信息安全評估綜合報告

信息安全評定匯報(管理信息系統(tǒng))二零一六年一月目標××單位信息安全檢驗工作關(guān)鍵目標是經(jīng)過自評定工作，發(fā)覺本局信息系統(tǒng)目前面臨關(guān)鍵安全問題，邊檢驗邊整改，確保信息網(wǎng)絡和關(guān)鍵信息系統(tǒng)安全。評定依據(jù)、范圍和方法評定依據(jù)依據(jù)國務院信息化工作辦公室《相關(guān)對國家基礎(chǔ)信息網(wǎng)絡和關(guān)鍵信息系統(tǒng)開展安全檢驗通知》（信安通［］15號）、國家電力監(jiān)管委員會《相關(guān)對電力行業(yè)相關(guān)單位關(guān)鍵信息系統(tǒng)開展安全檢驗通知》（辦信息[]48號）和集團企業(yè)和省企業(yè)企業(yè)文件、檢驗方案要求,開展××單位信息安全評定。評定范圍此次信息安全評定工作關(guān)鍵是關(guān)鍵業(yè)務管理信息系統(tǒng)和網(wǎng)絡系統(tǒng)等，管理信息系統(tǒng)中業(yè)務種類相對較多、網(wǎng)絡和業(yè)務結(jié)構(gòu)較為復雜，在檢驗工作中強調(diào)對基礎(chǔ)信息系統(tǒng)和關(guān)鍵業(yè)務系統(tǒng)進行安全性評定，具體包含：基礎(chǔ)網(wǎng)絡和服務器、關(guān)鍵業(yè)務系統(tǒng)、現(xiàn)有安全防護方法、信息安全管理組織和策略、信息系統(tǒng)安全運行和維護情況評定。評定方法采取自評定方法。關(guān)鍵資產(chǎn)識別對本局范圍內(nèi)關(guān)鍵系統(tǒng)、關(guān)鍵網(wǎng)絡設(shè)備、關(guān)鍵服務器及其安全屬性受破壞后影響進行識別，將一旦停止運行影響面大系統(tǒng)、關(guān)鍵網(wǎng)絡節(jié)點設(shè)備和安全設(shè)備、承載敏感數(shù)據(jù)和業(yè)務服務器進行登記匯總，形成關(guān)鍵資產(chǎn)清單。資產(chǎn)清單見附表1。安全事件對本局六個月內(nèi)發(fā)生較大、或發(fā)生次數(shù)較多信息安全事件進行匯總統(tǒng)計，形成本單位安全事件列表。安全事件列表見附表2。安全檢驗項目評定規(guī)章制度和組織管理評定組織機構(gòu)評定標準信息安全組織機構(gòu)包含領(lǐng)導機構(gòu)、工作機構(gòu)?，F(xiàn)實狀況描述本局已成立了信息安全領(lǐng)導機構(gòu)，但還未成立信息安全工作機構(gòu)。評定結(jié)論完善信息安全組織機構(gòu)，成立信息安全工作機構(gòu)。崗位職責評定標準崗位要求應包含：專職網(wǎng)絡管理人員、專職應用系統(tǒng)管理人員和專職系統(tǒng)管理人員；專責工作職責和工作范圍應有制度明確進行界定；崗位實施主、副崗備用制度?，F(xiàn)實狀況描述本局沒有配置專職網(wǎng)絡管理人員、專職應用系統(tǒng)管理人員和專職系統(tǒng)管理人員，全部是兼責；專責工作職責和工作范圍沒有明確制度進行界定，崗位沒有實施主、副崗備用制度。評定結(jié)論本局已經(jīng)有兼職網(wǎng)絡管理員、應用系統(tǒng)管理員和系統(tǒng)管理員，在條件許可下，配置專職管理人員；專責工作職責和工作范圍沒有明確制度進行界定，依據(jù)實際情況制訂管理制度；崗位沒有實施主、副崗備用制度，在條件許可下，落實主、副崗備用制度。病毒管理評定標準病毒管理包含計算機病毒防治管理制度、定時升級安全策略、病毒預警和匯報機制、病毒掃描策略（1周內(nèi)最少進行一次掃描）?，F(xiàn)實狀況描述本局使用Symantec防病毒軟件進行病毒防護，定時從省企業(yè)病毒庫服務器下載、升級安全策略；病毒預警是經(jīng)過第三方和網(wǎng)上提供信息起源，每個月統(tǒng)計、匯總病毒感染情況并提交局生技部和省企業(yè)生技部；每七天進行二次自動病毒掃描；沒有制訂計算機病毒防治管理制度。評定結(jié)論完善病毒預警和匯報機制，制訂計算機病毒防治管理制度。運行管理評定標準運行管理應制訂信息系統(tǒng)運行管理規(guī)程、缺點管理制度、統(tǒng)計匯報制度、運維步驟、值班制度并實施工作票制度；制訂機房出入管理制度并上墻，對進出機房情況統(tǒng)計?，F(xiàn)實狀況描述沒有建立對應信息系統(tǒng)運行管理規(guī)程、缺點管理制度、統(tǒng)計匯報制度、運維步驟、值班制度，沒有實施工作票制度；機房出入管理制度上墻，但沒有機房進出情況統(tǒng)計。評定結(jié)論結(jié)合本局具體情況，制訂信息系統(tǒng)運行管理規(guī)程、缺點管理制度、統(tǒng)計匯報制度、運維步驟、值班制度，實施工作票制度；機房出入管理制度上墻，統(tǒng)計機房進出情況。賬號和口令管理評定標準制訂了賬號和口令管理制度；一般用戶賬戶密碼、口令長度要求符合大于6字符，管理員賬戶密碼、口令長度大于8字符；六個月內(nèi)賬戶密碼、口令應變更并保留變更相關(guān)統(tǒng)計、通知、文件，六個月內(nèi)系統(tǒng)用戶身份發(fā)生改變后應立即對其賬戶進行變更或注銷?，F(xiàn)實狀況描述沒有制訂賬號和口令管理制度，一般用戶賬戶密碼、口令長度要求大部分全部不符合大于6字符；管理員賬戶密碼、口令長度大于8字符，六個月內(nèi)賬戶密碼、口令有過變更，但沒有變更相關(guān)統(tǒng)計、通知、文件；六個月內(nèi)系統(tǒng)用戶身份發(fā)生改變后能立即對其賬戶進行變更或注銷。評定結(jié)論制訂賬號和口令管理制度，完善一般用戶賬戶和管理員賬戶密碼、口令長度要求；對賬戶密碼、口令變更作相關(guān)統(tǒng)計；立即對系統(tǒng)用戶身份發(fā)生改變后對其賬戶進行變更或注銷。網(wǎng)絡和系統(tǒng)安全評定網(wǎng)絡架構(gòu)評定標準局域網(wǎng)關(guān)鍵交換設(shè)備、城域網(wǎng)關(guān)鍵路由設(shè)備應采取設(shè)備冗余或準備備用設(shè)備，不許可外聯(lián)鏈路繞過防火墻，含有目前正確網(wǎng)絡拓撲結(jié)構(gòu)圖?，F(xiàn)實狀況描述局域網(wǎng)關(guān)鍵交換設(shè)備準備了備用設(shè)備，城域網(wǎng)關(guān)鍵路由設(shè)備采取了設(shè)備冗余；沒有不經(jīng)過防火墻外聯(lián)鏈路，有目前網(wǎng)絡拓撲結(jié)構(gòu)圖。評定結(jié)論局域網(wǎng)關(guān)鍵交換設(shè)備、城域網(wǎng)關(guān)鍵路由設(shè)備按要求采取設(shè)備冗余或準備備用設(shè)備，外聯(lián)鏈路沒有繞過防火墻，完善網(wǎng)絡拓撲結(jié)構(gòu)圖。網(wǎng)絡分區(qū)評定標準生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間進行分區(qū)，VLAN間訪問控制設(shè)置合理?，F(xiàn)實狀況描述生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間沒有進行分區(qū)，VLAN間訪問控制設(shè)置合理。評定結(jié)論對生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間進行分區(qū)，VLAN間訪問控制設(shè)置合理。網(wǎng)絡設(shè)備評定標準網(wǎng)絡設(shè)備配置有備份，網(wǎng)絡關(guān)鍵點設(shè)備采取雙電源，關(guān)閉網(wǎng)絡設(shè)備HTTP、FTP、TFTP等服務，SNMP小區(qū)串、當?shù)赜脩艨诹顝妷眩?gt;8字符，數(shù)字、字母混雜）。現(xiàn)實狀況描述網(wǎng)絡設(shè)備配置沒有進行備份，網(wǎng)絡關(guān)鍵點設(shè)備是雙電源，網(wǎng)絡設(shè)備關(guān)閉了HTTP、FTP、TFTP等服務，SNMP小區(qū)串、當?shù)赜脩艨诹顩]達成要求。評定結(jié)論對網(wǎng)絡設(shè)備配置進行備份，完善SNMP小區(qū)串、當?shù)赜脩艨诹顝妷眩?gt;8字符，數(shù)字、字母混雜）。IP管理評定標準有IP地址管理系統(tǒng)，IP地址管理有計劃方案和分配策略，IP地址分配有統(tǒng)計?，F(xiàn)實狀況描述沒有IP地址管理系統(tǒng)，正在進行對IP地址計劃和分配，IP地址分配有統(tǒng)計。評定結(jié)論建立IP地址管理系統(tǒng)，加緊進行對IP地址計劃和分配，IP地址分配有統(tǒng)計。補丁管理評定標準有補丁管理手段或補丁管理制度，Windows系統(tǒng)主機補丁安裝齊全，有補丁安裝測試統(tǒng)計?，F(xiàn)實狀況描述經(jīng)過手工補丁管理手段，沒有制訂對應管理制度；Windows系統(tǒng)主機補丁安裝基礎(chǔ)齊全，沒有補丁安裝測試統(tǒng)計。評定結(jié)論完善補丁管理手段，制訂對應管理制度；補缺Windows系統(tǒng)主機補丁安裝，補丁安裝前進行測試統(tǒng)計。系統(tǒng)安全配置評定標準對操作系統(tǒng)安全配置進行嚴格設(shè)置，刪除系統(tǒng)無須要服務、協(xié)議?，F(xiàn)實狀況描述沒有對操作系統(tǒng)安全配置進行嚴格設(shè)置，部分系統(tǒng)刪除無須要服務、協(xié)議。評定結(jié)論對操作系統(tǒng)安全配置進行嚴格設(shè)置，刪除系統(tǒng)無須要服務、協(xié)議。主機備份評定標準關(guān)鍵系統(tǒng)主機采取雙機備份并進行熱切換或故障恢復測試?，F(xiàn)實狀況描述關(guān)鍵系統(tǒng)主機采取了雙機備份，進行過熱切換或故障恢復測試。評定結(jié)論關(guān)鍵系統(tǒng)主機采取了雙機備份，進行熱切換或故障恢復測試。網(wǎng)絡服務和應用系統(tǒng)評定WWW服務器評定標準WWW服務用戶賬戶、口令應健壯（查看登錄），信息公布進行了分級審核，外部網(wǎng)站有備份或其它保護方法?，F(xiàn)實狀況描述沒有WWW服務。評定結(jié)論考慮按上述標準建設(shè)WWW服務。電子郵件服務器評定標準對近三個月郵件數(shù)據(jù)進行備份，有專門針對郵件病毒、垃圾郵件安全方法，郵件系統(tǒng)管理員賬戶/口令應強壯，郵件系統(tǒng)維護、檢驗應有審計統(tǒng)計。現(xiàn)實狀況描述OA系統(tǒng)郵件數(shù)據(jù)進行一星期備份，有專門針對郵件病毒、垃圾郵件趨勢防病毒軟件系統(tǒng)，但該軟件存在問題比較多，郵件系統(tǒng)管理員賬戶/口令設(shè)置合理，郵件系統(tǒng)維護、檢驗沒有審計統(tǒng)計。評定結(jié)論對OA系統(tǒng)郵件數(shù)據(jù)進行三個月備份，關(guān)注處理趨勢防病毒軟件系統(tǒng)問題；郵件系統(tǒng)管理員賬戶/口令設(shè)置合理，對郵件系統(tǒng)維護、檢驗審計進行統(tǒng)計。遠程撥號訪問評定標準有限制遠程撥號訪問管理方法，用于業(yè)務系統(tǒng)維護遠程撥號訪問采取身份驗證、訪問操作統(tǒng)計等方法。現(xiàn)實狀況描述沒有遠程撥號訪問。評定結(jié)論遠程撥號訪問設(shè)置按上述標準實施。應用系統(tǒng)評定標準應用系統(tǒng)角色、權(quán)限分配有統(tǒng)計；用戶賬戶變更、修改、注銷有統(tǒng)計（六個月統(tǒng)計情況）；關(guān)鍵應用系統(tǒng)數(shù)據(jù)功效操作進行審計并進行長久存放；對關(guān)鍵應用系統(tǒng)有應急預案；關(guān)鍵應用系統(tǒng)管理員賬戶、用戶賬戶口令定時進行變更；新系統(tǒng)上線前進行安全性測試。現(xiàn)實狀況描述營銷系統(tǒng)角色、權(quán)限分配有統(tǒng)計，其它系統(tǒng)沒有；用戶賬戶變更、修改、注銷沒有統(tǒng)計；關(guān)鍵應用系統(tǒng)數(shù)據(jù)功效操作沒有進行審計；沒有針對關(guān)鍵應用系統(tǒng)應急預案；關(guān)鍵應用系統(tǒng)管理員賬戶、用戶賬戶口令有定時進行變更；有些新系統(tǒng)上線前沒有進行過安全性測試。評定結(jié)論完善系統(tǒng)角色、權(quán)限分配有統(tǒng)計；統(tǒng)計用戶賬戶變更、修改、注銷（六個月統(tǒng)計情況）；關(guān)鍵應用系統(tǒng)數(shù)據(jù)功效操作進行審計；制訂針對關(guān)鍵應用系統(tǒng)應急預案；關(guān)鍵應用系統(tǒng)管理員賬戶、用戶賬戶口令定時進行變更；新系統(tǒng)上線前應嚴格按攝影關(guān)標準進行安全性測試。安全技術(shù)管理和設(shè)備運行情況評定防火墻評定標準網(wǎng)絡中防火墻位置布署合理，防火墻規(guī)則配置符合安全要求，防火墻規(guī)則配置建立、更改有規(guī)范申請、審核、審批步驟，對防火墻日志進行存放、備份?，F(xiàn)實狀況描述網(wǎng)絡中防火墻位置布署合理，防火墻規(guī)則配置符合安全要求，防火墻規(guī)則配置沒有建立、更改有規(guī)范申請、審核、審批步驟，對防火墻日志沒有進行存放、備份。評定結(jié)論網(wǎng)絡中防火墻位置布署合理，防火墻規(guī)則配置符合安全要求，防火墻規(guī)則配置建立、更改要有規(guī)范申請、審核、審批步驟，對防火墻日志應進行存放、備份。防病毒系統(tǒng)評定標準防病毒系統(tǒng)覆蓋全部服務器及用戶端（覆蓋率最少應大于90％），對服務器防病毒用戶端管理策略配置合理（自動升級病毒代碼、每七天掃描），有專責人員負責維護防病毒系統(tǒng)并立即公布病毒通告。現(xiàn)實狀況描述防病毒系統(tǒng)覆蓋全部用戶端（覆蓋率大于90％），服務器端除了OA服務器有防病毒系統(tǒng)外其它沒有；有兼責人員負責維護防病毒系統(tǒng)，但基礎(chǔ)沒有公布病毒通告。評定結(jié)論防病毒系統(tǒng)覆蓋全部用戶端（覆蓋率大于90％），服務器端除了OA服務器有防病毒系統(tǒng)外其它沒有，考慮以后實施；考慮配置專責人員負責維護防病毒系統(tǒng)，并立即公布病毒通告。入侵檢測系統(tǒng)評定標準入侵檢測系統(tǒng)布署合理、覆蓋關(guān)鍵網(wǎng)絡邊界和關(guān)鍵服務器，定時對審計信息進行分析，定時更新入侵檢測規(guī)則和升級。現(xiàn)實狀況描述沒有布署入侵檢測系統(tǒng)。評定結(jié)論按上述布署、配置入侵檢測系統(tǒng)。安全技術(shù)管理評定標準布署身份認證系統(tǒng)、安全管理平臺，采取漏洞掃描系統(tǒng)，關(guān)鍵系統(tǒng)十二個月內(nèi)進行信息安全風險評定，布署針對安全設(shè)備日志服務器?，F(xiàn)實狀況描述沒有布署身份認證系統(tǒng)、安全管理平臺，沒有漏洞掃描系統(tǒng)，關(guān)鍵系統(tǒng)沒有進行信息安全風險評定，沒有布署針對安全設(shè)備日志服務器。評定結(jié)論按標準布署身份認證系統(tǒng)、安全管理平臺、針對安全設(shè)備日志服務器，采取漏洞掃描系統(tǒng)，關(guān)鍵系統(tǒng)十二個月進行一次信息安全風險評定。存放備份系統(tǒng)評定備份策略評定標準建立明確、合理備份策略，嚴格根據(jù)備份策略對系統(tǒng)數(shù)據(jù)進行備份（查看備份策略文件、查看備份統(tǒng)計或查看備份工具配置）?，F(xiàn)實狀況描述建立了明確、合理備份策略并嚴格根據(jù)備份策略對系統(tǒng)數(shù)據(jù)進行備份。評定結(jié)論建立明確、合理備份策略，嚴格根據(jù)備份策略對系統(tǒng)數(shù)據(jù)進行備份?；謴皖A案評定標準建立明確恢復預案（查看文件），定時進行恢復演練。現(xiàn)實狀況描述沒有建立明確恢復預案，也沒有定時進行恢復演練。評定結(jié)論建立明確恢復預案并定時進行恢復演練。備份介質(zhì)管理評定標準建立介質(zhì)管理制度和廢棄介質(zhì)處理制度，儲存介質(zhì)存放在安全環(huán)境，有嚴格介質(zhì)存取控制，有專員對存放介質(zhì)進行定時檢驗?，F(xiàn)實狀況描述沒有建立介質(zhì)管理制度和廢棄介質(zhì)處理制度，儲存介質(zhì)存放在安全環(huán)境，沒有嚴格介質(zhì)存取控制，沒有對存放介質(zhì)進行定時檢驗。評定結(jié)論建立介質(zhì)管理制度和廢棄介質(zhì)處理制度，儲存介質(zhì)存放在安全環(huán)境，嚴格介質(zhì)存取控制，對存放介質(zhì)進行定時檢驗。介質(zhì)及物理環(huán)境安全評定機房內(nèi)部安全防護評定標準主機房安裝門禁、監(jiān)控和報警系統(tǒng)?，F(xiàn)實狀況描述主機房沒有安裝門禁、監(jiān)控系統(tǒng)，有消防報警系統(tǒng)。評定結(jié)論主機房安裝門禁、監(jiān)控和報警系統(tǒng)。機房供、配電評定標準有具體機房配線圖，機房供電系統(tǒng)將動力、照明用電和計算機系統(tǒng)供電線路分開，機房配置應急照明裝置，定時對UPS運行情況進行檢測（查看六個月內(nèi)檢測統(tǒng)計）?，F(xiàn)實狀況描述沒有具體機房配線圖，機房供電系統(tǒng)將動力、照明用電和計算機系統(tǒng)供電線路是分開，機房沒有配置應急照明裝置，有定時對UPS運行情況進行檢測但沒有檢測統(tǒng)計。評定結(jié)論補全機房配線圖，機房供電系統(tǒng)將動力、照明用電和計算機系統(tǒng)供電線路分開，機房配置應急照明裝置，定時對UPS運行情況進行檢測和統(tǒng)計。機房環(huán)境防護評定標準采取氣體防火方法，空調(diào)系統(tǒng)定時進行檢驗，機房溫度控制在攝氏26度以下。現(xiàn)實狀況描述有手提干粉滅火器，沒有采取氣體防火方法，空調(diào)系統(tǒng)定時進行檢驗，機房溫度控制在攝氏26度以下。評定結(jié)論采取氣體防火方法，空調(diào)系統(tǒng)定時進行檢驗，機房溫度控制在攝氏26度以下。介質(zhì)管理評定標準有介質(zhì)管理要求，U盤、移動硬盤等存放介質(zhì)有資產(chǎn)統(tǒng)計和責任人，磁盤、光盤等存放介質(zhì)有專員保管，筆記本使用有明確管理制度。現(xiàn)實狀況描述有對應介質(zhì)管理要求，U盤、移動硬盤等存放介質(zhì)有資產(chǎn)統(tǒng)計和責任人，磁盤、光盤等存放介質(zhì)有專員保管，筆記本使用沒有明確管理制度。評定結(jié)論有對應介質(zhì)管理要求，U盤、移動硬盤等存放介質(zhì)有資產(chǎn)統(tǒng)計和責任人，磁盤、光盤等存放介質(zhì)有專員保管，制訂筆記本使用管理制度。應急處理評定應急預案評定標準關(guān)鍵系統(tǒng)有完善、可操作應急預案，對應急預案進行定時演練?，F(xiàn)實狀況描述關(guān)鍵系統(tǒng)沒有完善、可操作應急預案。評定結(jié)論制訂關(guān)鍵系統(tǒng)完善、可操作應急預案并對應急預案進行定時演練。通報機制評定標準根據(jù)集團企業(yè)要求建立立即信息安全信息通報機制?，F(xiàn)實狀況描述沒有根據(jù)集團企業(yè)要求建立立即信息安全信息通報機制。評定結(jié)論根據(jù)集團企業(yè)要求建立立即信息安全信息通報機制。故障聯(lián)動機制評定標準建立良好故障通訊聯(lián)動機制，進行聯(lián)合防護?，F(xiàn)實