安全驗(yàn)收測(cè)評(píng)委托書(shū)

北京信息安全測(cè)評(píng)中心 控制編號(hào)：BJTEC-4120-08北京信息安全測(cè)評(píng)中心 控制編號(hào)：BJTEC-4120-08/修改記錄：第1次編號(hào)：XXXX信息系統(tǒng)安全驗(yàn)收測(cè)評(píng)委托書(shū)委托單位委托系統(tǒng)（公章）：委托日期：北京信息安全測(cè)評(píng)中心 控制編號(hào)：BJTEC-4120-08北京信息安全測(cè)評(píng)中心 控制編號(hào)：BJTEC-4120-08/修改記錄：第1次第第#頁(yè)共8頁(yè)填表說(shuō)明用戶填寫(xiě)和提供的信息及資料應(yīng)保證真實(shí)可靠。本委托表請(qǐng)?jiān)谟?jì)算機(jī)上填寫(xiě)，內(nèi)容以實(shí)際情況為準(zhǔn)。如填寫(xiě)內(nèi)容較多，可另附頁(yè)。準(zhǔn)備一份紙版（包括要求的附件內(nèi)容，并加蓋單位公章），同時(shí)交電子版一份（光盤(pán)）。委托單位聯(lián)系信息部 門(mén) 部門(mén)負(fù)責(zé)人 電 話 手 機(jī) 聯(lián)系人 電 話 手 機(jī) 傳 真 電子郵箱 聯(lián)系地址 郵政編碼 提交資料清單一、基本材料驗(yàn)收依據(jù)：說(shuō)明：被測(cè)單位提出的安全驗(yàn)收測(cè)評(píng)所依據(jù)的國(guó)家或地方標(biāo)準(zhǔn)或集成/設(shè)計(jì)/實(shí)施方案；驗(yàn)收范圍：此次安全驗(yàn)收測(cè)評(píng)所鑒定的系統(tǒng)邊界；（物理邊界、邏輯邊界）；如果被測(cè)單位提出的驗(yàn)收測(cè)評(píng)依據(jù)是標(biāo)準(zhǔn)，請(qǐng)明確需要驗(yàn)收的標(biāo)準(zhǔn)條款；已有安全措施：針對(duì)驗(yàn)收范圍目前對(duì)系統(tǒng)安全現(xiàn)狀的描述；《信息系統(tǒng)安全等級(jí)保護(hù)備案表》（如有）系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說(shuō)明（要求描述）說(shuō)明：對(duì)于系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說(shuō)明，用戶提供的資料中應(yīng)詳細(xì)說(shuō)明被測(cè)系統(tǒng)涉及網(wǎng)絡(luò)的節(jié)點(diǎn)數(shù)量、IP網(wǎng)段設(shè)置情況、VLAN的劃分情況、采用網(wǎng)絡(luò)操作系統(tǒng)類(lèi)型、不同應(yīng)用系統(tǒng)客戶機(jī)數(shù)量。用戶應(yīng)提供本單位詳細(xì)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，提供所有網(wǎng)絡(luò)設(shè)備的產(chǎn)品名稱(chēng)、型號(hào)、連接方式、具體安放位置及其它相關(guān)信息；對(duì)于被測(cè)服務(wù)器，需提供具體IP地址的設(shè)置、采用的操作系統(tǒng)及設(shè)置情況；對(duì)于特殊網(wǎng)絡(luò)設(shè)置，如虛聯(lián)接等，需詳細(xì)說(shuō)明其實(shí)現(xiàn)方式。硬件平臺(tái)：主要包括被測(cè)系統(tǒng)涉及的計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備、安全防護(hù)設(shè)備、審計(jì)設(shè)備等，還應(yīng)提供設(shè)備名稱(chēng)、型號(hào)、生產(chǎn)廠家及用途等。（excel表格形式）軟件平臺(tái)：主要包括被測(cè)系統(tǒng)涉及的操作系統(tǒng)、網(wǎng)絡(luò)通信協(xié)議、數(shù)據(jù)庫(kù)管理系統(tǒng)、通用應(yīng)用軟件、委托開(kāi)發(fā)和自主開(kāi)發(fā)的應(yīng)用系統(tǒng)和網(wǎng)絡(luò)管理軟件，還應(yīng)提供軟件的名稱(chēng)、版本、生產(chǎn)廠家、安裝位置、運(yùn)行此軟件的設(shè)備名及作用等，并在拓?fù)鋱D上明確軟件的安裝位置。病毒防護(hù)：結(jié)合拓?fù)鋱D說(shuō)明被測(cè)系統(tǒng)涉及的防病毒系統(tǒng)體系結(jié)構(gòu)，采用的軟件/設(shè)備情況（廠商、版本、部署），明確部署位置。安全審計(jì)：結(jié)合拓?fù)鋱D說(shuō)明被測(cè)系統(tǒng)安全審計(jì)的部署情況（網(wǎng)絡(luò)、主機(jī)或應(yīng)用）和具體實(shí)現(xiàn)的審計(jì)功能，采用的審計(jì)軟件/設(shè)備情況（廠商、版本）。入侵檢測(cè)：結(jié)合拓?fù)鋱D說(shuō)明被測(cè)系統(tǒng)對(duì)入侵檢測(cè)機(jī)制的部署情況（網(wǎng)絡(luò)、主機(jī)或應(yīng)用），采用的入侵檢測(cè)軟件/設(shè)備情況（廠商、版本）。9.系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或改建實(shí)施方案10系.統(tǒng)使用的安全產(chǎn)品清單及認(rèn)證、銷(xiāo)售許可證明11系.統(tǒng)相關(guān)的主要服務(wù)商及其資質(zhì)二、系統(tǒng)資料網(wǎng)絡(luò)系統(tǒng)：網(wǎng)絡(luò)安全域的劃分情況;網(wǎng)絡(luò)的訪問(wèn)控制策略；網(wǎng)絡(luò)設(shè)備、安全設(shè)備審計(jì)功能的設(shè)計(jì)與實(shí)現(xiàn)；入侵防范及惡意代碼防范部署情況；網(wǎng)絡(luò)和安全設(shè)備管理員身份鑒別方式；邊界和核心交換設(shè)備保護(hù)措施；主機(jī)系統(tǒng)：.各操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)采用的鑒別方式（賬號(hào)/密碼或其他方式）;服務(wù)器遠(yuǎn)程管理安全策略（是否允許遠(yuǎn)程管理、傳輸加密要求）；服務(wù)器中各用戶對(duì)資源的訪問(wèn)控制策略（敏感信息資源清單，用戶權(quán)限分配策略、系統(tǒng)賬號(hào)列表及各賬號(hào)用途）；主要服務(wù)器必須開(kāi)放的端口及其用途；服務(wù)器提供其功能所必需的操作系統(tǒng)組件及其他軟件清單；設(shè)計(jì)/驗(yàn)收文檔；管理：（可選）.已有安全管理制度列表；單位已經(jīng)正式發(fā)布的信息安全策略和方針文檔；單位組織架構(gòu)和相關(guān)人員數(shù)；信息安全管理部門(mén)和崗位職責(zé)定義文檔；員工安全培訓(xùn)計(jì)劃和記錄；軟件開(kāi)發(fā)管理相關(guān)規(guī)定；機(jī)房管理規(guī)定；辦公環(huán)境管理規(guī)定（包括物理辦公桌面和終端計(jì)算機(jī)桌面安全管理等）；資產(chǎn)安全管理規(guī)定和資產(chǎn)清單（清單格式）；介質(zhì)安全管理規(guī)定；備份和恢復(fù)管理規(guī)定；信息安全事件管理規(guī)定；程序源代碼庫(kù)訪問(wèn)規(guī)程；用戶口令管理規(guī)定；系統(tǒng)應(yīng)急預(yù)案；機(jī)房驗(yàn)收文檔；網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用運(yùn)行維護(hù)操作規(guī)程。應(yīng)用系統(tǒng)：應(yīng)用系統(tǒng)建設(shè)目的與依據(jù);系統(tǒng)的應(yīng)用需求及總體設(shè)計(jì)方案；應(yīng)用系統(tǒng)用戶身份鑒別方式；應(yīng)用系統(tǒng)賬號(hào)管理及其權(quán)限管理的操作流程；業(yè)務(wù)信息流在網(wǎng)絡(luò)上的流轉(zhuǎn)描述（需用戶提供其應(yīng)用系統(tǒng)的詳細(xì)數(shù)據(jù)流轉(zhuǎn)過(guò)程，包括數(shù)據(jù)的生成、處理、分發(fā)、查詢(xún)等流程）；是否有敏感數(shù)據(jù)，如有請(qǐng)列出，并說(shuō)明針對(duì)這些資源的訪問(wèn)控制策略；安全審計(jì)功能實(shí)現(xiàn)情況；應(yīng)用系統(tǒng)鑒別信息、業(yè)務(wù)敏感信息存儲(chǔ)和傳輸時(shí)是否采用了完整性和機(jī)密性保護(hù)措施；應(yīng)用系統(tǒng)的故障恢復(fù)能力；軟件設(shè)計(jì)/測(cè)試/驗(yàn)收文檔；應(yīng)用系統(tǒng)功能說(shuō)明文檔、用戶使用手冊(cè)。應(yīng)用程序源代碼（用于進(jìn)行源代碼安全審查）。源代碼（可選）：

未經(jīng)封裝的、完整的應(yīng)用系統(tǒng)源代碼（不包含測(cè)試等無(wú)效代碼）；系統(tǒng)采用的開(kāi)發(fā)技術(shù)（參見(jiàn)附表：信息系統(tǒng)技術(shù)調(diào)查表）系統(tǒng)的開(kāi)發(fā)環(huán)境（參見(jiàn)附表：開(kāi)發(fā)環(huán)境調(diào)查表）信息系統(tǒng)技術(shù)調(diào)查表系統(tǒng)名稱(chēng)系統(tǒng)功能系統(tǒng)最終用戶系統(tǒng)架構(gòu)設(shè)計(jì)語(yǔ)言C/C++ JSP JavaASP.NET C# VB.NETXML PL/SQL T-SQLASP PHP VBJavaScript其它 代碼行數(shù)（大約） 萬(wàn)級(jí)文件大小 k字節(jié)系統(tǒng)文件結(jié)構(gòu)系統(tǒng)類(lèi)庫(kù)（包括版本號(hào)）應(yīng)用系統(tǒng)服務(wù)器（包括版本號(hào)）Tomcat WebLogicWebSphere其它 系統(tǒng)使用的數(shù)據(jù)庫(kù)（包括版本號(hào)）Oracle SQL-ServerMySQL DB2Other 系統(tǒng)使用哪些第三方組件WEB系統(tǒng)是否屬于WEB2.0的系統(tǒng)？ 是/否使用哪些開(kāi)源技術(shù)？Struts Hibernate/NHibernateSpring/NSpring AJAXWebWork其它 開(kāi)發(fā)環(huán)境調(diào)查表

開(kāi)發(fā)環(huán)境調(diào)查表部署軟/硬件環(huán)境（包括OS版本）Windows Linux SolarisAIX MacOSX其它 X-Windows(Unix-only)如果部署平臺(tái)使用Unix/linux，是否安裝X-windows和gtk2是/否Build工具（包括版本）make/nmake ant VisualStudioEclipse WSAD