信息系统安全等级测评报告模版(2015年版).doc

资源描述

公安部信息安全等级保护评估中心附件：报告编号：XXXXXXXXXXX-XXXXX—XX-XXXX—XX 信息系统安全等级测评报告模版（2015年版）系统名称：委托单位：测评单位：报告时间：年月日报告编号 [2015版] 说明：一、每个备案信息系统单独出具测评报告。二、测评报告编号为四组数据。各组含义和编码规则如下: 第一组为信息系统备案表编号，由2段16位数字组成，可以从公安机关颁发的信息系统备案证明（或备案回执)上获得。第1段即备案证明编号的前11位(前6位为受理备案公安机关代码，后5位为受理备案的公安机关给出的备案单位的顺序编号）；第2段即备案证明编号的后5位（系统编号）. 第二组为年份，由2位数字组成。例如09代表2009年. 第三组为测评机构代码，由四位数字组成。前两位为省级行政区划数字代码的前两位或行业主管部门编号:00为公安部，11为北京，12为天津,13为河北,14为山西，15为内蒙古，21为辽宁,22为吉林，23为黑龙江，31为上海，32为江苏,33为浙江，34为安徽,35为福建，36为江西，37为山东，41为河南，42为湖北，43为湖南，44为广东，45为广西，46为海南，50为重庆，51为四川,52为贵州,53为云南,54为西藏,61为陕西，62为甘肃，63为青海，64为宁夏，65为新疆，66为新疆兵团。90为国防科工局，91为电监会,92为教育部。后两位为公安机关或行业主管部门推荐的测评机构顺序号. 第四组为本年度信息系统测评次数，由两位构成。例如02表示该信息系统本年度测评2次. 信息系统等级测评基本信息表信息系统系统名称安全保护等级备案证明编号测评结论被测单位单位名称单位地址邮政编码联系人姓名职务/职称所属部门办公电话移动电话电子邮件测评单位单位名称单位代码通信地址邮政编码联系人姓名职务/职称所属部门办公电话移动电话电子邮件审核批准编制人 (签名）编制日期审核人（签名）审核日期批准人 (签名）批准日期注：单位代码由受理测评机构备案的公安机关给出。信息系统等级测评基本信息表 -I- 报告编号 [2015版] 声明（声明是测评机构对测评报告的有效性前提、测评结论的适用范围以及使用方式等有关事项的陈述。针对特殊情况下的测评工作,测评机构可在以下建议内容的基础上增加特殊声明.）本报告是xxx信息系统的等级测评报告。本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上. 本报告中给出的测评结论仅对被测信息系统当时的安全状态有效.当测评工作完成后,由于信息系统发生变更而涉及到的系统构成组件(或子系统）都应重新进行等级测评,本报告不再适用。本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件（或产品)的测评结论. 在任何情况下，若需引用本报告中的测评结果或结论都应保持其原有的意义，不得对相关内容擅自进行增加、修改和伪造或掩盖事实. 单位名称（加盖单位公章）年月声明 -II- 等级测评结论测评结论与综合得分系统名称保护等级系统简介（简要描述被测信息系统承载的业务功能等基本情况。建议不超过400字）测评过程简介（简要描述测评范围和主要内容。建议不超过200字.) 测评结论综合得分等级测评结论 -III- 总体评价根据被测系统测评结果和测评过程中了解的相关信息,从用户角度对被测信息系统的安全保护状况进行评价.例如可以从安全责任制、管理制度体系、基础设施与网络环境、安全控制措施、数据保护、系统规划与建设、系统运维管理、应急保障等方面分别评价描述信息系统安全保护状况. 综合上述评价结果，对信息系统的安全保护状况给出总括性结论.例如：信息系统总体安全保护状况较好。总体评价 -IV- 主要安全问题描述被测信息系统存在的主要安全问题及其可能导致的后果。主要安全问题 -V- 问题处置建议针对系统存在的主要安全问题提出处置建议。问题处置建议 -VI- 报告编号 [2015版] 目录等级测评结论III 总体评价IV 主要安全问题V 问题处置建议VI 1测评项目概述1 1.1测评目的1 1.2测评依据1 1。3测评过程1 1。4报告分发范围1 2被测信息系统情况1 2.1承载的业务情况1 2.2网络结构1 2.3系统资产2 2。3.1机房2 2。3。2网络设备2 2.3.3安全设备2 2。3。4服务器/存储设备2 2。3.5终端3 2.3。6业务应用软件3 2.3。7关键数据类别3 2.3。8安全相关人员4 2。3。9安全管理文档4 2.4安全服务4 2。5安全环境威胁评估5 2.6前次测评情况5 3等级测评范围与方法5 3.1测评指标5 3.1.1基本指标5 3.1.2不适用指标6 3.1。3特殊指标6 3.2测评对象6 3。2.1测评对象选择方法7 3。2。2测评对象选择结果7 3.3测评方法8 4单元测评9 4.1物理安全9 4。1。1结果汇总9 4。1.2结果分析9 4.2网络安全10 4.2.1结果汇总10 4.2.2结果分析10 4.3主机安全10 4。3.1结果汇总10 4.3。2结果分析10 4.4应用安全10 4。4。1结果汇总10 4.4.2结果分析10 4。5数据安全及备份恢复10 4。5。1结果汇总10 4.5.2结果分析10 4。6安全管理制度10 4.6。1结果汇总10 4.6。2结果分析11 4。7安全管理机构11 4。7。1结果汇总11 4。7.2结果分析11 4。8人员安全管理11 4。8.1结果汇总11 4.8.2结果分析11 4.9系统建设管理11 4。9.1结果汇总11 4.9.2结果分析11 4。10系统运维管理11 4。10.1结果汇总11 4。10.2结果分析11 4。11××××(特殊指标)11 4.11。1结果汇总11 4。11.2结果分析11 4。12单元测评小结12 4。12。1控制点符合情况汇总12 4.12.2安全问题汇总13 5整体测评13 5。1安全控制间安全测评13 5。2层面间安全测评13 5.3区域间安全测评13 5。4验证测试13 5.5整体测评结果汇总14 6总体安全状况分析14 6。1系统安全保障评估14 6.2安全问题风险评估18 6。3等级测评结论19 7问题处置建议20 附录A等级测评结果记录21 A.1物理安全21 A。2网络安全21 A。3 主机安全21 A。4 应用安全21 A。5 数据安全及备份恢复21 A。6 安全管理制度21 A.7 安全管理机构21 A.8 人员安全管理22 A.9 系统建设管理22 A.10 系统运维管理22 A。11 ××××（特殊指标安全层面）22 A。12验证测试22 目录 -X- 1 测评项目概述 1.1 测评目的 1.2 测评依据列出开展测评活动所依据的文件、标准和合同等。如果有行业标准的，行业标准的指标作为基本指标。报告中的特殊指标属于用户自愿增加的要求项。 1.3 测评过程描述等级测评工作流程，包括测评工作流程图、各阶段完成的关键任务和工作的时间节点等内容。 1.4 报告分发范围说明等级测评报告正本的份数与分发范围。 2 被测信息系统情况参照备案信息简要描述信息系统。 2.1 承载的业务情况描述信息系统承载的业务、应用等情况。 2.2 网络结构给出被测信息系统的拓扑结构示意图，并基于示意图说明被测信息系统的网络结构基本情况，包括功能/安全区域划分、隔离与防护情况、关键网络和主机设备的部署情况和功能简介、与其他信息系统的互联情况和边界设备以及本地备份和灾备中心的情况。 2.3 系统资产系统资产包括被测信息系统相关的所有软硬件、人员、数据及文档等。 2.3.1 机房以列表形式给出被测信息系统的部署机房。序号机房名称物理位置 2.3.2 网络设备以列表形式给出被测信息系统中的网络设备. 序号设备名称操作系统品牌型号用途数量（台/套）重要程度 … … … … … … … … 2.3.3 安全设备以列表形式给出被测信息系统中的安全设备. 序号设备名称操作系统品牌型号用途数量（台/套）重要程度 … … … … … … … … 2.3.4 服务器/存储设备以列表形式给出被测信息系统中的服务器和存储设备，描述服务器和存储设备的项目包括设备名称、操作系统、数据库管理系统以及承载的业务应用软件系统. 序号设备名称设备名称在本报告中应唯一，如xx业务主数据库服务器或xx-svr-db-1。操作系统 /数据库管理系统版本业务应用软件数量（台/套) 重要程度 … … … … … … … 2.3.5 终端以列表形式给出被测信息系统中的终端,包括业务管理终端、业务终端和运维终端等。序号设备名称操作系统用途数量（台/套) 重要程度 … … … … … … 2.3.6 业务应用软件以列表的形式给出被测信息系统中的业务应用软件（包括含中间件等应用平台软件）,描述项目包括软件名称、主要功能简介。序号软件名称主要功能开发厂商重要程度 … … … … … 2.3.7 关键数据类别以列表形式描述具有相近业务属性和安全需求的数据集合。序号数据类别如鉴别数据、管理信息和业务数据等，而业务数据可从安全防护需求（保密、完整等）的角度进一步细分。所属业务应用安全防护需求保密性，完整性等。重要程度 … … … … … 2.3.8 安全相关人员以列表形式给出与被测信息系统安全相关的人员情况。相关人员包括（但不限于）安全主管、系统建设负责人、系统运维负责人、网络（安全）管理员、主机(安全)管理员、数据库（安全）管理员、应用(安全）管理员、机房管理人员、资产管理员、业务操作员、安全审计人员等。序号姓名岗位/角色联系方式 … … … … 2.3.9 安全管理文档以列表形式给出与信息系统安全相关的文档，包括管理类文档、记录类文档和其他文档. 序号文档名称主要内容 … … … 2.4 安全服务序号安全服务名称安全服务包括系统集成、安全集成、安全运维、安全测评、应急响应、安全监测等所有相关安全服务。安全服务商 … … … 2.5 安全环境威胁评估描述被测信息系统的运行环境中与安全相关的部分，并以列表形式给出被测信息系统的威胁列表。序号威胁分(子）类描述 … … … 2.6 前次测评情况简要描述前次等级测评发现的主要问题和测评结论。 3 等级测评范围与方法 3.1 测评指标测评指标包括基本指标和特殊指标两部分。 3.1.1 基本指标依据信息系统确定的业务信息安全保护等级和系统服务安全保护等级，选择《基本要求》中对应级别的安全要求作为等级测评的基本指标，以表格形式在表3—1中列出。表3—1 基本指标安全层面安全层面对应基本要求中的物理安全、网络安全、主机安全、应用安全、数据安全与备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等10个安全要求类别。安全控制点安全控制点是对安全层面的进一步细化，在《基本要求》目录级别中对应安全层面的下一级目录。测评项数 … … … 3.1.2 不适用指标鉴于信息系统的复杂性和特殊性,《基本要求》的某些要求项可能不适用于整个信息系统，对于这些不适用项应在表后给出不适用原因。表3—2不适用指标安全层面安全控制点不适用项原因说明 … … … 3.1.3 特殊指标结合被测评单位要求、被测信息系统的实际安全需求以及安全最佳实践经验，以列表形式给出《基本要求》（或行业标准）未覆盖或者高于《基本要求》（或行业标准）的安全要求。安全层面安全控制点特殊要求描述测评项数 … … … 3.2 测评对象 3.2.1 测评对象选择方法依据GB/T 28449-2012信息系统安全等级保护测评过程指南的测评对象确定原则和方法，结合资产重要程度赋值结果，描述本报告中测评对象的选择规则和方法. 3.2.2 测评对象选择结果 1）机房序号机房名称物理位置重要程度 2）网络设备序号设备名称操作系统用途重要程度 … … … … 3）安全设备序号设备名称操作系统用途重要程度 … … … … 4）服务器/存储设备序号设备名称设备名称在本报告中应唯一，如xx业务主数据库服务器或xx-svr-db-1。操作系统 /数据库管理系统业务应用软件重要程度 … … … 5）终端序号设备名称操作系统用途重要程度 … … 6）数据库管理系统序号数据库系统名称数据库管理系统类型所在设备名称重要程度 … … … … … 7）业务应用软件序号软件名称主要功能开发厂商重要程度 … … … 8）访谈人员序号姓名岗位/职责 … … … 9）安全管理文档序号文档名称主要内容 … … … 3.3 测评方法描述等级测评工作中采用的访谈、检查、测试和风险分析等方法。 4 单元测评单元测评内容包括“3。1.1基本指标”以及“3。1.3特殊指标”中涉及的安全层面,内容由问题分析和结果汇总等两个部分构成，详细结果记录及符合程度参见报告附录A。 4.1 物理安全 4.1.1 结果汇总针对不同安全控制点对单个测评对象在物理安全层面的单项测评结果进行汇总和统计。表4—1物理安全—单元测评结果汇总表序号测评对象符合情况安全控制点物理位置的选择物理访问控制防盗窃和防破坏防雷击防火防水和防潮防静电温湿度控制电力供应电磁屏蔽 1 对象1 符合部分符合不符合不适用 … … … … … … … … … … 4.1.2 结果分析针对物理安全测评结果中存在的符合项加以分析说明，形成被测系统具备的安全保护措施描述。针对物理安全测评结果中存在的部分符合项或不符合项加以汇总和分析,形成安全问题描述。 4.2 网络安全 4.2.1 结果汇总针对不同安全控制点对单个测评对象在网络安全层面的单项测评结果进行汇总和统计。 4.2.2 结果分析 4.3 主机安全 4.3.1 结果汇总针对不同安全控制点对单个测评对象在主机安全层面的单项测评结果进行汇总和统计。 4.3.2 结果分析 4.4 应用安全 4.4.1 结果汇总 4.4.2 结果分析 4.5 数据安全及备份恢复 4.5.1 结果汇总 4.5.2 结果分析 4.6 安全管理制度 4.6.1 结果汇总 4.6.2 结果分析 4.7 安全管理机构 4.7.1 结果汇总 4.7.2 结果分析 4.8 人员安全管理 4.8.1 结果汇总 4.8.2 结果分析 4.9 系统建设管理 4.9.1 结果汇总 4.9.2 结果分析 4.10 系统运维管理 4.10.1 结果汇总 4.10.2 结果分析 4.11 ××××（特殊指标） 4.11.1 结果汇总 4.11.2 结果分析 4.12 单元测评小结 4.12.1 控制点符合情况汇总根据附录A中测评项的符合程度得分,以算术平均法合并多个测评对象在同一测评项的得分，得到各测评项的多对象平均分。根据测评项权重(参见附件《测评项权重赋值表》，其他情况的权重赋值另行发布）,以加权平均合并同一安全控制点下的所有测评项的符合程度得分，并按照控制点得分计算公式得到各安全控制点的5分制得分。控制点得分，n为同一控制点下的测评项数，不含不适用的控制点和测评项。以表格形式汇总测评结果，表格以不同颜色对测评结果进行区分，部分符合(安全控制点得分在0分和5分之间,不等于0分或5分）的安全控制点采用黄色标识，不符合(安全控制点得分为0分）的安全控制点采用红色标识. 表4—* 单元测评结果分类统计表序号安全层面安全控制点安全控制点得分符合情况符合部分符合不符合不适用 1 物理安全物理位置的选择 2 物理访问控制 3 防盗窃和防破坏 4 防雷击 5 防火 6 防水和防潮 7 防静电 8 温湿度控制 9 电力供应 10 电磁防护 … … … … … … 统计 4.12.2 安全问题汇总针对单元测评结果中存在的部分符合项或不符合项加以汇总,形成安全问题列表并计算其严重程度值。依其严重程度取值为1~5，最严重的取值为5。安全问题严重程度值是基于对应的测评项权重并结合附录A中对应测评项的符合程度进行的。具体计算公式如下：安全问题严重程度值=（5—测评项符合程度得分)×测评项权重。表4—4安全问题汇总表问题编号安全问题测评对象安全层面安全控制点测评项测评项权重问题严重程度值 … … … 5 整体测评从安全控制间、层面间、区域间和验证测试等方面对单元测评的结果进行验证、分析和整体评价。具体内容参见《GB/T 28448信息安全技术信息系统安全等级保护测评要求》。 5.1 安全控制间安全测评 5.2 层面间安全测评 5.3 区域间安全测评 5.4 验证测试验证测试包括漏洞扫描，渗透测试等，验证测试发现的安全问题对应到相应的测评项的结果记录中。详细验证测试报告见报告附录A. 若由于用户原因无法开展验证测试，应将用户签章的“自愿放弃验证测试声明"作为报告附件. 5.5 整体测评结果汇总根据整体测评结果，修改安全问题汇总表中的问题严重程度值及对应的修正后测评项符合程度得分,并形成修改后的安全问题汇总表（仅包括有所修正的安全问题）。可根据整体测评安全控制措施对安全问题的弥补程度将修正因子设为0.5~0。9。修正后问题严重程度值问题严重程度值最高为5。 =修正前的问题严重程度值×修正因子. 修正后测评项符合程度=5—修正后问题严重程度值/测评项权重表5-1修正后的安全问题汇总表该处仅列出问题严重程度有所修正的安全问题。序号问题编号该处编号与4.12.2安全问题汇总表中的问题编号一一对应。安全问题描述测评项权重整体测评描述修正因子修正后问题严重程度值修正后测评项符合程度 … 6 总体安全状况分析 6.1 系统安全保障评估以表格形式汇总被测信息系统已采取的安全保护措施情况，并综合附录A中的测评项符合程度得分以及5。5章节中的修正后测评项符合程度得分（有修正的测评项以5.5章节中的修正后测评项符合程度得分带入计算)，以算术平均法合并多个测评对象在同一测评项的得分,得到各测评项的多对象平均分. 根据测评项权重（见附件《测评项权重赋值表》，其他情况的权重赋值另行发布),以加权平均合并同一安全控制点下的所有测评项的符合程度得分，并按照控制点得分计算公式得到各安全控制点的5分制得分。计算公式为：控制点得分，n为同一控制点下的测评项数，不含不适用的控制点和测评项。以算术平均合并同一安全层面下的所有安全控制点得分，并转换为安全层面的百分制得分。根据表格内容描述被测信息系统已采取的有效保护措施和存在的主要安全问题情况。表6-1系统安全保障情况得分表序号安全层面安全控制点安全控制点得分安全层面得分 1 物理安全物理位置的选择 2 物理访问控制 3 防盗窃和防破坏 4 防雷击 5 防火 6 防水和防潮 7 防静电 8 温湿度控制 9 电力供应 10 电磁防护 11 网络安全结构安全 12 访问控制 13 安全审计 14 边界完整性检查 15 入侵防范 16 恶意代码防范 17 网络设备防护 18 主机安全身份鉴别 19 安全标记 20 访问控制 21 可信路径 22 安全审计 23 剩余信息保护 24 入侵防范 25 恶意代码防范 26 资源控制 27 应用安全身份鉴别 28 安全标记 29 访问控制 30 可信路径 31 安全审计 32 剩余信息保护 33 通信完整性 34 通信保密性 35 抗抵赖 36 软件容错 37 资源控制 38 数据安全及备份恢复数据完整性 39 数据保密性 40 备份和恢复 41 安全管理制度管理制度 42 制定和发布 43 评审和修订 44 安全管理机构岗位设置 45 人员配备 46 授权和审批 47 沟通和合作 48 审核和检查 49 人员安全管理人员录用 50 人员离岗 51 人员考核 52 安全意识教育和培训 53 外部人员访问管理 54 系统建设管理系统定级 55 安全方案设计 56 产品采购和使用 57 自行软件开发 58 外包软件开发 59 工程实施 60 测试验收 61 系统交付 62 系统备案 63 等级测评 64 安全服务商选择 65 系统运维管理环境管理 66 资产管理 67 介质管理 68 设备管理 69 监控管理和安全管理中心 70 网络安全管理 71 系统安全管理 72 恶意代码防范管理 73 密码管理 74 变更管理 75 备份与恢复管理 76 安全事件处置 77 应急预案管理 6.2 安全问题风险评估依据信息安全标准规范,采用风险分析的方法进行危害分析和风险等级判定。针对等级测评结果中存在的所有安全问题，结合关联资产和威胁分别分析安全危害,找出可能对信息系统、单位、社会及国家造成的最大安全危害（损失)，并根据最大安全危害严重程度进一步确定信息系统面临的风险等级，结果为“高”、“中”或“低"。并以列表形式给出等级测评发现安全问题以及风险分析和评价情况,参见表6-2。其中，最大安全危害（损失)结果应结合安全问题所影响业务的重要程度、相关系统组件的重要程度、安全问题严重程度以及安全事件影响范围等进行综合分析。表6-2信息系统安全问题风险分析表问题编号安全层面问题描述关联资产如风险值和评价相同，可填写多个关联资产。关联威胁对于多个威胁关联同一个问题的情况，应分别填写。危害分析结果风险等级 6.3 等级测评结论综合上述几章节的测评与风险分析结果，根据符合性判别依据给出等级测评结论，并计算信息系统的综合得分. 等级测评结论应表述为“符合”、“基本符合”或者“不符合”。结论判定及综合得分计算方式见下表：测评结论符合性判别依据综合得分计算公式符合信息系统中未发现安全问题，等级测评结果中所有测评项得分均为5分。 100分基本符合信息系统中存在安全问题，但不会导致信息系统面临高等级安全风险。 ,p为总测评项数，不含不适用的控制点和测评项，有修正的测评项以5.5章节中的修正后测评项符合程度得分带入计算。不符合信息系统中存在安全问题，而且会导致信息系统面临高等级安全风险。，l为安全问题数，p为总测评项数，不含不适用的控制点和测评项。注：修正后问题严重程度赋值结果取多对象中针对同一测评项的最大值。也可根据特殊指标重要程度为其赋予权重,并参照上述方法和综合得分计算公式，得出综合基本指标与特殊指标测评结果的综合得分。 7 问题处置建议针对系统存在的安全问题提出处置建议。正文第42页附录A等级测评结果记录 A。1物理安全以表格形式给出物理安全的现场测评结果。符合程度根据被测信息系统实际保护状况进行赋值，完全符合项赋值为5，其他情况根据被测系统在该测评指标的符合程度赋值为0～4（取整数值）。测评对象安全控制点测评指标结果记录符合程度 … 物理位置的选择 … … … … … … 物理访问控制 … … … … … … … … … … … … A.2网络安全 A。3 主机安全 A。4 应用安全 A。5 数据安全及备份恢复 A。6 安全管理制度 A。7 安全管理机构 A.8 人员安全管理 A.9 系统建设管理 A.10 系统运维管理 A.11 ××××（特殊指标安全层面） A.12验证测试附件第三级信息系统测评项权重赋值表 (此表可不提供被测评单位）下表给出第三级(S3A3G3）信息系统安全等级保护基本要求对应的测评项权重,其他等级信息系统测评项权重赋值表另行发布。序号层面控制点要求项测评项权重 1 物理安全物理位置的选择 a）机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; 0.2 2 物理安全物理位置的选择 b)机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁. 0.5 3 物理安全物理访问控制 a）机房出入口应有专人值守，控制、鉴别和记录进入的人员。 0。5 4 物理安全物理访问控制 b）需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。 0。5 5 物理安全物理访问控制 c）应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域. 0。5 6 物理安全物理访问控制 d）重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。 1 7 物理安全防盗窃和防破坏 a）应将主要设备放置在机房内。 0。2 8 物理安全防盗窃和防破坏 b）应将设备或主要部件进行固定,并设置明显的不易除去的标记。 0。2 9 物理安全防盗窃和防破坏 c）应将通信线缆铺设在隐蔽处，可铺设在地下或管道中。 0.2 10 物理安全防盗窃和防破坏 d）应对介质分类标识，存储在介质库或档案室中。 0。2 11 物理安全防盗窃和防破坏 e）应利用光、电等技术设置机房的防盗报警系统。 0。5 12 物理安全防盗窃和防破坏 f）应对机房设置监控报警系统. 0。5 13 物理安全防雷击 a）机房建筑应设置避雷装置。 0.2 14 物理安全防雷击 b)应设置防雷保安器，防止感应雷。 0。5 15 物理安全防雷击 c)机房应设置交流电源地线. 0.2 16 物理安全防火 a）机房应设置火灾自动消防系统，自动检测火情、自动报警，并自动灭火. 0。5 17 物理安全防火 b）机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。 0.2 18 物理安全防火 c)机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。 0.2 19 物理安全防水和防潮 a）水管安装，不得穿过机房屋顶和活动地板下。 0.2 20 物理安全防水和防潮 b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透. 0。2 21 物理安全防水和防潮 c）应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。 0。2 22 物理安全防水和防潮 d）应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。 0。5 23 物理安全防静电 a)主要设备应采用必要的接地防静电措施. 0。2 24 物理安全防静电 b)机房应采用防静电地板。 0。5 25 物理安全温湿度控制 a）机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。 0.2 26 物理安全电力供应 a）应在机房供电线路上设置稳压器和过电压防护设备。 0.5 27 物理安全电力供应 b）应提供短期的备用电力供应，至少满足主要设备在断电情况下的正常运行要求。 0。5 28 物理安全电力供应 c）应设置冗余或并行的电力电缆线路为计算机系统供电. 1 29 物理安全电力供应 d)应建立备用供电系统。 1 30 物理安全电磁防护 a）应采用接地方式防止外界电磁干扰和设备寄生耦合干扰. 0。5 31 物理安全电磁防护 b)电源线和通信线缆应隔离铺设，避免互相干扰。 0.5 32 物理安全电磁防护 c)应对关键设备和磁介质实施电磁屏蔽. 1 33 网络安全结构安全 a) 应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要； 1 34 网络安全结构安全 b) 应保证网络各个部分的带宽满足业务高峰期需要； 0.5 35 网络安全结构安全 c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径； 1 36 网络安全结构安全 d) 应绘制与当前运行情况相符的网络拓扑结构图； 0。5 37 网络安全结构安全 e）应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段; 1 38 网络安全结构安全 f) 应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段; 0.5 39 网络安全结构安全 g) 应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。 0.5 40 网络安全访问控制 a) 应在网络边界部署访问控制设备,启用访问控制功能； 0.5 41 网络安全访问控制 b）应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级； 1 42 网络安全访问控制 c) 应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制； 1 43 网络安全访问控制 d）应在会话处于非活跃一定时间或会话结束后终止网络连接； 0。5 44 网络安全访问控制 e）应限制网络最大流量数及网络连接数； 0。5 45 网络安全访问控制 f) 重要网段应采取技术手段防止地址欺骗； 0。5 46 网络安全访问控制 g）应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户; 0.5 47 网络安全访问控制 h）应限制具有拨号访问权限的用户数量。 0。5 48 网络安全安全审计 a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录; 1 49 网络安全安全审计 b) 审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; 0.5 50 网络安全安全审计 c）应能够根据记录数据进行分析，并生成审计报表; 1 51 网络安全安全审计 d）应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等. 0.5 52 网络安全边界完整性检查 a) 应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断; 1 53 网络安全边界完整性检查 b) 应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。 1 54 网络安全入侵防范 a) 应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等； 1 55 网络安全入侵防范 b) 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 0。5 56 网络安全恶意代码防范 a）应在网络边界处对恶意代码进行检测和清除； 1 57 网络安全恶意代码防范 b) 应维护恶意代码库的升级和检测系统的更新。 0。5 58 网络安全网络设备防护 a) 应对登录网络设备的用户进行身份鉴别； 0。5 59 网络安全

展开阅读全文