1、控制编号: BJTEC-4109-08 / 修改记录:第 3 次编号: BJTEC-20XX-XXXX/XX安全等级测评申请书申请单位(盖章): 申请系统名称: 系统安全等级:_申请日期: 北京信息安全测评中心 控制编号: BJTEC-4109-08 / 修改记录:第 3 次第 2 页 共 12 页申 请 须 知1、 本申请书仅适用于信息系统安全等级测评。2、 申请书中各个栏目均要填写,若遇特殊情况无法填写时,应在该栏目下写清原因,不允许删除相应栏目。3、 申请书内容要具体、真实、准确,如填写内容较多,可另加附页或以附件形式提供。4、 此申请方纸质装订一份,另提供一份电子版文件(光盘) ,盘面
2、上标明申请单位名称、系统名称和填报日期。北京信息安全测评中心 控制编号: BJTEC-4109-08 / 修改记录:第 3 次第 3 页 共 12 页申请方承诺我方申请信息系统安全等级测评,承诺:1遵守北京信息安全测评中心的有关测评程序和规定。2为开展安全等级测评提供必要、及时的配合。3确保提交资料中所有内容的真实性、有效性和准确性。4. 按时缴纳测评费用,该费用与试验结果无关。北京信息安全测评中心 控制编号: BJTEC-4109-08 / 修改记录:第 3 次第 4 页 共 12 页1.申请方单位名称(中文): 地址、邮编(中文): 法人代表: 联系人: 电话(含区号): 手机: 传真:
3、E-mail: 2.系统基本情况调查表说明:I、请在符合选项之前的内标记,并在需要处填写相应的补充文字,如被测系统部署的物理位置是?单位机房,机房所在大楼共 10 层,机房部署在 2 层托管机房II、可多选一、 系统基本情况1、 被测系统运行于何种网络?互联网政务外网政务内网内部局域网其他, (注明网络)2、 被测系统的安全等级是?一级二级三级四级五级尚未定级3、 请提供被测系统的网络拓扑图并附简要描述:(要求包含被测系统涉及的硬件、软件,并标识软硬件尤其是服务器的名称、功能、准确部署位置及 IP 地址等情况,请保持与附件 2 信息一致)二、 物理环境相关4、 被测系统部署的物理位置是?单位机
4、房,机房所在大楼共 层,机房部署在 层托管机房, (注明托管机房名称)北京信息安全测评中心 控制编号: BJTEC-4109-08 / 修改记录:第 3 次第 5 页 共 12 页5、 机房建设情况是?依据国家标准的新建机房普通楼层改建后的机房普通楼层未改建的机房其他, 6、 机房的防火措施是?气体灭火灭火器灭火喷淋灭火其它, 7、 机房的温湿度控制是?精密空调中央空调普通空调其它, 8、 机房的电力保障设施是?双路供电,有 UPS双路供电,没有 UPS单路供电,有 UPS单路供电,没有 UPS其它, 注:双路供电指供机房使用两路由不同变压器传输至机房的市电。三、 网络结构相关9、 被测系统是
5、否划分了安全域?是, (注明个数、名称及运行的网络)否 10、 安全域采用何种方式实现边界访问控制?配置防火墙的访问控制策略配置交换机的访问控制列表物理隔离采用其他隔离设备实现, (注明设备种类)未实施边界访问控制11、 被测系统采用何种方式实现网络安全审计?部署独立的安全审计系统, (注明型号、名称)开启网络设备及安全设备的审计功能采用其他措施, 未实现安全审计功能12、 被测系统采用何种方式存储、分析及备份安全审计数据?审计数据存储在本地硬盘中审计数据采用光盘备份审计数据采用大容量移动硬盘备份按照一定时间周期分析审计数据并出具报告采用其他方式存储及备份数据, (请标明具体方式)未实现审计数
6、据的分析与备份13、 被测系统是否部署了防火墙或其他访问控制产品?是, (注明品牌和型号及部署位置)否14、 被测系统是否部署了入侵检测或入侵防御产品?是, (注明品牌、型号、部署位置及监控范围)北京信息安全测评中心 控制编号: BJTEC-4109-08 / 修改记录:第 3 次第 6 页 共 12 页否15、 被测系统是否部署了终端安全及文件保护类产品?是, (注明品牌、型号及监控范围)否16、 被测系统是否部署了计算机病毒及恶意代码防范产品?部署了网络防病毒系统, (注明名称和型号)部署了单机防病毒系统, (注明名称和型号)部署了防病毒网关, (注明名称和型号)未部署防病毒及恶意代码防范
7、产品17、 被测系统是否部署了 VPN(虚拟专用网)?是, (注明品牌、型号及涉及的网络域)否18、 被测系统是否部署了网络管理系统?是, (注明品牌、型号及管理范围)否19、 被测系统是否部署了非法外联监控产品?是, (注明品牌、型号及监控范围)否20、 被测系统是否部署了其他网络安全设备?是, (注明类型、品牌、型号及部署位置)否21、 被测系统是否为关键网络设备部署了冗余设备?是, (请注明为何种设备部署)否22、 被测系统网络和安全设备采用何种管理方式?必须在本地管理设备可选择明文或密文远程管理通道采用了明文的远程管理通道采用了加密的远程管理通道, (注明具体方式,如 ssh,http
8、s,VPN等)23、 网络和安全设备管理员采用何种用户账号安全策略? 采用身份鉴别技术鉴别管理员身份设立了单独的审计管理员对管理员的口令有复杂度及更换周期要求限制管理员的失败登录次数,或设置了失败登录相应措施启用了自动挂起或超时设置24、 被测系统网络和安全设备采用何种方式鉴别管理员身份? 用户名口令方式 IC 卡 USB Key 和 PIN 码指纹等生理特征鉴别其它, 请对以上问答中已采取的措施以及上面未提及的安全措施进行综合描述。四、 主机系统相关25、 被测系统涉及的主机操作系统采用何种方式鉴别用户身份?用户名口令方式 IC 卡 USB Key 和 PIN 码北京信息安全测评中心 控制编
9、号: BJTEC-4109-08 / 修改记录:第 3 次第 7 页 共 12 页指纹等生理特征鉴别其它, 26、 主要服务器采用何种管理方式?必须在本地管理设备可选择明文或密文远程管理通道采用了明文的远程管理通道采用了加密的远程管理通道, (注明具体方式,如 ssh,https等)27、 被测系统的操作系统/数据库采用何种用户账号安全策略? 采用身份鉴别技术鉴别管理员身份设立了单独的审计管理员对管理员的口令有复杂度及更换周期要求限制管理员的失败登录次数,或设置了失败登录相应措施启用了自动挂起或超时设置28、 主要服务器采用了何种安全防护和监控措施? 服务器本地安装了单机防病毒系统服务器本地安
10、装了单机防火墙部署了服务器安全监控系统启用本地操作系统的安全策略对服务器本地的开放服务、资源访问控制进行了限制其他措施, 29、 测评范围内是否包含 WEB 服务器?是, (注明服务器软件类型及版本,如 IIS 6.0, TOMCAT;注明关联的应用系统;注明具体部署位置)否30、 测评范围内是否包含数据库服务器?是, (注明数据库管理系统类型及版本,如 oracle 10g,sql server 2000;注明关联的具体应用系统或提供的数据库服务;注明部署位置)否请对以上问答中已采取的措施以及上面未提及的安全措施进行综合描述。五、 应用安全相关(如本次申请涉及多个应用系统,此部分内容可分别回
11、答)31、 测评范围内是否包含 B/S 结构的应用系统?是, (请注明数量及名称)否32、 测评范围内是否包含 C/S 结构的应用系统?是, (请注明数量及名称)否33、 应用系统面向哪些网络提供服务?互联网, (请注明应用系统名称)政务外网, (请注明应用系统名称)政务内网, (请注明应用系统名称)内部局域网, (请注明应用系统名称)其他, (请注明应用系统名称及运行网络)34、 应用系统采用何种方式鉴别用户身份?用户名口令方式 IC 卡 USB Key 和 PIN 码北京信息安全测评中心 控制编号: BJTEC-4109-08 / 修改记录:第 3 次第 8 页 共 12 页指纹等生理特征
12、鉴别其它, (注明方式)35、 应用系统采用何种用户账号安全策略? 采用身份鉴别技术鉴别管理员身份设立了单独的审计管理员对管理员的口令有复杂度及更换周期要求限制管理员的失败登录次数,或设置了失败登录相应措施启用了自动挂起或超时设置其他, (注明具体方式)36、 应用系统采用何种方式保障鉴别信息、业务敏感信息的安全? 加密存储加密传输配置了资源的访问控制策略对信息进行完整性校验其他方式, (注明具体方式)未采取该类措施37、 应用系统采用何种数据备份及应急恢复措施?部署了关键服务器的冗余服务器对关键系统、关键业务及关键数据采取了备份措施, (请注明备份措施)未采取该类措施38、 应用系统采用何种
13、方式实现安全审计功能?部署了统一的安全审计设备应用系统启用自身的安全审计功能其他, (请注明方式)未实现应用系统的安全审计功能请对以上问答中已采取的措施以及上面未提及的安全措施进行综合描述。六、 安全制度相关39、 被测单位是否建立了信息安全小组,明确了主管领导和相关人员职责?是, (请注明成立信息安全相关小组的文件名称以及安全人员的岗位职责文档名称,并准备相关文档原件备查)否40、 被测单位是否开展过信息安全管理体系建设相关的安全管理项目?是, (请提供项目相关文档的名称列表,并准备相关文档原件备查)否41、 请选择被测系统目前已有的安全管理制度:信息安全管理部门和岗位职责定义文档员工保密协
14、议范本员工安全培训记录软件开发管理相关规定机房管理规定办公环境管理规定(包括物理办公桌面和终端计算机桌面安全管理等)资产安全管理规定和资产清单(清单格式)介质安全管理规定备份和恢复管理规定信息安全事件管理规定系统应急预案北京信息安全测评中心 控制编号: BJTEC-4109-08 / 修改记录:第 3 次第 9 页 共 12 页机房验收文档其他, (请注明文件名称)注:请准备已有的安全管理制度文档备查。北京信息安全测评中心 控制编号: BJTEC-4109-08 / 修改记录:第 3 次第 10 页 共 12 页3.申请等级测评需要提交的资料1) 申请方提交资料清单(见附表 1) 。2) 信息系统安全等级保护备案表 (已审批盖章)及其附件:a) 信息系统安全等级保护定级报告 、b) 安全组织机构说明、c) 系统安全保护设施设计实施方案或改建实施方案、d) 系统使用的安全产品清单及认证、销售许可证明。3) 主要设备和软件清单(见附表 2) 。4) 应用系统功能说明文档、使用手册。
