××單位信息安全評估報告書

1、word資料下載可編輯××單位信息安全評估報告(管理信息系統(tǒng) )××單位二零一一年九月專業(yè)技術資料word資料下載可編輯1 目標××單位信息安全檢查工作的主要目標是通過自評估工作， 發(fā)現(xiàn)本局信息系統(tǒng)當前面臨的主要安全問題， 邊檢查邊整改， 確保信息網(wǎng)絡和重要信息系統(tǒng)的安全。2 評估依據(jù)、范圍和方法2.1 評估依據(jù)根據(jù)國務院信息化工作辦公室 關于對國家基礎信息網(wǎng)絡和重要信息系統(tǒng)開展安全檢查的通知（信安通 200615 號）、國家電力監(jiān)管委員會關于對電力行業(yè)有關單位重要信息系統(tǒng)開展安全檢查的通知 （辦信息 200648 號）以及集團公司和

2、省公司公司的文件、檢查方案要求 , 開展××單位的信息安全評估。2.2 評估范圍本次信息安全評估工作重點是重要的業(yè)務管理信息系統(tǒng)和網(wǎng)絡系統(tǒng)等， 管理信息系統(tǒng)中業(yè)務種類相對較多、 網(wǎng)絡和業(yè)務結(jié)構(gòu)較為復雜， 在檢查工作中強調(diào)對基礎信息系統(tǒng)和重點業(yè)務系統(tǒng)進行安全性評估，具體包括：基礎網(wǎng)絡與服務器、關鍵業(yè)務系統(tǒng)、 現(xiàn)有安全防護措施、 信息安全管理的組織與策略、 信息系統(tǒng)安全運行和維護情況評估。2.3 評估方法采用自評估方法。3 重要資產(chǎn)識別對本局范圍內(nèi)的重要系統(tǒng)、 重要網(wǎng)絡設備、 重要服務器及其安全屬性受破壞后的影響進行識別， 將一旦停止運行影響面大的系統(tǒng)、 關鍵網(wǎng)絡節(jié)點設備和安全

3、設備、承載敏感數(shù)據(jù)和業(yè)務的服務器進行登記匯總， 形成重要資產(chǎn)清單。 資產(chǎn)清單見附表 1。專業(yè)技術資料word資料下載可編輯4 安全事件對本局半年內(nèi)發(fā)生的較大的、 或者發(fā)生次數(shù)較多的信息安全事件進行匯總記錄，形成本單位的安全事件列表。安全事件列表見附表 2。5 安全檢查項目評估5.1 規(guī)章制度與組織管理評估5.1.1 組織機構(gòu) 評估標準信息安全組織機構(gòu)包括領導機構(gòu)、工作機構(gòu)。 現(xiàn)狀描述本局已成立了信息安全領導機構(gòu)，但尚未成立信息安全工作機構(gòu)。 評估結(jié)論完善信息安全組織機構(gòu)，成立信息安全工作機構(gòu)。5.1.2 崗位職責 評估標準崗位要求應包括：

4、 專職網(wǎng)絡管理人員、 專職應用系統(tǒng)管理人員和專職系統(tǒng)管理人員；專責的工作職責與工作范圍應有制度明確進行界定； 崗位實行主、 副崗備用制度。專業(yè)技術資料word資料下載可編輯 現(xiàn)狀描述我局沒有配置專職網(wǎng)絡管理人員、 專職應用系統(tǒng)管理人員和專職系統(tǒng)管理人員，都是兼責；專責的工作職責與工作范圍沒有明確制度進行界定， 崗位沒有實行主、副崗備用制度。 評估結(jié)論本局已有兼職網(wǎng)絡管理員、應用系統(tǒng)管理員和系統(tǒng)管理員，在條件許可下，配置專職管理人員； 專責的工作職責與工作范圍沒有明確制度進行界定，根據(jù)實際情況制定管理制度； 崗位沒有實行主、 副崗備用制度， 在條件許可下， 落實主、副

5、崗備用制度。5.1.3 病毒管理 評估標準病毒管理包括計算機病毒防治管理制度、 定期升級的安全策略、 病毒預警和報告機制、病毒掃描策略（ 1周內(nèi)至少進行一次掃描） 。 現(xiàn)狀描述本局使用 Symantec防病毒軟件進行病毒防護， 定期從省公司病毒庫服務器下載、升級安全策略；病毒預警是通過第三方和網(wǎng)上提供信息來源，每月統(tǒng)計、匯總病毒感染情況并提交局生技部和省公司生技部；每周進行二次自動病毒掃描；沒有制定計算機病毒防治管理制度。 評估結(jié)論完善病毒預警和報告機制，制定計算機病毒防治管理制度。5.1.4 運行管理 評估標準運行管理應制定信息系統(tǒng)運行

6、管理規(guī)程、缺陷管理制度、 統(tǒng)計匯報制度、 運專業(yè)技術資料word資料下載可編輯維流程、值班制度并實行工作票制度； 制定機房出入管理制度并上墻， 對進出機房情況記錄。 現(xiàn)狀描述沒有建立相應信息系統(tǒng)運行管理規(guī)程、 缺陷管理制度、 統(tǒng)計匯報制度、 運維流程、值班制度，沒有實行工作票制度；機房出入管理制度上墻，但沒有機房進出情況記錄。 評估結(jié)論結(jié)合本局具體情況， 制訂信息系統(tǒng)運行管理規(guī)程、 缺陷管理制度、 統(tǒng)計匯報制度、運維流程、值班制度，實行工作票制度；機房出入管理制度上墻，記錄機房進出情況。5.1.5 賬號與口令管理 評估標準制訂了賬號與口令管理制度；普通

7、用戶賬戶密碼、口令長度要求符合大于 6 字符，管理員賬戶密碼、口令長度大于 8字符；半年內(nèi)賬戶密碼、口令應變更并保存變更相關記錄、 通知、文件，半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后應及時對其賬戶進行變更或注銷。 現(xiàn)狀描述沒有制訂賬號與口令管理制度， 普通用戶賬戶密碼、 口令長度要求大部分都不符合大于 6字符；管理員賬戶密碼、口令長度大于 8字符，半年內(nèi)賬戶密碼、口令有過變更，但沒有變更相關記錄、通知、文件；半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后能及時對其賬戶進行變更或注銷。 評估結(jié)論制訂賬號與口令管理制度， 完善普通用戶賬戶與管理員賬戶密碼、 口令長度要求；對賬戶密碼、 口令變更作相

8、關記錄； 及時對系統(tǒng)用戶身份發(fā)生變化后對其賬戶進行變更或注銷。專業(yè)技術資料word資料下載可編輯5.2 網(wǎng)絡與系統(tǒng)安全評估5.2.1 網(wǎng)絡架構(gòu) 評估標準局域網(wǎng)核心交換設備、城域網(wǎng)核心路由設備應采取設備冗余或準備備用設備，不允許外聯(lián)鏈路繞過防火墻，具有當前準確的網(wǎng)絡拓撲結(jié)構(gòu)圖。 現(xiàn)狀描述局域網(wǎng)核心交換設備準備了備用設備，城域網(wǎng)核心路由設備采取了設備冗余；沒有不經(jīng)過防火墻的外聯(lián)鏈路，有當前網(wǎng)絡拓撲結(jié)構(gòu)圖。 評估結(jié)論局域網(wǎng)核心交換設備、 城域網(wǎng)核心路由設備按要求采取設備冗余或準備備用設備，外聯(lián)鏈路沒有繞過防火墻，完善網(wǎng)絡拓撲結(jié)構(gòu)圖。5.2.2 網(wǎng)絡分區(qū)5.2

9、.2.1 評估標準生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間進行分區(qū)，VLAN間的訪問控制設置合理。 現(xiàn)狀描述生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間沒有進行分區(qū)，VLAN間的訪問控制設置合理。 評估結(jié)論對生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間進行分區(qū)，VLAN間的訪問控制設置合理。專業(yè)技術資料word資料下載可編輯5.2.3 網(wǎng)絡設備 評估標準網(wǎng)絡設備配置有備份，網(wǎng)絡關鍵點設備采用雙電源， 關閉網(wǎng)絡設備 HTTP、FTP、TFTP等服務， SNMP社區(qū)串、本地用戶口令強?。?>8字符，數(shù)字、字母混雜） 。 現(xiàn)狀描述網(wǎng)絡設備配置沒有進行備份，網(wǎng)絡關鍵點設備是雙電

10、源，網(wǎng)絡設備關閉了HTTP、FTP、 TFTP等服務， SNMP社區(qū)串、本地用戶口令沒達到要求。 評估結(jié)論對網(wǎng)絡設備配置進行備份，完善 SNMP社區(qū)串、本地用戶口令強健（ >8字符，數(shù)字、字母混雜）。5.2.4 IP 管理 評估標準有IP 地址管理系統(tǒng)，IP 地址管理有規(guī)劃方案和分配策略， IP 地址分配有記錄。 現(xiàn)狀描述沒有 IP 地址管理系統(tǒng)，正在進行對 IP 地址的規(guī)劃和分配， IP 地址分配有記錄。 評估結(jié)論建立 IP 地址管理系統(tǒng)，加快進行對 IP 地址的規(guī)劃和分配， IP 地址分配有記錄。專業(yè)技術資料word資料下載可編

11、輯5.2.5 補丁管理 評估標準有補丁管理的手段或補丁管理制度， Windows系統(tǒng)主機補丁安裝齊全，有補丁安裝的測試記錄。 現(xiàn)狀描述通過手工補丁管理手段，沒有制訂相應管理制度； Windows系統(tǒng)主機補丁安裝基本齊全，沒有補丁安裝的測試記錄。 評估結(jié)論完善補丁管理的手段， 制訂相應管理制度； 補缺 Windows系統(tǒng)主機補丁安裝，補丁安裝前進行測試記錄。5.2.6 系統(tǒng)安全配置 評估標準對操作系統(tǒng)的安全配置進行嚴格的設置，刪除系統(tǒng)不必要的服務、協(xié)議。 現(xiàn)狀描述沒有對操作系統(tǒng)的安全配置進行嚴格的設置，部分系統(tǒng)刪除不必要的服務

12、、協(xié)議。 評估結(jié)論對操作系統(tǒng)的安全配置進行嚴格的設置，刪除系統(tǒng)不必要的服務、協(xié)議。專業(yè)技術資料word資料下載可編輯5.2.7 主機備份 評估標準重要的系統(tǒng)主機采用雙機備份并進行熱切換或者故障恢復的測試。 現(xiàn)狀描述重要的系統(tǒng)主機采用了雙機備份，進行過熱切換或者故障恢復的測試。 評估結(jié)論重要的系統(tǒng)主機采用了雙機備份，進行熱切換或者故障恢復的測試。5.3 網(wǎng)絡服務與應用系統(tǒng)評估5.3.1 WWW服務器 評估標準WWW服務用戶賬戶、口令應健壯（查看登錄） ，信息發(fā)布進行了分級審核，外部網(wǎng)站有備份或其他保護措施。 現(xiàn)狀

13、描述沒有 WWW服務。 評估結(jié)論考慮按上述標準建設 WWW服務。專業(yè)技術資料word資料下載可編輯5.3.2 電子郵件服務器 評估標準對近三個月的郵件數(shù)據(jù)進行備份， 有專門針對郵件病毒、 垃圾郵件的安全措施，郵件系統(tǒng)管理員賬戶 / 口令應強健，郵件系統(tǒng)的維護、檢查應有審計記錄。 現(xiàn)狀描述OA系統(tǒng)郵件數(shù)據(jù)進行一星期備份， 有專門針對郵件病毒、 垃圾郵件的趨勢防病毒軟件系統(tǒng)， 但該軟件存在問題比較多， 郵件系統(tǒng)管理員賬戶 / 口令設置合理，郵件系統(tǒng)的維護、檢查沒有審計記錄。 評估結(jié)論對OA系統(tǒng)郵件數(shù)據(jù)進行三個月備份， 關注解決趨勢防病毒軟件系

14、統(tǒng)問題； 郵件系統(tǒng)管理員賬戶 / 口令設置合理，對郵件系統(tǒng)的維護、檢查審計進行記錄。5.3.3 遠程撥號訪問 評估標準有限制遠程撥號訪問的管理措施， 用于業(yè)務系統(tǒng)維護的遠程撥號訪問采取身份驗證、訪問操作記錄等措施。 現(xiàn)狀描述沒有遠程撥號訪問。 評估結(jié)論遠程撥號訪問設置按上述標準執(zhí)行。專業(yè)技術資料word資料下載可編輯5.3.4 應用系統(tǒng) 評估標準應用系統(tǒng)的角色、權限分配有記錄； 用戶賬戶的變更、 修改、注銷有記錄（半年記錄情況）；關鍵應用系統(tǒng)的數(shù)據(jù)功能操作進行審計并進行長期存儲；對關鍵應用系統(tǒng)有應急預案；關鍵應用系統(tǒng)管理員賬戶、用戶賬戶口

15、令定期進行變更；新系統(tǒng)上線前進行安全性測試。 現(xiàn)狀描述營銷系統(tǒng)的角色、 權限分配有記錄， 其余系統(tǒng)沒有； 用戶賬戶的變更、 修改、注銷沒有記錄； 關鍵應用系統(tǒng)的數(shù)據(jù)功能操作沒有進行審計； 沒有針對關鍵應用系統(tǒng)的應急預案； 關鍵應用系統(tǒng)管理員賬戶、 用戶賬戶口令有定期進行變更； 有些新系統(tǒng)上線前沒有進行過安全性測試。 評估結(jié)論完善系統(tǒng)的角色、權限分配有記錄；記錄用戶賬戶的變更、修改、注銷（半年記錄情況）；關鍵應用系統(tǒng)的數(shù)據(jù)功能操作進行審計；制定針對關鍵應用系統(tǒng)的應急預案； 關鍵應用系統(tǒng)管理員賬戶、 用戶賬戶口令定期進行變更； 新系統(tǒng)上線前應嚴格按照相關標準進行安全性測

16、試。5.4 安全技術管理與設備運行狀況評估5.4.1 防火墻 評估標準網(wǎng)絡中的防火墻位置部署合理， 防火墻規(guī)則配置符合安全要求， 防火墻規(guī)則配置的建立、更改有規(guī)范申請、 審核、審批流程，對防火墻日志進行存儲、 備份。 現(xiàn)狀描述網(wǎng)絡中的防火墻位置部署合理， 防火墻規(guī)則配置符合安全要求， 防火墻規(guī)則配置沒有建立、 更改有規(guī)范申請、 審核、審批流程，對防火墻日志沒有進行存儲、備份。專業(yè)技術資料word資料下載可編輯 評估結(jié)論網(wǎng)絡中的防火墻位置部署合理， 防火墻規(guī)則配置符合安全要求， 防火墻規(guī)則配置的建立、更改要有規(guī)范申請、審核、審批流程，對防火墻日志應進行存

17、儲、備份。5.4.2 防病毒系統(tǒng) 評估標準防病毒系統(tǒng)覆蓋所有服務器及客戶端（覆蓋率至少應大于 90），對服務器的防病毒客戶端管理策略配置合理（自動升級病毒代碼、每周掃描） ，有專責人員負責維護防病毒系統(tǒng)并及時發(fā)布病毒通告。 現(xiàn)狀描述防病毒系統(tǒng)覆蓋所有客戶端（覆蓋率大于 90），服務器端除了 OA服務器有防病毒系統(tǒng)外其余沒有； 有兼責人員負責維護防病毒系統(tǒng)， 但基本沒有發(fā)布病毒通告。 評估結(jié)論防病毒系統(tǒng)覆蓋所有客戶端（覆蓋率大于 90），服務器端除了 OA服務器有防病毒系統(tǒng)外其余沒有， 考慮以后實施；考慮配置專責人員負責維護防病毒系統(tǒng)，并及時發(fā)布病毒通告

18、。5.4.3 入侵檢測系統(tǒng) 評估標準入侵檢測系統(tǒng)部署合理、 覆蓋主要網(wǎng)絡邊界與主要服務器， 定期對審計信息進行分析，定期更新入侵檢測的規(guī)則與升級。 現(xiàn)狀描述沒有部署入侵檢測系統(tǒng)。專業(yè)技術資料word資料下載可編輯 評估結(jié)論按上述部署、配置入侵檢測系統(tǒng)。5.4.4 安全技術管理 評估標準部署身份認證系統(tǒng)、 安全管理平臺， 采用漏洞掃描系統(tǒng)， 重要系統(tǒng)一年內(nèi)進行信息安全風險評估，部署針對安全設備的日志服務器。 現(xiàn)狀描述沒有部署身份認證系統(tǒng)、 安全管理平臺， 沒有漏洞掃描系統(tǒng)， 重要系統(tǒng)沒有進行信息安全風險評估，沒有部署針對安全設

19、備的日志服務器。 評估結(jié)論按標準部署身份認證系統(tǒng)、 安全管理平臺、 針對安全設備的日志服務器， 采用漏洞掃描系統(tǒng)，重要系統(tǒng)一年進行一次信息安全風險評估。5.5 存儲備份系統(tǒng)評估5.5.1 備份策略 評估標準建立明確、合理的備份策略， 嚴格按照備份策略對系統(tǒng)數(shù)據(jù)進行備份 （查看備份策略文件、查看備份記錄或查看備份工具配置） 。 現(xiàn)狀描述建立了明確、合理的備份策略并嚴格按照備份策略對系統(tǒng)數(shù)據(jù)進行備份。專業(yè)技術資料word資料下載可編輯 評估結(jié)論建立明確、合理的備份策略，嚴格按照備份策略對系統(tǒng)數(shù)據(jù)進行備份。5.5.2 恢復預案 評

20、估標準建立明確的恢復預案（查看文件） ，定期進行恢復演練。 現(xiàn)狀描述沒有建立明確的恢復預案，也沒有定期進行恢復演練。 評估結(jié)論建立明確的恢復預案并定期進行恢復演練。5.5.3 備份介質(zhì)管理 評估標準建立介質(zhì)管理制度和廢棄介質(zhì)處理制度， 儲存介質(zhì)存放在安全環(huán)境， 有嚴格的介質(zhì)存取控制，有專人對存儲介質(zhì)進行定期檢查。 現(xiàn)狀描述沒有建立介質(zhì)的管理制度和廢棄介質(zhì)的處理制度，儲存介質(zhì)存放在安全環(huán)境，沒有嚴格的介質(zhì)存取控制，沒有對存儲介質(zhì)進行定期檢查。 評估結(jié)論建立介質(zhì)管理制度和廢棄介質(zhì)處理制度， 儲存介質(zhì)存放在安全環(huán)境， 嚴格介質(zhì)存取

21、控制，對存儲介質(zhì)進行定期檢查。專業(yè)技術資料word資料下載可編輯5.6 介質(zhì)及物理環(huán)境安全評估5.6.1 機房內(nèi)部安全防護 評估標準主機房安裝門禁、監(jiān)控與報警系統(tǒng)。 現(xiàn)狀描述主機房沒有安裝門禁、監(jiān)控系統(tǒng)，有消防報警系統(tǒng)。 評估結(jié)論主機房安裝門禁、監(jiān)控與報警系統(tǒng)。5.6.2 機房供、配電 評估標準有詳細的機房配線圖， 機房供電系統(tǒng)將動力、 照明用電與計算機系統(tǒng)供電線路分開，機房配備應急照明裝置， 定期對 UPS的運行狀況進行檢測 （查看半年內(nèi)檢測記錄）。 現(xiàn)狀描述沒有詳細的機房配線圖， 機房供電系統(tǒng)將動力、 照明用電與計算機系

22、統(tǒng)供電線路是分開的， 機房沒有配備應急照明裝置， 有定期對 UPS的運行狀況進行檢測但沒有檢測記錄。 評估結(jié)論補全機房配線圖， 機房供電系統(tǒng)將動力、 照明用電與計算機系統(tǒng)供電線路分開，機房配備應急照明裝置，定期對 UPS的運行狀況進行檢測和記錄。專業(yè)技術資料word資料下載可編輯5.6.3 機房環(huán)境防護 評估標準采用氣體防火措施，空調(diào)系統(tǒng)定期進行檢查，機房溫度控制在攝氏26 度以下。 現(xiàn)狀描述有手提干粉滅火器， 沒有采用氣體防火措施， 空調(diào)系統(tǒng)定期進行檢查， 機房溫度控制在攝氏 26 度以下。 評估結(jié)論采用氣體防火措施，空調(diào)系統(tǒng)定期進行檢查，機房溫度控制在攝氏26 度以下。5.6.4 介質(zhì)管理 評估標準有介質(zhì)管理規(guī)定， U盤、移動硬盤等存儲介質(zhì)有資產(chǎn)記錄和責任人，磁盤、光盤等存儲介質(zhì)有專人保管，筆記本使用有明確的管理制度。 現(xiàn)狀描述有相應的介質(zhì)管理規(guī)定， U盤、移動硬盤等存儲介質(zhì)有資產(chǎn)記錄和責任人，磁盤、光盤等存儲介質(zhì)有專人保管，筆記本使用沒有明確的管理制度。 評估結(jié)論有相應的介質(zhì)管理規(guī)定， U盤、移動硬盤等存儲介質(zhì)有