通过对信息系统根本平安保护状态的分析，给出等级测评结论结论为达标、根本达标、不达标。序号分类子类符合情况符合局部符合不符合1物理平安物理位置的选择ü2物理访问控制ü3防盗窃和防破坏ü4防雷击ü5防火ü6防水和防潮ü7防静电ü8温湿度控制ü9电力供给ü10电磁防护ü11网络平安结构平安12访问控制13平安审计14边界完整性检查15入侵防范16恶意代码防范17网络设备防护18主机平安身份鉴别19平安标记20访问控制21可信路径22平安审计23剩余信息保护24入侵防范25恶意代码防范26资源控制27应用平安身份鉴别28平安标记29访问控制30可信路径31平安审计32剩余信息保护33通信完整性34通信保密性35抗抵赖36软件容错37资源控制38数据平安及备份恢复数据完整性39数据保密性40备份和恢复41平安管理制度管理制度42制定和发布43评审和修订44平安管理机构岗位设置45人员配备46授权和审批47沟通和合作48审核和检查49人员平安管理人员录用50人员离岗51人员考核52平安意识教育和培训53外部人员访问管理54系统建设管理系统定级55平安方案设计56产品采购和使用57自行软件开发58外包软件开发59工程实施60测试验收61系统交付62系统备案63等级测评64平安效劳商选择65系统运维管理环境管理66资产管理67介质管理68设备管理69监控管理和平安管理中心70网络平安管理71系统平安管理72恶意代码防范管理73密码管理74变更管理75备份与恢复管理76平安事件处置77应急预案管理报告正文 第20页 / 共xxx页5.3 统计图表基于不同类别如设备和平安子类对测评结果以柱状图给出统计图表。6 风险分析和评价6.1 平安事件可能性分析序号资产名称等级测评结果中的不符合项/局部符合项关联威胁平安事件可能性6.2 平安事件后果分析序号平安事件平安事件后果描述影响程度6.3 风险分析和评价综合平安事件可能性和后果以列表方式给出被测信息系统面临的风险排序和评价。 序号风险描述风险等级报告正文 第23页 / 共xxx页7 系统平安建设、整改建议明确给出该系统是否达标、根本达标、不达标情况对于电子政务工程，该结论是电子政务工程验收的条件，根据情况给出系统平安建设整改意见。针对主要的平安问题提出系统平安建设、整改建议。结合风险分析的结果可将建设、整改内容分为立即整改和持续改良两类。对于电子政务工程，等级测评报告中的整改建议与风险评估报告中的整改建议不应存在冲突。7.1 物理平安7.2 网络平安整改建议的例如如下：1) 在网络结构发生变化时应及时更新网络拓扑图，方便日常平安运维。7.3 主机平安7.4 应用平安7.5 数据平安及备份恢复7.6 平安管理制度7.7 平安管理机构7.8 人员平安管理7.9 系统建设管理7.10 系统运维管理附：信息系统平安等级保护备案表报告正文第25页/共xxx页