信息安全評估報告(共19頁)

1、精選優(yōu)質文檔-傾情為你奉上信息安全評估報告(管理信息系統(tǒng))二零一六年一月專心-專注-專業(yè)1 目標××單位信息安全檢查工作的主要目標是通過自評估工作，發(fā)現(xiàn)本局信息系統(tǒng)當前面臨的主要安全問題，邊檢查邊整改，確保信息網(wǎng)絡和重要信息系統(tǒng)的安全。2 評估依據(jù)、范圍和方法2.1 評估依據(jù)根據(jù)國務院信息化工作辦公室關于對國家基礎信息網(wǎng)絡和重要信息系統(tǒng)開展安全檢查的通知（信安通200615號）、國家電力監(jiān)管委員會關于對電力行業(yè)有關單位重要信息系統(tǒng)開展安全檢查的通知（辦信息200648號）以及集團公司和省公司公司的文件、檢查方案要求, 開展××單位的信息安全評估。2.2

2、評估范圍本次信息安全評估工作重點是重要的業(yè)務管理信息系統(tǒng)和網(wǎng)絡系統(tǒng)等，管理信息系統(tǒng)中業(yè)務種類相對較多、網(wǎng)絡和業(yè)務結構較為復雜，在檢查工作中強調對基礎信息系統(tǒng)和重點業(yè)務系統(tǒng)進行安全性評估，具體包括：基礎網(wǎng)絡與服務器、關鍵業(yè)務系統(tǒng)、現(xiàn)有安全防護措施、信息安全管理的組織與策略、信息系統(tǒng)安全運行和維護情況評估。2.3 評估方法采用自評估方法。3 重要資產(chǎn)識別對本局范圍內(nèi)的重要系統(tǒng)、重要網(wǎng)絡設備、重要服務器及其安全屬性受破壞后的影響進行識別，將一旦停止運行影響面大的系統(tǒng)、關鍵網(wǎng)絡節(jié)點設備和安全設備、承載敏感數(shù)據(jù)和業(yè)務的服務器進行登記匯總，形成重要資產(chǎn)清單。資產(chǎn)清單見附表1。4 安全事件對本局半年內(nèi)發(fā)生的

3、較大的、或者發(fā)生次數(shù)較多的信息安全事件進行匯總記錄，形成本單位的安全事件列表。安全事件列表見附表2。5 安全檢查項目評估5.1 規(guī)章制度與組織管理評估5.1.1 組織機構 評估標準信息安全組織機構包括領導機構、工作機構。 現(xiàn)狀描述本局已成立了信息安全領導機構，但尚未成立信息安全工作機構。 評估結論完善信息安全組織機構，成立信息安全工作機構。5.1.2 崗位職責 評估標準崗位要求應包括：專職網(wǎng)絡管理人員、專職應用系統(tǒng)管理人員和專職系統(tǒng)管理人員；專責的工作職責與工作范圍應有制度明確進行界定；崗位實行主、副崗備用制度。 現(xiàn)狀描述我

4、局沒有配置專職網(wǎng)絡管理人員、專職應用系統(tǒng)管理人員和專職系統(tǒng)管理人員，都是兼責；專責的工作職責與工作范圍沒有明確制度進行界定，崗位沒有實行主、副崗備用制度。 評估結論本局已有兼職網(wǎng)絡管理員、應用系統(tǒng)管理員和系統(tǒng)管理員，在條件許可下，配置專職管理人員；專責的工作職責與工作范圍沒有明確制度進行界定，根據(jù)實際情況制定管理制度；崗位沒有實行主、副崗備用制度，在條件許可下，落實主、副崗備用制度。5.1.3 病毒管理 評估標準病毒管理包括計算機病毒防治管理制度、定期升級的安全策略、病毒預警和報告機制、病毒掃描策略（1周內(nèi)至少進行一次掃描）。 現(xiàn)狀描述本局使用Syma

5、ntec防病毒軟件進行病毒防護，定期從省公司病毒庫服務器下載、升級安全策略；病毒預警是通過第三方和網(wǎng)上提供信息來源，每月統(tǒng)計、匯總病毒感染情況并提交局生技部和省公司生技部；每周進行二次自動病毒掃描；沒有制定計算機病毒防治管理制度。 評估結論完善病毒預警和報告機制，制定計算機病毒防治管理制度。5.1.4 運行管理 評估標準運行管理應制定信息系統(tǒng)運行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運維流程、值班制度并實行工作票制度；制定機房出入管理制度并上墻，對進出機房情況記錄。 現(xiàn)狀描述沒有建立相應信息系統(tǒng)運行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運維流程、值班制

6、度，沒有實行工作票制度；機房出入管理制度上墻，但沒有機房進出情況記錄。 評估結論結合本局具體情況，制訂信息系統(tǒng)運行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運維流程、值班制度，實行工作票制度；機房出入管理制度上墻，記錄機房進出情況。5.1.5 賬號與口令管理 評估標準制訂了賬號與口令管理制度；普通用戶賬戶密碼、口令長度要求符合大于6字符，管理員賬戶密碼、口令長度大于8字符；半年內(nèi)賬戶密碼、口令應變更并保存變更相關記錄、通知、文件，半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后應及時對其賬戶進行變更或注銷。 現(xiàn)狀描述沒有制訂賬號與口令管理制度，普通用戶賬戶密碼、口令長度要求大

7、部分都不符合大于6字符；管理員賬戶密碼、口令長度大于8字符，半年內(nèi)賬戶密碼、口令有過變更，但沒有變更相關記錄、通知、文件；半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后能及時對其賬戶進行變更或注銷。 評估結論制訂賬號與口令管理制度，完善普通用戶賬戶與管理員賬戶密碼、口令長度要求；對賬戶密碼、口令變更作相關記錄；及時對系統(tǒng)用戶身份發(fā)生變化后對其賬戶進行變更或注銷。5.2 網(wǎng)絡與系統(tǒng)安全評估5.2.1 網(wǎng)絡架構 評估標準局域網(wǎng)核心交換設備、城域網(wǎng)核心路由設備應采取設備冗余或準備備用設備，不允許外聯(lián)鏈路繞過防火墻，具有當前準確的網(wǎng)絡拓撲結構圖。 現(xiàn)狀描述局域網(wǎng)核心交換設備準備

8、了備用設備，城域網(wǎng)核心路由設備采取了設備冗余；沒有不經(jīng)過防火墻的外聯(lián)鏈路，有當前網(wǎng)絡拓撲結構圖。 評估結論局域網(wǎng)核心交換設備、城域網(wǎng)核心路由設備按要求采取設備冗余或準備備用設備，外聯(lián)鏈路沒有繞過防火墻，完善網(wǎng)絡拓撲結構圖。5.2.2 網(wǎng)絡分區(qū) 評估標準生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間進行分區(qū)，VLAN間的訪問控制設置合理。 現(xiàn)狀描述生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間沒有進行分區(qū)，VLAN間的訪問控制設置合理。 評估結論對生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間進行分區(qū)，VLAN間的訪問控制設置合理。5.2.3 網(wǎng)絡設備 評估標準網(wǎng)絡設備配

9、置有備份，網(wǎng)絡關鍵點設備采用雙電源，關閉網(wǎng)絡設備HTTP、FTP、TFTP等服務，SNMP社區(qū)串、本地用戶口令強?。?gt;8字符，數(shù)字、字母混雜）。 現(xiàn)狀描述網(wǎng)絡設備配置沒有進行備份，網(wǎng)絡關鍵點設備是雙電源，網(wǎng)絡設備關閉了HTTP、FTP、TFTP等服務，SNMP社區(qū)串、本地用戶口令沒達到要求。 評估結論對網(wǎng)絡設備配置進行備份，完善SNMP社區(qū)串、本地用戶口令強?。?gt;8字符，數(shù)字、字母混雜）。5.2.4 IP管理 評估標準有IP地址管理系統(tǒng)，IP地址管理有規(guī)劃方案和分配策略，IP地址分配有記錄。 現(xiàn)狀描述沒有IP地址管理系統(tǒng)，正在

10、進行對IP地址的規(guī)劃和分配，IP地址分配有記錄。 評估結論建立IP地址管理系統(tǒng)，加快進行對IP地址的規(guī)劃和分配，IP地址分配有記錄。5.2.5 補丁管理 評估標準有補丁管理的手段或補丁管理制度，Windows系統(tǒng)主機補丁安裝齊全，有補丁安裝的測試記錄。 現(xiàn)狀描述通過手工補丁管理手段，沒有制訂相應管理制度；Windows系統(tǒng)主機補丁安裝基本齊全，沒有補丁安裝的測試記錄。 評估結論完善補丁管理的手段，制訂相應管理制度；補缺Windows系統(tǒng)主機補丁安裝，補丁安裝前進行測試記錄。5.2.6 系統(tǒng)安全配置 評估標準對操作系統(tǒng)的安全配

11、置進行嚴格的設置，刪除系統(tǒng)不必要的服務、協(xié)議。 現(xiàn)狀描述沒有對操作系統(tǒng)的安全配置進行嚴格的設置，部分系統(tǒng)刪除不必要的服務、協(xié)議。 評估結論對操作系統(tǒng)的安全配置進行嚴格的設置，刪除系統(tǒng)不必要的服務、協(xié)議。5.2.7 主機備份 評估標準重要的系統(tǒng)主機采用雙機備份并進行熱切換或者故障恢復的測試。 現(xiàn)狀描述重要的系統(tǒng)主機采用了雙機備份，進行過熱切換或者故障恢復的測試。 評估結論重要的系統(tǒng)主機采用了雙機備份，進行熱切換或者故障恢復的測試。5.3 網(wǎng)絡服務與應用系統(tǒng)評估 5.3.1 WWW服務器 評估標準WWW服務用戶賬戶

12、、口令應健壯（查看登錄），信息發(fā)布進行了分級審核，外部網(wǎng)站有備份或其他保護措施。 現(xiàn)狀描述沒有WWW服務。 評估結論考慮按上述標準建設WWW服務。5.3.2 電子郵件服務器 評估標準對近三個月的郵件數(shù)據(jù)進行備份，有專門針對郵件病毒、垃圾郵件的安全措施，郵件系統(tǒng)管理員賬戶/口令應強健，郵件系統(tǒng)的維護、檢查應有審計記錄。 現(xiàn)狀描述OA系統(tǒng)郵件數(shù)據(jù)進行一星期備份，有專門針對郵件病毒、垃圾郵件的趨勢防病毒軟件系統(tǒng)，但該軟件存在問題比較多，郵件系統(tǒng)管理員賬戶/口令設置合理，郵件系統(tǒng)的維護、檢查沒有審計記錄。 評估結論對OA系統(tǒng)郵件數(shù)據(jù)

13、進行三個月備份，關注解決趨勢防病毒軟件系統(tǒng)問題；郵件系統(tǒng)管理員賬戶/口令設置合理，對郵件系統(tǒng)的維護、檢查審計進行記錄。5.3.3 遠程撥號訪問 評估標準有限制遠程撥號訪問的管理措施，用于業(yè)務系統(tǒng)維護的遠程撥號訪問采取身份驗證、訪問操作記錄等措施。 現(xiàn)狀描述沒有遠程撥號訪問。 評估結論遠程撥號訪問設置按上述標準執(zhí)行。5.3.4 應用系統(tǒng) 評估標準應用系統(tǒng)的角色、權限分配有記錄；用戶賬戶的變更、修改、注銷有記錄（半年記錄情況）；關鍵應用系統(tǒng)的數(shù)據(jù)功能操作進行審計并進行長期存儲；對關鍵應用系統(tǒng)有應急預案；關鍵應用系統(tǒng)管理員賬戶、用戶賬戶口令定期

14、進行變更；新系統(tǒng)上線前進行安全性測試。 現(xiàn)狀描述營銷系統(tǒng)的角色、權限分配有記錄，其余系統(tǒng)沒有；用戶賬戶的變更、修改、注銷沒有記錄；關鍵應用系統(tǒng)的數(shù)據(jù)功能操作沒有進行審計；沒有針對關鍵應用系統(tǒng)的應急預案；關鍵應用系統(tǒng)管理員賬戶、用戶賬戶口令有定期進行變更；有些新系統(tǒng)上線前沒有進行過安全性測試。 評估結論完善系統(tǒng)的角色、權限分配有記錄；記錄用戶賬戶的變更、修改、注銷（半年記錄情況）；關鍵應用系統(tǒng)的數(shù)據(jù)功能操作進行審計；制定針對關鍵應用系統(tǒng)的應急預案；關鍵應用系統(tǒng)管理員賬戶、用戶賬戶口令定期進行變更；新系統(tǒng)上線前應嚴格按照相關標準進行安全性測試。5.4 安全技術管理與設備

15、運行狀況評估5.4.1 防火墻 評估標準網(wǎng)絡中的防火墻位置部署合理，防火墻規(guī)則配置符合安全要求，防火墻規(guī)則配置的建立、更改有規(guī)范申請、審核、審批流程，對防火墻日志進行存儲、備份。 現(xiàn)狀描述網(wǎng)絡中的防火墻位置部署合理，防火墻規(guī)則配置符合安全要求，防火墻規(guī)則配置沒有建立、更改有規(guī)范申請、審核、審批流程，對防火墻日志沒有進行存儲、備份。 評估結論網(wǎng)絡中的防火墻位置部署合理，防火墻規(guī)則配置符合安全要求，防火墻規(guī)則配置的建立、更改要有規(guī)范申請、審核、審批流程，對防火墻日志應進行存儲、備份。5.4.2 防病毒系統(tǒng) 評估標準防病毒系統(tǒng)覆蓋所有服務器及客

16、戶端（覆蓋率至少應大于90），對服務器的防病毒客戶端管理策略配置合理（自動升級病毒代碼、每周掃描），有專責人員負責維護防病毒系統(tǒng)并及時發(fā)布病毒通告。 現(xiàn)狀描述防病毒系統(tǒng)覆蓋所有客戶端（覆蓋率大于90），服務器端除了OA服務器有防病毒系統(tǒng)外其余沒有；有兼責人員負責維護防病毒系統(tǒng)，但基本沒有發(fā)布病毒通告。 評估結論防病毒系統(tǒng)覆蓋所有客戶端（覆蓋率大于90），服務器端除了OA服務器有防病毒系統(tǒng)外其余沒有，考慮以后實施；考慮配置專責人員負責維護防病毒系統(tǒng)，并及時發(fā)布病毒通告。5.4.3 入侵檢測系統(tǒng) 評估標準入侵檢測系統(tǒng)部署合理、覆蓋主要網(wǎng)絡邊界與主要服務器

17、，定期對審計信息進行分析，定期更新入侵檢測的規(guī)則與升級。 現(xiàn)狀描述沒有部署入侵檢測系統(tǒng)。 評估結論按上述部署、配置入侵檢測系統(tǒng)。5.4.4 安全技術管理 評估標準部署身份認證系統(tǒng)、安全管理平臺，采用漏洞掃描系統(tǒng)，重要系統(tǒng)一年內(nèi)進行信息安全風險評估，部署針對安全設備的日志服務器。 現(xiàn)狀描述沒有部署身份認證系統(tǒng)、安全管理平臺，沒有漏洞掃描系統(tǒng)，重要系統(tǒng)沒有進行信息安全風險評估，沒有部署針對安全設備的日志服務器。 評估結論按標準部署身份認證系統(tǒng)、安全管理平臺、針對安全設備的日志服務器，采用漏洞掃描系統(tǒng)，重要系統(tǒng)一年進行一次信息安全

18、風險評估。5.5 存儲備份系統(tǒng)評估 5.5.1 備份策略 評估標準建立明確、合理的備份策略，嚴格按照備份策略對系統(tǒng)數(shù)據(jù)進行備份（查看備份策略文件、查看備份記錄或查看備份工具配置）。 現(xiàn)狀描述建立了明確、合理的備份策略并嚴格按照備份策略對系統(tǒng)數(shù)據(jù)進行備份。 評估結論建立明確、合理的備份策略，嚴格按照備份策略對系統(tǒng)數(shù)據(jù)進行備份。5.5.2 恢復預案 評估標準建立明確的恢復預案（查看文件），定期進行恢復演練。 現(xiàn)狀描述沒有建立明確的恢復預案，也沒有定期進行恢復演練。 評估結論建立明確的恢復預案并定期進行恢復演練。5.

19、5.3 備份介質管理 評估標準建立介質管理制度和廢棄介質處理制度，儲存介質存放在安全環(huán)境，有嚴格的介質存取控制，有專人對存儲介質進行定期檢查。 現(xiàn)狀描述沒有建立介質的管理制度和廢棄介質的處理制度，儲存介質存放在安全環(huán)境，沒有嚴格的介質存取控制，沒有對存儲介質進行定期檢查。 評估結論建立介質管理制度和廢棄介質處理制度，儲存介質存放在安全環(huán)境，嚴格介質存取控制，對存儲介質進行定期檢查。5.6 介質及物理環(huán)境安全評估5.6.1 機房內(nèi)部安全防護 評估標準主機房安裝門禁、監(jiān)控與報警系統(tǒng)。 現(xiàn)狀描述主機房沒有安裝門禁、監(jiān)控系統(tǒng)，有消防

20、報警系統(tǒng)。 評估結論主機房安裝門禁、監(jiān)控與報警系統(tǒng)。5.6.2 機房供、配電 評估標準有詳細的機房配線圖，機房供電系統(tǒng)將動力、照明用電與計算機系統(tǒng)供電線路分開，機房配備應急照明裝置，定期對UPS的運行狀況進行檢測（查看半年內(nèi)檢測記錄）。 現(xiàn)狀描述沒有詳細的機房配線圖，機房供電系統(tǒng)將動力、照明用電與計算機系統(tǒng)供電線路是分開的，機房沒有配備應急照明裝置，有定期對UPS的運行狀況進行檢測但沒有檢測記錄。 評估結論補全機房配線圖，機房供電系統(tǒng)將動力、照明用電與計算機系統(tǒng)供電線路分開，機房配備應急照明裝置，定期對UPS的運行狀況進行檢測和記錄。5.

21、6.3 機房環(huán)境防護 評估標準采用氣體防火措施，空調系統(tǒng)定期進行檢查，機房溫度控制在攝氏26度以下。 現(xiàn)狀描述有手提干粉滅火器，沒有采用氣體防火措施，空調系統(tǒng)定期進行檢查，機房溫度控制在攝氏26度以下。 評估結論采用氣體防火措施，空調系統(tǒng)定期進行檢查，機房溫度控制在攝氏26度以下。5.6.4 介質管理 評估標準有介質管理規(guī)定，U盤、移動硬盤等存儲介質有資產(chǎn)記錄和責任人，磁盤、光盤等存儲介質有專人保管，筆記本使用有明確的管理制度。 現(xiàn)狀描述有相應的介質管理規(guī)定，U盤、移動硬盤等存儲介質有資產(chǎn)記錄和責任人，磁盤、光盤等存儲介質有專人保管，筆記本使用沒有明確的管理制度。 評估結論有相應的介質管理規(guī)定，U盤、