××單位安全檢查報告

1、X X單位信息安全檢查報告省公司公司X X單位2011年9月1概述根據(jù)國務(wù)院信息化工作辦公室關(guān)于對國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)開 展安全檢查的通知（信安通2006 15號）、國家電力監(jiān)管委員會關(guān)于對電 力行業(yè)有關(guān)單位重要信息系統(tǒng)開展安全檢查的通知（辦信息200648號）以及集團(tuán)公司的文件要求，開展省公司公司（以下簡稱公司）范圍內(nèi)的信息安全檢查 工作。2目標(biāo)安全檢查工作的主要目標(biāo)是通過自評估工作， 發(fā)現(xiàn)公司信息系統(tǒng)當(dāng)前面臨的 主要安全問題，邊檢查邊整改，確保公司信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全。本次安全檢查工作將完成以下任務(wù)：D 完成直屬各單位典型系統(tǒng)的信息安全風(fēng)險評估工作。通過檢查掌握當(dāng) 前公司

2、信息系統(tǒng)面臨的主要安全問題，并在對檢查結(jié)果進(jìn)行分析判斷 的基礎(chǔ)上提出整改措施。2）進(jìn)行公司范圍內(nèi)信息安全大檢查， 對各單位的基礎(chǔ)網(wǎng)絡(luò)和重要信息系 統(tǒng)進(jìn)行安全性自查，并將相關(guān)數(shù)據(jù)進(jìn)行匯總分析，統(tǒng)計重大和典型信 息安全事件，及時發(fā)現(xiàn)和查找基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)存在的安全隱 患，邊檢查邊整改，確保公司基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)安全、可靠運 行。3組織機(jī)構(gòu)成立省公司公司X X單位信息安全檢查領(lǐng)導(dǎo)小組和工作小組，組織協(xié)調(diào)局 信息安全檢查工作。4檢查方法安全檢查工作中將采取風(fēng)險評估的基本方法、 對檢查范圍內(nèi)的工作內(nèi)容按照 評估的基本框架進(jìn)行，確保檢查工作的出發(fā)點、過程和結(jié)果與實際情況相符。安全檢查工作采用信息

3、安全風(fēng)險評估的基本方法，按照“誰主管、誰負(fù)責(zé)， 誰運營、誰負(fù)責(zé)”的原則，以各單位組織自評估（自查）為主，并與上級檢查和 專家指導(dǎo)相結(jié)合，對檢查范圍內(nèi)的工作內(nèi)容按照評估的基本框架進(jìn)行，確保檢查工作的出發(fā)點、過程和結(jié)果與實際情況相符。為配合檢查工作的順利開展、確保檢查工作的實效，在檢查實施過程中，應(yīng) 采取有效的檢查工具，結(jié)合人工檢查，并參照相關(guān)的技術(shù)規(guī)范進(jìn)行。檢查工作中，按照檢查列表由檢查人員根據(jù)系統(tǒng)特點逐項檢查，確保數(shù)據(jù)的 可靠和真實，人工檢查要進(jìn)行簽字和審核，確保檢查雙方對結(jié)果的認(rèn)可。5檢查內(nèi)容5.1 資產(chǎn)清單表附件1檢查內(nèi)容見附彳1資產(chǎn)清單表。5.2 事件清單表附件2檢查事件清單見附件2事件

4、清單表5.3 檢查結(jié)果表附件3檢查結(jié)果見附件3檢查結(jié)果表。6綜合分析X X單位通過對本單位重要系統(tǒng)、重要網(wǎng)絡(luò)設(shè)備、重要服務(wù)器及其安全屬性 受破壞后的影響進(jìn)行的識別，將一旦停止運行影響面大的系統(tǒng)、 關(guān)鍵網(wǎng)絡(luò)節(jié)點設(shè) 備和安全設(shè)備、承載敏感數(shù)據(jù)和業(yè)務(wù)的服務(wù)器進(jìn)行登記匯總，形成了重要資產(chǎn)清 單。通過對本單位半年內(nèi)發(fā)生的較大的、 或者發(fā)生次數(shù)較多的信息安全事件（網(wǎng) 絡(luò)故障、信息系統(tǒng)故障）進(jìn)行了匯總記錄，形成了本單位近半年內(nèi)的的安全事件 清單。我局根據(jù)廣電公司下發(fā)的安全缺陷檢查列表包括規(guī)章制度與組織管理、關(guān)建設(shè)備和服務(wù)采購情況、網(wǎng)絡(luò)與系統(tǒng)安全、網(wǎng)絡(luò)與應(yīng)用系統(tǒng)、安全技術(shù)管理與設(shè)備 運行狀況、存儲備份系統(tǒng)、介

5、質(zhì)及物理環(huán)境安全、應(yīng)急處置等進(jìn)行了安全缺陷檢 查，填寫了安全缺陷檢查結(jié)果表。對我局的信息安全狀況組織了單位信息部的所有系統(tǒng)管理人員、專職、專責(zé)進(jìn)行分析和判斷，明確了這些安全事件產(chǎn)生的原因，提出了針對的整改措施。附件4檢查結(jié)果整改措施編號安全事件事件情況簡單說明（）發(fā)生日期后果處理措施1網(wǎng)絡(luò)故障電信光纜中斷，并時斷時續(xù)。2006.4.252信息系統(tǒng)故障營銷系統(tǒng)的數(shù)據(jù)增長迅猛，在業(yè)務(wù)繁忙 期，出現(xiàn)4個集群節(jié)點會隨機(jī)自動宕機(jī) 現(xiàn)象，當(dāng)日發(fā)生5號服務(wù)器宕機(jī)。2006.3.201.規(guī)章制度與組織管理（滿分 110分）檢查項目檢查內(nèi)容檢查分值1組織機(jī)構(gòu)（10 分）是否成立了信息安全領(lǐng)導(dǎo)機(jī)構(gòu)、工作機(jī)構(gòu)？ （

6、缺一項扣5分）2岡位職責(zé)（15 分）是否有專職網(wǎng)絡(luò)管理人員（缺一項扣3分，兼 職扣1分）是否有專職應(yīng)用系統(tǒng)管理人員（缺一項扣3 分，兼職扣1分）是否有專職系統(tǒng)管理人員（缺一項扣3分，兼 職扣1分）各專責(zé)的工作職責(zé)與工作范圍是否有制度明 確進(jìn)行界定。（否扣4分，）是否實行主、副崗備用制度（否扣 2分）3病毒管埋（12 分）是否制定了計算機(jī)病毒防治管理制度（否扣3 分）是否制定了定期升級的安全策略（否扣 3分）是否制定J病毒預(yù)警和報告機(jī)制（否扣 3分）病毒掃描策略是否規(guī)定了 1周內(nèi)至少進(jìn)一 次掃描？（否扣3分）4運行管理（50 分）是否建立了信息系統(tǒng)運行管理規(guī)程？（否扣3 分）重要操作是否實行工作

7、票制度？（檢查 3個 月內(nèi)的操作票，滿分8分）機(jī)房出入管理制度是否上墻？近 3個月的機(jī)房進(jìn)出情況是否啟記錄？（滿分 8分）運行值班制度是否規(guī)定了普通情況下 5 * 8小 時、關(guān)鍵時期的7* 24小時的現(xiàn)場值班內(nèi)容？（否扣3分）是否建立了缺陷管理制度（檢查 3個月內(nèi)情 況，滿分8分）是否建立了統(tǒng)計匯報制度（檢查 3個月內(nèi)情 況，滿分8分）是否建立了運維流程，并按照流程進(jìn)行操作 （檢查3個月內(nèi)情況，滿分8分）是否對值班人員進(jìn)行了安若卜？近 3個月值班 記錄內(nèi)容是否詳實？（滿分4分）5賬號與口令管 理（23分）是否制定了賬號、口令管理制度？（否扣 5分）普通用戶賬戶密碼、口令長度要求是否大于6 字符

8、？管理員賬戶密碼、口令長度是否大于8 字符？（每項/、符扣4分）半年內(nèi)賬戶密碼、口令是否進(jìn)行過變更？（查 看變更相關(guān)記錄、通知、文件）（否扣5分）半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后是否及時對 其賬戶進(jìn)行了變更或注銷？（查看相關(guān)記錄）（否扣5分）得分合計2 .關(guān)鍵設(shè)備和服務(wù)采購情況名稱品牌數(shù)量外包服務(wù)商或運維服務(wù)情況 （注明是否為系統(tǒng)內(nèi)單位）服務(wù)評價（好、 中、差）服務(wù)保密性要 求執(zhí)行情況 （好、中、差）交換機(jī)好好好好路由器好P 好 小型機(jī)好好好好好好防火墻好好入侵檢測防病用好好好好漏洞掃描網(wǎng)管軟件好好安全監(jiān)控平臺風(fēng)險評估、安全管理、安 全規(guī)劃等咨詢服務(wù)好好好r 好好好好好安全運維、安全加固、網(wǎng) 絡(luò)優(yōu)

9、化等外包服務(wù)好好好好產(chǎn)品安全性測試服務(wù)3 .網(wǎng)絡(luò)與系統(tǒng)安全（100分）檢查項目檢查內(nèi)容檢查分值1網(wǎng)絡(luò)架構(gòu)（25）局域網(wǎng)核心交換設(shè)備，廣域網(wǎng)核心路由設(shè)備是 合采取了設(shè)備冗余或準(zhǔn)備了備用設(shè)備？（滿分 10分，關(guān)鍵點缺一項扣2分，扣完為止）是否有/、經(jīng)過防火墻的外聯(lián)鏈路？（滿分10分，后扣10分）是否有當(dāng)前準(zhǔn)確的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖？（滿分 5分）2網(wǎng)絡(luò)分區(qū)（8）生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間是否吾B署了 隔離措施（滿分5分）VLAN句的訪問控制是否合理？（滿分 3分）3網(wǎng)絡(luò)設(shè)備（23）網(wǎng)絡(luò)設(shè)備配置是否進(jìn)行了備份？（電子、物理 介質(zhì)）（滿分3分）網(wǎng)絡(luò)關(guān)鍵點設(shè)備是否雙電源？（滿分 5分）是否關(guān)閉了 HTTP

10、 FTR TFTP等服務(wù)？（滿分 5分）SNMpf區(qū)用、本地用戶口令是否強(qiáng)?。?字符， 數(shù)字、字母混雜）？（滿分10分，一項/、合格 扣5分）4 IP 管理（14）是否有IP地址管理系統(tǒng)？（滿分3分）是否有IP地址的規(guī)劃方案和分配策略？（滿分 8分）是否有IP地址分配記錄？（滿分3分）5補(bǔ)丁管理（13）是否有補(bǔ)丁管理的手段，或管理制度？（滿分 5分）Windows系統(tǒng)主機(jī)補(bǔ)丁安裝是含齊全？（湎分5 分）是否有補(bǔ)丁安裝的測試記錄？（滿分 3分）6系統(tǒng)安全配置（8）是否對操作系統(tǒng)的安全配置進(jìn)行了嚴(yán)格的設(shè) 置？（滿分5分）是否刪除了系統(tǒng)中不必要的服務(wù)、協(xié)議？（滿 分3分）8主機(jī)備份（10）重要的系統(tǒng)

11、主機(jī)是否采用了雙機(jī)備份？（滿分 5分）是否進(jìn)行過熱切換，或者故障恢復(fù)的測試？（滿 分5分）得分合計4 .網(wǎng)絡(luò)服務(wù)與應(yīng)用系統(tǒng)（100分）檢查項目檢查內(nèi)容檢查分值1 WW務(wù)（25）WW職務(wù)用戶賬戶、口令是否健壯？（查看登錄） （滿分10分）信息發(fā)布是否進(jìn)行了分級審核？（查看審核記錄） （滿分5分）外部網(wǎng)站是否有備份，或其他保護(hù)措施？（滿分10分）2電子郵件服務(wù)（20）是否對近3個月的郵件數(shù)據(jù)進(jìn)行了備份？（滿分5分）是否有專門針對郵件病毒、垃圾郵件的安全措 施？（滿分5分）郵件系統(tǒng)管理員賬戶/口令是否強(qiáng)??？郵件系統(tǒng)的維護(hù)、檢查是否啟審計記錄？（滿分 10分）3遠(yuǎn)程撥號訪問 服務(wù)（15）是否有限制遠(yuǎn)程

12、撥號訪問的管理措施？（滿分 5分）用于業(yè)務(wù)系統(tǒng)維護(hù)的遠(yuǎn)程撥號訪問是否采取了身份驗證、訪問操作記錄等措施？（滿分 10分）4應(yīng)用系統(tǒng)（40）應(yīng)用系統(tǒng)的角色、權(quán)限分配是否有記錄? （滿分 5分）用戶賬戶的變更、修改、注銷是否有記錄？（查 看半年記錄情況）（滿分10分）關(guān)鍵應(yīng)用系統(tǒng)的數(shù)據(jù)功能操作是否進(jìn)行審計？審計信息是否進(jìn)行了長期存儲？（滿分 5分）是否有針對關(guān)鍵應(yīng)用系統(tǒng)的應(yīng)急預(yù)案？（滿分 10 分）關(guān)鍵應(yīng)用系統(tǒng)管理員賬戶、用戶賬戶口令是否定 期進(jìn)行了變更？（滿分5分）新系統(tǒng)上線前是否進(jìn)行過安全性測試？（滿分 5分）得分合計5 .安全技術(shù)管理與設(shè)備運行狀況（90分）檢查項目檢查內(nèi)容檢查分值1防火墻（

13、35）網(wǎng)絡(luò)中的防火墻部署位置是否合理？（滿分10分）防護(hù)墻規(guī)則配置是否符合安全要求？（滿分10分）防護(hù)墻規(guī)則配置的建立、更改是否啟規(guī)范的申請、審核、審批流程？（查看半年內(nèi)的記錄）（滿分10分）是否對防火墻日志進(jìn)行了存儲、備份？（滿分 5分）2防病毒系統(tǒng)（20）防病毒系統(tǒng)是否覆蓋所有服務(wù)器及客戶端？（覆 蓋率至少應(yīng)大于90%）（滿分5分）對服務(wù)器的防病毒客戶端管理策略配置是否合理？（自動升級病毒代碼、每周掃描）（滿分10 分）是否有專貢人員負(fù)責(zé)維護(hù)防病毒系統(tǒng)，并及時發(fā) 布病母通告？（湎分5分）3入侵檢測系統(tǒng)（15檢查入侵檢測系統(tǒng)部署是否合理、能否覆蓋主要網(wǎng)絡(luò)邊界與主要服務(wù)器？（滿分 5分）f是否

14、定期對審計信息進(jìn)行分析？（滿分 5分）是否定期更新入侵檢測的規(guī)則與升級？（滿分 5分）4安全技術(shù)管理 （2。是否部署了身份認(rèn)證系統(tǒng)？（滿分 3分）是否夸B署了安全管理平臺？（滿分 2分）是否采用了漏洞掃描系統(tǒng)？（滿分 5分）重要系今年內(nèi)是否進(jìn)行了信息安全風(fēng)險評估？ （滿分5分）是否夸口署了針對安全設(shè)備的日志服務(wù)器？（滿分5分）得分合計6 .存儲備份系統(tǒng)（50分）檢查項目檢查內(nèi)容檢查分值1備份策略（10）是否建立了明確、合理的備份策略？是否嚴(yán)格按 照備份策略對系統(tǒng)數(shù)據(jù)進(jìn)行備份？（查看備份策 略文件、查看備份記錄，或查看備份工具配置）（滿分10分）2恢復(fù)塊菜（20）是否建立了明確的恢復(fù)預(yù)案？（查看

15、文件）（滿分10分）是否定期進(jìn)行恢復(fù)演練？（查看半年演練記錄） （滿分10分）3備份介質(zhì)管理（20）檢查是否建立介質(zhì)的管理制度和廢棄介質(zhì)的處理 制度（滿分10分）儲存介質(zhì)是否存放在安全環(huán)境（滿分 5分）是否有嚴(yán)格的介質(zhì)存取控制，是否有專人對存儲 介質(zhì)進(jìn)行官理（滿分5分）得分合計7,介質(zhì)及物理環(huán)境安全（70分）檢查項目檢查內(nèi)容檢查分值1機(jī)房內(nèi)部安全防護(hù)（5）主機(jī)房是否安裝了門禁、監(jiān)控與報警系統(tǒng)？（滿 分5分）2機(jī)房供、配電（25）是否有詳細(xì)的機(jī)房配線圖？（滿分 5分）機(jī)房供電系統(tǒng)是否將動力、照明用電與計算機(jī)系 統(tǒng)供電線路分開？（滿分5分）機(jī)房是否配備應(yīng)急照明裝置？（滿分 5分）是否定期對UPS的

16、運行狀況進(jìn)行檢測？（查看半 年內(nèi)檢測記錄）（滿分10分）3機(jī)房環(huán)境防護(hù)（20）是否采用了氣體防火措施？（滿分 10分）空調(diào)系統(tǒng)是否定期進(jìn)行檢查？（滿分 5分）機(jī)房溫度是否控制在攝氏 26度以下？（滿分5 分）4介質(zhì)管理（20）是否后相應(yīng)的介質(zhì)管理規(guī)定。（否扣5分）U盤、移動硬盤等存儲介質(zhì)是否有資產(chǎn)記錄和責(zé) 任人（否扣5分）磁盤、光盤等存儲介質(zhì)是否有專人保管？（否扣 5分）筆記本使用是否有明確的管理制度？（否扣5分）得分合計8.應(yīng)急處置（30分）檢查項目檢查內(nèi)容檢查分值1應(yīng)急預(yù)案（15）重要系統(tǒng)是否有完善的、可操作的應(yīng)急預(yù)案？（滿 分5分）是否對應(yīng)急預(yù)案進(jìn)行了定期演練？（滿分 10分）2通報機(jī)制

17、（5）是否按照集團(tuán)公司的要求建立了及時的信息安全 信息通報機(jī)制？（滿分5分）3故障聯(lián)動機(jī)制（5）是否建立了良好的故障通訊聯(lián)動機(jī)制，聯(lián)合進(jìn)行 防護(hù)？（滿分5分）4故障搶修機(jī)制（5）是否建立了完善的信息網(wǎng)故障搶修機(jī)制，應(yīng)急資 源是否到位？（滿分5分）得分合計附件4檢查結(jié)果整改措施1.規(guī)章制度與組織管理檢查項目檢查內(nèi)容檢查說明及存在問題整改措施1組織機(jī)構(gòu)是否成立了信息安全領(lǐng)導(dǎo)機(jī)構(gòu)、工作 機(jī)構(gòu)？成立了信息化工作領(lǐng)導(dǎo) 小組（2002 4號關(guān)于 成立集團(tuán)XX供電分公 司信息化工作領(lǐng)導(dǎo)小組 的通知），而X X單位 信息安全管理規(guī)范中明 確定義信息安全組織的 架構(gòu)和職能，但由于人員 編制問題，目前還沒有完 全

18、按照該規(guī)范執(zhí)行嚴(yán)格按照XX 單位信息安全 管理規(guī)范和X X單位信 息安全管理實 施指南成立安 全領(lǐng)耳機(jī)構(gòu)和 工作機(jī)構(gòu)。2崗位職責(zé)是否啟專職網(wǎng)絡(luò)管理人員配備了1名專職網(wǎng)絡(luò)管理 員。信息網(wǎng)絡(luò)日益擴(kuò) 大，1名不夠。是否啟專職應(yīng)用系統(tǒng)管理人員由于信息部崗位配置不 足，存在兼職的應(yīng)用系統(tǒng) 管理人員。不是每個系統(tǒng)都 府專職人員是否有專職系統(tǒng)管理人員配備了1名專職系統(tǒng)管理員。各專責(zé)的工作職責(zé)與工作范圍是否有 制度明確進(jìn)行界定。X X單位信息部崗位 職責(zé)有明確界定。是否實行主、副崗備用制度由于信息部崗位配置不 足，沒有實行主、副崗備 用制度。在目前的崗位配 置情況卜，爭取網(wǎng) 絡(luò)管理員實行主、 副崗備用制度。3

19、病毒管理是否制定了計算機(jī)病毒防治管理制度已制定X X單位計算機(jī) 病毒防范管理制度。是否制定了定期升級的安全策略在X X單位計算機(jī)病毒 防范管理制度中有具體 的規(guī)定。而且在杭附管理 平臺上已經(jīng)配置了定期 升級的安全策略。在X X單位計算 機(jī)病毒防范管理 制度體現(xiàn)是否制定J病毒預(yù)警和報告機(jī)制病毒報告機(jī)制在XX單 位安全事件應(yīng)急處理預(yù) 案中體現(xiàn)。完善在XX單位 計算機(jī)病毒防范 管理制度體現(xiàn)。病毒掃描策略是否規(guī)定了1周內(nèi)至少進(jìn)行一次掃描？在病毒管埋平臺上已經(jīng) 配置了每周的病毒掃描 策略。4運行管理是否建立了信息系統(tǒng)運行管理規(guī)程？按照省公司頒布的管理 信息系統(tǒng)建設(shè)與運行維 護(hù)管理導(dǎo)則，每一個信 息系統(tǒng)都

20、制定了運行管 理規(guī)程。重要操作是否實行工作票制度？X供電信200621號關(guān) 于修定相關(guān)信息系統(tǒng)管 理制度的通知之省公 司XX單位信息網(wǎng)絡(luò)入 網(wǎng)工作票文件規(guī)定J重 要操作實行工作票制度。機(jī)房出入管理制度是否上墻？近 3個 月的機(jī)房進(jìn)出情況是否啟記錄？X供電信200621號關(guān) 于修定相關(guān)信息系統(tǒng)管 理制度的通知之省公 司X X單位計算機(jī)專業(yè) 機(jī)房工作方知文件規(guī)定 機(jī)房管理制度必須上墻。 有近3個月的機(jī)房進(jìn)出情 況記錄。運行值班制度是否規(guī)定了普通情況下 5* 8小時、關(guān)鍵時期的7 *24小時的現(xiàn)場值班內(nèi)容？機(jī)房運行值班制度有 規(guī)定。是否建立了缺陷管理制度（檢查 3個 月內(nèi)情況，）有對網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)系

21、 統(tǒng)、服務(wù)器進(jìn)行定期巡 檢，發(fā)現(xiàn)缺陷并進(jìn)行整 改，有3個月內(nèi)的記錄。 但未制定相關(guān)的缺陷管 理制度。參考省公司電力 通信設(shè)備缺陷管 理辦法，盡快制 定X X單位信息 系統(tǒng)設(shè)備缺陷管 理制度。是否建立了統(tǒng)計匯報制度（檢查 3個 月內(nèi)情況，）每月底統(tǒng)計匯總?cè)貐^(qū) 信息系統(tǒng)運行月報，上報 給局生產(chǎn)例會。是否建立了運維流程，并按照流程進(jìn) 行操作（檢查3個月內(nèi)情況，）建立了運維流程，有3個 月內(nèi)的運維情況記錄。是否對值班人員進(jìn)行了安排？近 3個 月值班記錄內(nèi)容是否詳實？針對日常、節(jié)假日、突發(fā) 情況等類型，都對值班人 員進(jìn)行了安排。有近3個 月詳實值班記錄內(nèi)容。平 時沒有值班人員，關(guān)鍵時 候或節(jié)假日有值班

22、人員。BS7799人員配備5賬號與口令管 理是否制定了賬號、口令管理制度？已制定X X單位帳 號口令管理制度。普通用戶賬戶密碼、口令長度要求是 否大于6字符？管埋員賬戶密碼、口 令長度是否大于8字符？在X X單位帳號口令管 理制度中作了嚴(yán)格規(guī) 定。半年內(nèi)賬戶密碼、口令是否進(jìn)行過變 更？（查看變更相關(guān)記錄、通知、文 件）除系統(tǒng)管理帳戶外，大部 分普通賬戶密碼、口令半 年內(nèi)未進(jìn)行過父更。局發(fā)文要求所有 員工嚴(yán)格執(zhí)行 XX單位帳號 口令管理制度半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后是否 及時對其賬戶進(jìn)行了變更或注銷？系統(tǒng)用戶身份發(fā)生變化 后后及時對其賬戶進(jìn)行 變更或注銷，但沒有做記 錄。要求系統(tǒng)管理員 嚴(yán)格執(zhí)

23、行X X單 位帳號口令管理 制度2 .網(wǎng)絡(luò)與系統(tǒng)安全檢查項目檢查內(nèi)容檢查說明及存在問題整改措施1網(wǎng)絡(luò)架構(gòu)局域網(wǎng)核心交換設(shè)備，廣域網(wǎng)核心路由設(shè)備是 合采取了設(shè)備冗余或準(zhǔn)備了備用設(shè)備？局域網(wǎng)、城域網(wǎng)核心 設(shè)備共用1臺三層交 換機(jī)，使用另外1臺 作為冷備06年新建城域網(wǎng)及局 域網(wǎng)項目中進(jìn)行改造是含有不經(jīng)過防火墻的外聯(lián)鏈路？是否有當(dāng)前準(zhǔn)確的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖？有準(zhǔn)確的網(wǎng)絡(luò)拓?fù)鋱D2網(wǎng)絡(luò)分區(qū)生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間是否吾B署了 隔離措施（滿分5分）部署Cisco PIX防火 墻VLAN間的訪問控制是否合理？VLAN間的訪問根據(jù)需 求進(jìn)行控制3網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)設(shè)備配置是否進(jìn)行了備份？（電子、物理 介質(zhì)）網(wǎng)絡(luò)設(shè)

24、備配置進(jìn)行電 子介質(zhì)備份，并在每 次更改都進(jìn)行備份網(wǎng)絡(luò)關(guān)鍵點設(shè)備是否雙電源？城域網(wǎng)核心設(shè)備、局 域網(wǎng)為核心設(shè)備均為 雙電源，匯聚層設(shè)備、 關(guān)鍵防火墻只有單電 源重要路由器、防火墻 已有一臺冷備是否關(guān)閉了 HTTP FTR TFTP等服務(wù)？已關(guān)閉HTTP FTP、TFTP月艮務(wù)SNMP+區(qū)用、本地用戶口令是否強(qiáng)?。?字符， 數(shù)字、字母混雜）？SNMP字符串長度不 夠，本地用戶口令較 強(qiáng)健06年新建城域網(wǎng)及局 域網(wǎng)項目中進(jìn)行改造4 IP管理是否有IP地址管理系統(tǒng)？是否有IP地址的規(guī)劃方案和分配策略？:有是否有IP地址分配記錄？（滿分3分）有5補(bǔ)丁管理是否有補(bǔ)丁管理的手段，或管理制度？安裝了 WSU

25、系統(tǒng)Windows系統(tǒng)主機(jī)補(bǔ)丁安裝是含齊全？自動下載補(bǔ)丁，安裝 齊全是否啟補(bǔ)丁安裝的測試記錄？服務(wù)器有補(bǔ)丁安裝的 測試記錄，普通客戶 端無測試記錄6系統(tǒng)安全配置是否對操作系統(tǒng)的安全配置進(jìn)行了嚴(yán)格的設(shè) 置？在域控制器的組策略 里做了部份安全策略 配置07年對AD域進(jìn)行改 造，加強(qiáng)客戶端、服 務(wù)器的安全配置是否刪除了系統(tǒng)中不必要的服務(wù)、協(xié)議？對客戶端作部分服務(wù) 的限制07年對AD域進(jìn)行改 造，加強(qiáng)對客戶端、 服務(wù)器的不必要的服 務(wù)、協(xié)議進(jìn)行限制8主機(jī)備份重要的系統(tǒng)主機(jī)是否采用了雙機(jī)備份？僅對部分重要業(yè)務(wù)系 統(tǒng)采用雙機(jī)熱備07年對財務(wù)、客服系 統(tǒng)采用雙機(jī)熱備是否進(jìn)行過熱切換，或者故障恢復(fù)的測試？采用

26、了雙機(jī)備份的系 統(tǒng)進(jìn)行過熱切換，或 者故障恢復(fù)的測試。3 .網(wǎng)絡(luò)服務(wù)與應(yīng)用系統(tǒng)檢查項目檢查內(nèi)容檢查說明及存在問題整改措施1 wwW 務(wù)WWW務(wù)用戶賬戶、口令是否健壯？（查看 登錄）統(tǒng)一由省公司提供對 外WEB艮務(wù)。信息發(fā)布是否進(jìn)行了分級審核？（查看審核 記錄）執(zhí)行分級審核記錄齊 全。外部網(wǎng)站是否有備份，或其他保護(hù)措施？統(tǒng)一由省公司提供對 外WEB艮務(wù)，有保護(hù)措 施。2電子郵件服務(wù)是否對近3個月的郵件數(shù)據(jù)進(jìn)行了備份？沒有提供互聯(lián)網(wǎng)電子 郵件服務(wù)。是否后專門針對郵件9丙毒、垃圾郵件的安全 措施？沒有提供互聯(lián)網(wǎng)電子 郵件服務(wù)。郵件系統(tǒng)管理員賬戶/口令是否強(qiáng)?。苦]件 系統(tǒng)的維護(hù)、檢查是否啟審計記錄？沒

27、有提供互聯(lián)網(wǎng)電子 郵件服務(wù)。3遠(yuǎn)程撥號訪問 服務(wù)是否有限制遠(yuǎn)程撥號訪問的管理措施？我局已取消遠(yuǎn)程撥號 訪問服務(wù)。用于業(yè)務(wù)系統(tǒng)維護(hù)的遠(yuǎn)程撥號訪問是否采取 了身份驗證、訪問操作記錄等措施？我局業(yè)務(wù)系統(tǒng)維護(hù)不 采用遠(yuǎn)程撥號訪問方 式。4應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)的角色、權(quán)限分配是否有記錄,在各個應(yīng)用系統(tǒng)運 維管理規(guī)程里明確 應(yīng)用系統(tǒng)的角色、權(quán) 限分配，并肩詳細(xì)記錄。用戶賬戶的變更、修改、注銷是否有記錄？ （查看半年記錄情況）全局的域控制系統(tǒng)有 用戶賬戶的變更、修 改、注銷的記錄，并且 按審批流程填寫了完 整的信息業(yè)務(wù)申請 表，但其他業(yè)務(wù)系統(tǒng) 暫時沒有實行。要求各應(yīng)用系統(tǒng)內(nèi) 用戶賬戶的變更、修 改、注銷進(jìn)行詳細(xì)

28、記 錄，每年由相關(guān)系統(tǒng) 管理員填寫并整理 歸檔。關(guān)鍵應(yīng)用系統(tǒng)的數(shù)據(jù)功能操作是否進(jìn)行審 計？審計信息是否進(jìn)行了長期存儲？關(guān)鍵應(yīng)用系統(tǒng)的操作 沒有完全實行審計日 志功能，但目前的營銷 系統(tǒng)中涉及營銷收費 的關(guān)鍵操作都有對操 作進(jìn)行審計。新建系統(tǒng)要求具備 對數(shù)據(jù)操作進(jìn)行審 計的功能。是否有針對關(guān)鍵應(yīng)用系統(tǒng)的應(yīng)急預(yù)案？針對大面積停電已建 立信息系統(tǒng)針對大停 電應(yīng)事故急處理預(yù)案 操作手冊并發(fā)文，其 中包含關(guān)鍵應(yīng)用系統(tǒng) 針對人停電事故的應(yīng) 急預(yù)殺按照信息系統(tǒng)管理 規(guī)范和指南完善對 其他事故預(yù)案。關(guān)鍵應(yīng)用系統(tǒng)管理員賬戶、用戶賬戶口令是 否定期進(jìn)行了變更？業(yè)務(wù)系統(tǒng)暫時沒有實 行。X X單位帳號口 令管理制度明

29、確規(guī) 定關(guān)鍵應(yīng)用系統(tǒng)管 理員賬戶、用戶賬戶 口令定期進(jìn)行變更，并進(jìn)行詳細(xì)記錄，每 年由相關(guān)系統(tǒng)管理 員整理歸檔。新系統(tǒng)上線前是否進(jìn)行過安全性測試？新系統(tǒng)在正式投運前 都有一至三個月的試 運行期；在試運行期 內(nèi)，都有進(jìn)行相關(guān)的數(shù) 據(jù)庫連接，業(yè)務(wù)應(yīng)用等 實際操作的測試。暫時 沒有針對安全性的相 應(yīng)制度及專用的測試 手段了解相關(guān)測試技術(shù)， 聯(lián)系技術(shù)力量好的 廠豕做技人交流4 .安全技術(shù)管理與設(shè)備運行狀況檢查項目檢查內(nèi)容檢查說明及存在問題整改措施1防火墻r網(wǎng)絡(luò)中的防火墻部署位置是否合理？部署合理防護(hù)墻規(guī)則配置是否符合安全要求？符合安全要求防護(hù)墻規(guī)則配置的建立、更改是否有規(guī)范 測申請、審核、審批流程？（

30、查看半年內(nèi) 的記錄）已建立X x單位網(wǎng)絡(luò)設(shè) 備調(diào)整變更制度，其中 對設(shè)備的接入、變更以及 廢棄都有詳細(xì)流程規(guī)定， 但工作中還存在不依照 制度執(zhí)行的情況。嚴(yán)格按照X X單位網(wǎng)絡(luò) 設(shè)備調(diào)整變更制度執(zhí)行是否對防火墻日志進(jìn)行了存儲、備份？每個季度進(jìn)行巡檢并對 日志進(jìn)行分析、存儲2防病毒系統(tǒng)防病毒系統(tǒng)是否覆蓋所有服務(wù)器及客戶 端？（覆蓋率至少應(yīng)大于90%）防病毒系統(tǒng)覆蓋率以超 過 95%。對服務(wù)器的防病毒客戶端管理策略配置是 否合理？（自動升級杭附代碼、每周掃描）每天自動升級病毒代碼； 配置每周對服務(wù)器進(jìn)行 病毒掃描操作。是否有專貢人員負(fù)責(zé)維護(hù)防病毒系統(tǒng)，并 及時發(fā)布病母通告？有專貢人員負(fù)責(zé)維護(hù)防 杭附

31、系統(tǒng)；會/、定期的將 危害性局的病毒通過電 子郵件通知大家3入侵檢測系統(tǒng)檢查入侵檢測系統(tǒng)部署是否合理、能否覆 蓋主要網(wǎng)絡(luò)邊界與主要服務(wù)器？01年曾購置ISS入侵檢 測系統(tǒng)，但由于升級費用在06年的IDC安全防范 項目中新建昂貴和廠家維護(hù)不到位， 現(xiàn)已停用。是否定期對審計信息進(jìn)行分析？未進(jìn)行在06年的IDC安全防范 項目中新建后執(zhí)行是否定期更新入侵檢測的規(guī)則與升級？未有在06年的IDC安全防范 項目中新建后執(zhí)行4安全技術(shù)管理是否部署了身份認(rèn)證系統(tǒng)？已部署PKI/CA,但未投 入使用。驗收后將投入使用是否部署了安全管理平臺？木印者明年部署是有采用了漏洞掃描系統(tǒng)？未有在06年的IDC安全防范 項目中

32、建立漏洞掃描系 統(tǒng)重要系今年內(nèi)是否進(jìn)行了信息安全風(fēng)險 評估？隔年進(jìn)一次信息安全 風(fēng)險評估以后在每年增加信息安 全風(fēng)險評估預(yù)算是否部署了針對安全設(shè)備的日志服務(wù)器？未有07年新增對安全設(shè)備的 日志管理系統(tǒng)5.存儲備份系統(tǒng)檢查項目檢查內(nèi)容檢查說明及存在問題整改措施1備份策略是否建立了明確、合理的備份策略？是否 嚴(yán)格按照備份策略對系統(tǒng)數(shù)據(jù)進(jìn)行備 份？（查看備份策略文件、查看備份記錄， 或查看備份工具配置）已建立了明確、合理的備份 策略；并嚴(yán)格按照備份策略 對系統(tǒng)數(shù)據(jù)進(jìn)行備份；每季 度由專人負(fù)責(zé)巡檢。2恢復(fù)段茶是否建立了明確的恢復(fù)預(yù)案？（查看文 件）已制定數(shù)據(jù)恢復(fù)預(yù)案， 針對文件數(shù)據(jù)、業(yè)務(wù)系統(tǒng)的 數(shù)據(jù)庫

33、做了明確的技術(shù)處 理恢復(fù)的解決方案，但沒有 經(jīng)過實際的操作演練。今后每年根據(jù)業(yè)務(wù)系統(tǒng)的重要 等級及硬件平臺的冗余程度， 選擇合適的非業(yè)務(wù)繁忙時間， 與業(yè)務(wù)管理部門協(xié)商確定恢復(fù) 演練的方案及具體的實施操 作，并嚴(yán)格按照數(shù)據(jù)恢復(fù)預(yù) 案內(nèi)的流程執(zhí)行操作，積累 相關(guān)經(jīng)驗，記錄存檔并不斷修 編完善該數(shù)據(jù)恢復(fù)預(yù)案是否定期進(jìn)行恢復(fù)演練？（查看半年演練 記錄）對個別業(yè)務(wù)系統(tǒng)進(jìn)行過部 分?jǐn)?shù)據(jù)的恢復(fù)演練，但沒有 記錄。今后每年根據(jù)業(yè)務(wù)系統(tǒng)的重要 等級及硬件平臺的冗余程度， 選擇合適的非業(yè)務(wù)繁忙時間， 與業(yè)務(wù)管理部門協(xié)商確定恢復(fù) 演練的方案及具體的實施操 作，并記錄存檔。3備份介質(zhì)管 理檢查是否建立介質(zhì)的管理制度和廢棄介 質(zhì)的處理制度已制定的XX單位數(shù)據(jù)備 份管理制度肩關(guān)于介質(zhì)的在今后介質(zhì)的存取控制和廢棄 介質(zhì)的處理時，嚴(yán)格執(zhí)行相關(guān)管理和廢棄介質(zhì)的處理辦 法，但沒后形成相應(yīng)的處理 記錄。記錄并存檔。儲存介質(zhì)是否存放在安全環(huán)境磁帶存儲介質(zhì)目前與其他 光盤、磁盤介質(zhì)存放在啟恒 溫恒濕空調(diào)的信息專業(yè)機(jī) 房的防潮箱內(nèi)，但沒有異地 存放。新的IDC機(jī)房的建設(shè)將考慮