信息安全評估報告

1、信息安全評估報告（管理信息系統(tǒng)）專業(yè)資料二零一六年一月1目標XX單位信息安全檢查工作的主要目標是通過自評估工作，發(fā)現(xiàn)本局信息系統(tǒng)當前 面臨的主要安全問題，邊檢查邊整改，確保信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全。2評估依據(jù)、范圍和方法2.1 評估依據(jù)根據(jù)國務(wù)院信息化工作辦公室關(guān)于對國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)開展安全 檢查的通知（信安通2006 15號）、國家電力監(jiān)管委員會關(guān)于對電力行業(yè)有關(guān)單位 重要信息系統(tǒng)開展安全檢查的通知（辦信息200648號）以及集團公司和省公司公司的文件、檢查方案要求，開展XX單位的信息安全評估。2.2 評估范圍本次信息安全評估工作重點是重要的業(yè)務(wù)管理信息系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)等，管

2、理信息系統(tǒng)中業(yè)務(wù)種類相對較多、網(wǎng)絡(luò)和業(yè)務(wù)結(jié)構(gòu)較為復雜，在檢查工作中強調(diào)對基礎(chǔ)信息 系統(tǒng)和重點業(yè)務(wù)系統(tǒng)進行安全性評估，具體包括：基礎(chǔ)網(wǎng)絡(luò)與服務(wù)器、關(guān)鍵業(yè)務(wù)系統(tǒng)、現(xiàn) 有安全防護措施、信息安全管理的組織與策略、信息系統(tǒng)安全運行和維護情況評估。2.3 評估方法采用自評估方法。3重要資產(chǎn)識別對本局范圍內(nèi)的重要系統(tǒng)、重要網(wǎng)絡(luò)設(shè)備、重要服務(wù)器及其安全屬性受破壞后的影 響進行識別，將一旦停止運行影響面大的系統(tǒng)、關(guān)鍵網(wǎng)絡(luò)節(jié)點設(shè)備和安全設(shè)備、承載敏 感數(shù)據(jù)和業(yè)務(wù)的服務(wù)器進行登記匯總，形成重要資產(chǎn)清單。資產(chǎn)清單見附表1。4安全事件對本局半年內(nèi)發(fā)生的較大的、或者發(fā)生次數(shù)較多的信息安全事件進行匯總記錄，形成本單位的安全

3、事件列表。安全事件列表見附表2o5安全檢查項目評估5.1 規(guī)章制度與組織管理評估5.1.1 組織機構(gòu) 評估標準信息安全組織機構(gòu)包括領(lǐng)導機構(gòu)、工作機構(gòu)。5.112現(xiàn)狀描述本局已成立了信息安全領(lǐng)導機構(gòu)，但尚未成立信息安全工作機構(gòu)。5.1.3病毒管理完善信息安全組織機構(gòu)，成立信息安全工作機構(gòu)。5.1.2崗位職責 評估標準崗位要求應包括：專職網(wǎng)絡(luò)管理人員、專職應用系統(tǒng)管理人員和專職系統(tǒng)管 理人員；專責的工作職責與工作范圍應有制度明確進行界定；崗位實行主、副崗備用制度。512.2 現(xiàn)狀描述我局沒有配置專職網(wǎng)絡(luò)管理人員、專職應用系統(tǒng)管理人員和專職系統(tǒng)管理人員，都 是兼責；專責的

4、工作職責與工作范圍沒有明確制度進行界定，崗位沒有實行主、副崗備用制度。512.3 評估結(jié)論本局已有兼職網(wǎng)絡(luò)管理員、應用系統(tǒng)管理員和系統(tǒng)管理員，在條件許可下，配置專 職管理人員；專責的工作職責與工作范圍沒有明確制度進行界定，根據(jù)實際情況制定管理 制度；崗位沒有實行主、副崗備用制度，在條件許可下，落實主、副崗備用制度512.4 評估標準病毒管理包括計算機病毒防治管理制度、定期升級的安全策略、病毒預警和 報告機 制、病毒掃描策略（1周內(nèi)至少進行一次掃描）。512.5 現(xiàn)狀描述本局使用Symantec防病毒軟件進行病毒防護，定期從省公司病毒庫服務(wù)器下載、升 級安全策略；病毒預警是通過第三方和網(wǎng)上提供信

5、息來源，每月統(tǒng)計、匯總病毒感染情況 并提交局生技部和省公司生技部；每周進行二次自動病毒掃 描；沒有制定計算機病毒防治 管理制度。512.6 評估結(jié)論完善病毒預警和報告機制，制定計算機病毒防治管理制度。512.7 運行管理評估標準運行管理應制定信息系統(tǒng)運行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運維流 程、值班制度并實行工作票制度；制定機房出入管理制度并上墻，對進出機房情況記錄。5.142現(xiàn)狀描述沒有建立相應信息系統(tǒng)運行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運維 流程、專業(yè)資料值班制度，沒有實行工作票制度；機房出入管理制度上墻，但沒有機房進出情況記錄。5.143評估結(jié)論結(jié)合本局具體情

6、況，制訂信息系統(tǒng)運行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、 運維流程、值班制度，實行工作票制度；機房出入管理制度上墻，記錄機房進出情況。5.1.5賬號與口令管理評估標準制訂了賬號與口令管理制度；普通用戶賬戶密碼、口令長度要求符合大于6字符，管理員賬戶密碼、口令長度大于8字符；半年內(nèi)賬戶密碼、口令應變更并 保存變 更相關(guān)記錄、通知、文件，半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后應及時對其賬戶進行變更或注 銷。5.152現(xiàn)狀描述沒有制訂賬號與口令管理制度，普通用戶賬戶密碼、口令長度要求大部分都 不符合 大于6字符；管理員賬戶密碼、口令長度大于8字符，半年內(nèi)賬戶密碼、口令有過變更， 但沒有變更相關(guān)

7、記錄、通知、文件；半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后能及時對其賬戶進行變更或注銷。專業(yè)資料評估名吉論制訂賬號與口令管理制度，完善普通用戶賬戶與管理員賬戶密碼、口令長度要求；對賬戶密碼、口令變更作相關(guān)記錄；及時對系統(tǒng)用戶身份發(fā)生變化后對其賬戶進行 變更或注銷。52網(wǎng)絡(luò)與系統(tǒng)安全評估5.2.1 網(wǎng)絡(luò)架構(gòu) 評估標準局域網(wǎng)核心交換設(shè)備、城域網(wǎng)核心路由設(shè)備應采取設(shè)備冗余或準備備用設(shè) 備，不允許外聯(lián)鏈路繞過防火墻，具有當前準確的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖。 現(xiàn)狀描述局域網(wǎng)核心交換設(shè)備準備了備用設(shè)備，城域網(wǎng)核心路由設(shè)備采取了設(shè)備冗 余；沒有不經(jīng)過防火墻的外聯(lián)鏈路，有當前網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖

8、。 評估結(jié)論局域網(wǎng)核心交換設(shè)備、城域網(wǎng)核心路由設(shè)備按要求采取設(shè)備冗余或準備備用設(shè)備, 外聯(lián)鏈路沒有繞過防火墻，完善網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖。523.3評估結(jié)論522.1評估標準生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間進行分區(qū)，VLA N間的訪問控制設(shè)置合理?，F(xiàn)狀描述生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間沒有進行分區(qū),VLA N間的訪問控制設(shè)置專業(yè)資料合理。評估結(jié)論對生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間進行分區(qū),VLA N間的訪問控制設(shè)置合理。5.2.3網(wǎng)絡(luò)設(shè)備HTTP、評估標準網(wǎng)絡(luò)設(shè)備配置有備份，網(wǎng)絡(luò)關(guān)鍵點設(shè)備采用雙電源，關(guān)閉網(wǎng)絡(luò)設(shè)備FTP TFTP等服務(wù)，SNMP社區(qū)串

9、、本地用戶口令強?。?字符，數(shù)字、字母混 雜）?，F(xiàn)狀描述網(wǎng)絡(luò)設(shè)備配置沒有進行備份，網(wǎng)絡(luò)關(guān)鍵點設(shè)備是雙電源，網(wǎng)絡(luò)設(shè)備關(guān)閉了HTTP、FTP TFTP等服務(wù)，SNMP社區(qū)串、本地用戶口令沒達到要求。對網(wǎng)絡(luò)設(shè)備配置進行備份，完善SNMP社區(qū)串、本地用戶口令強?。?字符，數(shù) 字、字母混雜）。5.2.4 IP 管理5.241評估標準有IP地址管理系統(tǒng)，IP地址管理有規(guī)劃方案和分配策略，IP地址分配有記錄。5.242現(xiàn)狀描述沒有IP地址管理系統(tǒng)，正在進行對IP地址的規(guī)劃和分配，IP地址分配有記錄。評估結(jié)論建立IP地址管理系統(tǒng)，加快進行對IP地址的規(guī)劃和分配，IP地址分配有記錄。

10、5.2.5 補丁管理 評估標準有補丁管理的手段或補丁管理制度，Win dows系統(tǒng)主機補丁安裝齊全，有補丁安 裝的測試記錄。525.2現(xiàn)狀描述通過手工補丁管理手段，沒有制訂相應管理制度；必力dows系統(tǒng)主機補丁安裝基本 齊全，沒有補丁安裝的測試記錄。 評估結(jié)論完善補丁管理的手段，制訂相應管理制度；補缺Windows系統(tǒng)主機補丁安裝，補丁 安裝前進行測試記錄。5.2.6 系統(tǒng)安全配置 評估標準對操作系統(tǒng)的安全配置進行嚴格的設(shè)置，刪除系統(tǒng)不必要的服務(wù)、協(xié)議。526.2現(xiàn)狀描述沒有對操作系統(tǒng)的安全配置進行嚴格的設(shè)置，部分系統(tǒng)刪除不必要的服務(wù)、協(xié)議。5.2.6

11、.3 評估結(jié)論對操作系統(tǒng)的安全配置進行嚴格的設(shè)置，刪除系統(tǒng)不必要的服務(wù)、協(xié)議。527主機備份527.1評估標準重要的系統(tǒng)主機采用雙機備份并進行熱切換或者故障恢復的測試。專業(yè)資料527.2現(xiàn)狀描述重要的系統(tǒng)主機采用了雙機備份，進行過熱切換或者故障恢復的測試。評估結(jié)論重要的系統(tǒng)主機采用了雙機備份，進行熱切換或者故障恢復的測試。5.3 網(wǎng)絡(luò)服務(wù)與應用系統(tǒng)評估5.3.1 WWW服務(wù)器 評估標準WWW服務(wù)用戶賬戶、口令應健壯（查看登錄），信息發(fā)布進行了分級審核，外部網(wǎng)站 有備份或其他保護措施。 現(xiàn)狀描述沒有WWW服務(wù)。531.3評估結(jié)論考慮按上述標準建設(shè)WWW服

12、務(wù)。專業(yè)資料5.3.2 電子郵件服務(wù)器 評估標準對近三個月的郵件數(shù)據(jù)進行備份，有專門針對郵件病毒、垃圾郵件的安全措 施，郵 件系統(tǒng)管理員賬戶/口令應強健，郵件系統(tǒng)的維護、檢查應有審計記錄。5.322現(xiàn)狀描述0A系統(tǒng)郵件數(shù)據(jù)進行一星期備份，有專門針對郵件病毒、垃圾郵件的趨勢防病毒軟件系統(tǒng)，但該軟件存在問題比較多，郵件系統(tǒng)管理員賬戶/ 口令設(shè)置合理，郵件系統(tǒng)的維護、檢查沒有審計記錄。 評估結(jié)論對0A系統(tǒng)郵件數(shù)據(jù)進行三個月備份，關(guān)注解決趨勢防病毒軟件系統(tǒng)問題；郵件系統(tǒng) 管理員賬戶/口令設(shè)置合理，對郵件系統(tǒng)的維護、檢查審計進行記錄。5.3.3 遠程撥號訪問 評

13、估標準有限制遠程撥號訪問的管理措施，用于業(yè)務(wù)系統(tǒng)維護的遠程撥號訪問采取身份驗證、訪問操作記錄等措施。專業(yè)資料533.2現(xiàn)狀描述沒有遠程撥號訪問。 評估結(jié)論遠程撥號訪問設(shè)置按上述標準執(zhí)行。5.3.4 應用系統(tǒng) 評估標準應用系統(tǒng)的角色、權(quán)限分配有記錄；用戶賬戶的變更、修改、注銷有記錄（半 年記 錄情況）；關(guān)鍵應用系統(tǒng)的數(shù)據(jù)功能操作進行審計并進行長期存儲；對關(guān)鍵應用系統(tǒng)有應 急預案；關(guān)鍵應用系統(tǒng)管理員賬戶、用戶賬戶口令定期進行變更；新系統(tǒng)上線前進行安全 性測試。 現(xiàn)狀描述營銷系統(tǒng)的角色、權(quán)限分配有記錄，其余系統(tǒng)沒有；用戶賬戶的變更、修改、注銷 沒有記錄；關(guān)鍵

14、應用系統(tǒng)的數(shù)據(jù)功能操作沒有進行審計；沒有針對關(guān)鍵應用系統(tǒng)的應急預案；關(guān)鍵應用系統(tǒng)管理員賬戶、用戶賬戶口令有定期進行變更；有些新系統(tǒng) 上線前沒有進行過安全性測試。5.343評估結(jié)論完善系統(tǒng)的角色、權(quán)限分配有記錄；記錄用戶賬戶的變更、修改、注銷（半 年記錄 專業(yè)資料情況）；關(guān)鍵應用系統(tǒng)的數(shù)據(jù)功能操作進行審計；制定針對關(guān)鍵應用系統(tǒng)的應急預案；關(guān) 鍵應用系統(tǒng)管理員賬戶、用戶賬戶口令定期進行變更；新系統(tǒng)上線前應嚴格按照相關(guān)標準 進行安全性測試。5.4 安全技術(shù)管理與設(shè)備運行狀況評估5.4.4 防火墻 評估標準網(wǎng)絡(luò)中的防火墻位置部署合理，防火墻規(guī)則配置符合安全要求，防火墻規(guī)則 配置的 建立、

15、更改有規(guī)范申請、審核、審批流程，對防火墻日志進行存儲、備份。541.2 現(xiàn)狀描述網(wǎng)絡(luò)中的防火墻位置部署合理，防火墻規(guī)則配置符合安全要求，防火墻規(guī)則配置沒 有建立、更改有規(guī)范申請、審核、審批流程，對防火墻日志沒有進行存儲、備份。541.3 評估結(jié)論網(wǎng)絡(luò)中的防火墻位置部署合理，防火墻規(guī)則配置符合安全要求，防火墻規(guī)則 配置的 建立、更改要有規(guī)范申請、審核、審批流程，對防火墻日志應進行存儲、備份。542防病毒系統(tǒng)542.1 評估標準防病毒系統(tǒng)覆蓋所有服務(wù)器及客戶端（覆蓋率至少應大于90%），對服務(wù)器的防病毒 客戶端管理策略配置合理（自動升級病毒代碼、每周掃描），有專責人員負責維護防病毒系統(tǒng)并及時發(fā)布病

16、毒通告?，F(xiàn)狀描述防病毒系統(tǒng)覆蓋所有客戶端（覆蓋率大于90%），服務(wù)器端除了 0A服務(wù)器有防病毒系統(tǒng)外其余沒有；有兼責人員負責維護防病毒系統(tǒng)，但基本沒有發(fā)布病毒通告542.3評估結(jié)論防病毒系統(tǒng)覆蓋所有客戶端（覆蓋率大于90%），服務(wù)器端除了 0A服務(wù)器有防病毒系統(tǒng)外其余沒有，考慮以后實施；考慮配置專責人員負責維護防病毒系統(tǒng)，并及時 發(fā)布病毒通告5.4.3入侵檢測系統(tǒng)評估標準入侵檢測系統(tǒng)部署合理、覆蓋主要網(wǎng)絡(luò)邊界與主要服務(wù)器，定期對審計信息進行分 析，定期更新入侵檢測的規(guī)則與升級。543.2現(xiàn)狀描述沒有部署入侵檢測系統(tǒng)。評估結(jié)論按上述部署、配置入侵檢測系統(tǒng)

17、。專業(yè)資料行信息進行信用漏洞（查看5.4.4安全技術(shù)管理 標準部署身份認證系統(tǒng)、安全管理平臺，采用漏洞掃描系統(tǒng)，重要系統(tǒng)一年內(nèi)進 安全風險評估，部署針對安全設(shè)備的日志服務(wù)器。 現(xiàn)狀描述沒有部署身份認證系統(tǒng)、安全管理平臺，沒有漏洞掃描系統(tǒng)，重要系統(tǒng)沒有 息安全風險評估，沒有部署針對安全設(shè)備的日志服務(wù)器。 評估結(jié)論按標準部署身份認證系統(tǒng)、安全管理平臺、針對安全設(shè)備的日志服務(wù)器，采 掃描系統(tǒng)，重要系統(tǒng)一年進行一次信息安全風險評估。5.5 存儲備份系統(tǒng)評估5.5.1 備份策略 評估標準建立明確、合理的備份策略，嚴格按照備份策略對系統(tǒng)數(shù)據(jù)進行備份

18、備份策略文件、查看備份記錄或查看備份工具配置）。551.2現(xiàn)狀描述建立了明確、合理的備份策略并嚴格按照備份策略對系統(tǒng)數(shù)據(jù)進行備份551.3評估結(jié)論建立明確、合理的備份策略，嚴格按照備份策略對系統(tǒng)數(shù)據(jù)進行備份。5.5.2 恢復預案 評估標準建立明確的恢復預案（查看文件），定期進行恢復演練。5.522現(xiàn)狀描述沒有建立明確的恢復預案，也沒有定期進行恢復演練。5.523評估結(jié)論建立明確的恢復預案并定期進行恢復演練。5.5.3 備份介質(zhì)管理 評估標準建立介質(zhì)管理制度和廢棄介質(zhì)處理制度，儲存介質(zhì)存放在安全環(huán)境，有嚴格的介質(zhì) 存取控制，有專人對存儲介質(zhì)進行定期檢查。

19、 現(xiàn)狀描述沒有建立介質(zhì)的管理制度和廢棄介質(zhì)的處理制度，儲存介質(zhì)存放在安全環(huán)境，沒有 嚴格的介質(zhì)存取控制，沒有對存儲介質(zhì)進行定期檢查。專業(yè)資料553.3評估結(jié)論建立介質(zhì)管理制度和廢棄介質(zhì)處理制度，儲存介質(zhì)存放在安全環(huán)境，嚴格介質(zhì)存取 控制，對存儲介質(zhì)進行定期檢查。5.6 介質(zhì)及物理環(huán)境安全評估5.6.1 機房內(nèi)部安全防護561.1 評估標準主機房安裝門禁、監(jiān)控與報警系統(tǒng)。561.2 現(xiàn)狀描述主機房沒有安裝門禁、監(jiān)控系統(tǒng)，有消防報警系統(tǒng)。561.3 評估結(jié)論主機房安裝門禁、監(jiān)控與報警系統(tǒng)。561.4 機房供、配電 評估標準有詳細的機房配線圖，機房供電系統(tǒng)將動力、照明用電與計算機系統(tǒng)供

20、電線 路分 開，機房配備應急照明裝置，定期對UPS的運行狀況進行檢測（查看半年內(nèi)檢測記 錄）。專業(yè)資料5.622現(xiàn)狀描述沒有詳細的機房配線圖，機房供電系統(tǒng)將動力、照明用電與計算機系統(tǒng)供電線路是 分開的，機房沒有配備應急照明裝置，有定期對UPS的運行狀況進行檢 測但沒有檢測記 錄。 評估結(jié)論補全機房配線圖，機房供電系統(tǒng)將動力、照明用電與計算機系統(tǒng)供電線路分開，機 房配備應急照明裝置，定期對UPS的運行狀況進行檢測和記錄。563機房環(huán)境防護 標準采用氣體防火措施，空調(diào)系統(tǒng)定期進行檢查，機房溫度控制在攝氏26度以To 現(xiàn)狀描述有手提干粉滅火器，沒有采用氣體防火措施，空調(diào)系統(tǒng)定期進行檢查，機房 溫度控 制在攝氏26度以下。 評估結(jié)論采用氣體防火措施，空調(diào)系統(tǒng)定期進行檢查，機房溫度控制在攝氏26度以下。專業(yè)資料5.733評估結(jié)論 評估標準有介質(zhì)管理規(guī)定，u盤、移動硬盤等存儲介質(zhì)有資產(chǎn)記錄和責任人，磁盤、光盤等 存儲介質(zhì)有專人保管，筆記本使用有明確的管理制度。 現(xiàn)狀描述有相應的介質(zhì)管理規(guī)定，U盤、移動硬盤等存儲介質(zhì)有資產(chǎn)記錄和責任人，磁盤、 光盤等存儲介質(zhì)有專人保管，筆記本使用沒有明確的管理制度。5.643評