网络实验室系统等保测评报告-正文.doc

内部资料 注意保管 项目编号 报告编号 文档编号 系统 系统名称：系统 被测单位： 测评单位： 报告时间：201说明： 每个备案信息系统单独出具测评报告。 二、测评报告编号为四组数据。各组含义和编码规则如下： 第一组为信息系统备案表编号，由12位数字组成，可以从公安机关颁发的信息系统备案证明（或备案回执）上获得，即证书编号的前12位（前6位为受理备案公安机关代码，后6位为受理备案的公安机关给出的备案单位的顺序编号）。 第二组为年份，由2位数字组成。例如09代表2009年。 第三组为测评机构代码，由四位数字组成。前两位为省级行业主管部门编号：00为公安部，1为北京，2为天津，3为河北，4为山西，5为内蒙古，为辽宁，为吉林，为黑龙江，为上海，为江苏，为浙江，为安徽，为福建，为江西，为山东，为河南，为湖北，为湖南，为广东，为广西，为海南，为重庆，为，为贵州，为云南，为西藏，为陕西，为甘肃，为青海，为宁夏，为新疆，为新疆兵团。0为国防科工局，1为电监会，2为教育部。后两位为公安机关或行业主管部门推荐的测评机构顺序号。 第四组为本年度信息系统测评次数，由两位构成。例如02表示该信息系统本年度测评2次 信息系统等级测评基本信息表 信息系统 系统名称 系统 安全保护等级 备案证明编号 测评结论 符合 单位 单位名称 单位地址 邮政编码 联 系 人 姓 名 职务/职称 所属部门 办公电话 移动电话 电子邮件 测评单位 单位名称 单位代码 通信地址 邮政编码 联 系 人 姓 名 职务/职称 所属部门 办公电话 移动电话 电子邮件 审核批准 编 制 人 编制日期 审 核 人 审核日期 批 准 人 批准日期 声明 本报告是的等级测评报告。 本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。 本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。当测评工作完成后，由于信息系统发生变更而涉及到的系统构成组件（或子系统）都应重新进行等级测评，本报告不再适用。 本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件（或产品）的测评结论。 在任何情况下，若需引用本报告中的测评结果或结论都应保持其原有的意义，不得对相关内容擅自进行增加、修改和伪造或掩盖事实。 201 目 录 报告摘要 I 1 测评项目概述 1 1.1测评目的 1 1.2测评依据 1 1.3参考依据 1 1.4测评过程 2 1.5报告分发范围 4 2 被测信息系统情况 5 2.1承载的业务情况 5 2.2系统构成 5 2.2.1机房 5 2.2.2主机设备 5 2.2.3安全设备 6 2.2.4安全管理文档 6 2.3安全环境 10 2.4前次测评情况 11 3 等级测评范围与方法 11 3.1测评指标 11 3.2测评对象 12 3.2.1测评对象选择方法 12 3.2.2测评对象选择结果 12 3.3测评方法 18 3.3.1现场测评方法 18 3.3.2风险分析方法 19 4 单元测评 20 4.1网络安全 20 4.1.1 结果汇总 20 4.1.2 结果分析 21 4.2主机安全 22 4.2.1结果汇总 22 4.2.2结果分析 22 4.3应用安全 23 4.3.1结果汇总 23 4.3.2结果分析 23 5 整体测评 24 5.1安全控制间安全测评 25 5.2层面间安全测评 25 5.3区域间安全测评 26 6 测评结果汇总 26 7 风险分析和评价 28 8 安全建设/整改建议 30 9 等级测评结论 31 报告摘要 西科大网络实验室系统作为西科大的重要信息系统，主要业务有：为西科大的学生提供安全的网络实验环境与流畅的实验网络。西科大“网络实验室系统系统 受西科大的10月8日对被测信息系统进行了等级保护现场测评。项目组人员依据GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》标准中要求， 本次“西科大网络实验室系统”系统测评的范围为安全要求的网络安全、主机安全、应用安全个测评单元。系统、VMWare vSphere ESXi系统和西科大主机房。 本次测评指标按照《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》中对信息系统安全保护等级第二级（S2A2G2）系统要求确定安全子类66项。通过单项测评、单元测评和整体测评，系统未发现高风险问题，依据关于印发《信息系统安全等级测评报告模版（试行）》的通知（公信安[2009]1487号）中的规定，本次测评结论为基本符合。 被测信息系统基本符合第二级信息系统等级