××單位安全檢查報(bào)告

1、××單位信息安全檢查報(bào)告省公司公司××單位2011年9月installation to be familiar with the drawings, and to be familiar with to order materials, know exactly what each part of the mullions used to avoid misattribution. Checks include the following the color is correct, oxide films if requested;section con

2、forms to design including the height, angle, thickness, etclength requirementis easier to control, and therefore work both from a technical as well as management are particularly valued. 2. technology process: checks for vertical models, specifications, check the box in place, ferrule fixed Liang Xi

3、aduan, and top bolted beam three dimensional adjustment. 3. basic operation: (1) check the vertical type and specification: before- 33 -1 概述根據(jù)國務(wù)院信息化工作辦公室關(guān)于對國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)開展安全檢查的通知（信安通200615號）、國家電力監(jiān)管委員會關(guān)于對電力行業(yè)有關(guān)單位重要信息系統(tǒng)開展安全檢查的通知（辦信息200648號）以及集團(tuán)公司的文件要求，開展省公司公司（以下簡稱公司）范圍內(nèi)的信息安全檢查工作。2 目標(biāo)安全檢查工作的主要目標(biāo)是通過自評

4、估工作，發(fā)現(xiàn)公司信息系統(tǒng)當(dāng)前面臨的主要安全問題，邊檢查邊整改，確保公司信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全。本次安全檢查工作將完成以下任務(wù)：1） 完成直屬各單位典型系統(tǒng)的信息安全風(fēng)險(xiǎn)評估工作。通過檢查掌握當(dāng)前公司信息系統(tǒng)面臨的主要安全問題，并在對檢查結(jié)果進(jìn)行分析判斷的基礎(chǔ)上提出整改措施。2） 進(jìn)行公司范圍內(nèi)信息安全大檢查，對各單位的基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)進(jìn)行安全性自查，并將相關(guān)數(shù)據(jù)進(jìn)行匯總分析，統(tǒng)計(jì)重大和典型信息安全事件，及時發(fā)現(xiàn)和查找基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)存在的安全隱患，邊檢查邊整改，確保公司基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)安全、可靠運(yùn)行。3 組織機(jī)構(gòu)成立省公司公司××單位信息安全檢查領(lǐng)導(dǎo)

5、小組和工作小組，組織協(xié)調(diào)局信息安全檢查工作。4 檢查方法安全檢查工作中將采取風(fēng)險(xiǎn)評估的基本方法、對檢查范圍內(nèi)的工作內(nèi)容按照評估的基本框架進(jìn)行，確保檢查工作的出發(fā)點(diǎn)、過程和結(jié)果與實(shí)際情況相符。安全檢查工作采用信息安全風(fēng)險(xiǎn)評估的基本方法，按照“誰主管、誰負(fù)責(zé)，誰運(yùn)營、誰負(fù)責(zé)”的原則，以各單位組織自評估（自查）為主，并與上級檢查和專家指導(dǎo)相結(jié)合，對檢查范圍內(nèi)的工作內(nèi)容按照評估的基本框架進(jìn)行，確保檢查工作的出發(fā)點(diǎn)、過程和結(jié)果與實(shí)際情況相符。為配合檢查工作的順利開展、確保檢查工作的實(shí)效，在檢查實(shí)施過程中，應(yīng)采取有效的檢查工具，結(jié)合人工檢查，并參照相關(guān)的技術(shù)規(guī)范進(jìn)行。檢查工作中，按照檢查列表由檢查人員根據(jù)

6、系統(tǒng)特點(diǎn)逐項(xiàng)檢查，確保數(shù)據(jù)的可靠和真實(shí)，人工檢查要進(jìn)行簽字和審核，確保檢查雙方對結(jié)果的認(rèn)可。5 檢查內(nèi)容 5.1 資產(chǎn)清單表附件1檢查內(nèi)容見附件1資產(chǎn)清單表。5.2 事件清單表附件2檢查事件清單見附件2事件清單表。 5.3 檢查結(jié)果表附件3檢查結(jié)果見附件3檢查結(jié)果表。6 綜合分析××單位通過對本單位重要系統(tǒng)、重要網(wǎng)絡(luò)設(shè)備、重要服務(wù)器及其安全屬性受破壞后的影響進(jìn)行的識別，將一旦停止運(yùn)行影響面大的系統(tǒng)、關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備和安全設(shè)備、承載敏感數(shù)據(jù)和業(yè)務(wù)的服務(wù)器進(jìn)行登記匯總，形成了重要資產(chǎn)清單。通過對本單位半年內(nèi)發(fā)生的較大的、或者發(fā)生次數(shù)較多的信息安全事件（網(wǎng)絡(luò)故障、信息系統(tǒng)故障）進(jìn)

7、行了匯總記錄，形成了本單位近半年內(nèi)的的安全事件清單。我局根據(jù)廣電公司下發(fā)的安全缺陷檢查列表包括規(guī)章制度與組織管理、關(guān)建設(shè)備和服務(wù)采購情況、網(wǎng)絡(luò)與系統(tǒng)安全、網(wǎng)絡(luò)與應(yīng)用系統(tǒng)、安全技術(shù)管理與設(shè)備運(yùn)行狀況、存儲備份系統(tǒng)、介質(zhì)及物理環(huán)境安全、應(yīng)急處置等進(jìn)行了安全缺陷檢查，填寫了安全缺陷檢查結(jié)果表。對我局的信息安全狀況組織了單位信息部的所有系統(tǒng)管理人員、專職、專責(zé)進(jìn)行分析和判斷，明確了這些安全事件產(chǎn)生的原因，提出了針對的整改措施。附件4檢查結(jié)果整改措施。附件1資產(chǎn)清單表附件2事件清單表編號安全事件事件情況簡單說明（）發(fā)生日期后果處理措施1網(wǎng)絡(luò)故障電信光纜中斷，并時斷時續(xù)。2006.4.252信息系統(tǒng)故障營

8、銷系統(tǒng)的數(shù)據(jù)增長迅猛，在業(yè)務(wù)繁忙期，出現(xiàn)4個集群節(jié)點(diǎn)會隨機(jī)自動宕機(jī)現(xiàn)象，當(dāng)日發(fā)生5號服務(wù)器宕機(jī)。2006.3.20附件3檢查結(jié)果表1. 規(guī)章制度與組織管理（滿分110分）檢查項(xiàng)目檢查內(nèi)容檢查分值1 組織機(jī)構(gòu)（10分）是否成立了信息安全領(lǐng)導(dǎo)機(jī)構(gòu)、工作機(jī)構(gòu)？（缺一項(xiàng)扣5分）2崗位職責(zé)（15分）是否有專職網(wǎng)絡(luò)管理人員(缺一項(xiàng)扣3分，兼職扣1分) 是否有專職應(yīng)用系統(tǒng)管理人員(缺一項(xiàng)扣3分，兼職扣1分)是否有專職系統(tǒng)管理人員(缺一項(xiàng)扣3分，兼職扣1分)各專責(zé)的工作職責(zé)與工作范圍是否有制度明確進(jìn)行界定。（否扣4分，）是否實(shí)行主、副崗備用制度（否扣2分）3病毒管理（12分）是否制定了計(jì)算機(jī)病毒防治管理制度（

9、否扣3分） 是否制定了定期升級的安全策略（否扣3分）是否制定了病毒預(yù)警和報(bào)告機(jī)制（否扣3分）病毒掃描策略是否規(guī)定了1周內(nèi)至少進(jìn)行一次掃描？（否扣3分）4運(yùn)行管理（50分）是否建立了信息系統(tǒng)運(yùn)行管理規(guī)程？（否扣3分）重要操作是否實(shí)行工作票制度？（檢查3個月內(nèi)的操作票，滿分8分）機(jī)房出入管理制度是否上墻？近3個月的機(jī)房進(jìn)出情況是否有記錄？（滿分8分）運(yùn)行值班制度是否規(guī)定了普通情況下58小時、關(guān)鍵時期的724小時的現(xiàn)場值班內(nèi)容？（否扣3分）是否建立了缺陷管理制度（檢查3個月內(nèi)情況，滿分8分）是否建立了統(tǒng)計(jì)匯報(bào)制度（檢查3個月內(nèi)情況，滿分8分）是否建立了運(yùn)維流程，并按照流程進(jìn)行操作（檢查3個月內(nèi)情況，

10、滿分8分）是否對值班人員進(jìn)行了安排？近3個月值班記錄內(nèi)容是否詳實(shí)？（滿分4分）5 賬號與口令管理（23分）是否制定了賬號、口令管理制度？（否扣5分） 普通用戶賬戶密碼、口令長度要求是否大于6字符？管理員賬戶密碼、口令長度是否大于8字符？（每項(xiàng)不符扣4分）半年內(nèi)賬戶密碼、口令是否進(jìn)行過變更？（查看變更相關(guān)記錄、通知、文件）（否扣5分）半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后是否及時對其賬戶進(jìn)行了變更或注銷？（查看相關(guān)記錄）（否扣5分）得分合計(jì)2. 關(guān)鍵設(shè)備和服務(wù)采購情況名稱品牌數(shù)量外包服務(wù)商或運(yùn)維服務(wù)情況(注明是否為系統(tǒng)內(nèi)單位)服務(wù)評價（好、中、差）服務(wù)保密性要求執(zhí)行情況（好、中、差）交換機(jī)好好好好路由器好

11、好小型機(jī)好好好好好好防火墻好好入侵檢測防病毒好好好好漏洞掃描網(wǎng)管軟件好好安全監(jiān)控平臺風(fēng)險(xiǎn)評估、安全管理、安全規(guī)劃等咨詢服務(wù)好好好好好好好好安全運(yùn)維、安全加固、網(wǎng)絡(luò)優(yōu)化等外包服務(wù)好好好好產(chǎn)品安全性測試服務(wù)3. 網(wǎng)絡(luò)與系統(tǒng)安全（100分）檢查項(xiàng)目檢查內(nèi)容檢查分值1 網(wǎng)絡(luò)架構(gòu)（25）局域網(wǎng)核心交換設(shè)備，廣域網(wǎng)核心路由設(shè)備是否采取了設(shè)備冗余或準(zhǔn)備了備用設(shè)備？（滿分10分，關(guān)鍵點(diǎn)缺一項(xiàng)扣2分，扣完為止）是否有不經(jīng)過防火墻的外聯(lián)鏈路？（滿分10分，有扣10分）是否有當(dāng)前準(zhǔn)確的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖？（滿分5分）2 網(wǎng)絡(luò)分區(qū)（8）生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間是否部署了隔離措施（滿分5分）VLAN間的訪問控制是否合

12、理？（滿分3分）3 網(wǎng)絡(luò)設(shè)備（23）網(wǎng)絡(luò)設(shè)備配置是否進(jìn)行了備份？（電子、物理介質(zhì)）（滿分3分）網(wǎng)絡(luò)關(guān)鍵點(diǎn)設(shè)備是否雙電源？（滿分5分）是否關(guān)閉了HTTP、FTP、TFTP等服務(wù)？（滿分5分）SNMP社區(qū)串、本地用戶口令是否強(qiáng)?。?gt;8字符，數(shù)字、字母混雜）？（滿分10分，一項(xiàng)不合格扣5分）4 IP管理（14）是否有IP地址管理系統(tǒng)？（滿分3分）是否有IP地址的規(guī)劃方案和分配策略？（滿分8分）是否有IP地址分配記錄？（滿分3分）5補(bǔ)丁管理（13）是否有補(bǔ)丁管理的手段，或管理制度？（滿分5分）Windows系統(tǒng)主機(jī)補(bǔ)丁安裝是否齊全？（滿分5分）是否有補(bǔ)丁安裝的測試記錄？（滿分3分）6系統(tǒng)安全配置

13、（8）是否對操作系統(tǒng)的安全配置進(jìn)行了嚴(yán)格的設(shè)置？（滿分5分）是否刪除了系統(tǒng)中不必要的服務(wù)、協(xié)議？（滿分3分）8主機(jī)備份（10）重要的系統(tǒng)主機(jī)是否采用了雙機(jī)備份？（滿分5分）是否進(jìn)行過熱切換，或者故障恢復(fù)的測試？（滿分5分）得分合計(jì)4. 網(wǎng)絡(luò)服務(wù)與應(yīng)用系統(tǒng)（100分）檢查項(xiàng)目檢查內(nèi)容檢查分值1 WWW服務(wù)（25）WWW服務(wù)用戶賬戶、口令是否健壯？（查看登錄）（滿分10分）信息發(fā)布是否進(jìn)行了分級審核？（查看審核記錄）（滿分5分）外部網(wǎng)站是否有備份，或其他保護(hù)措施？（滿分10分）2 電子郵件服務(wù)（20）是否對近3個月的郵件數(shù)據(jù)進(jìn)行了備份？（滿分5分）是否有專門針對郵件病毒、垃圾郵件的安全措施？（滿分

14、5分）郵件系統(tǒng)管理員賬戶/口令是否強(qiáng)健？郵件系統(tǒng)的維護(hù)、檢查是否有審計(jì)記錄？（滿分10分）3 遠(yuǎn)程撥號訪問服務(wù)（15）是否有限制遠(yuǎn)程撥號訪問的管理措施？（滿分5分）用于業(yè)務(wù)系統(tǒng)維護(hù)的遠(yuǎn)程撥號訪問是否采取了身份驗(yàn)證、訪問操作記錄等措施？（滿分10分）4 應(yīng)用系統(tǒng)（40）應(yīng)用系統(tǒng)的角色、權(quán)限分配是否有記錄？（滿分5分） 用戶賬戶的變更、修改、注銷是否有記錄？（查看半年記錄情況）（滿分10分）關(guān)鍵應(yīng)用系統(tǒng)的數(shù)據(jù)功能操作是否進(jìn)行審計(jì)？審計(jì)信息是否進(jìn)行了長期存儲？（滿分5分）是否有針對關(guān)鍵應(yīng)用系統(tǒng)的應(yīng)急預(yù)案？（滿分10分）關(guān)鍵應(yīng)用系統(tǒng)管理員賬戶、用戶賬戶口令是否定期進(jìn)行了變更？（滿分5分）新系統(tǒng)上線前是

15、否進(jìn)行過安全性測試？（滿分5分）得分合計(jì)5. 安全技術(shù)管理與設(shè)備運(yùn)行狀況（90分）檢查項(xiàng)目檢查內(nèi)容檢查分值1防火墻（35）網(wǎng)絡(luò)中的防火墻部署位置是否合理？（滿分10分）防護(hù)墻規(guī)則配置是否符合安全要求？（滿分10分）防護(hù)墻規(guī)則配置的建立、更改是否有規(guī)范的申請、審核、審批流程？（查看半年內(nèi)的記錄）（滿分10分）是否對防火墻日志進(jìn)行了存儲、備份？（滿分5分）2防病毒系統(tǒng)（20）防病毒系統(tǒng)是否覆蓋所有服務(wù)器及客戶端？（覆蓋率至少應(yīng)大于90）（滿分5分）對服務(wù)器的防病毒客戶端管理策略配置是否合理？（自動升級病毒代碼、每周掃描）（滿分10分）是否有專責(zé)人員負(fù)責(zé)維護(hù)防病毒系統(tǒng)，并及時發(fā)布病毒通告？（滿分5分

16、）3 入侵檢測系統(tǒng)（15）檢查入侵檢測系統(tǒng)部署是否合理、能否覆蓋主要網(wǎng)絡(luò)邊界與主要服務(wù)器？（滿分5分）是否定期對審計(jì)信息進(jìn)行分析？（滿分5分）是否定期更新入侵檢測的規(guī)則與升級？（滿分5分）4 安全技術(shù)管理（20）是否部署了身份認(rèn)證系統(tǒng)？（滿分3分）是否部署了安全管理平臺？（滿分2分）是否采用了漏洞掃描系統(tǒng)？（滿分5分）重要系統(tǒng)一年內(nèi)是否進(jìn)行了信息安全風(fēng)險(xiǎn)評估？（滿分5分）是否部署了針對安全設(shè)備的日志服務(wù)器？（滿分5分）得分合計(jì)6. 存儲備份系統(tǒng)（50分）檢查項(xiàng)目檢查內(nèi)容檢查分值1 備份策略（10）是否建立了明確、合理的備份策略？是否嚴(yán)格按照備份策略對系統(tǒng)數(shù)據(jù)進(jìn)行備份？（查看備份策略文件、查看備

17、份記錄，或查看備份工具配置）（滿分10分）2 恢復(fù)預(yù)案（20）是否建立了明確的恢復(fù)預(yù)案？（查看文件）（滿分10分）是否定期進(jìn)行恢復(fù)演練？（查看半年演練記錄）（滿分10分）3 備份介質(zhì)管理（20）檢查是否建立介質(zhì)的管理制度和廢棄介質(zhì)的處理制度 （滿分10分）儲存介質(zhì)是否存放在安全環(huán)境（滿分5分）是否有嚴(yán)格的介質(zhì)存取控制，是否有專人對存儲介質(zhì)進(jìn)行管理（滿分5分）得分合計(jì)7. 介質(zhì)及物理環(huán)境安全（70分）檢查項(xiàng)目檢查內(nèi)容檢查分值1 機(jī)房內(nèi)部安全防護(hù)（5）主機(jī)房是否安裝了門禁、監(jiān)控與報(bào)警系統(tǒng)？（滿分5分）2 機(jī)房供、配電（25）是否有詳細(xì)的機(jī)房配線圖？（滿分5分）機(jī)房供電系統(tǒng)是否將動力、照明用電與計(jì)算

18、機(jī)系統(tǒng)供電線路分開？（滿分5分）機(jī)房是否配備應(yīng)急照明裝置？（滿分5分）是否定期對UPS的運(yùn)行狀況進(jìn)行檢測？（查看半年內(nèi)檢測記錄）（滿分10分）3 機(jī)房環(huán)境防護(hù)（20）是否采用了氣體防火措施？（滿分10分）空調(diào)系統(tǒng)是否定期進(jìn)行檢查？（滿分5分）機(jī)房溫度是否控制在攝氏26度以下？（滿分5分）4介質(zhì)管理（20）是否有相應(yīng)的介質(zhì)管理規(guī)定。（否扣5分）U盤、移動硬盤等存儲介質(zhì)是否有資產(chǎn)記錄和責(zé)任人（否扣5分）磁盤、光盤等存儲介質(zhì)是否有專人保管？（否扣5分）筆記本使用是否有明確的管理制度？（否扣5分）得分合計(jì)8. 應(yīng)急處置（30分）檢查項(xiàng)目檢查內(nèi)容檢查分值1 應(yīng)急預(yù)案（15）重要系統(tǒng)是否有完善的、可操作的

19、應(yīng)急預(yù)案？（滿分5分）是否對應(yīng)急預(yù)案進(jìn)行了定期演練？（滿分10分）2 通報(bào)機(jī)制（5）是否按照集團(tuán)公司的要求建立了及時的信息安全信息通報(bào)機(jī)制？（滿分5分）3 故障聯(lián)動機(jī)制（5）是否建立了良好的故障通訊聯(lián)動機(jī)制，聯(lián)合進(jìn)行防護(hù)？（滿分5分）4 故障搶修機(jī)制（5）是否建立了完善的信息網(wǎng)故障搶修機(jī)制，應(yīng)急資源是否到位？（滿分5分）得分合計(jì)附件4檢查結(jié)果整改措施1. 規(guī)章制度與組織管理檢查項(xiàng)目檢查內(nèi)容檢查說明及存在問題整改措施1 組織機(jī)構(gòu)是否成立了信息安全領(lǐng)導(dǎo)機(jī)構(gòu)、工作機(jī)構(gòu)？成立了信息化工作領(lǐng)導(dǎo)小組（20024號關(guān)于成立集團(tuán)××供電分公司信息化工作領(lǐng)導(dǎo)小組的通知），而×

20、15;單位信息安全管理規(guī)范中明確定義信息安全組織的架構(gòu)和職能，但由于人員編制問題，目前還沒有完全按照該規(guī)范執(zhí)行嚴(yán)格按照××單位信息安全管理規(guī)范和××單位信息安全管理實(shí)施指南成立安全領(lǐng)導(dǎo)機(jī)構(gòu)和工作機(jī)構(gòu)。2崗位職責(zé)是否有專職網(wǎng)絡(luò)管理人員 配備了1名專職網(wǎng)絡(luò)管理員。信息網(wǎng)絡(luò)日益擴(kuò)大，1名不夠。是否有專職應(yīng)用系統(tǒng)管理人員由于信息部崗位配置不足，存在兼職的應(yīng)用系統(tǒng)管理人員。不是每個系統(tǒng)都有專職人員是否有專職系統(tǒng)管理人員配備了1名專職系統(tǒng)管理員。各專責(zé)的工作職責(zé)與工作范圍是否有制度明確進(jìn)行界定。××單位信息部崗位職責(zé)有明確界定。是否實(shí)行主、副崗備

21、用制度由于信息部崗位配置不足，沒有實(shí)行主、副崗備用制度。在目前的崗位配置情況下，爭取網(wǎng)絡(luò)管理員實(shí)行主、副崗備用制度。3病毒管理是否制定了計(jì)算機(jī)病毒防治管理制度 已制定××單位計(jì)算機(jī)病毒防范管理制度。是否制定了定期升級的安全策略在××單位計(jì)算機(jī)病毒防范管理制度中有具體的規(guī)定。而且在病毒管理平臺上已經(jīng)配置了定期升級的安全策略。在××單位計(jì)算機(jī)病毒防范管理制度體現(xiàn)是否制定了病毒預(yù)警和報(bào)告機(jī)制病毒報(bào)告機(jī)制在××單位安全事件應(yīng)急處理預(yù)案中體現(xiàn)。完善在××單位計(jì)算機(jī)病毒防范管理制度體現(xiàn)。病毒掃描策略是否規(guī)定

22、了1周內(nèi)至少進(jìn)行一次掃描？ 在病毒管理平臺上已經(jīng)配置了每周的病毒掃描策略。4運(yùn)行管理是否建立了信息系統(tǒng)運(yùn)行管理規(guī)程？ 按照省公司頒布的管理信息系統(tǒng)建設(shè)與運(yùn)行維護(hù)管理導(dǎo)則，每一個信息系統(tǒng)都制定了運(yùn)行管理規(guī)程。重要操作是否實(shí)行工作票制度？ ×供電信200621號關(guān)于修定相關(guān)信息系統(tǒng)管理制度的通知之省公司××單位信息網(wǎng)絡(luò)入網(wǎng)工作票文件規(guī)定了重要操作實(shí)行工作票制度。機(jī)房出入管理制度是否上墻？近3個月的機(jī)房進(jìn)出情況是否有記錄？ ×供電信200621號關(guān)于修定相關(guān)信息系統(tǒng)管理制度的通知之省公司××單位計(jì)算機(jī)專業(yè)機(jī)房工作需知文件規(guī)定機(jī)房管理制度必須

23、上墻。有近3個月的機(jī)房進(jìn)出情況記錄。運(yùn)行值班制度是否規(guī)定了普通情況下58小時、關(guān)鍵時期的724小時的現(xiàn)場值班內(nèi)容？ 機(jī)房運(yùn)行值班制度有規(guī)定。是否建立了缺陷管理制度（檢查3個月內(nèi)情況，）有對網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)系統(tǒng)、服務(wù)器進(jìn)行定期巡檢，發(fā)現(xiàn)缺陷并進(jìn)行整改，有3個月內(nèi)的記錄。但未制定相關(guān)的缺陷管理制度。參考省公司電力通信設(shè)備缺陷管理辦法，盡快制定××單位信息系統(tǒng)設(shè)備缺陷管理制度。是否建立了統(tǒng)計(jì)匯報(bào)制度（檢查3個月內(nèi)情況，）每月底統(tǒng)計(jì)匯總?cè)貐^(qū)信息系統(tǒng)運(yùn)行月報(bào)，上報(bào)給局生產(chǎn)例會。是否建立了運(yùn)維流程，并按照流程進(jìn)行操作（檢查3個月內(nèi)情況，）建立了運(yùn)維流程，有3個月內(nèi)的運(yùn)維情況記錄。是否對

24、值班人員進(jìn)行了安排？近3個月值班記錄內(nèi)容是否詳實(shí)？ 針對日常、節(jié)假日、突發(fā)情況等類型，都對值班人員進(jìn)行了安排。有近3個月詳實(shí)值班記錄內(nèi)容。平時沒有值班人員，關(guān)鍵時候或節(jié)假日有值班人員。BS7799，人員配備5 賬號與口令管理是否制定了賬號、口令管理制度？ 已制定××單位帳號口令管理制度。普通用戶賬戶密碼、口令長度要求是否大于6字符？管理員賬戶密碼、口令長度是否大于8字符？ 在××單位帳號口令管理制度中作了嚴(yán)格規(guī)定。半年內(nèi)賬戶密碼、口令是否進(jìn)行過變更？（查看變更相關(guān)記錄、通知、文件）除系統(tǒng)管理帳戶外，大部分普通賬戶密碼、口令半年內(nèi)未進(jìn)行過變更。局發(fā)文要求所

25、有員工嚴(yán)格執(zhí)行××單位帳號口令管理制度半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后是否及時對其賬戶進(jìn)行了變更或注銷？ 系統(tǒng)用戶身份發(fā)生變化后有及時對其賬戶進(jìn)行變更或注銷，但沒有做記錄。要求系統(tǒng)管理員嚴(yán)格執(zhí)行××單位帳號口令管理制度2. 網(wǎng)絡(luò)與系統(tǒng)安全檢查項(xiàng)目檢查內(nèi)容檢查說明及存在問題 整改措施1 網(wǎng)絡(luò)架構(gòu)局域網(wǎng)核心交換設(shè)備，廣域網(wǎng)核心路由設(shè)備是否采取了設(shè)備冗余或準(zhǔn)備了備用設(shè)備？ 局域網(wǎng)、城域網(wǎng)核心設(shè)備共用1臺三層交換機(jī)，使用另外1臺作為冷備06年新建城域網(wǎng)及局域網(wǎng)項(xiàng)目中進(jìn)行改造是否有不經(jīng)過防火墻的外聯(lián)鏈路？ 是否有當(dāng)前準(zhǔn)確的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖？ 有準(zhǔn)確的網(wǎng)絡(luò)拓?fù)鋱D2 網(wǎng)絡(luò)分

26、區(qū)生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間是否部署了隔離措施（滿分5分）部署Cisco PIX防火墻VLAN間的訪問控制是否合理？ VLAN間的訪問根據(jù)需求進(jìn)行控制3 網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)設(shè)備配置是否進(jìn)行了備份？（電子、物理介質(zhì)）網(wǎng)絡(luò)設(shè)備配置進(jìn)行電子介質(zhì)備份，并在每次更改都進(jìn)行備份網(wǎng)絡(luò)關(guān)鍵點(diǎn)設(shè)備是否雙電源？ 城域網(wǎng)核心設(shè)備、局域網(wǎng)為核心設(shè)備均為雙電源，匯聚層設(shè)備、關(guān)鍵防火墻只有單電源重要路由器、防火墻已有一臺冷備是否關(guān)閉了HTTP、FTP、TFTP等服務(wù)？ 已關(guān)閉HTTP、FTP、TFTP服務(wù)SNMP社區(qū)串、本地用戶口令是否強(qiáng)?。?gt;8字符，數(shù)字、字母混雜）？ SNMP字符串長度不夠，本地用戶口令較強(qiáng)健06

27、年新建城域網(wǎng)及局域網(wǎng)項(xiàng)目中進(jìn)行改造4 IP管理是否有IP地址管理系統(tǒng)？ 是否有IP地址的規(guī)劃方案和分配策略？ 有是否有IP地址分配記錄？（滿分3分）有5補(bǔ)丁管理是否有補(bǔ)丁管理的手段，或管理制度？ 安裝了WSUS系統(tǒng)Windows系統(tǒng)主機(jī)補(bǔ)丁安裝是否齊全？ 自動下載補(bǔ)丁，安裝齊全是否有補(bǔ)丁安裝的測試記錄？ 服務(wù)器有補(bǔ)丁安裝的測試記錄，普通客戶端無測試記錄6系統(tǒng)安全配置是否對操作系統(tǒng)的安全配置進(jìn)行了嚴(yán)格的設(shè)置？ 在域控制器的組策略里做了部份安全策略配置07年對AD域進(jìn)行改造，加強(qiáng)客戶端、服務(wù)器的安全配置是否刪除了系統(tǒng)中不必要的服務(wù)、協(xié)議？ 對客戶端作部分服務(wù)的限制07年對AD域進(jìn)行改造，加強(qiáng)對客戶

28、端、服務(wù)器的不必要的服務(wù)、協(xié)議進(jìn)行限制8主機(jī)備份重要的系統(tǒng)主機(jī)是否采用了雙機(jī)備份？ 僅對部分重要業(yè)務(wù)系統(tǒng)采用雙機(jī)熱備07年對財(cái)務(wù)、客服系統(tǒng)采用雙機(jī)熱備是否進(jìn)行過熱切換，或者故障恢復(fù)的測試？ 采用了雙機(jī)備份的系統(tǒng)進(jìn)行過熱切換，或者故障恢復(fù)的測試。3. 網(wǎng)絡(luò)服務(wù)與應(yīng)用系統(tǒng)檢查項(xiàng)目檢查內(nèi)容檢查說明及存在問題 整改措施1 WWW服務(wù)WWW服務(wù)用戶賬戶、口令是否健壯？（查看登錄）統(tǒng)一由省公司提供對外WEB服務(wù)。信息發(fā)布是否進(jìn)行了分級審核？（查看審核記錄）執(zhí)行分級審核記錄齊全。外部網(wǎng)站是否有備份，或其他保護(hù)措施？ 統(tǒng)一由省公司提供對外WEB服務(wù)，有保護(hù)措施。2 電子郵件服務(wù)是否對近3個月的郵件數(shù)據(jù)進(jìn)行了備

29、份？ 沒有提供互聯(lián)網(wǎng)電子郵件服務(wù)。是否有專門針對郵件病毒、垃圾郵件的安全措施？ 沒有提供互聯(lián)網(wǎng)電子郵件服務(wù)。郵件系統(tǒng)管理員賬戶/口令是否強(qiáng)??？郵件系統(tǒng)的維護(hù)、檢查是否有審計(jì)記錄？ 沒有提供互聯(lián)網(wǎng)電子郵件服務(wù)。3 遠(yuǎn)程撥號訪問服務(wù)是否有限制遠(yuǎn)程撥號訪問的管理措施？ 我局已取消遠(yuǎn)程撥號訪問服務(wù)。用于業(yè)務(wù)系統(tǒng)維護(hù)的遠(yuǎn)程撥號訪問是否采取了身份驗(yàn)證、訪問操作記錄等措施？ 我局業(yè)務(wù)系統(tǒng)維護(hù)不采用遠(yuǎn)程撥號訪問方式。4 應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)的角色、權(quán)限分配是否有記錄？ 在各個應(yīng)用系統(tǒng)運(yùn)維管理規(guī)程里明確應(yīng)用系統(tǒng)的角色、權(quán)限分配，并有詳細(xì)記錄。用戶賬戶的變更、修改、注銷是否有記錄？（查看半年記錄情況）全局的域控制系統(tǒng)

30、有用戶賬戶的變更、修改、注銷的記錄，并且按審批流程填寫了完整的信息業(yè)務(wù)申請表，但其他業(yè)務(wù)系統(tǒng)暫時沒有實(shí)行。要求各應(yīng)用系統(tǒng)內(nèi)用戶賬戶的變更、修改、注銷進(jìn)行詳細(xì)記錄，每年由相關(guān)系統(tǒng)管理員填寫并整理歸檔。關(guān)鍵應(yīng)用系統(tǒng)的數(shù)據(jù)功能操作是否進(jìn)行審計(jì)？審計(jì)信息是否進(jìn)行了長期存儲？ 關(guān)鍵應(yīng)用系統(tǒng)的操作沒有完全實(shí)行審計(jì)日志功能，但目前的營銷系統(tǒng)中涉及營銷收費(fèi)的關(guān)鍵操作都有對操作進(jìn)行審計(jì)。新建系統(tǒng)要求具備對數(shù)據(jù)操作進(jìn)行審計(jì)的功能。是否有針對關(guān)鍵應(yīng)用系統(tǒng)的應(yīng)急預(yù)案？ 針對大面積停電已建立信息系統(tǒng)針對大停電應(yīng)事故急處理預(yù)案操作手冊并發(fā)文，其中包含關(guān)鍵應(yīng)用系統(tǒng)針對大停電事故的應(yīng)急預(yù)案按照信息系統(tǒng)管理規(guī)范和指南完善對其他

31、事故預(yù)案。關(guān)鍵應(yīng)用系統(tǒng)管理員賬戶、用戶賬戶口令是否定期進(jìn)行了變更？ 業(yè)務(wù)系統(tǒng)暫時沒有實(shí)行。××單位帳號口令管理制度明確規(guī)定關(guān)鍵應(yīng)用系統(tǒng)管理員賬戶、用戶賬戶口令定期進(jìn)行變更，并進(jìn)行詳細(xì)記錄，每年由相關(guān)系統(tǒng)管理員整理歸檔。新系統(tǒng)上線前是否進(jìn)行過安全性測試？新系統(tǒng)在正式投運(yùn)前都有一至三個月的試運(yùn)行期；在試運(yùn)行期內(nèi)，都有進(jìn)行相關(guān)的數(shù)據(jù)庫連接，業(yè)務(wù)應(yīng)用等實(shí)際操作的測試。暫時沒有針對安全性的相應(yīng)制度及專用的測試手段了解相關(guān)測試技術(shù)，聯(lián)系技術(shù)力量好的廠家做技術(shù)交流4. 安全技術(shù)管理與設(shè)備運(yùn)行狀況檢查項(xiàng)目檢查內(nèi)容檢查說明及存在問題 整改措施1防火墻網(wǎng)絡(luò)中的防火墻部署位置是否合理？部署合理防

32、護(hù)墻規(guī)則配置是否符合安全要求？ 符合安全要求防護(hù)墻規(guī)則配置的建立、更改是否有規(guī)范測申請、審核、審批流程？（查看半年內(nèi)的記錄）已建立××單位網(wǎng)絡(luò)設(shè)備調(diào)整變更制度，其中對設(shè)備的接入、變更以及廢棄都有詳細(xì)流程規(guī)定，但工作中還存在不依照制度執(zhí)行的情況。嚴(yán)格按照××單位網(wǎng)絡(luò)設(shè)備調(diào)整變更制度執(zhí)行是否對防火墻日志進(jìn)行了存儲、備份？ 每個季度進(jìn)行巡檢并對日志進(jìn)行分析、存儲2防病毒系統(tǒng)防病毒系統(tǒng)是否覆蓋所有服務(wù)器及客戶端？（覆蓋率至少應(yīng)大于90）防病毒系統(tǒng)覆蓋率以超過95。對服務(wù)器的防病毒客戶端管理策略配置是否合理？（自動升級病毒代碼、每周掃描）每天自動升級病毒代碼；配置

33、每周對服務(wù)器進(jìn)行病毒掃描操作。是否有專責(zé)人員負(fù)責(zé)維護(hù)防病毒系統(tǒng)，并及時發(fā)布病毒通告？ 有專責(zé)人員負(fù)責(zé)維護(hù)防病毒系統(tǒng)；會不定期的將危害性高的病毒通過電子郵件通知大家3 入侵檢測系統(tǒng)檢查入侵檢測系統(tǒng)部署是否合理、能否覆蓋主要網(wǎng)絡(luò)邊界與主要服務(wù)器？ 01年曾購置ISS入侵檢測系統(tǒng)，但由于升級費(fèi)用昂貴和廠家維護(hù)不到位，現(xiàn)已停用。在06年的IDC安全防范項(xiàng)目中新建是否定期對審計(jì)信息進(jìn)行分析？未進(jìn)行在06年的IDC安全防范項(xiàng)目中新建后執(zhí)行是否定期更新入侵檢測的規(guī)則與升級？ 未有在06年的IDC安全防范項(xiàng)目中新建后執(zhí)行4 安全技術(shù)管理是否部署了身份認(rèn)證系統(tǒng)？ 已部署PKI/CA，但未投入使用。驗(yàn)收后將投入使

34、用是否部署了安全管理平臺？ 未部署明年部署是否采用了漏洞掃描系統(tǒng)？未有在06年的IDC安全防范項(xiàng)目中建立漏洞掃描系統(tǒng)重要系統(tǒng)一年內(nèi)是否進(jìn)行了信息安全風(fēng)險(xiǎn)評估？ 隔年進(jìn)行一次信息安全風(fēng)險(xiǎn)評估以后在每年增加信息安全風(fēng)險(xiǎn)評估預(yù)算是否部署了針對安全設(shè)備的日志服務(wù)器？ 未有07年新增對安全設(shè)備的日志管理系統(tǒng)5. 存儲備份系統(tǒng)檢查項(xiàng)目檢查內(nèi)容檢查說明及存在問題 整改措施1 備份策略是否建立了明確、合理的備份策略？是否嚴(yán)格按照備份策略對系統(tǒng)數(shù)據(jù)進(jìn)行備份？（查看備份策略文件、查看備份記錄，或查看備份工具配置）已建立了明確、合理的備份策略；并嚴(yán)格按照備份策略對系統(tǒng)數(shù)據(jù)進(jìn)行備份；每季度有專人負(fù)責(zé)巡檢。2 恢復(fù)預(yù)案

35、是否建立了明確的恢復(fù)預(yù)案？（查看文件）已制定數(shù)據(jù)恢復(fù)預(yù)案，針對文件數(shù)據(jù)、業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫做了明確的技術(shù)處理恢復(fù)的解決方案，但沒有經(jīng)過實(shí)際的操作演練。今后每年根據(jù)業(yè)務(wù)系統(tǒng)的重要等級及硬件平臺的冗余程度，選擇合適的非業(yè)務(wù)繁忙時間，與業(yè)務(wù)管理部門協(xié)商確定恢復(fù)演練的方案及具體的實(shí)施操作，并嚴(yán)格按照數(shù)據(jù)恢復(fù)預(yù)案內(nèi)的流程執(zhí)行操作，積累相關(guān)經(jīng)驗(yàn)，記錄存檔并不斷修編完善該數(shù)據(jù)恢復(fù)預(yù)案是否定期進(jìn)行恢復(fù)演練？（查看半年演練記錄）對個別業(yè)務(wù)系統(tǒng)進(jìn)行過部分?jǐn)?shù)據(jù)的恢復(fù)演練，但沒有記錄。今后每年根據(jù)業(yè)務(wù)系統(tǒng)的重要等級及硬件平臺的冗余程度，選擇合適的非業(yè)務(wù)繁忙時間，與業(yè)務(wù)管理部門協(xié)商確定恢復(fù)演練的方案及具體的實(shí)施操作，并記錄存檔。3 備份介質(zhì)管理檢查是否建立介質(zhì)的管理制度和廢棄介質(zhì)的處理制度已制定的××單位數(shù)據(jù)備份管理制度有關(guān)于介質(zhì)的管理和廢棄介質(zhì)的處理辦法，但沒有形成相應(yīng)的處理記錄。在今后介質(zhì)的存取控制和廢棄介質(zhì)的處理時，嚴(yán)格執(zhí)行相關(guān)記錄并存檔。儲存介質(zhì)是否存放在安全環(huán)境磁帶存儲介質(zhì)目前與其他光盤、磁