网络实验室系统等保测评报告-正文(3)

网络实验室系统信息安全等级测评报告 [2015]

1.3参考依据

1) 《中华人民共和国计算机信息系统安全保护条例》(国务院147号令) 2) 关于印发《信息系统安全等级测评报告模版（试行）》的通知（公信安

[2009]1487号）

3) GB/T 22240-2008《信息安全技术 信息系统安全等级保护定级指南》（简称

《定级指南》）

4) GB/T 25058-2010《信息安全技术 信息系统安全等级保护实施指南》（简称

《实施指南》）

5) GB/T 28449-2012《信息安全技术 信息系统安全等级保护测评过程指南》

（简称《测评过程指南》）

6) 《卫生行业信息安全等级保护工作的指导意见》（卫办发〔2011〕85号）

1.4测评过程

本次测评过程分为四个阶段，即测评准备阶段、方案编制阶段、现场测评阶段、分析与报告编制阶段。

测评准备阶段，对西科大“网络实验室系统”进行前期调查，掌握信息系统的详细情况，并确定测评对象；根据信息系统的实际情况准备现场测评表与测试工具。

方案编制阶段，编制与西科大“网络实验室系统”相适应的测评内容及实施方法。 测评实施阶段，按照测评方案的总体要求，严格执行测评实施手册，分步实施所有测评项目；通过单项测评和系统整体测评两个方面，了解系统的真实保护情况，获取足够证据，发现系统存在的安全问题。

正文 第2页/共58页

网络实验室系统信息安全等级测评报告 [2015]

报告编制阶段，根据现场测评结果和相关标准的有关要求，通过单项测评结果判定和系统整体测评分析等方法，分析整个系统的安全保护现状与相应等级的保护要求之间的差距，综合评价被测信息系统保护状况，并形成测评报告文本。

基本工作流程图如下图1-1所示：

测评准备活动 测评对象确定 测评工具接入点确定 等级测评项目启动 信息收集与分析 工具和表单准备 测评指标确定 方案编制活动 测评内容确定 测评实施手册开发 测评方案编制 沟通与洽谈 正文

现场测评活 测评实施准备 现场测评和结果记录 结果确认和资料归还 单项测评结果判定 单项测评结果汇总分析 系统整体测评分析 风险分析 测评报告编制 分析与报告编制活动 修订 图1-1基本工作流程图

第3页/共58页

网络实验室系统信息安全等级测评报告 [2015]

在整个等级测评过程中与项目组与西科大保持良好地沟通与访谈，促进本次测评顺利完成。

测评准备活动：时间为2015年4月08日，主要工作内容为：准备调研内容，收集调查结果和整理分析调查材料。

方案编制活动：时间为2015年4月09日-10日，主要工作内容为：制定测评方案。

现场测评活动：时间为2015年4月11日-5月1日，主要工作内容为：准备现场文档，现场测评本次测评范围内所属应用系统、服务器、相关网络安全设备并记录现场测评结果，对安全管理机构、人员安全管理、安全管理制度、系统建设安全管理、系统运维安全管理做现场测评并记录测评结果。

分析与报告编制活动：时间为2015年5月2日-5月3日，主要工作内容为：材料核查整理，等级测评报告编写。

1.5报告分发范围

本报告一式三份，其中一份提交西科大，一份提交绵阳市公安局，一份公司留存。

正文 第4页/共58页

网络实验室系统信息安全等级测评报告 [2015]

2 被测信息系统情况

2.1承载的业务情况

西科大网络实验室系统作为西科大的重要信息系统，主要业务有：为西科大的学生提供安全的网络实验环境与流畅的实验网络。西科大“网络实验室系统”的业务信息安全等级为第二级，系统服务安全等级为第二级，系统安全保护等级为第二级。

2.2系统构成

2.2.1机房

表2-1测评对象-机房列表

序号 1 机房名称 西科大主机房 物理位置 机房位于东六3楼 2.2.2主机设备

表2-3主机/存储设备基本情况表 操作系统/数物理/逻序号 设备名称 辑区域 统 生产集群1 1号 房/服务VMWare 室系统 行政机物理机： 网络实验*.*.*.* 关键 s 系统 Window据库管理系应用软件 安装平台/ IP地址 程度 用系统 重要 所属应正文 第5页/共58页

网络实验室系统信息安全等级测评报告 [2015]

操作系统/数物理/逻序号 设备名称 辑区域 统 器区 vSphere 5.5 虚拟机OS：Windows Server 2008 R2 CentOS 6.4 数据库： Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 据库管理系应用软件 安装平台/ IP地址 程度 用系统 重要 所属应正文 第6页/共58页