安全性評估報(bào)告

1、Xxxxxxxxx 有限公司安全防護(hù)檢測評估報(bào)告（Xxxxxxxxx 系統(tǒng) ）2018 年 3 月概要Xxxxxxxxx 有限公司 2018年3 月 10 日至 2018年 3月 15日對 Xxxxxxxxx 限公司資產(chǎn)開展了安全防護(hù)檢測工作。本次檢測工作包括技術(shù)測試， 主要采用工具掃描和實(shí)際檢測等手段， 檢測范圍涉及網(wǎng)絡(luò)架構(gòu)、安全配置、網(wǎng)絡(luò)設(shè)備、安全防護(hù)設(shè)施、業(yè)務(wù)系統(tǒng)、操作系統(tǒng)和其他相關(guān)系統(tǒng)等方面。通 過 對 Xxxxxxxxx 有 限 公 司 資 產(chǎn) 進(jìn) 行 的 檢 測 發(fā) 現(xiàn) ：Xxxxxxxxx 公司高度重視網(wǎng)絡(luò)安全防護(hù)工作， 為安全保障工作投入了大量時(shí)間、人力和精力；制定有較為完善的

2、安全策略、安全規(guī)范及操作細(xì)則等相關(guān)管理制度； 系統(tǒng)管理人員安全意識較高， 具備專業(yè)的安全防護(hù)技術(shù)和手段；網(wǎng)絡(luò)區(qū)域劃分明確，網(wǎng)絡(luò)部署有防火墻、漏洞掃描等安全設(shè)備， 并由運(yùn)維人員定期對相關(guān)網(wǎng)絡(luò)設(shè)備、 安全設(shè)備進(jìn)行巡檢。但是，通過進(jìn)一步檢測發(fā)現(xiàn)，系統(tǒng)仍存在一些安全隱患，需要進(jìn)一步完善和加強(qiáng)。1 目標(biāo)Xxxxxxxxx 有限公司信息安全檢查工作的主要目標(biāo)是通過自評估工作，發(fā)現(xiàn)本公司電子設(shè)備和應(yīng)用系統(tǒng)當(dāng)前面臨的主要安全問題， 邊檢查邊整改， 確保信息網(wǎng)絡(luò)和 重要信息系統(tǒng)的安全。2 評估依據(jù)、范圍和方法2.1 評估依據(jù)通信網(wǎng)絡(luò)安全防護(hù)管理辦法（工業(yè)和信息化部第 11 號令）電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)管理指南電

3、信網(wǎng)和互聯(lián)網(wǎng)安全服務(wù)實(shí)施要求電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)實(shí)施指南電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)評估實(shí)施指南電信網(wǎng)和互聯(lián)網(wǎng)災(zāi)難備份及恢復(fù)實(shí)施指南電信網(wǎng)和互聯(lián)網(wǎng)物理環(huán)境安全等級保護(hù)要求電信網(wǎng)和互聯(lián)網(wǎng)物理環(huán)境安全等級保護(hù)檢測要求電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護(hù)要求電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護(hù)檢測要求2.2 評估范圍本次信息安全評估工作重點(diǎn)是重要的信息系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)等， 信息系統(tǒng)中業(yè)務(wù)種類相對較多、 網(wǎng)絡(luò)和業(yè)務(wù)結(jié)構(gòu)較為復(fù)雜， 在檢查工作中強(qiáng)調(diào)對基礎(chǔ)信息系統(tǒng)和重點(diǎn)業(yè)務(wù)系統(tǒng)進(jìn)行安全性評估，具體包括：基礎(chǔ)網(wǎng)絡(luò)與服務(wù)器、關(guān)鍵系統(tǒng)、現(xiàn)有安全防護(hù)措施、信息安全管理的組織與策略、信息系統(tǒng)安全運(yùn)行和維護(hù)情況評估。2.3 評估方

4、法采用自評估方法。3 重要資產(chǎn)識別對本公司范圍內(nèi)的重要系統(tǒng)、 重要網(wǎng)絡(luò)設(shè)備、 重要服務(wù)器及其安全屬性受破壞后的影響進(jìn)行識別， 將一旦停止運(yùn)行影響面大的系統(tǒng)、 關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備和安全設(shè)備、 承載敏感數(shù)據(jù)和業(yè)務(wù)的服務(wù)器進(jìn)行登記匯總，形成重要資產(chǎn)清單。其中包括: 云服務(wù)器、服務(wù)器、網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)等。4安全事件對公司半年內(nèi)發(fā)生的較大的、 或者發(fā)生次數(shù)較多的信息安全事件進(jìn)行匯總記錄，形成本公司的安全事件列表。本公司至今沒有發(fā)生較大安全事故。5安全檢查項(xiàng)目評估5.1 規(guī)章制度與組織管理評估規(guī)章制度梳理制定文本.5.1.1 組織機(jī)構(gòu)1.1.1.1 評估標(biāo)準(zhǔn)信息安全組織機(jī)構(gòu)包括領(lǐng)導(dǎo)機(jī)構(gòu)、工作機(jī)構(gòu)。1.1.1

5、.2 現(xiàn)狀描述本公司已成立了信息安全領(lǐng)導(dǎo)機(jī)構(gòu)。1.1.1.3 評估結(jié)論完善信息安全組織機(jī)構(gòu)，成立信息安全工作機(jī)構(gòu)。5.1.2 崗位職責(zé)5.1.2.1 評估標(biāo)準(zhǔn)崗位要求應(yīng)包括：專職網(wǎng)絡(luò)管理人員、 專職應(yīng)用系統(tǒng)管理人員和專職系統(tǒng)管理人員； 責(zé)的工作職責(zé)與工作范圍應(yīng)有制度明確進(jìn)行界定；崗位實(shí)行主、副崗備用制度。5.1.2.2 現(xiàn)狀描述都是我公司沒有配置專職網(wǎng)絡(luò)管理人員、專職應(yīng)用系統(tǒng)管理人員和專職系統(tǒng)管理人員, 兼責(zé)； 專責(zé)的工作職責(zé)與工作范圍沒有明確制度進(jìn)行界定， 崗位沒有實(shí)行主、 副崗備用制度。5.1.2.3 評估結(jié)論我公司已有兼職網(wǎng)絡(luò)管理員、 應(yīng)用系統(tǒng)管理員和系統(tǒng)管理員， 在條件許可下， 配置專

6、職管理人員； 專責(zé)的工作職責(zé)與工作范圍沒有明確制度進(jìn)行界定， 根據(jù)實(shí)際情況制定管理制度； 崗位沒有實(shí)行主、副崗備用制度，在條件許可下，落實(shí)主、副崗備用制度。5.1.3 病毒管理5.1.3.1 評估標(biāo)準(zhǔn)病毒管理包括計(jì)算機(jī)病毒防治管理制度、定期升級的安全策略、病毒預(yù)警和報(bào)告機(jī)制、病毒掃描策略（ 1 周內(nèi)至少進(jìn)行一次掃描）。5.1.3.2 現(xiàn)狀描述我公司防病毒軟件進(jìn)行病毒防護(hù)， 定期從省官網(wǎng)病毒庫服務(wù)器下載、 升級安全策略； 病 毒預(yù)警是通過第三方和網(wǎng)上提供信息來源， 每月統(tǒng)計(jì)、 匯總病毒感染情況； 每周進(jìn)行二次自 動病毒掃描；沒有制定計(jì)算機(jī)病毒防治管理制度。5.1.3.3 評估結(jié)論完善病毒預(yù)警和報(bào)

7、告機(jī)制，制定計(jì)算機(jī)病毒防治管理制度。5.1.4 運(yùn)行管理5.1.4.1 評估標(biāo)準(zhǔn)運(yùn)行管理應(yīng)制定信息系統(tǒng)運(yùn)行管理規(guī)程、 缺陷管理制度、 統(tǒng)計(jì)匯報(bào)制度、 值班制度并實(shí)行工作票制度；制定機(jī)房出入管理制度并上墻，對進(jìn)出機(jī)房情況記錄。5.1.4.2 現(xiàn)狀描述沒有建立相應(yīng)信息系統(tǒng)運(yùn)行管理規(guī)程、缺陷管理制度、統(tǒng)計(jì)匯報(bào)制度、 運(yùn)維流程、 值班 制度，沒有實(shí)行工作票制度；機(jī)房出入管理制度上墻，但沒有機(jī)房進(jìn)出情況記錄。5.1.4.3 評估結(jié)論結(jié)合本公司具體情況，制訂信息系統(tǒng)運(yùn)行管理規(guī)程、缺陷管理制度、統(tǒng)計(jì)匯報(bào)制度、運(yùn)維流程、值班制度，實(shí)行工作票制度；機(jī)房出入管理制度上墻，記錄機(jī)房進(jìn)出情況。5.1.5 賬號與口令管理5.1.5.1 評估標(biāo)準(zhǔn)制訂了賬號與口令管理制度； 普通用戶賬戶密碼、 口令長度要求符合大于6 字符， 管理員賬戶密碼、口令長度大于8 字符；半年內(nèi)賬戶密碼、口令應(yīng)變更并保存變更相關(guān)記錄、通知、文件，半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后應(yīng)及時(shí)對其賬戶進(jìn)行變更或注銷。5.1.5.2 現(xiàn)狀描述沒有制訂賬號與口令管理制度， 普通用戶賬戶密碼、 口令長度要求大部分都不符合大于6 字符；管理員賬戶密碼、口令長度大于8 字符，半年內(nèi)賬戶密碼、口令有過變更，但沒有變更相關(guān)記錄、 通知、 文