單位信息安全評估報告

1、 10單位信息安全評估報告(治理信息系統(tǒng))單位 2022年九月目標(biāo)全。評估依據(jù)、范圍和方法評估依據(jù)信安通202215 號、國家電力監(jiān)管委員會關(guān)于對電力行業(yè)有關(guān)單位重要信息系統(tǒng)開展安全檢查的通知辦信息202248以及評估范圍運(yùn)行和維護(hù)狀況評估。評估方法承受自評估方法。重要資產(chǎn)識別單見附表1。安全大事錄，形本錢單位的安全大事列表。安全大事列表見附表2。安全檢查工程評估規(guī)章制度與組織治理評估組織機(jī)構(gòu)評估標(biāo)準(zhǔn)信息安全組織機(jī)構(gòu)包括領(lǐng)導(dǎo)機(jī)構(gòu)、工作機(jī)構(gòu)?，F(xiàn)狀描述本局已成立了信息安全領(lǐng)導(dǎo)機(jī)構(gòu)，但尚未成立信息安全工作機(jī)構(gòu)。評估結(jié)論完善信息安全組織機(jī)構(gòu)，成立信息安全工作機(jī)構(gòu)。崗位職責(zé)評估標(biāo)準(zhǔn)備用制度。現(xiàn)狀描述行主

2、、副崗備用制度。評估結(jié)論本局已有兼職網(wǎng)絡(luò)治理員、應(yīng)用系統(tǒng)治理員和系統(tǒng)治理員，在條件許可下，副崗備用制度。病毒治理評估標(biāo)準(zhǔn)報告機(jī)制、病毒掃描策略1周內(nèi)至少進(jìn)展一次掃描?，F(xiàn)狀描述本局使用Symantec沒有制定計算機(jī)病毒防治治理制度。評估結(jié)論完善病毒預(yù)警和報告機(jī)制，制定計算機(jī)病毒防治治理制度。運(yùn)行治理評估標(biāo)準(zhǔn)房狀況記錄?，F(xiàn)狀描述出狀況記錄。評估結(jié)論房進(jìn)出狀況。賬號與口令治理評估標(biāo)準(zhǔn)制訂了賬號與口令治理制度；一般用戶賬戶密碼、口令長度要求符合大于6字符，治理員賬戶密碼、口令長度大于8字符；半年內(nèi)賬戶密碼、口令應(yīng)變更并戶進(jìn)展變更或注銷。現(xiàn)狀描述不符合大于68字符，半年內(nèi)賬戶密碼、口后能準(zhǔn)時對其賬戶進(jìn)展

3、變更或注銷。評估結(jié)論賬戶進(jìn)展變更或注銷。網(wǎng)絡(luò)與系統(tǒng)安全評估網(wǎng)絡(luò)架構(gòu)評估標(biāo)準(zhǔn)備，不允許外聯(lián)鏈路繞過防火墻，具有當(dāng)前準(zhǔn)確的網(wǎng)絡(luò)拓?fù)錁?gòu)造圖?，F(xiàn)狀描述余；沒有不經(jīng)過防火墻的外聯(lián)鏈路，有當(dāng)前網(wǎng)絡(luò)拓?fù)錁?gòu)造圖。評估結(jié)論設(shè)備，外聯(lián)鏈路沒有繞過防火墻，完善網(wǎng)絡(luò)拓?fù)錁?gòu)造圖。網(wǎng)絡(luò)分區(qū)評估標(biāo)準(zhǔn)生產(chǎn)把握系統(tǒng)和治理信息系統(tǒng)之間進(jìn)展分區(qū)，VLAN間的訪問把握設(shè)置合理?，F(xiàn)狀描述理。評估結(jié)論VLAN間的訪問把握設(shè)置合理。網(wǎng)絡(luò)設(shè)備評估標(biāo)準(zhǔn) FTP、TFTP等效勞，SNMP社區(qū)串、本地用戶口令強(qiáng)健8字符，數(shù)字、字母混雜?，F(xiàn)狀描述 、FTP、TFTP等效勞，SNMP社區(qū)串、本地用戶口令沒到達(dá)要求。評估結(jié)論對網(wǎng)絡(luò)設(shè)備配置進(jìn)展備份，完善

4、SNMP社區(qū)串、本地用戶口令強(qiáng)健8字符，數(shù)字、字母混雜。IP治理評估標(biāo)準(zhǔn)有IPIPIP地址安排有記錄?，F(xiàn)狀描述沒有IPIPIP地址安排有記錄。評估結(jié)論建立IPIPIP地址安排有記錄。補(bǔ)丁治理評估標(biāo)準(zhǔn)有補(bǔ)丁治理的手段或補(bǔ)丁治理制度，Windows系統(tǒng)主機(jī)補(bǔ)丁安裝齊全，有補(bǔ)丁安裝的測試記錄?，F(xiàn)狀描述通過手工補(bǔ)丁治理手段，沒有制訂相應(yīng)治理制度；Windows系統(tǒng)主機(jī)補(bǔ)丁安裝根本齊全，沒有補(bǔ)丁安裝的測試記錄。評估結(jié)論Windows系統(tǒng)主機(jī)補(bǔ)丁安裝，補(bǔ)丁安裝前進(jìn)展測試記錄。系統(tǒng)安全配置評估標(biāo)準(zhǔn)對操作系統(tǒng)的安全配置進(jìn)展嚴(yán)格的設(shè)置，刪除系統(tǒng)不必要的效勞、協(xié)議?，F(xiàn)狀描述協(xié)議。評估結(jié)論對操作系統(tǒng)的安全配置進(jìn)展嚴(yán)

5、格的設(shè)置，刪除系統(tǒng)不必要的效勞、協(xié)議。主機(jī)備份評估標(biāo)準(zhǔn)重要的系統(tǒng)主機(jī)承受雙機(jī)備份并進(jìn)展熱切換或者故障恢復(fù)的測試。現(xiàn)狀描述重要的系統(tǒng)主機(jī)承受了雙機(jī)備份，進(jìn)展過熱切換或者故障恢復(fù)的測試。評估結(jié)論重要的系統(tǒng)主機(jī)承受了雙機(jī)備份，進(jìn)展熱切換或者故障恢復(fù)的測試。網(wǎng)絡(luò)效勞與應(yīng)用系統(tǒng)評估WWW 效勞器評估標(biāo)準(zhǔn)WWW效勞用戶賬戶、口令應(yīng)強(qiáng)健查看登錄部網(wǎng)站有備份或其他保護(hù)措施。現(xiàn)狀描述沒有WWW效勞。評估結(jié)論考慮按上述標(biāo)準(zhǔn)建設(shè)WWW效勞。電子郵件效勞器評估標(biāo)準(zhǔn)施，郵件系統(tǒng)治理員賬戶/口令應(yīng)強(qiáng)健，郵件系統(tǒng)的維護(hù)、檢查應(yīng)有審計記錄。現(xiàn)狀描述OA/口令設(shè)置合理，郵件系統(tǒng)的維護(hù)、檢查沒有審計記錄。評估結(jié)論件系統(tǒng)治理員賬戶

6、/口令設(shè)置合理，對郵件系統(tǒng)的維護(hù)、檢查審計進(jìn)展記錄。遠(yuǎn)程撥號訪問評估標(biāo)準(zhǔn)份驗(yàn)證、訪問操作記錄等措施?，F(xiàn)狀描述沒有遠(yuǎn)程撥號訪問。評估結(jié)論遠(yuǎn)程撥號訪問設(shè)置按上述標(biāo)準(zhǔn)執(zhí)行。應(yīng)用系統(tǒng)評估標(biāo)準(zhǔn)半年記錄狀況；關(guān)鍵應(yīng)用系統(tǒng)的數(shù)據(jù)功能操作進(jìn)展審計并進(jìn)展長期存儲；對關(guān)鍵系統(tǒng)上線前進(jìn)展安全性測試?，F(xiàn)狀描述些系統(tǒng)上線前沒有進(jìn)展過安全性測試。評估結(jié)論半年記錄狀況；關(guān)鍵應(yīng)用系統(tǒng)的數(shù)據(jù)功能操作進(jìn)展審計；制定針對關(guān)鍵應(yīng)用系統(tǒng)線前應(yīng)嚴(yán)格依據(jù)相關(guān)標(biāo)準(zhǔn)進(jìn)展安全性測試。安全技術(shù)治理與設(shè)備運(yùn)行狀況評估防火墻評估標(biāo)準(zhǔn)現(xiàn)狀描述備份。評估結(jié)論備份。防病毒系統(tǒng)評估標(biāo)準(zhǔn)防病毒系統(tǒng)掩蓋全部效勞器及客戶端掩蓋率至少應(yīng)大于90的防病毒客戶端治理策略

7、配置合理自動升級病毒代碼、每周掃描員負(fù)責(zé)維護(hù)防病毒系統(tǒng)并準(zhǔn)時公布病毒通告?，F(xiàn)狀描述防病毒系統(tǒng)掩蓋全部客戶端掩蓋率大于90，效勞器端除了OA效勞器有通告。評估結(jié)論防病毒系統(tǒng)掩蓋全部客戶端掩蓋率大于90，效勞器端除了OA效勞器有并準(zhǔn)時公布病毒通告。入侵檢測系統(tǒng)評估標(biāo)準(zhǔn)進(jìn)展分析，定期更入侵檢測的規(guī)章與升級。現(xiàn)狀描述沒有部署入侵檢測系統(tǒng)。評估結(jié)論按上述部署、配置入侵檢測系統(tǒng)。安全技術(shù)治理評估標(biāo)準(zhǔn)信息安全風(fēng)險評估，部署針對安全設(shè)備的日志效勞器?，F(xiàn)狀描述進(jìn)展信息安全風(fēng)險評估，沒有部署針對安全設(shè)備的日志效勞器。評估結(jié)論漏洞掃描系統(tǒng)，重要系統(tǒng)一年進(jìn)展一次信息安全風(fēng)險評估。存儲藏份系統(tǒng)評估備份策略評估標(biāo)準(zhǔn)備份策

8、略文件、查看備份記錄或查看備份工具配置?，F(xiàn)狀描述建立了明確、合理的備份策略并嚴(yán)格依據(jù)備份策略對系統(tǒng)數(shù)據(jù)進(jìn)展備份。評估結(jié)論建立明確、合理的備份策略，嚴(yán)格依據(jù)備份策略對系統(tǒng)數(shù)據(jù)進(jìn)展備份?；謴?fù)預(yù)案評估標(biāo)準(zhǔn)建立明確的恢復(fù)預(yù)案查看文件，定期進(jìn)展恢復(fù)演練?，F(xiàn)狀描述沒有建立明確的恢復(fù)預(yù)案，也沒有定期進(jìn)展恢復(fù)演練。評估結(jié)論建立明確的恢復(fù)預(yù)案并定期進(jìn)展恢復(fù)演練。備份介質(zhì)治理評估標(biāo)準(zhǔn)的介質(zhì)存取把握，有專人對存儲介質(zhì)進(jìn)展定期檢查?，F(xiàn)狀描述境，沒有嚴(yán)格的介質(zhì)存取把握，沒有對存儲介質(zhì)進(jìn)展定期檢查。評估結(jié)論質(zhì)存取把握，對存儲介質(zhì)進(jìn)展定期檢查。介質(zhì)及物理環(huán)境安全評估機(jī)房內(nèi)部安全防護(hù)評估標(biāo)準(zhǔn)主機(jī)房安裝門禁、監(jiān)控與報警系統(tǒng)。現(xiàn)

9、狀描述主機(jī)房沒有安裝門禁、監(jiān)控系統(tǒng)，有消防報警系統(tǒng)。評估結(jié)論主機(jī)房安裝門禁、監(jiān)控與報警系統(tǒng)。機(jī)房供、配電評估標(biāo)準(zhǔn)UPS檢測記錄?，F(xiàn)狀描述UPS但沒有檢測記錄。評估結(jié)論UPS機(jī)房環(huán)境防護(hù)評估標(biāo)準(zhǔn)26下?，F(xiàn)狀描述26評估結(jié)論承受氣體防火措施，空調(diào)系統(tǒng)定期進(jìn)展檢查，機(jī)房溫度把握在攝氏26 度以下。介質(zhì)治理評估標(biāo)準(zhǔn)光盤等存儲介質(zhì)有專人保管，筆記本使用有明確的治理制度。現(xiàn)狀描述磁盤、光盤等存儲介質(zhì)有專人保管，筆記本使用沒有明確的治理制度。評估結(jié)論磁盤、光盤等存儲介質(zhì)有專人保管，制訂筆記本使用治理制度。應(yīng)急處置評估應(yīng)急預(yù)案評估標(biāo)準(zhǔn)重要系統(tǒng)有完善的、可操作的應(yīng)急預(yù)案，對應(yīng)急預(yù)案進(jìn)展定期演練?，F(xiàn)狀描述重要系統(tǒng)沒有完善的、可操作的應(yīng)急預(yù)案。評估結(jié)論制訂重要系統(tǒng)完善的、可操作的應(yīng)急預(yù)案并對應(yīng)急預(yù)案進(jìn)展定期演練。通報機(jī)制評估標(biāo)準(zhǔn)依據(jù)集團(tuán)公司的要求建立準(zhǔn)時的信息安全信息通報機(jī)制?，F(xiàn)狀描述沒有依據(jù)集團(tuán)公司的要求建立準(zhǔn)時的信息安全信息通報機(jī)制。評估結(jié)論依據(jù)集團(tuán)公司的要求建立準(zhǔn)時的信息安全信息通報機(jī)制。故障聯(lián)動機(jī)制評估標(biāo)準(zhǔn)建立良好的