信息系統(tǒng)上線評(píng)估報(bào)告模板

XXX

信息系統(tǒng)上線

評(píng)估報(bào)告XXXXX年XX月TOC\o"1-5"\h\z\o"CurrentDocument"系統(tǒng)安全評(píng)估 1..\o"CurrentDocument"安全漏洞掃描 1信息系統(tǒng)主機(jī)安全漏洞掃描 1信息系統(tǒng)Web應(yīng)用安全漏洞掃描 2\o"CurrentDocument"安全配置核查 2信息系統(tǒng)主機(jī)安全配置掃描 3信息系統(tǒng)數(shù)據(jù)庫(kù)安全配置核查 4\o"CurrentDocument"安全建設(shè)管理 4\o"CurrentDocument"安全滲透測(cè)試 5\o"CurrentDocument"安全評(píng)估結(jié)果 5\o"CurrentDocument"安全整改建議 6附件 7安全漏洞掃描報(bào)告 7安全配置核查報(bào)告 7系統(tǒng)安全評(píng)估信息系統(tǒng)安全是企業(yè)正常安全運(yùn)行的重要組成部分，為確保新開(kāi)發(fā)的信息系統(tǒng)“不帶病上線”，上線前應(yīng)進(jìn)行多項(xiàng)安全評(píng)估，即系統(tǒng)安全漏洞掃描、系統(tǒng)安全配置核查、系統(tǒng)安全建設(shè)管理、系統(tǒng)安全滲透測(cè)試。安全漏洞掃描信息系統(tǒng)安全漏洞掃描分為主機(jī)和Web應(yīng)用2種掃描類(lèi)型，可以有效的排查操作系統(tǒng)和網(wǎng)站，以便于針對(duì)性的修復(fù)及加固發(fā)現(xiàn)的漏洞。單一漏洞風(fēng)險(xiǎn)等級(jí)評(píng)定標(biāo)準(zhǔn)如下表所示：危險(xiǎn)程度危險(xiǎn)值區(qū)域危險(xiǎn)程度說(shuō)明高7<=漏洞風(fēng)險(xiǎn)值<=10攻擊者可以遠(yuǎn)程執(zhí)行任意命令或者代碼，或?qū)ο到y(tǒng)進(jìn)行遠(yuǎn)程拒絕服務(wù)攻擊。中4<=漏洞風(fēng)險(xiǎn)值<7攻擊者可以遠(yuǎn)程創(chuàng)建、修改、刪除文件或數(shù)據(jù)，或?qū)ζ胀ǚ?wù)進(jìn)行拒絕服務(wù)攻擊。低0<=漏洞風(fēng)險(xiǎn)值<4攻擊者可以獲取某些系統(tǒng)、服務(wù)的信息，或讀取系統(tǒng)文件和數(shù)據(jù)。信息系統(tǒng)主機(jī)安全漏洞掃描本次對(duì)信息系統(tǒng)所屬服務(wù)器的主機(jī)安全漏洞掃描發(fā)現(xiàn)，主機(jī)均存在高危風(fēng)險(xiǎn)漏洞，高危漏洞數(shù)及類(lèi)型分布如下表所示，詳見(jiàn)附件掃描報(bào)告：主機(jī)IP高危漏洞類(lèi)型服務(wù)端口高危漏洞數(shù)高危漏洞數(shù)總計(jì)：信息系統(tǒng)Web應(yīng)用安全漏洞掃描本次對(duì)信息系統(tǒng)所屬網(wǎng)站的Web應(yīng)用安全漏洞掃描發(fā)現(xiàn)，網(wǎng)站存在中危風(fēng)險(xiǎn)漏洞，中危漏洞數(shù)及類(lèi)型分布如下表所示，詳見(jiàn)附件掃描報(bào)告：域名中危漏洞類(lèi)型服務(wù)端口中危漏洞數(shù)本次對(duì)信息系統(tǒng)所屬網(wǎng)站的Web應(yīng)用安全漏洞掃描掃描詳情如下圖所示:安全配置核查信息系統(tǒng)安全配置核查分為主機(jī)配置和數(shù)據(jù)庫(kù)配置2種核查類(lèi)型，可以有效的排查操作系統(tǒng)和數(shù)據(jù)庫(kù)安全配置是否符合要求規(guī)范，以便于針對(duì)性的預(yù)防加固存在的安全配置風(fēng)險(xiǎn)隱患。單一配置檢查項(xiàng)風(fēng)險(xiǎn)等級(jí)評(píng)定標(biāo)準(zhǔn)如下表所示：危險(xiǎn)程度危險(xiǎn)值區(qū)域危險(xiǎn)程度說(shuō)明高7<=漏洞風(fēng)險(xiǎn)值<=10不當(dāng)?shù)呐渲脤?dǎo)致攻擊者可以通過(guò)其他方式獲得管理員權(quán)限、或者只有管理員權(quán)限才能加固的配置。中4<=漏洞風(fēng)險(xiǎn)值<7不當(dāng)?shù)呐渲脤?dǎo)致攻擊者可以對(duì)主機(jī)進(jìn)行破壞或者收集主機(jī)的信息、或者遭受攻擊后，重要事件沒(méi)有記錄。低0<=漏洞風(fēng)險(xiǎn)值<4不當(dāng)?shù)嘏渲脤?duì)主機(jī)安全不會(huì)造成太大的影響。

信息系統(tǒng)主機(jī)安全配置掃描本次對(duì)信息系統(tǒng)所屬服務(wù)器的主機(jī)安全配置掃描發(fā)現(xiàn)，主機(jī)均存在高危風(fēng)險(xiǎn)不合規(guī)配置，高危風(fēng)險(xiǎn)不合規(guī)配置類(lèi)型分布如下表所示，詳見(jiàn)附件配置掃描報(bào)告：控制點(diǎn)分組高危風(fēng)險(xiǎn)不合規(guī)檢查配置項(xiàng)不合規(guī)主機(jī)IP訪問(wèn)控制資源控制身份鑒別高危風(fēng)險(xiǎn)不合規(guī)檢查配置項(xiàng)總計(jì)：信息系統(tǒng)數(shù)據(jù)庫(kù)安全配置核查本次對(duì)信息系統(tǒng)所屬數(shù)據(jù)庫(kù)的安全配置核查發(fā)現(xiàn)，該數(shù)據(jù)庫(kù)存在高危風(fēng)險(xiǎn)不合規(guī)配置，高危風(fēng)險(xiǎn)不合規(guī)配置類(lèi)型分布如下表所示，詳見(jiàn)附件數(shù)據(jù)庫(kù)配置核查報(bào)告：控制點(diǎn)分組高危風(fēng)險(xiǎn)不合規(guī)檢查配置項(xiàng)不合規(guī)數(shù)據(jù)庫(kù)IP身份鑒別訪問(wèn)控制安全建設(shè)管理通過(guò)建立信息系統(tǒng)及信息系統(tǒng)工程規(guī)劃設(shè)計(jì)、軟件開(kāi)發(fā)、工程實(shí)施、測(cè)試驗(yàn)收及交付等階段的控制措施，將這些控制措施和流程落實(shí)到管理制度文檔，并進(jìn)行合理的發(fā)布和實(shí)施。確保信息系統(tǒng)在規(guī)劃、開(kāi)發(fā)、實(shí)施、測(cè)試驗(yàn)收和交付階段工作內(nèi)容和工作流程的全面、規(guī)范、符合項(xiàng)目管理的要求。應(yīng)包含但不限于以下文件/文檔，如下表所示：安全滲透測(cè)試待信息系統(tǒng)安全整改完成后，再進(jìn)行信息系統(tǒng)安全滲透測(cè)試。安全評(píng)估結(jié)果本次對(duì)信息系統(tǒng)上線評(píng)估已完成的安全漏洞掃描和安全配置核查的2項(xiàng)技術(shù)安全檢測(cè)報(bào)告中，其所屬主機(jī)均存在高危風(fēng)險(xiǎn)漏洞X個(gè)以及不合規(guī)檢查配置項(xiàng)X項(xiàng)。另外由于信息還未驗(yàn)收，安全建設(shè)管理文檔暫無(wú)。且信息系統(tǒng)安全整改未完成，信息系統(tǒng)安全滲未透測(cè)試。因此，綜合上述已完成評(píng)估報(bào)告結(jié)果，判定信息系統(tǒng)安