××單位安全檢查報告

1、××單位信息安全檢查報告省公司公司××單位2011年9月installation to be familiar with the drawings, and to be familiar with to order materials, know exactly what each part of the mullions used to avoid misattribution. Checks include the following the color is correct, oxide films if requested;section con

2、forms to design including the height, angle, thickness, etclength requirementis easier to control, and therefore work both from a technical as well as management are particularly valued. 2. technology process: checks for vertical models, specifications, check the box in place, ferrule fixed Liang Xi

3、aduan, and top bolted beam three dimensional adjustment. 3. basic operation: (1) check the vertical type and specification: before- 33 -1 概述根據(jù)國務院信息化工作辦公室關于對國家基礎信息網(wǎng)絡和重要信息系統(tǒng)開展安全檢查的通知（信安通200615號）、國家電力監(jiān)管委員會關于對電力行業(yè)有關單位重要信息系統(tǒng)開展安全檢查的通知（辦信息200648號）以及集團公司的文件要求，開展省公司公司（以下簡稱公司）范圍內(nèi)的信息安全檢查工作。2 目標安全檢查工作的主要目標是通過自評

4、估工作，發(fā)現(xiàn)公司信息系統(tǒng)當前面臨的主要安全問題，邊檢查邊整改，確保公司信息網(wǎng)絡和重要信息系統(tǒng)的安全。本次安全檢查工作將完成以下任務：1） 完成直屬各單位典型系統(tǒng)的信息安全風險評估工作。通過檢查掌握當前公司信息系統(tǒng)面臨的主要安全問題，并在對檢查結(jié)果進行分析判斷的基礎上提出整改措施。2） 進行公司范圍內(nèi)信息安全大檢查，對各單位的基礎網(wǎng)絡和重要信息系統(tǒng)進行安全性自查，并將相關數(shù)據(jù)進行匯總分析，統(tǒng)計重大和典型信息安全事件，及時發(fā)現(xiàn)和查找基礎網(wǎng)絡和重要信息系統(tǒng)存在的安全隱患，邊檢查邊整改，確保公司基礎網(wǎng)絡和重要信息系統(tǒng)安全、可靠運行。3 組織機構(gòu)成立省公司公司××單位信息安全檢查領導

5、小組和工作小組，組織協(xié)調(diào)局信息安全檢查工作。4 檢查方法安全檢查工作中將采取風險評估的基本方法、對檢查范圍內(nèi)的工作內(nèi)容按照評估的基本框架進行，確保檢查工作的出發(fā)點、過程和結(jié)果與實際情況相符。安全檢查工作采用信息安全風險評估的基本方法，按照“誰主管、誰負責，誰運營、誰負責”的原則，以各單位組織自評估（自查）為主，并與上級檢查和專家指導相結(jié)合，對檢查范圍內(nèi)的工作內(nèi)容按照評估的基本框架進行，確保檢查工作的出發(fā)點、過程和結(jié)果與實際情況相符。為配合檢查工作的順利開展、確保檢查工作的實效，在檢查實施過程中，應采取有效的檢查工具，結(jié)合人工檢查，并參照相關的技術規(guī)范進行。檢查工作中，按照檢查列表由檢查人員根據(jù)

6、系統(tǒng)特點逐項檢查，確保數(shù)據(jù)的可靠和真實，人工檢查要進行簽字和審核，確保檢查雙方對結(jié)果的認可。5 檢查內(nèi)容 5.1 資產(chǎn)清單表附件1檢查內(nèi)容見附件1資產(chǎn)清單表。5.2 事件清單表附件2檢查事件清單見附件2事件清單表。 5.3 檢查結(jié)果表附件3檢查結(jié)果見附件3檢查結(jié)果表。6 綜合分析××單位通過對本單位重要系統(tǒng)、重要網(wǎng)絡設備、重要服務器及其安全屬性受破壞后的影響進行的識別，將一旦停止運行影響面大的系統(tǒng)、關鍵網(wǎng)絡節(jié)點設備和安全設備、承載敏感數(shù)據(jù)和業(yè)務的服務器進行登記匯總，形成了重要資產(chǎn)清單。通過對本單位半年內(nèi)發(fā)生的較大的、或者發(fā)生次數(shù)較多的信息安全事件（網(wǎng)絡故障、信息系統(tǒng)故障）進

7、行了匯總記錄，形成了本單位近半年內(nèi)的的安全事件清單。我局根據(jù)廣電公司下發(fā)的安全缺陷檢查列表包括規(guī)章制度與組織管理、關建設備和服務采購情況、網(wǎng)絡與系統(tǒng)安全、網(wǎng)絡與應用系統(tǒng)、安全技術管理與設備運行狀況、存儲備份系統(tǒng)、介質(zhì)及物理環(huán)境安全、應急處置等進行了安全缺陷檢查，填寫了安全缺陷檢查結(jié)果表。對我局的信息安全狀況組織了單位信息部的所有系統(tǒng)管理人員、專職、專責進行分析和判斷，明確了這些安全事件產(chǎn)生的原因，提出了針對的整改措施。附件4檢查結(jié)果整改措施。附件1資產(chǎn)清單表附件2事件清單表編號安全事件事件情況簡單說明（）發(fā)生日期后果處理措施1網(wǎng)絡故障電信光纜中斷，并時斷時續(xù)。2006.4.252信息系統(tǒng)故障營

8、銷系統(tǒng)的數(shù)據(jù)增長迅猛，在業(yè)務繁忙期，出現(xiàn)4個集群節(jié)點會隨機自動宕機現(xiàn)象，當日發(fā)生5號服務器宕機。2006.3.20附件3檢查結(jié)果表1. 規(guī)章制度與組織管理（滿分110分）檢查項目檢查內(nèi)容檢查分值1 組織機構(gòu)（10分）是否成立了信息安全領導機構(gòu)、工作機構(gòu)？（缺一項扣5分）2崗位職責（15分）是否有專職網(wǎng)絡管理人員(缺一項扣3分，兼職扣1分) 是否有專職應用系統(tǒng)管理人員(缺一項扣3分，兼職扣1分)是否有專職系統(tǒng)管理人員(缺一項扣3分，兼職扣1分)各專責的工作職責與工作范圍是否有制度明確進行界定。（否扣4分，）是否實行主、副崗備用制度（否扣2分）3病毒管理（12分）是否制定了計算機病毒防治管理制度（

9、否扣3分） 是否制定了定期升級的安全策略（否扣3分）是否制定了病毒預警和報告機制（否扣3分）病毒掃描策略是否規(guī)定了1周內(nèi)至少進行一次掃描？（否扣3分）4運行管理（50分）是否建立了信息系統(tǒng)運行管理規(guī)程？（否扣3分）重要操作是否實行工作票制度？（檢查3個月內(nèi)的操作票，滿分8分）機房出入管理制度是否上墻？近3個月的機房進出情況是否有記錄？（滿分8分）運行值班制度是否規(guī)定了普通情況下58小時、關鍵時期的724小時的現(xiàn)場值班內(nèi)容？（否扣3分）是否建立了缺陷管理制度（檢查3個月內(nèi)情況，滿分8分）是否建立了統(tǒng)計匯報制度（檢查3個月內(nèi)情況，滿分8分）是否建立了運維流程，并按照流程進行操作（檢查3個月內(nèi)情況，

10、滿分8分）是否對值班人員進行了安排？近3個月值班記錄內(nèi)容是否詳實？（滿分4分）5 賬號與口令管理（23分）是否制定了賬號、口令管理制度？（否扣5分） 普通用戶賬戶密碼、口令長度要求是否大于6字符？管理員賬戶密碼、口令長度是否大于8字符？（每項不符扣4分）半年內(nèi)賬戶密碼、口令是否進行過變更？（查看變更相關記錄、通知、文件）（否扣5分）半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后是否及時對其賬戶進行了變更或注銷？（查看相關記錄）（否扣5分）得分合計2. 關鍵設備和服務采購情況名稱品牌數(shù)量外包服務商或運維服務情況(注明是否為系統(tǒng)內(nèi)單位)服務評價（好、中、差）服務保密性要求執(zhí)行情況（好、中、差）交換機好好好好路由器好

11、好小型機好好好好好好防火墻好好入侵檢測防病毒好好好好漏洞掃描網(wǎng)管軟件好好安全監(jiān)控平臺風險評估、安全管理、安全規(guī)劃等咨詢服務好好好好好好好好安全運維、安全加固、網(wǎng)絡優(yōu)化等外包服務好好好好產(chǎn)品安全性測試服務3. 網(wǎng)絡與系統(tǒng)安全（100分）檢查項目檢查內(nèi)容檢查分值1 網(wǎng)絡架構(gòu)（25）局域網(wǎng)核心交換設備，廣域網(wǎng)核心路由設備是否采取了設備冗余或準備了備用設備？（滿分10分，關鍵點缺一項扣2分，扣完為止）是否有不經(jīng)過防火墻的外聯(lián)鏈路？（滿分10分，有扣10分）是否有當前準確的網(wǎng)絡拓撲結(jié)構(gòu)圖？（滿分5分）2 網(wǎng)絡分區(qū)（8）生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間是否部署了隔離措施（滿分5分）VLAN間的訪問控制是否合

12、理？（滿分3分）3 網(wǎng)絡設備（23）網(wǎng)絡設備配置是否進行了備份？（電子、物理介質(zhì)）（滿分3分）網(wǎng)絡關鍵點設備是否雙電源？（滿分5分）是否關閉了HTTP、FTP、TFTP等服務？（滿分5分）SNMP社區(qū)串、本地用戶口令是否強健（>8字符，數(shù)字、字母混雜）？（滿分10分，一項不合格扣5分）4 IP管理（14）是否有IP地址管理系統(tǒng)？（滿分3分）是否有IP地址的規(guī)劃方案和分配策略？（滿分8分）是否有IP地址分配記錄？（滿分3分）5補丁管理（13）是否有補丁管理的手段，或管理制度？（滿分5分）Windows系統(tǒng)主機補丁安裝是否齊全？（滿分5分）是否有補丁安裝的測試記錄？（滿分3分）6系統(tǒng)安全配置

13、（8）是否對操作系統(tǒng)的安全配置進行了嚴格的設置？（滿分5分）是否刪除了系統(tǒng)中不必要的服務、協(xié)議？（滿分3分）8主機備份（10）重要的系統(tǒng)主機是否采用了雙機備份？（滿分5分）是否進行過熱切換，或者故障恢復的測試？（滿分5分）得分合計4. 網(wǎng)絡服務與應用系統(tǒng)（100分）檢查項目檢查內(nèi)容檢查分值1 WWW服務（25）WWW服務用戶賬戶、口令是否健壯？（查看登錄）（滿分10分）信息發(fā)布是否進行了分級審核？（查看審核記錄）（滿分5分）外部網(wǎng)站是否有備份，或其他保護措施？（滿分10分）2 電子郵件服務（20）是否對近3個月的郵件數(shù)據(jù)進行了備份？（滿分5分）是否有專門針對郵件病毒、垃圾郵件的安全措施？（滿分

14、5分）郵件系統(tǒng)管理員賬戶/口令是否強??？郵件系統(tǒng)的維護、檢查是否有審計記錄？（滿分10分）3 遠程撥號訪問服務（15）是否有限制遠程撥號訪問的管理措施？（滿分5分）用于業(yè)務系統(tǒng)維護的遠程撥號訪問是否采取了身份驗證、訪問操作記錄等措施？（滿分10分）4 應用系統(tǒng)（40）應用系統(tǒng)的角色、權(quán)限分配是否有記錄？（滿分5分） 用戶賬戶的變更、修改、注銷是否有記錄？（查看半年記錄情況）（滿分10分）關鍵應用系統(tǒng)的數(shù)據(jù)功能操作是否進行審計？審計信息是否進行了長期存儲？（滿分5分）是否有針對關鍵應用系統(tǒng)的應急預案？（滿分10分）關鍵應用系統(tǒng)管理員賬戶、用戶賬戶口令是否定期進行了變更？（滿分5分）新系統(tǒng)上線前是

15、否進行過安全性測試？（滿分5分）得分合計5. 安全技術管理與設備運行狀況（90分）檢查項目檢查內(nèi)容檢查分值1防火墻（35）網(wǎng)絡中的防火墻部署位置是否合理？（滿分10分）防護墻規(guī)則配置是否符合安全要求？（滿分10分）防護墻規(guī)則配置的建立、更改是否有規(guī)范的申請、審核、審批流程？（查看半年內(nèi)的記錄）（滿分10分）是否對防火墻日志進行了存儲、備份？（滿分5分）2防病毒系統(tǒng)（20）防病毒系統(tǒng)是否覆蓋所有服務器及客戶端？（覆蓋率至少應大于90）（滿分5分）對服務器的防病毒客戶端管理策略配置是否合理？（自動升級病毒代碼、每周掃描）（滿分10分）是否有專責人員負責維護防病毒系統(tǒng)，并及時發(fā)布病毒通告？（滿分5分

16、）3 入侵檢測系統(tǒng)（15）檢查入侵檢測系統(tǒng)部署是否合理、能否覆蓋主要網(wǎng)絡邊界與主要服務器？（滿分5分）是否定期對審計信息進行分析？（滿分5分）是否定期更新入侵檢測的規(guī)則與升級？（滿分5分）4 安全技術管理（20）是否部署了身份認證系統(tǒng)？（滿分3分）是否部署了安全管理平臺？（滿分2分）是否采用了漏洞掃描系統(tǒng)？（滿分5分）重要系統(tǒng)一年內(nèi)是否進行了信息安全風險評估？（滿分5分）是否部署了針對安全設備的日志服務器？（滿分5分）得分合計6. 存儲備份系統(tǒng)（50分）檢查項目檢查內(nèi)容檢查分值1 備份策略（10）是否建立了明確、合理的備份策略？是否嚴格按照備份策略對系統(tǒng)數(shù)據(jù)進行備份？（查看備份策略文件、查看備

17、份記錄，或查看備份工具配置）（滿分10分）2 恢復預案（20）是否建立了明確的恢復預案？（查看文件）（滿分10分）是否定期進行恢復演練？（查看半年演練記錄）（滿分10分）3 備份介質(zhì)管理（20）檢查是否建立介質(zhì)的管理制度和廢棄介質(zhì)的處理制度 （滿分10分）儲存介質(zhì)是否存放在安全環(huán)境（滿分5分）是否有嚴格的介質(zhì)存取控制，是否有專人對存儲介質(zhì)進行管理（滿分5分）得分合計7. 介質(zhì)及物理環(huán)境安全（70分）檢查項目檢查內(nèi)容檢查分值1 機房內(nèi)部安全防護（5）主機房是否安裝了門禁、監(jiān)控與報警系統(tǒng)？（滿分5分）2 機房供、配電（25）是否有詳細的機房配線圖？（滿分5分）機房供電系統(tǒng)是否將動力、照明用電與計算

18、機系統(tǒng)供電線路分開？（滿分5分）機房是否配備應急照明裝置？（滿分5分）是否定期對UPS的運行狀況進行檢測？（查看半年內(nèi)檢測記錄）（滿分10分）3 機房環(huán)境防護（20）是否采用了氣體防火措施？（滿分10分）空調(diào)系統(tǒng)是否定期進行檢查？（滿分5分）機房溫度是否控制在攝氏26度以下？（滿分5分）4介質(zhì)管理（20）是否有相應的介質(zhì)管理規(guī)定。（否扣5分）U盤、移動硬盤等存儲介質(zhì)是否有資產(chǎn)記錄和責任人（否扣5分）磁盤、光盤等存儲介質(zhì)是否有專人保管？（否扣5分）筆記本使用是否有明確的管理制度？（否扣5分）得分合計8. 應急處置（30分）檢查項目檢查內(nèi)容檢查分值1 應急預案（15）重要系統(tǒng)是否有完善的、可操作的

19、應急預案？（滿分5分）是否對應急預案進行了定期演練？（滿分10分）2 通報機制（5）是否按照集團公司的要求建立了及時的信息安全信息通報機制？（滿分5分）3 故障聯(lián)動機制（5）是否建立了良好的故障通訊聯(lián)動機制，聯(lián)合進行防護？（滿分5分）4 故障搶修機制（5）是否建立了完善的信息網(wǎng)故障搶修機制，應急資源是否到位？（滿分5分）得分合計附件4檢查結(jié)果整改措施1. 規(guī)章制度與組織管理檢查項目檢查內(nèi)容檢查說明及存在問題整改措施1 組織機構(gòu)是否成立了信息安全領導機構(gòu)、工作機構(gòu)？成立了信息化工作領導小組（20024號關于成立集團××供電分公司信息化工作領導小組的通知），而×

20、15;單位信息安全管理規(guī)范中明確定義信息安全組織的架構(gòu)和職能，但由于人員編制問題，目前還沒有完全按照該規(guī)范執(zhí)行嚴格按照××單位信息安全管理規(guī)范和××單位信息安全管理實施指南成立安全領導機構(gòu)和工作機構(gòu)。2崗位職責是否有專職網(wǎng)絡管理人員 配備了1名專職網(wǎng)絡管理員。信息網(wǎng)絡日益擴大，1名不夠。是否有專職應用系統(tǒng)管理人員由于信息部崗位配置不足，存在兼職的應用系統(tǒng)管理人員。不是每個系統(tǒng)都有專職人員是否有專職系統(tǒng)管理人員配備了1名專職系統(tǒng)管理員。各專責的工作職責與工作范圍是否有制度明確進行界定。××單位信息部崗位職責有明確界定。是否實行主、副崗備

21、用制度由于信息部崗位配置不足，沒有實行主、副崗備用制度。在目前的崗位配置情況下，爭取網(wǎng)絡管理員實行主、副崗備用制度。3病毒管理是否制定了計算機病毒防治管理制度 已制定××單位計算機病毒防范管理制度。是否制定了定期升級的安全策略在××單位計算機病毒防范管理制度中有具體的規(guī)定。而且在病毒管理平臺上已經(jīng)配置了定期升級的安全策略。在××單位計算機病毒防范管理制度體現(xiàn)是否制定了病毒預警和報告機制病毒報告機制在××單位安全事件應急處理預案中體現(xiàn)。完善在××單位計算機病毒防范管理制度體現(xiàn)。病毒掃描策略是否規(guī)定

22、了1周內(nèi)至少進行一次掃描？ 在病毒管理平臺上已經(jīng)配置了每周的病毒掃描策略。4運行管理是否建立了信息系統(tǒng)運行管理規(guī)程？ 按照省公司頒布的管理信息系統(tǒng)建設與運行維護管理導則，每一個信息系統(tǒng)都制定了運行管理規(guī)程。重要操作是否實行工作票制度？ ×供電信200621號關于修定相關信息系統(tǒng)管理制度的通知之省公司××單位信息網(wǎng)絡入網(wǎng)工作票文件規(guī)定了重要操作實行工作票制度。機房出入管理制度是否上墻？近3個月的機房進出情況是否有記錄？ ×供電信200621號關于修定相關信息系統(tǒng)管理制度的通知之省公司××單位計算機專業(yè)機房工作需知文件規(guī)定機房管理制度必須

23、上墻。有近3個月的機房進出情況記錄。運行值班制度是否規(guī)定了普通情況下58小時、關鍵時期的724小時的現(xiàn)場值班內(nèi)容？ 機房運行值班制度有規(guī)定。是否建立了缺陷管理制度（檢查3個月內(nèi)情況，）有對網(wǎng)絡設備、業(yè)務系統(tǒng)、服務器進行定期巡檢，發(fā)現(xiàn)缺陷并進行整改，有3個月內(nèi)的記錄。但未制定相關的缺陷管理制度。參考省公司電力通信設備缺陷管理辦法，盡快制定××單位信息系統(tǒng)設備缺陷管理制度。是否建立了統(tǒng)計匯報制度（檢查3個月內(nèi)情況，）每月底統(tǒng)計匯總?cè)貐^(qū)信息系統(tǒng)運行月報，上報給局生產(chǎn)例會。是否建立了運維流程，并按照流程進行操作（檢查3個月內(nèi)情況，）建立了運維流程，有3個月內(nèi)的運維情況記錄。是否對

24、值班人員進行了安排？近3個月值班記錄內(nèi)容是否詳實？ 針對日常、節(jié)假日、突發(fā)情況等類型，都對值班人員進行了安排。有近3個月詳實值班記錄內(nèi)容。平時沒有值班人員，關鍵時候或節(jié)假日有值班人員。BS7799，人員配備5 賬號與口令管理是否制定了賬號、口令管理制度？ 已制定××單位帳號口令管理制度。普通用戶賬戶密碼、口令長度要求是否大于6字符？管理員賬戶密碼、口令長度是否大于8字符？ 在××單位帳號口令管理制度中作了嚴格規(guī)定。半年內(nèi)賬戶密碼、口令是否進行過變更？（查看變更相關記錄、通知、文件）除系統(tǒng)管理帳戶外，大部分普通賬戶密碼、口令半年內(nèi)未進行過變更。局發(fā)文要求所

25、有員工嚴格執(zhí)行××單位帳號口令管理制度半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后是否及時對其賬戶進行了變更或注銷？ 系統(tǒng)用戶身份發(fā)生變化后有及時對其賬戶進行變更或注銷，但沒有做記錄。要求系統(tǒng)管理員嚴格執(zhí)行××單位帳號口令管理制度2. 網(wǎng)絡與系統(tǒng)安全檢查項目檢查內(nèi)容檢查說明及存在問題 整改措施1 網(wǎng)絡架構(gòu)局域網(wǎng)核心交換設備，廣域網(wǎng)核心路由設備是否采取了設備冗余或準備了備用設備？ 局域網(wǎng)、城域網(wǎng)核心設備共用1臺三層交換機，使用另外1臺作為冷備06年新建城域網(wǎng)及局域網(wǎng)項目中進行改造是否有不經(jīng)過防火墻的外聯(lián)鏈路？ 是否有當前準確的網(wǎng)絡拓撲結(jié)構(gòu)圖？ 有準確的網(wǎng)絡拓撲圖2 網(wǎng)絡分

26、區(qū)生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間是否部署了隔離措施（滿分5分）部署Cisco PIX防火墻VLAN間的訪問控制是否合理？ VLAN間的訪問根據(jù)需求進行控制3 網(wǎng)絡設備網(wǎng)絡設備配置是否進行了備份？（電子、物理介質(zhì)）網(wǎng)絡設備配置進行電子介質(zhì)備份，并在每次更改都進行備份網(wǎng)絡關鍵點設備是否雙電源？ 城域網(wǎng)核心設備、局域網(wǎng)為核心設備均為雙電源，匯聚層設備、關鍵防火墻只有單電源重要路由器、防火墻已有一臺冷備是否關閉了HTTP、FTP、TFTP等服務？ 已關閉HTTP、FTP、TFTP服務SNMP社區(qū)串、本地用戶口令是否強?。?gt;8字符，數(shù)字、字母混雜）？ SNMP字符串長度不夠，本地用戶口令較強健06

27、年新建城域網(wǎng)及局域網(wǎng)項目中進行改造4 IP管理是否有IP地址管理系統(tǒng)？ 是否有IP地址的規(guī)劃方案和分配策略？ 有是否有IP地址分配記錄？（滿分3分）有5補丁管理是否有補丁管理的手段，或管理制度？ 安裝了WSUS系統(tǒng)Windows系統(tǒng)主機補丁安裝是否齊全？ 自動下載補丁，安裝齊全是否有補丁安裝的測試記錄？ 服務器有補丁安裝的測試記錄，普通客戶端無測試記錄6系統(tǒng)安全配置是否對操作系統(tǒng)的安全配置進行了嚴格的設置？ 在域控制器的組策略里做了部份安全策略配置07年對AD域進行改造，加強客戶端、服務器的安全配置是否刪除了系統(tǒng)中不必要的服務、協(xié)議？ 對客戶端作部分服務的限制07年對AD域進行改造，加強對客戶

28、端、服務器的不必要的服務、協(xié)議進行限制8主機備份重要的系統(tǒng)主機是否采用了雙機備份？ 僅對部分重要業(yè)務系統(tǒng)采用雙機熱備07年對財務、客服系統(tǒng)采用雙機熱備是否進行過熱切換，或者故障恢復的測試？ 采用了雙機備份的系統(tǒng)進行過熱切換，或者故障恢復的測試。3. 網(wǎng)絡服務與應用系統(tǒng)檢查項目檢查內(nèi)容檢查說明及存在問題 整改措施1 WWW服務WWW服務用戶賬戶、口令是否健壯？（查看登錄）統(tǒng)一由省公司提供對外WEB服務。信息發(fā)布是否進行了分級審核？（查看審核記錄）執(zhí)行分級審核記錄齊全。外部網(wǎng)站是否有備份，或其他保護措施？ 統(tǒng)一由省公司提供對外WEB服務，有保護措施。2 電子郵件服務是否對近3個月的郵件數(shù)據(jù)進行了備

29、份？ 沒有提供互聯(lián)網(wǎng)電子郵件服務。是否有專門針對郵件病毒、垃圾郵件的安全措施？ 沒有提供互聯(lián)網(wǎng)電子郵件服務。郵件系統(tǒng)管理員賬戶/口令是否強??？郵件系統(tǒng)的維護、檢查是否有審計記錄？ 沒有提供互聯(lián)網(wǎng)電子郵件服務。3 遠程撥號訪問服務是否有限制遠程撥號訪問的管理措施？ 我局已取消遠程撥號訪問服務。用于業(yè)務系統(tǒng)維護的遠程撥號訪問是否采取了身份驗證、訪問操作記錄等措施？ 我局業(yè)務系統(tǒng)維護不采用遠程撥號訪問方式。4 應用系統(tǒng)應用系統(tǒng)的角色、權(quán)限分配是否有記錄？ 在各個應用系統(tǒng)運維管理規(guī)程里明確應用系統(tǒng)的角色、權(quán)限分配，并有詳細記錄。用戶賬戶的變更、修改、注銷是否有記錄？（查看半年記錄情況）全局的域控制系統(tǒng)

30、有用戶賬戶的變更、修改、注銷的記錄，并且按審批流程填寫了完整的信息業(yè)務申請表，但其他業(yè)務系統(tǒng)暫時沒有實行。要求各應用系統(tǒng)內(nèi)用戶賬戶的變更、修改、注銷進行詳細記錄，每年由相關系統(tǒng)管理員填寫并整理歸檔。關鍵應用系統(tǒng)的數(shù)據(jù)功能操作是否進行審計？審計信息是否進行了長期存儲？ 關鍵應用系統(tǒng)的操作沒有完全實行審計日志功能，但目前的營銷系統(tǒng)中涉及營銷收費的關鍵操作都有對操作進行審計。新建系統(tǒng)要求具備對數(shù)據(jù)操作進行審計的功能。是否有針對關鍵應用系統(tǒng)的應急預案？ 針對大面積停電已建立信息系統(tǒng)針對大停電應事故急處理預案操作手冊并發(fā)文，其中包含關鍵應用系統(tǒng)針對大停電事故的應急預案按照信息系統(tǒng)管理規(guī)范和指南完善對其他

31、事故預案。關鍵應用系統(tǒng)管理員賬戶、用戶賬戶口令是否定期進行了變更？ 業(yè)務系統(tǒng)暫時沒有實行。××單位帳號口令管理制度明確規(guī)定關鍵應用系統(tǒng)管理員賬戶、用戶賬戶口令定期進行變更，并進行詳細記錄，每年由相關系統(tǒng)管理員整理歸檔。新系統(tǒng)上線前是否進行過安全性測試？新系統(tǒng)在正式投運前都有一至三個月的試運行期；在試運行期內(nèi)，都有進行相關的數(shù)據(jù)庫連接，業(yè)務應用等實際操作的測試。暫時沒有針對安全性的相應制度及專用的測試手段了解相關測試技術，聯(lián)系技術力量好的廠家做技術交流4. 安全技術管理與設備運行狀況檢查項目檢查內(nèi)容檢查說明及存在問題 整改措施1防火墻網(wǎng)絡中的防火墻部署位置是否合理？部署合理防

32、護墻規(guī)則配置是否符合安全要求？ 符合安全要求防護墻規(guī)則配置的建立、更改是否有規(guī)范測申請、審核、審批流程？（查看半年內(nèi)的記錄）已建立××單位網(wǎng)絡設備調(diào)整變更制度，其中對設備的接入、變更以及廢棄都有詳細流程規(guī)定，但工作中還存在不依照制度執(zhí)行的情況。嚴格按照××單位網(wǎng)絡設備調(diào)整變更制度執(zhí)行是否對防火墻日志進行了存儲、備份？ 每個季度進行巡檢并對日志進行分析、存儲2防病毒系統(tǒng)防病毒系統(tǒng)是否覆蓋所有服務器及客戶端？（覆蓋率至少應大于90）防病毒系統(tǒng)覆蓋率以超過95。對服務器的防病毒客戶端管理策略配置是否合理？（自動升級病毒代碼、每周掃描）每天自動升級病毒代碼；配置

33、每周對服務器進行病毒掃描操作。是否有專責人員負責維護防病毒系統(tǒng)，并及時發(fā)布病毒通告？ 有專責人員負責維護防病毒系統(tǒng)；會不定期的將危害性高的病毒通過電子郵件通知大家3 入侵檢測系統(tǒng)檢查入侵檢測系統(tǒng)部署是否合理、能否覆蓋主要網(wǎng)絡邊界與主要服務器？ 01年曾購置ISS入侵檢測系統(tǒng)，但由于升級費用昂貴和廠家維護不到位，現(xiàn)已停用。在06年的IDC安全防范項目中新建是否定期對審計信息進行分析？未進行在06年的IDC安全防范項目中新建后執(zhí)行是否定期更新入侵檢測的規(guī)則與升級？ 未有在06年的IDC安全防范項目中新建后執(zhí)行4 安全技術管理是否部署了身份認證系統(tǒng)？ 已部署PKI/CA，但未投入使用。驗收后將投入使

34、用是否部署了安全管理平臺？ 未部署明年部署是否采用了漏洞掃描系統(tǒng)？未有在06年的IDC安全防范項目中建立漏洞掃描系統(tǒng)重要系統(tǒng)一年內(nèi)是否進行了信息安全風險評估？ 隔年進行一次信息安全風險評估以后在每年增加信息安全風險評估預算是否部署了針對安全設備的日志服務器？ 未有07年新增對安全設備的日志管理系統(tǒng)5. 存儲備份系統(tǒng)檢查項目檢查內(nèi)容檢查說明及存在問題 整改措施1 備份策略是否建立了明確、合理的備份策略？是否嚴格按照備份策略對系統(tǒng)數(shù)據(jù)進行備份？（查看備份策略文件、查看備份記錄，或查看備份工具配置）已建立了明確、合理的備份策略；并嚴格按照備份策略對系統(tǒng)數(shù)據(jù)進行備份；每季度有專人負責巡檢。2 恢復預案

35、是否建立了明確的恢復預案？（查看文件）已制定數(shù)據(jù)恢復預案，針對文件數(shù)據(jù)、業(yè)務系統(tǒng)的數(shù)據(jù)庫做了明確的技術處理恢復的解決方案，但沒有經(jīng)過實際的操作演練。今后每年根據(jù)業(yè)務系統(tǒng)的重要等級及硬件平臺的冗余程度，選擇合適的非業(yè)務繁忙時間，與業(yè)務管理部門協(xié)商確定恢復演練的方案及具體的實施操作，并嚴格按照數(shù)據(jù)恢復預案內(nèi)的流程執(zhí)行操作，積累相關經(jīng)驗，記錄存檔并不斷修編完善該數(shù)據(jù)恢復預案是否定期進行恢復演練？（查看半年演練記錄）對個別業(yè)務系統(tǒng)進行過部分數(shù)據(jù)的恢復演練，但沒有記錄。今后每年根據(jù)業(yè)務系統(tǒng)的重要等級及硬件平臺的冗余程度，選擇合適的非業(yè)務繁忙時間，與業(yè)務管理部門協(xié)商確定恢復演練的方案及具體的實施操作，并記錄存檔。3 備份介質(zhì)管理檢查是否建立介質(zhì)的管理制度和廢棄介質(zhì)的處理制度已制定的××單位數(shù)據(jù)備份管理制度有關于介質(zhì)的管理和廢棄介質(zhì)的處理辦法，但沒有形成相應的處理記錄。在今后介質(zhì)的存取控制和廢棄介質(zhì)的處理時，嚴格執(zhí)行相關記錄并存檔。儲存介質(zhì)是否存放在安全環(huán)境磁帶存儲介質(zhì)目前與其他光盤、磁