报告编制内容脑图思维导图
信息采集,现场核查,风险分析,整体评估全内容详解
树图思维导图提供 报告编制内容脑图 在线思维导图免费制作,点击“编辑”按钮,可对 报告编制内容脑图 进行在线思维导图编辑,本思维导图属于思维导图模板主题,文件编号是:a9b1e7ffdbb112594e19290083958103
思维导图大纲
报告编制思维导图模板大纲
检查系统基本信息是否正确
单位名称
系统名称(以基本情况表为准),同时与合同核实是否一致
基础信息采集
资产要与结果记录对应上,不允许出现: 1、结果记录内容的主语与资产名称不对应的情况 2、结果记录中出现资产章节中没有的设备
资产的各个字段要填写清楚
针对云租户的情况,机房、网络设备、安全设备知道的尽量填写,不知道的要填写说明
物理机房描述模板
XXX系统部署于XXX(云平台系统名称),设备部署在XXX机房内,本次测评不涉及物理机房,详情参见附录HXXX(云平台系统名称)等级保护测评材料。
网络设备描述模板
XXX系统部署于XXX(云平台系统名称),通过XXX(云平台系统名称)提供的网络服务实现相应功能,云租户不涉及网络设备的管理,故本次测评未涉及具体网络设备,详情参见附录HXXX(云平台系统名称)等级保护测评材料。
安全设备描述模板
XXX系统部署于XXX(云平台系统名称),通过XXX(云平台系统名称)提供的安全服务实现相应功能,云租户不涉及安全设备的管理,故本次测评未涉及具体安全设备,详情参见附录HXXX(云平台系统名称)等级保护测评材料。
备份一体机、NTP服务器等资产,都要填写在对应部分
现场核查 (附录D)
结果记录
1、描述与判定不一致
2、结果记录不同域之间矛盾
安全计算环境漏扫与安全运维管理的不一致
安全计算环境三权账户与安全管理中心的不一致
安全计算环境接入方式VPN与安全建设管理、安全运维管理的密码产品不一致
3、结果记录相同域之间不同条款的矛盾
身份鉴别C项与入侵防范C项不一致
4、结果记录与渗透报告、漏扫报告不一致
1、漏扫报告中显示存在Telnet,结果记录中写已经关闭高危端口和不必要的服务
2、渗透报告中传输加密、未受限的口令枚举,结果记录中却是符合的描述
5、结果记录照抄条款,缺少证据,不仅是技术层面,管理层面同样
风险分析与评价
风险分析
高风险判定有误
1、针对互联网系统,高风险场景较多
2、低风险判定有误:可信验证、缺少记录等
问题描述不清晰
针对资产多的情况,务必描述清楚,不允许一句带过,如完整性、身份鉴别a、b项
整改建议
整改建议不明确、与风险问题不对应
整改建议需要添加推荐配置,可以写的明确的,一定要明确,禁止抄条款
风险值修正
高风险补偿措施错误
熟记《高风险判断指引》
高风险降低措施描述错误
当前现状-降低措施-作用
整体测评
依据高风险判定指引的风险降低措施进行描述
安全控制点间安全测评
双因素认证的风险降低
层面间/区域间安全测评
日志未保存6个月的风险降低
网络层面/主机层面的入侵防范
内容复制风险值修正的内容
项目概述
项目目的和依据
测评目的
检查是否存在非本项目的单位名称或系统名称
测评依据选项
通用要求
默认全部勾选
行业要求
如广电、电力行业
其它测评依据
合同,加书名号
DMS-技术管理-测评项目管理-我的项目信息- 合同名称-合同任务-电子版合同上传-名称
一定要保存
测评过程
安全状况描述
复制几个主要的中风险问题(5个左右)
测评时间选择
方案编制、报告编制必须要有高级测评师(武建双老师或者刘洋老师),注意此处的高级测评师即为报告的批准人。不能出现无证人员
开始时间尽量在合同签订之后 现场测评在基本情况表审核时间之后 与之前进场的材料时间保持一致,避免重复找客户签字
一定要保存
被测信息系统情况
如果有云计算扩展: 云平台选择云计算平台 云租户选择云服务客户业务应用系统 服务模式在云平台的报告中有
IaaS
PaaS
SaaS
被测对象描述
主要承载业务:在定级备案表的系统情况中有,可以复制。如是复测项目,根据测评的情况或上次报告进行编制。
按照模板填写对应部分,禁止删除
前次测评情况
无:本次测评为XXX系统首次测评,故无上次测评问题整改情况。
有:本次为XXX单位XXX系统所进行的第X次测评。首次测评由XXX单位于XXXX年XX月XX日完成,测评分数为“XX分”,测评结论为“X”。 本次测评中XXX单位对XXX系统测评中发现的部分问题进行整改,详细情况如下:
问题表格: 1、如是天帷测评,则可选择导入系统,自动导入之前这个系统的测评问题; 2、如不是,在现场测评阶段需要拍照或现场记录上次测评的所有问题,在导出的表格中填写好导入。
一定要保存
承载的业务情况
在定级备案表中,针对系统业务有具体的描述(与C被测对象描述不一致,要更详细)
一定要保存
网络结构
网络结构描述
删除模板中的提示语句
按照模板进行填写
网络环境中的区域可以增删
网络区域的半括号改成全括号
上传网络拓扑图
在Visio中画好图后导出为其他格式,一般为PNG
图片说明:XXX系统网络拓扑图
保存
一定要保存
安全服务
系统开发商
系统运维商
云服务提供商
测评服务商
测评工具以及接入点说明
测评工具说明
基本无需变动,检查系统名称是否正确即可
上传接入点说明图片
在Visio中画好图后导出为其他格式,一般为PNG
图片说明:验证测试工具接入示意图
保存
漏洞验证测试说明
测评过程中利用XXX和XXX进行漏洞扫描。
不同工具的漏洞风险等级说明:Nessus是默认的,其余的工具基本可以在漏扫报告中有。
保存
渗透验证测试说明
基本无需变化
保存
接入点说明描述
接入点JX:在交换机/防火墙(具体到名称或品牌)接入,使用XXX工具进行XXX,主要目的是,模拟外部/内部(根据实际情况)恶意用户发现XXX(直接写漏扫对象的统称,如服务器、数据库、业务应用软件等)等安全漏洞的过程,并尝试利用以上漏洞实施诸如获取系统控制权(GetShell)、获得大量敏感信息(DragLibrary)等模拟攻击行为;
上传PDF对应报告的最后一个章节的附录
上传HTML对应资产的漏洞表
目前仅支持Nessus和绿盟,如有其他的则需要手动
安全环境
无需删除
测评对象选择方法
半括号改成全括号
主要考虑以下几个方面中根据实际情况删除,如云租户不涉及 1) 主机房(包括其环境、设备和设施等)和灾备机房;
一定要保存
已有安全措施
全部生成
安全物理环境存在模板的情况,需要手动调整
安全通信网络删除多余重复的语句
安全区域边界删除多余重复的语句,删除具体的访问控制策略和TCP、UDP连接超时策略
安全计算环境要根据资产的类型来删除调整问题分析内容和整改建议的内容,避免出现资产和章节不对应的情况
安全管理中心检查下是否有重复多余的语句
安全管理的五个域删除具体的记录:现场核查有XXXX年XX月XX日的结果记录
总体评价
总体评价
不能全部复制结果记录,要体现对系统总体情况的概述,对重点部分进行突出,语言精炼。
除开头一段话外,共十个段,每个段对应一个安全域,结尾要写存在的问题,一个即可,除非没有问题。
保存
结论
检查等级测评结论,应在70分以上,结论为中或以上
导出报告
忽略数据安全需求和重要性识别有误。
填写被测单位信息
测评单位无需变动
制作报告中,填写报告编号:5段数字 1、前两段是备案编号,在基本情况表或备案证明中都有 2、第三段是年份,2022年即为22 3、第四段是测评机构编号,天帷信安是0120 4、第五段是该系统本年度出的第几次报告,一般是01,也存在系统变更出具多次的
报告名称:XXX系统网络安全等级保护测评报告V0.1
评测报告时间(要与客户确定好,防止客户有要求):项目概述-测评时间选择的最后一天
报告份数要提前与客户确认好,防止客户有要求,一般是三份,天帷、被测单位、网安各一份
项目成员:与项目概述-测评时间选择中人员一致
导出之后
第五章添加工具测试的漏洞,漏洞与工具测试一致
第七章添加工具测试
沪公网安备 31011502019485号
上海工商