网络安全常用测评类型/测评网络安全的软件-零开始渗透教学

网络安全常用测评类型/测评网络安全的软件-零开始渗透教学

关于网络安全等级保护测评结果情况汇报致：厅领导在我厅党组的正确领导和高度重视与大力支持下，我单位逐渐完善了中心网络与信息系统的建设，建立了较为健全的网络安全保障体系。2022年03月，我厅依法依规对XXX信息系统、XXX管理业务系统开展年度网络安全等级保护项目招标采购工作（项目名称：XXX网络安全等保测评服务类采购项目、招标编号：）。至2022年05月，由项目中标方XXX股份有限公司按招标文件、项目合同等有关文件要求，完成了项目相关信息系统的定级、备案、差距分析、整改建设与安全加固等工作；由XXXX测评中心完成对项目相关信息系统的网络安全等级测评工作。项目合同约定范围内的信息系统均通过安全等级测评，测评结论均为“中”（综合得分在70分以上），具体得分情况如下表所示：序号信息系统名称安全等级年度测评得分1XXX信息系统第三级75.管理业务系统第三级74.62项目相关信息系统虽然通过相应的安全等级测评，但仍然存在一些中、低级别的安全风险，我中心在取得测评报告后，立即组织网络安全服务商、信息系统软件开发商、信息系统运维服务商等相关单位人员，结合厅网络与信息化实际情况，对测评报告中不符合项开展整改与安全加固工作。

其中，针对未采用可信验证技术、未采用SM系列密码技术进行通信完整性验证、未提供通信线路和关键网络设备的硬件冗余等无法立即落实整改的安全隐患，我中心将结合厅网络与信息化安全实际需求，将其列入我中心网络与信息化发展规划，作为今后我中心有关网络安全方面工作重要指导依据，并逐步落实整改到位（具体不符合项信息详见附件： 2022年度网络安全等级测评不符合项及整改措施）。我中心将在厅党组的正确领导下，积极开展信息系统网络安全保障工作，不断改进提升网络安全防护能力与管理水平，降低网络安全风险，健全网络安全保障体系，切实落实网络安全责任主体。附件：中心2021年度网络安全等级测评不符合项及整改措施 XXX厅信息中心2022年05月23日附件： 2022年度网络安全等级测评不符合项及整改措施项目名称XXX网络安全等保测评服务类采购项目系统名称XXX信息系统、XXX管理业务系统网络安全等级测评报告整改情况统计安全问题高风险问题中风险问题低风险问题整改前0333整改后0103项目整改情况说明问题编号问题描述风险等级整改情况说明W01未能基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证；中未整改，拟报请采购预算采购网络和安全设备可信根芯片或硬件，保障系统程序和关键应用程序的完整性、可靠性和安全性；W03未设置强制口令更换周期中已整改，设置口令更换周期为90 天。

W16未采用可信验证技术。中未整改，拟报请预算采购可信技术对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，并能在检测到其可信性受到破坏后进行报警；W17未采用密码技术进行通信完整性验证。中未整改，拟报请预算对重要数据采用SM系列等经国家密码管理局认可的密码技术保证通信过程中数据的完整性。W21未配备专门的审计管理员对系统的审计记录进行统一收集和存储

~

网络安全学习，我们一起交流

~