信息系统安全等级级建议书.doc

“xxxxxxx”xxxx网站信息系统 安全等级测评报告 系统名称： “xxxxxxxx”xxxx网站信息系统 被测单位： xxxxxxxx 测评单位： xxxxxxxx 报告时间： 2010 年 9 月 6 日 信息系统等级测评基本信息表 系统名称 “xxxxxxxx”xxxx网站系统 安全保护等级 2 备案证明编号 测评结论 基本符合 被测单位 单位名称 xxxxxxxx 单位地址 xxxxxxxx 邮政编码 联 系 人 姓 名 职务/职称 所属部门 办公电话 移动电话 电子邮件 测评单位 单位名称 xxxxxx公司 单位代码 通信地址 xxxxxxxx 邮政编码 联 系 人 姓 名 职务/职称 技术总监 所属部门 技术部 办公电话 移动电话 审核批准 编 制 人 编制日期 审 核 人 审核日期 批 准 人 批准日期 注：单位代码由受理测评机构备案的公安机关给出。 声明 本报告是“ xxxxxxxx”xxxx门户网站信息系统的等级测评报告。 本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。 本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。当测评工作完成后，由于信息系统发生变更而涉及到的系统构成组件（或子系统）都应重新进行等级测评，本报告不再适用。 本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件（或产品）的测评结论。 在任何情况下，若需引用本报告中的测评结果或结论都应保持其原有的意义，不得对相关内容擅自进行增加、修改和伪造或掩盖事实。 目 录 报告摘要 测评基本信息 信息系统等级测评基本信息表 1 报告摘要 I 1 测评项目概述 1 1.1 测评目的 1 1.2 测评依据 1 1.3 测评过程 2 1.4 报告分发范围 2 2 被测信息系统情况 3 2.1 承载的业务情况 3 2.2 网络结构 4 系统构成 4 2.2.1 业务应用软件 4 2.2.2 主机/存储设备 5 2.2.3 网络互联设备 5 2.2.4 安全设备 6 2.2.5 安全相关人员 6 2.2.6 安全管理文档 7 3 等级测评范围与方法 7 3.1 测评对象 7 3.1.1 测评对象选择方法 7 3.1.2 测评对象选择结果 9 4 测评结果汇总 11 5 风险分析和评价 15 6 等级测评结论 17 7 安全建设整改建议 18 报告摘要 “xxxxxxxx”xxxx门户网站是由xxxxxxxx市xxxx办公室负责维护、建设，主管部门为xxxxxxxx，xxxxxxxx市xxxx办公室负责该系统的信息系统安全责任。 “xxxxxxxx”xxxx门户网站系统承载xxxx公开信息发布、xx论坛等应用，目前承载的为相对独立的业务。 本次测评的范围是对“xxxxxxxx”xxxx门户网站系统从物理安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面检查是否符合等级化保护二级建设要求。 通过本次测评，我们发现在物理安全、主机安全、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理方面符合二级系统建设要求，在应用安全、数据安全及备份恢复方面基本符合要求。 在本次测评过程中我们发现对于主机安全审计6.1.3.3，做得不够，建议在以后的系统改造过程中考虑。 测评项目概述 测评目的 本次测评是对“xxxxxxxx”xxxx门户网站系统从物理安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面检查验证是否符合等级化保护二级建设要求。 测评依据 《信息安全技术 信息系统安全等级保护定级指南》（GB_T 22240-2008） 《信息安全技术 信息系统安全等级保护基本要求》（GB_T 22239-2008） 《信息安全技术 信息系统安全等级保护实施指南》（国标报批稿）等标准 《信息安全技术 信息系统安全等级保护测评准则》（国标报批稿）等标准 测评过程 报告分发范围 本次测评报告一式三份，xxxxxxxx市公安局网监处、xxxxxxxx市信息中心、xxxxxxxx市有限公司各执一份。 被测信息系统情况 “xxxxxxxx”xxxx门户网站是由xxxxxxxx市xxxx办公室负责维护、建设，主管部门为xxxxxxxx，xxxxxxxx办公室负责该系统的信息系统安全责任。 “x