信息安全等级保护测评自查

信息系统安全等级保护测评自查

（三级）

单位全称：XXX

项目联系人：XX X ：XXX ：XXX

1被测信息系统情况

1.1承载的业务情况

市XXX系统，XX年投入使用，包括X台服务器、X台网络设备和X台安全设备。市XXX系统是为市XXX(系统简介)。

1.2网络结构

给出被测信息系统的拓扑结构示意图，并基于示意图说明被测信息系统的网络结构基本情况，包括功能/安全区域划分、隔离与防护情况、关键网络和主机设备的部署情况和功能简介、与其他信息系统的互联情况和边界设备以及本地备份和灾备中心的情况。

市XXX系统由边界安全域、核心安全域和服务器安全域等三个功能区域组成，主要有XXX功能。各功能区都位于XX机房。具体拓扑如下：

图2-1 市XXX系统拓扑图

备注：需注明网络出口（电信，电子资源政务中心、XXX等）

1.3系统备案情况

市XXX系统备案为X级，系统备案编号为X，备案软件显示系统防护为SXAXGX

2系统构成

2.1机房

2.2网络设备

以列表形式给出被测信息系统中的网络设备。

2.3安全设备

以列表形式给出被测信息系统中的安全设备。

2.4服务器/存储设备

以列表形式给出被测信息系统中的服务器和存储设备，描述服务器和存储设备的项目包括设备名称、操作系统、数据库管理系统以及承载的业务应用软件系统。

1设备名称在本报告中应唯一，如xx业务主数据库服务器或xx-svr-db-1。

2.5终端

以列表形式给出被测信息系统中的终端，包括业务管理终端、业务终端和运维终端等。

2.6

业务应用软件

以列表的形式给出被测信息系统中的业务应用软件（包括含中间件等应用平台软件），描述项目包括软件名称、主要功能简介。

2.7关键数据类别

以列表形式描述具有相近业务属性和安全需求的数据集合。

如鉴别数据、管理信息和业务数据等，而业务数据可从安全防护需求（、完整等）的角度进一步细分。性，完整性等

2.8安全相关人员

2.9安全管理文档

2如鉴别数据、管理信息和业务数据等，而业务数据可从安全防护需求（保密、完整等）的角度进一步细分。3保密性，完整性等。

2.10安全服务

3扫描

3.1主机扫描

采用绿盟极光对服务器、网络设备、数据库等进行主机扫描，发现服务器操作系统、数据库版本漏洞、系统补丁、弱口令等安全漏洞。

4安全服务包括系统集成、安全集成、安全运维、安全测评、应急响应、安全监测等所有相关安全服务。

原始报告可另附。

3.2应用层扫描

采用IBM Rational Appscan对系统进行应用层扫描，发现系统由于编码习惯，插件版本等存在的漏洞，可发现各种CGI 漏洞、SQL 注入，跨站脚本，敏感信息泄漏。

原始报告可另附。

4安全管理核查

4.1安全管理制度

4.2安全管理机构

4.3人员安全管理

4.4系统建设管理

4.5系统运维管理