信息网络系统功能测评记录(一)

信息系统安全等级保护测评服务内容及要求

信息系统安全等级保护测评服务内容及要求一、供应商资格：1.供应商应具备《政府采购法》第二十二条规定的条件；1）具有独立承担民事责任的能力；2）具有良好的商业信誉和健全的财务会计制度；3）具有履行合同所必需的设备和专业技术能力；4）有依法缴纳税收和社会保障资金的良好记录；5）参加政府采购活动前三年内，在经营活动中没有重大违法记录；6）法律、行政法规规定的其他条件。

2.投标人要求为国内独立的事业法人的独立企业法人，并且股权结构中不能有任何外资成份。

3.具有网络安全等级保护测评机构推荐证书。

4.具有中国合格评定国家认可委员会颁发的CNAS证书。

5.具有广东省电子政务服务能力等级证书。

6.具有中国通信行业协会颁发的通信网络安全服务能力评定证书（应急响应一级）7.具有中鉴认证有限责任公司颁发的质量管理体系认证证书（ISO9001）。

8.中国通信行业协会颁发的通信网络安全服务能力评定证书（风险评估二级）。

9.本项目不接受联合体投标。

二、项目服务内容及要求1.采购项目需求一览表：序号服务类型被测评系统级别1 等级保护测评服务存量房网上签约系统二级2 等级保护测评服务金融部门网上受理系统（签约银行登录）二级3 等级保护测评服务商品房明码标价备案系统二级4 等级保护测评服务珠海不动产微信服务号系统二级2.基本要求:2.1 项目背景为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》的精神，响应国家的要求，珠海市不动产登记中心于2018年全面启动本单位的信息安全等级保护工作。

按照同时根据珠海市不动产登记中心的信息系统安全等级保护工作安排，现需开展信息系统安全等级保护测评等工作，并邀请具备国家或省公安厅颁发等级保护测评资质的公司对珠海市不动产登记中心的信息系统提供等级保护测评服务。

2.2项目目标2.2.1等级保护测评服务。

根据《GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南》等标准，及各个信息系统保护等级需求，协助采购人对现有的信息系统进行等级保护备案，编写信息系统定级备案表和信息系统定级报告，并协助向公安局提交定级备案材料，取得信息系统定级备案证明。

14-2智能化集成系统功能测评记录(续二)-001

数据集中监视
被集成子系统名称及安装编号/ 测点名称（部位）
中显分响储文视类应存界正统时时面确计间间
智能化集成系统功能测评记录(续二)
报警监视处理
信画声响信信息面光应息息显报报时打发示警警间印送
文件报表
控制和调节
联动动作
数据分析
生打成印
受控子系统
响应时间正确安全源自及时无冲突历史数据
设设能备备耗运预预行警警
GD-C4-6514/2
冗余功能
管理权限
在备用切换
故障自诊断
事故安保
软件功能接
口数据互通
平台软件
定制软件
数据库软件
操作系统
防病毒软件
安全软件
网管软件
测试结果/备注
测试结果/备注

学生信息管理系统综合测评使用演示

学生信息管理系统综合测评使用演示
登录方式
（1）输入直接访问地址： /sms/ （2）其他访问方式
– 华工主页－办公门户（右上角）－学生管理系统 – 华工主页（左下角）－服务指南－学生管理系统
（3）综合测评时建议用IE9及以上的浏览器，或者火狐、谷歌浏览器
学生用户—德育测评
• 查看指定学年度本班同学的德育测评情况 • 进行德育自评和德育加扣分
点击进入自评
点击进入德育加扣分
学生用户—智育测评
• 点击“智育测评列表”中个人对应的“总分”链接，检查个人的课程成绩；
•
如果发现成绩有错误，请联系教务处进行修改。目前教务处的成绩与学生信息系统对接，教务修改成绩后，第二天会自动同步学生信息系统。
学生用户常见问题（七）
9、学生可以修改德育、智育、文体加扣分吗，什么情况下可以修改？答：当学生增加的加扣分未被班级和学院审核时，即是“未审核”状态，就可以点击“修改”链接进去修改。如果已经被班级或者学院审核通过，那么先要班级用户、学院用户撤销审核，返回“未审核”状态学生才可进行修改。
学生用户常见问题（八）
班级用户—德育测评
• 查看指定学年度本班同学的德育测评情况
• 对本班学生的德育情况进行班级评议（已完成学院评议的测评班级不能再评议）
• 对本班学生的德育加分、扣分情况进行班级算分和审核
填写个人鉴定
学生用户—获奖与处罚
学生的获奖与处罚记录栏目主要管理综合测评的加分和扣分项；学生可增加、修改和删除本人的获奖与处罚记录，但是已经审核通过的信息则不能删除和修改。如要修改，需要班级用户或学院用户撤销审核。
学生用户常见问题（一）
1、学生登录验证失败，会提示用户名或者密码错误。答：这是账号问题，请根据提示联系网络中心，电话为 87110228。

智能化集成系统功能测评记录

功能的信息点
总数（点）
实际抽
综合评价结论/备注：
施工单位
监理 (建设)单位
检测调试负责人签名：
专业工长（施工员）签名：
专业质检员签名：
项目专业监理工程师 (建设单位项目专业负责人)签名：
件
测试日期：
年月日至
年月日
最小/实际抽样数量
测试计量器具（仪表、仪器）及其附属设备（器具）的名称/型号、规格/量程/分辨精度/出厂编号/制造厂商/ 其他要素：
检测调试说明：
检测的子系统和数量如下表：
被集成子系统名称（全部列出）
集中监视、储存和
统计功能的信息点
总数（点）
实际抽检数（点）
报警监视及处理
智能化集成系统功能测评记录（一）
单位(子单位)工程名称
分部/子分部/分项 (或系统/子系统)
智能建筑/智能化集成系统
所在的施工部位
智能化集成系统功能测评记录（一）
检验批编号
施工依据文件名称及编号
质量验收依据文件名称及编号智能建筑工程 GB50339-2013
与检测（调试）、验收相关的设计文件（图）/产品技术文

信息安全检查表(1)

应急预案制定及备案情况
□已备案 □已制定但未备案 □未制定
应急技术
支援队伍
□本单位自身力量 □外部专业机构 □未明确
信息安全备份
①重要数据： □备份 □未备份
②重要信息系统：□备份 □未备份
③容灾备份服务：□位于境内 □位于境外 □无
五、信息技术产品使用情况
服务器
总台数：，其中国产台数：
使用国产CPU的服务器台数：
□有技术措施用于控制和管理口令强度 □无技术措施
□无：空口令、弱口令和默认口令 □有
②留言板功能（□开设 □未开设）
□留言内容经审核后发布 □未经审核即可发布
③论坛功能（□开设 □未开设）
□已备案 □未备案
□论坛内容经审核后发布 □未经审核即可发布
④博客功能（□开设 □未开设）
□已作清理，仅限本部门或有关人员使用□未作清理
⑤在非涉密信息系统和涉密信息系统间混用情况：
□不存在 □存在
⑥是否存在使用非涉密计算机处理涉密信息情况：
□不存在 □存在
存储设备
安全管理
①移动存储设备管理方式：
□集中管理，统一登记、配发、收回、维修、报废、销毁
□未采取集中管理相关措施
②在非涉密信息系统和涉密信息系统间混用情况:
□不存在 □存在
四、信息安全应急管理情况
终端计算机
（含笔记本）
总台数：，其中国产台数：
使用国产CPU的计算机台数：
网络设备
总台数：，其中国产台数：
操作系统
①服务器操作系统情况：
安装Windows操作系统的服务器台数：
安装Linux操作系统的服务器台数：
安装其他操作系统的服务器台数：
②终端计算机操作系统情况：

信息安全等级测评师测试(1)-管理初级

一、单选题（20分）1、《基本要求》中管理要求中，下面那一个不是其中的内容？（）A、安全管理机构。

B、安全管理制度。

C、人员安全管理。

D、病毒安全管理。

2、应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难，所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能是几级要求？（）A、一级。

B、二级。

C、三级。

D、四级。

3、三级系统基本要求中管理要求控制类共有（）项？A、32。

B、36。

C、37。

D、38。

4、《测评要求》和哪一个文件是对用户系统测评的依据？A、《信息系统安全等级保护实施指南》。

B、《信息系统安全保护等级定级指南》。

C、《信息系统安全等级保护基本要求》。

D、《信息系统安全等级保护管理办法》。

5、安全运维阶段的主要活动包括运行管理和控制、变更管理和控制、安全状态监控、（）、安全检查和持续改进、监督检查？A、安全事件处置和应急预案。

B、安全服务。

C、网络评估。

D、安全加固。

6、如果一个信息系统，主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对国家安全、社会秩序和公共利益造成较大损害；本级系统依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行监督、检查。

这应当属于等级保护的什么级别？（）A、强制保护级。

B、监督保护级。

C、指导保护级。

D、自主保护级。

7、《信息系统安全等级保护实施指南》将（）作为实施等级保护的第一项重要内容？A、安全定级。

B、安全评估。

C、安全规划。

D、安全实施。

8、人员管理主要是对人员的录用、人员的离岗、（）、安全意识教育和培训、第三方人员访问管理5各方面。

A、人员教育。

B、人员裁减。

C、人员考核。

D、人员审核。

9、根据《信息安全等级保护管理办法》，由以下哪个部门应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作？A、公安机关。

等保测评报告模板

信息系统安全等级测评报告模板项目名称：委托单位：测评单位：年月日报告摘要一、测评工作概述概要描述被测信息系统的基本情况（可参考信息系统安全等级保护备案表），包括但不限于：系统的运营使用单位、投入运行时间、承载的业务情况、系统服务情况以及定级情况。

（见附件：信息系统安全等级保护备案表）描述等级测评工作的委托单位、测评单位和等级测评工作的开展过程，包括投入测评人员与设备情况、完成的具体工作内容统计（涉及的测评分类与项目数量，检查的网络互联与安全设备、主机、应用系统、管理文档数量，访谈人员次数）。

二、等级测评结果依据第4、5章的结果对等级测评结果进行汇总统计（测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果）；通过对信息系统基本安全保护状态的分析给出等级测评结论（结论为达标、基本达标、不达标）。

三、系统存在的主要问题依据6.3章节的分析结果，列出被测信息系统中存在的主要问题以及可能造成的后果（如，未部署DDos防御措施，易遭受DDos攻击，导致系统无法提供正常服务）。

四、系统安全建设、整改建议针对系统存在的主要问题提出安全建设、整改建议，是对第七章内容的提炼和简要描述。

报告基本信息声明声明是测评单位对于测评报告内容以及用途等有关事项做出的约定性陈述，包含但不限于以下内容：本报告中给出的结论仅对目标系统的当时状况有效，当测评工作完成后系统出现任何变更，涉及到的模块（或子系统）都应重新进行测评，本报告不再适用。

本报告中给出的结论不能作为对系统内相关产品的测评结论。

本报告结论的有效性建立在用户提供材料的真实性基础上。

在任何情况下，若需引用本报告中的结果或数据都应保持其本来的意义，不得擅自进行增加、修改、伪造或掩盖事实。

测评单位机构名称年月报告目录1测评项目概述 (1)1.1测评目的 (1)1.2测评依据 (1)1.3测评过程 (1)1.4报告分发范围 (2)2被测系统情况 (3)2.1基本信息 (3)2.2业务应用 (4)2.3网络结构 (4)2.4系统构成 (4)2.4.1业务应用软件 (4)2.4.2关键数据类别 (4)2.4.3主机/存储设备 (5)2.4.4网络互联与安全设备 (5)2.4.5安全相关人员 (5)2.4.6安全管理文档 (6)2.5安全环境 (6)3等级测评范围与方法 (7)3.1测评指标 (7)3.1.1基本指标 (7)3.1.2附加指标 (9)3.2测评对象 (9)3.2.1选择方法 (9)3.2.2选择结果 (9)3.3测评方法 (11)3.3.1现场测评方法 (11)3.3.2风险分析方法 (11)4等级测评内容 (12)4.1物理安全 (12)4.1.1结果记录 (12)4.1.2问题分析 (12)4.1.3单元测评结果 (12)4.2网络安全 (12)4.2.1结果记录 (12)4.2.2问题分析 (14)4.2.3单元测评结果 (14)4.3主机安全 (14)4.3.1结果记录 (14)4.3.2问题分析 (15)4.3.3单元测评结果 (15)4.4应用安全 (15)4.4.1结果记录 (15)4.4.2问题分析 (15)4.4.3单元测评结果 (15)4.5数据安全及备份恢复 (15)4.5.1结果记录 (15)4.5.2问题分析 (15)4.5.3单元测评结果 (15)4.6安全管理制度 (15)4.6.1结果记录 (15)4.6.2问题分析 (16)4.6.3单元测评结果 (16)4.7安全管理机构 (16)4.7.1结果记录 (16)4.7.2问题分析 (16)4.7.3单元测评结果 (16)4.8人员安全管理 (16)4.8.1结果记录 (16)4.8.2问题分析 (16)4.8.3单元测评结果 (16)4.9系统建设管理 (16)4.9.1结果记录 (16)4.9.2问题分析 (17)4.9.3单元测评结果 (17)4.10系统运维管理 (17)4.10.1结果记录 (17)4.10.2问题分析 (17)4.10.3单元测评结果 (17)4.11工具测试 (17)4.11.1结果记录 (17)4.11.2问题分析 (17)5等级测评结果 (17)5.1整体测评 (17)5.1.1安全控制间安全测评 (17)5.1.2层面间安全测评 (18)5.1.3区域间安全测评 (18)5.1.4系统结构安全测评 (18)5.2测评结果 (18)5.3统计图表 (22)6风险分析和评价 (22)6.1安全事件可能性分析 (22)6.2安全事件后果分析 (23)6.3风险分析和评价 (23)7系统安全建设、整改建议 (25)7.1物理安全 (25)7.2网络安全 (25)7.3主机安全 (25)7.4应用安全 (25)7.5数据安全及备份恢复 (25)7.6安全管理制度 (25)7.7安全管理机构 (26)7.8人员安全管理 (26)7.9系统建设管理 (26)7.10系统运维管理 (26)附：信息系统安全等级保护备案表.1测评项目概述1.1测评目的描述信息系统的重要性：通过描述信息系统的基本情况，包括运营使用单位的性质，承载的主要业务和系统服务情况，进一步阐明其在国家安全、经济建设、社会生活中的重要程度，受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等。

信息系统等级保护测评指标(二级与三级)

工作的总体目标、范围、原则和安全框架等
管理制度（G2）应对安全管理活动中重要的管理内容建立安全管理制度
应对安全管理人员或操作人员执行的重要管理操作建立操
作规程
应指定或授权专门的部门或人员负责安全管理制度的制定
制定和发布（G2）应组织相关人员对制定的安全管理制度进行论证和审定
应将安全管理制度以某种方式发布到相关人员手中
分类应用安全
子类安全审计（G2）入侵防范（G2）恶意代码防范
（G2）资源控制（A2）
身份鉴别（S2）
访问控制（S2）
安全审计（G2）
基本要求些帐户的默认口令应及时删除多余的、过期的帐户、避免共享帐户的存在审计范围应覆盖到服务器上的每个操作系统用户和数据库用户审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等应保护审计记录，避免受到未预期的删除、修改或覆盖等操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库应支持防恶意代码软件的统一管理应通过设定终端接入方式、网络地址范围等条件限制终端登录应根据安全策略设置登录终端的操作超时锁定应限制单个用户对系统资源的最大或最小使用限度应提供专用的登录控制模块对登录用户进行身份标识和鉴别应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作应由授权主体配置访问控制策略，并严格限制默认帐户的访问权限应授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计应保证无法删除、修改或覆盖审计记录审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等

网络信息安全检查表(Word)

网络与信息安全检查项目表
类别
检查项目
检查内容
检查要求
组织管理与规章制度
网络与信息安全管理组织
信息安全责任制落实情况
明确信息安全主管领导、责任人、信息安全管理员，制定岗位职责文件和操作规程等（要提供相应文档）
信息安全培训情况
信息安全责任人、管理员定期参加有关单位的信息安全培训。对本单位全体人员进行了信息安全培训（提供培训计划、培训内容、培训成绩、人员）
保密技术措施
涉密计算机网络管理
须由取得保密资质的公司承建，开通运行前须经保密部门审批（提供涉密资质证书复印件和保密部门批文）
外网和互联网上处涉密或内部敏感信息
禁止在公务外网和互联网上处理涉密或内部敏感信息
违规外联监控
有内部用户违规外联的监控措施和管理措施
涉密存储介质
按照保密管理规定对涉密存储介质的发放、使用、销毁进行管理。移动存储介质必须专网（机）专用，严禁在内外网之间混用。
采取口令、智能卡、数字证书或生物识别等鉴别机制，并对口令等鉴别机制制定了详细的管理措施
主机安全
多余默认账号和无关服务
多余默认账号和无关服务必须关停
日常管理工作
信息安全管理策略情况
制定了详细的信息安全管理策略，并有专人负责，定期进行检查（要提供检查纪录）
信息安全测评、系统安全定级、信息安全检查和风险评估工作
有工作开展的相关文档、记录、总结
规章制度情况
网络与信息安全政策落实情况
国家有关网络与信息安全文件（计算机信息网络国际联网安全保护管理办法等）的落实情况
提供测评资质复印件病毒库是最新发布的其他技术措施信息安全产品和网络产品进行了安全配置要有配置文档信息安全测试现场技术测试漏洞扫描测试扫描网络设备交换机路由器防火墙等服务器操作系统和数据库是否存在漏洞保密性测试测试涉密和敏感信息传输存储中保密性入侵防范测试测试系统入侵防范能力防火墙安全规则设置正确性测试测试防火墙安全规则设置是否正确网络结构安全性测试测试核心交换机核心路由器配置是否正确网络结构是否正确注

4信息系统安全等级保护测评过程及方法(v3.0)

文档（制度类、规程类、记录/证据类等）
35
单元测评－网络层面
网络层面构成组件负责支撑信息系统进行网络互联，为信息系统各个构成组件进行安全通信传输，一般包括网络设备、连接线路以及它们构成的网络拓扑等。
测评对象：

网络互联设备
网络安全设备网络管理平台相应设计/验收文档，设备的运行日志等
28
测试功能/性能测试、渗透测试等
测试对象包括机制和设备等
测试一般需要借助特定工具
扫描检测工具
攻击工具渗透工具
29
测试适用情况：
对技术要求，‘测试’的目的是验证信息系统
当前的、具体的安全机制或运行的有效性或安全强度。对管理要求，一般不采用测试技术。
30
测评力度：评估投入 vs 信任
投入 - 回报
测评人工
配合人工
工具
最小的投入 - 合理的回报
31
测评力度
测评工作实际投入力量的表征由测评广度和深度来描述:
测评广度越大，范围越大，包含的测评对象就越多，测评实际投入程度越高。测评的深度越深，越需要在细节上展开，测评实际投入程度也越高。
42
安全控制点间
同一层面内不同安全控制之间存在的功能增强（补充）或削弱等关联作用。
物理访问控制与防盗窃和防破坏身份鉴别与访问控制身份鉴别与安全审计
43
层面间
主要考虑同一区域内的不同层面之间存在的功
能增强、补充和削弱等关联作用。
物理层面网络层面
物理访问控制/网络设备防护
的过程和内容，不同的角色在不同活动的作用，不同活
动的参与角色、活动内容、输出文档等等。

(网络安全法)信息系统安全等级保护测评表单-三级技术类

信息系统安全等级保护测评表单-三级技术类
d) 应检查主要设备是否放置在机房内或其它不易被盗窃和破坏的可控范围
内；检查主要设备或设备的主要部件的固定情况，查看其是否不易被移动
c) 应访谈资产管理员，介质是否进行了分类标识管理，介质是否存放在介象，机房及其环境是否不存在明显的漏水和返潮的威胁；如果出现漏水、
渗透和返潮现象，则查看是否能够及时修复解决；
7.1.1物理安全
潮
护措施；b) 应检查机房设备外壳是否有安全接地；
电磁防护7.1.1.6。

信息网络系统功能测评记录(续二)

信息网络系统功能测评记录(续二)
连通性信息网络系统具体名称/编号网络通信用户安全访问数据包交换传路由容错输链最丢包故自容路大率正可障动错备延（% 确达隔切恢用时）性性离换复运 (ms 行 ) 网管拓扑结构图网远络自程连诊配接断置图组播组播流发送组播流接收 QoS 区分业务流无线局域网结构安全访问安全
网络关键信号传输业源自强度速率务 (dBm (Mbi 数 ) t/s) 据优
录(续二)
GD-C4-6518/2 网络安全安全审计边界完整性入侵防范恶意代码防范网络设备保护连接互联网无线 60 安安接 d 保全入记措审认录施计证备份远程管理防窃听测试结果/ 备注

信息网络系统功能测评记录

入侵防范、恶意代码防范、网络设备保护等安全保护能力的检测。检测方法依据设计确定的信息
系统安全防护等级进行制定，检测内容应按《信息安全技术信息系统安全等级保护基本要求》GB/T22239执行。 2.业务办公网及智能化设备网与互联网连接时,应检测安全保护技术措施。检测结果全部符合设计要求的判定为合格。 3.业务办公网及智能化设备网与互联网连接时,网络安全系统应检测安全审计功能，并应具备至少保存60d记录备份的功能。检测结果全部符合设计要求的判定为合格。
10.无线局域网 (1)连通性检测同上述所列的内容（项目）及方法、规范（或设计）要求。 (2)传输时延和丢包率检测同上述所列的内容（项目）及方法、规范（或设计）要求。 (3)路由检测同上述所列的内容（项目）及方法、规范（或设计）要求。 (4)组播功能检测同上述所列的内容（项目）及方法、规范（或设计）要求。 (5)QoS功能检测同上述所列的内容（项目）及方法、规范（或设计）要求。 (6)容错功能检测同上述所列的内容（项目）及方法、规范（或设计）要求。 (7)在覆盖范围内接入点的信道信号强度应不低于-75dBm。 (8)网络传输速率不应低于5.5Mbit/s。 (9)应采用不少于100个ICMP64Byte帧长的测试数据包测试，不小于95%路径的数据包丢失率应小于5%。 (10)应采用不少于100个ICMP64Byte帧长的测试数据包测试,不小于95%且跳数小于6的路径的传输时延应小于 20ms。 (1括1.1网：)络应安按全无系线统接检入点测总包数的10%进结行构抽安测全，、抽样数不访应问小控于制1、0个；无安线全接审入计点、少于10个边的界，完全整数性测检试查。、抽检结果
(1)对具备容错能力的计算机网络系统，应具有错误恢复和故障隔离功能，并在出现故障时能自动切换。 (2)对有链路冗余配置的计算机网络系统，当其中的某条链路断开或发生故障时，整个系统仍能保持正常工作，并能在故障消除后自动切换回主系统运行。 7．网络管理功能应在网管工作站检测，检测结果全部符合设计要求判定为合格。 (1)应搜索整个计算机网络系统的拓扑结构图和网络设备连接图。 (2)应检测自诊断功能。 (3)应检测对网络设备进行远程配置的功能；当具备远程配置功能时，应检测网络性能参数（含网络节点的流量、广播率和错误率等）。 8.组播功能检测应采用模拟软件生成组播流。组播流的发送和接收的检测结果全部符合设计要求判定为合格。 9.QoS功能应检测队列调度机制。能区分业务流并保障关键业务数据优先发送的判定为检测合格。

等级保护测评报告模板

共享知识分享快乐信息系统安全等级测评报告模板项目名称：委托单位：测评单位：公安部信息安全等级保护评估中心年月日共享知识分享快乐报告摘要一、测评工作概述概要描述被测信息系统的基本情况（可参考信息系统安全等级保护备案表），包括但不限于：系统的运营使用单位、投入运行时间、承载的业务情况、系统服务情况以及定级情况。

（见附件：信息系统安全等级保护备案表）描述等级测评工作的委托单位、测评单位和等级测评工作的开展过程，包括投入测评人员与设备情况、完成的具体工作内容统计（涉及的测评分类与项目数量，检查的网络互联与安全设备、主机、应用系统、管理文档数量，访谈人员次数）。

二、等级测评结果依据第4、5章的结果对等级测评结果进行汇总统计（测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果）；通过对信息系统基本安全保护状态的分析给出等级测评结论（结论为达标、基本达标、不达标）。

三、系统存在的主要问题依据6.3章节的分析结果，列出被测信息系统中存在的主要问题以及可能造成的后果（如，未部署DDos防御措施，易遭受DDos攻击，导致系统无法提供正常服务）。

公安部信息安全等级保护评估中心四、系统安全建设、整改建议针对系统存在的主要问题提出安全建设、整改建议，是对第七章内容的提炼和简要描述。

报告基本信息声明声明是测评单位对于测评报告内容以及用途等有关事项做出的约定性陈述，包含但不限于以下内容：本报告中给出的结论仅对目标系统的当时状况有效，当测评工作完成后系统出现任何变更，涉及到的模块（或子系统）都应重新进行测评，本报告不再适用。

本报告中给出的结论不能作为对系统内相关产品的测评结论。

本报告结论的有效性建立在用户提供材料的真实性基础上。

在任何情况下，若需引用本报告中的结果或数据都应保持其本来的意义，不得擅自进行增加、修改、伪造或掩盖事实。

测评单位机构名称年月报告目录1测评项目概述 (1)1.1测评目的 (1)1.2测评依据 (1)1.3测评过程 (1)1.4报告分发范围 (2)2被测系统情况 (3)2.1基本信息 (3)2.2业务应用 (4)2.3网络结构 (4)2.4系统构成 (4)2.4.1业务应用软件 (4)2.4.2关键数据类别 (4)2.4.3主机/存储设备 (5)2.4.4网络互联与安全设备 (5)2.4.5安全相关人员 (5)2.4.6安全管理文档 (6)2.5安全环境 (6)3等级测评范围与方法 (7)3.1测评指标 (7)3.1.1基本指标 (7)3.1.2附加指标 (9)3.2测评对象 (9)3.2.1选择方法 (9)3.2.2选择结果 (10)3.3测评方法 (11)3.3.1现场测评方法 (11)3.3.2风险分析方法 (11)4等级测评内容 (12)4.1物理安全 (12)4.1.1结果记录 (12)4.1.2问题分析 (12)4.1.3单元测评结果 (12)4.2网络安全 (12)4.2.1结果记录 (12)4.2.2问题分析 (14)4.2.3单元测评结果 (14)4.3主机安全 (14)4.3.1结果记录 (14)4.3.2问题分析 (15)4.3.3单元测评结果 (15)4.4应用安全 (15)4.4.1结果记录 (15)4.4.2问题分析 (15)4.4.3单元测评结果 (15)4.5数据安全及备份恢复 (15)4.5.1结果记录 (15)4.5.2问题分析 (15)4.5.3单元测评结果 (15)4.6安全管理制度 (15)4.6.1结果记录 (15)4.6.2问题分析 (16)4.6.3单元测评结果 (16)4.7安全管理机构 (16)4.7.1结果记录 (16)4.7.2问题分析 (16)4.7.3单元测评结果 (16)4.8人员安全管理 (16)4.8.1结果记录 (16)4.8.2问题分析 (16)4.8.3单元测评结果 (16)4.9系统建设管理 (16)4.9.1结果记录 (16)4.9.2问题分析 (17)4.9.3单元测评结果 (17)4.10系统运维管理 (17)4.10.1结果记录 (17)4.10.2问题分析 (17)4.10.3单元测评结果 (17)4.11工具测试 (17)4.11.1结果记录 (17)4.11.2问题分析 (17)5等级测评结果 (17)5.1整体测评 (17)5.1.1安全控制间安全测评 (18)5.1.2层面间安全测评 (18)5.1.3区域间安全测评 (18)5.1.4系统结构安全测评 (18)5.2测评结果 (18)5.3统计图表 (22)6风险分析和评价 (22)6.1安全事件可能性分析 (22)6.2安全事件后果分析 (23)6.3风险分析和评价 (23)7系统安全建设、整改建议 (25)7.1物理安全 (25)7.2网络安全 (25)7.3主机安全 (25)7.4应用安全 (25)7.5数据安全及备份恢复 (25)7.6安全管理制度 (25)7.7安全管理机构 (26)7.8人员安全管理 (26)7.9系统建设管理 (26)7.10系统运维管理 (26)附：信息系统安全等级保护备案表1测评项目概述1.1测评目的描述信息系统的重要性：通过描述信息系统的基本情况，包括运营使用单位的性质，承载的主要业务和系统服务情况，进一步阐明其在国家安全、经济建设、社会生活中的重要程度，受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等。

信息系统安全等级测评报告模版(试行)(公信安[2024]1487)

公安部信息平安等级爱护评估中心报告编号：（XXXXXXXXXXX-XX-XXXX-XX）信息系统平安等级测评报告模版（试行）系统名称：被测单位：测评单位：报告时间：年月日说明：一、每个备案信息系统单独出具测评报告。

二、测评报告编号为四组数据。

各组含义和编码规则如下：第一组为信息系统备案表编号，由11位数字组成，可以从公安机关颁发的信息系统备案证明（或备案回执）上获得，即证书编号的前11位（前6位为受理备案公安机关代码，后5位为受理备案的公安机关给出的备案单位的依次编号）。

其次组为年份，由2位数字组成。

例如09代表2024年。

第三组为测评机构代码，由四位数字组成。

前两位为省级行政区划数字代码的前两位或行业主管部门编号：00为公安部，11为北京，12为天津，13为河北，14为山西，15为内蒙古，21为辽宁，22为吉林，23为黑龙江，31为上海，32为江苏，33为浙江，34为安徽，35为福建，36为江西，37为山东，41为河南，42为湖北，43为湖南，44为广东，45为广西，46为海南，50为重庆，51为四川，52为贵州，53为云南，54为西藏，61为陕西，62为甘肃，63为青海，64为宁夏，65为新疆，66为新疆兵团。

90为国防科工局，91为电监会，92为教化部。

后两位为公安机关或行业主管部门举荐的测评机构依次号。

第四组为本年度信息系统测评次数，由两位构成。

例如02表示该信息系统本年度测评2次。

信息系统等级测评基本信息表注：单位代码由受理测评机构备案的公安机关给出。

报告编号[2024版]声明（声明是测评机构对测评报告的有效性前提、测评结论的适用范围以及运用方式等有关事项的陈述。

针对特别状况下的测评工作，测评机构可在以下建议内容的基础上增加特别声明。

）本报告是xxx信息系统的等级测评报告。

本报告测评结论的有效性建立在被测评单位供应相关证据的真实性基础之上。

本报告中给出的测评结论仅对被测信息系统当时的平安状态有效。

信息系统密码应用测评过程指南

4 概述
4.1 基本原则
测评方对信息系统开展密评时，应遵循以下原则： a) 客观公正性原则测评实施过程中，测评方应保证在符合国家密码主管部门要求及最小主观判断情形下，按照与被测单位共同认可的密评方案，基于明确定义的测评方式和解释，实施测评活动。
-1-
b) 可重用性原则测评工作可重用已有测评结果，包括商用密码检测认证结果和密码应用安全性评估的测评结果等。所有重用结果都应以已有测评结果仍适用于当前被测信息系统为前提，并能够客观反映系统当前的安全状态。 c) 可重复性和可再现性原则依照同样的要求，使用同样的测评方法，在同样的环境下，不同的密评人员对每个测评实施过程的重复执行应得到同样的结果。可重复性和可再现性的区别在于，前者关注同一密评人员测评结果的一致性，后者则关注不同密评人员测评结果的一致性。 d) 结果完善性原则在正确理解 GB/T AAAAA 各个要求项内容的基础之上，测评所产生的结果应客观反映信息系统的密码应用现状。测评过程和结果应基于正确的测评方法，以确保其满足要求。
表1测评准备活动的输出文档及其内容任务输出文档文档内容项目启动项目计划书项目概述工作依据技术思路工作内容和项目组织等信息收集和分析完成的调查表格各种与被测信息系统相关的技术资料被测信息系统的网络安全保护等级业务情况软硬件情况密码应用情况密码管理情况和相关部门及角色等工具和表单准备选用的测评工具清单打印的各类表单如现场测评授权书风险告知书文档交接单会议记录表单会议签到表单等测评工具现场测评授权测评可能带来的风险交接的文档名称会议记录表单会议签到表单等6方案编制活动61方案编
-3-
本活动是开展测评工作的关键活动，主要任务是确定与被测信息系统相适应的测评对象、测评指标、测评检查点及测评内容等，形成密评方案，为实施现场测评提供依据。

信息安全测评流程

信息安全测评流程
一、目的和范围
本流程旨在规定和规范信息安全测评的整个过程，以确保组织的信息系统安全、稳定和可靠。

测评范围包括但不限于网络设备、服务器、数据库、应用程序和人员操作等。

二、测评依据
1、国家相关法律法规和标准要求；
2、行业标准和规范；
3、组织内部信息安全管理制度和技术标准。

三、测评方法与工具
1、采用漏洞扫描、渗透测试、后门检测等安全测评方法；
2、使用专业的安全测评工具，如Nmap、Wireshark、Metasploit 等。

四、测评实施步骤
1、收集被测评对象的信息，包括网络拓扑图、系统配置、应用程序代码等；
2、根据测评依据和目标，选择合适的测评方法和工具；
3、实施安全测评，发现潜在的安全风险和漏洞；
4、分析测评结果，生成详细的测评报告。

五、测评结果分析
1、对发现的潜在安全风险和漏洞进行分类和评估；
2、分析安全风险和漏洞产生的原因和对组织的影响；
3、提出相应的安全建议和修复措施。

六、报告编制与审批
1、根据测评结果和分析，编制详细的测评报告；
2、将测评报告提交给相关部门负责人审批；
3、根据审批意见，对测评报告进行修改和完善。

七、整改与验证
1、根据审批通过的测评报告，被测评对象进行整改；
2、实施整改措施，确保漏洞得到修复；
3、对整改措施进行验证，确保安全问题得到有效解决。

八、记录与存档
1、对整个测评过程进行详细记录，包括测评时间、人员、方法、结果等；
2、将记录和报告整理成档，长期保存；
3、需要时，对记录和档案进行查阅和分析，为组织的安全管理提供参考。