信息安全評估綜合報告

信息安全評定匯報(管理信息系統(tǒng))二零一六年一月目標××單位信息安全檢驗工作關鍵目標是經過自評定工作，發(fā)覺本局信息系統(tǒng)目前面臨關鍵安全問題，邊檢驗邊整改，確保信息網絡和關鍵信息系統(tǒng)安全。評定依據、范圍和方法評定依據依據國務院信息化工作辦公室《相關對國家基礎信息網絡和關鍵信息系統(tǒng)開展安全檢驗通知》（信安通［］15號）、國家電力監(jiān)管委員會《相關對電力行業(yè)相關單位關鍵信息系統(tǒng)開展安全檢驗通知》（辦信息[]48號）和集團企業(yè)和省企業(yè)企業(yè)文件、檢驗方案要求,開展××單位信息安全評定。評定范圍此次信息安全評定工作關鍵是關鍵業(yè)務管理信息系統(tǒng)和網絡系統(tǒng)等，管理信息系統(tǒng)中業(yè)務種類相對較多、網絡和業(yè)務結構較為復雜，在檢驗工作中強調對基礎信息系統(tǒng)和關鍵業(yè)務系統(tǒng)進行安全性評定，具體包含：基礎網絡和服務器、關鍵業(yè)務系統(tǒng)、現有安全防護方法、信息安全管理組織和策略、信息系統(tǒng)安全運行和維護情況評定。評定方法采取自評定方法。關鍵資產識別對本局范圍內關鍵系統(tǒng)、關鍵網絡設備、關鍵服務器及其安全屬性受破壞后影響進行識別，將一旦停止運行影響面大系統(tǒng)、關鍵網絡節(jié)點設備和安全設備、承載敏感數據和業(yè)務服務器進行登記匯總，形成關鍵資產清單。資產清單見附表1。安全事件對本局六個月內發(fā)生較大、或發(fā)生次數較多信息安全事件進行匯總統(tǒng)計，形成本單位安全事件列表。安全事件列表見附表2。安全檢驗項目評定規(guī)章制度和組織管理評定組織機構評定標準信息安全組織機構包含領導機構、工作機構?，F實狀況描述本局已成立了信息安全領導機構，但還未成立信息安全工作機構。評定結論完善信息安全組織機構，成立信息安全工作機構。崗位職責評定標準崗位要求應包含：專職網絡管理人員、專職應用系統(tǒng)管理人員和專職系統(tǒng)管理人員；專責工作職責和工作范圍應有制度明確進行界定；崗位實施主、副崗備用制度。現實狀況描述本局沒有配置專職網絡管理人員、專職應用系統(tǒng)管理人員和專職系統(tǒng)管理人員，全部是兼責；專責工作職責和工作范圍沒有明確制度進行界定，崗位沒有實施主、副崗備用制度。評定結論本局已經有兼職網絡管理員、應用系統(tǒng)管理員和系統(tǒng)管理員，在條件許可下，配置專職管理人員；專責工作職責和工作范圍沒有明確制度進行界定，依據實際情況制訂管理制度；崗位沒有實施主、副崗備用制度，在條件許可下，落實主、副崗備用制度。病毒管理評定標準病毒管理包含計算機病毒防治管理制度、定時升級安全策略、病毒預警和匯報機制、病毒掃描策略（1周內最少進行一次掃描）?，F實狀況描述本局使用Symantec防病毒軟件進行病毒防護，定時從省企業(yè)病毒庫服務器下載、升級安全策略；病毒預警是經過第三方和網上提供信息起源，每個月統(tǒng)計、匯總病毒感染情況并提交局生技部和省企業(yè)生技部；每七天進行二次自動病毒掃描；沒有制訂計算機病毒防治管理制度。評定結論完善病毒預警和匯報機制，制訂計算機病毒防治管理制度。運行管理評定標準運行管理應制訂信息系統(tǒng)運行管理規(guī)程、缺點管理制度、統(tǒng)計匯報制度、運維步驟、值班制度并實施工作票制度；制訂機房出入管理制度并上墻，對進出機房情況統(tǒng)計?，F實狀況描述沒有建立對應信息系統(tǒng)運行管理規(guī)程、缺點管理制度、統(tǒng)計匯報制度、運維步驟、值班制度，沒有實施工作票制度；機房出入管理制度上墻，但沒有機房進出情況統(tǒng)計。評定結論結合本局具體情況，制訂信息系統(tǒng)運行管理規(guī)程、缺點管理制度、統(tǒng)計匯報制度、運維步驟、值班制度，實施工作票制度；機房出入管理制度上墻，統(tǒng)計機房進出情況。賬號和口令管理評定標準制訂了賬號和口令管理制度；一般用戶賬戶密碼、口令長度要求符合大于6字符，管理員賬戶密碼、口令長度大于8字符；六個月內賬戶密碼、口令應變更并保留變更相關統(tǒng)計、通知、文件，六個月內系統(tǒng)用戶身份發(fā)生改變后應立即對其賬戶進行變更或注銷?，F實狀況描述沒有制訂賬號和口令管理制度，一般用戶賬戶密碼、口令長度要求大部分全部不符合大于6字符；管理員賬戶密碼、口令長度大于8字符，六個月內賬戶密碼、口令有過變更，但沒有變更相關統(tǒng)計、通知、文件；六個月內系統(tǒng)用戶身份發(fā)生改變后能立即對其賬戶進行變更或注銷。評定結論制訂賬號和口令管理制度，完善一般用戶賬戶和管理員賬戶密碼、口令長度要求；對賬戶密碼、口令變更作相關統(tǒng)計；立即對系統(tǒng)用戶身份發(fā)生改變后對其賬戶進行變更或注銷。網絡和系統(tǒng)安全評定網絡架構評定標準局域網關鍵交換設備、城域網關鍵路由設備應采取設備冗余或準備備用設備，不許可外聯鏈路繞過防火墻，含有目前正確網絡拓撲結構圖?，F實狀況描述局域網關鍵交換設備準備了備用設備，城域網關鍵路由設備采取了設備冗余；沒有不經過防火墻外聯鏈路，有目前網絡拓撲結構圖。評定結論局域網關鍵交換設備、城域網關鍵路由設備按要求采取設備冗余或準備備用設備，外聯鏈路沒有繞過防火墻，完善網絡拓撲結構圖。網絡分區(qū)評定標準生產控制系統(tǒng)和管理信息系統(tǒng)之間進行分區(qū)，VLAN間訪問控制設置合理。現實狀況描述生產控制系統(tǒng)和管理信息系統(tǒng)之間沒有進行分區(qū)，VLAN間訪問控制設置合理。評定結論對生產控制系統(tǒng)和管理信息系統(tǒng)之間進行分區(qū)，VLAN間訪問控制設置合理。網絡設備評定標準網絡設備配置有備份，網絡關鍵點設備采取雙電源，關閉網絡設備HTTP、FTP、TFTP等服務，SNMP小區(qū)串、當地用戶口令強壯（>8字符，數字、字母混雜）?，F實狀況描述網絡設備配置沒有進行備份，網絡關鍵點設備是雙電源，網絡設備關閉了HTTP、FTP、TFTP等服務，SNMP小區(qū)串、當地用戶口令沒達成要求。評定結論對網絡設備配置進行備份，完善SNMP小區(qū)串、當地用戶口令強壯（>8字符，數字、字母混雜）。IP管理評定標準有IP地址管理系統(tǒng)，IP地址管理有計劃方案和分配策略，IP地址分配有統(tǒng)計?，F實狀況描述沒有IP地址管理系統(tǒng)，正在進行對IP地址計劃和分配，IP地址分配有統(tǒng)計。評定結論建立IP地址管理系統(tǒng)，加緊進行對IP地址計劃和分配，IP地址分配有統(tǒng)計。補丁管理評定標準有補丁管理手段或補丁管理制度，Windows系統(tǒng)主機補丁安裝齊全，有補丁安裝測試統(tǒng)計?，F實狀況描述經過手工補丁管理手段，沒有制訂對應管理制度；Windows系統(tǒng)主機補丁安裝基礎齊全，沒有補丁安裝測試統(tǒng)計。評定結論完善補丁管理手段，制訂對應管理制度；補缺Windows系統(tǒng)主機補丁安裝，補丁安裝前進行測試統(tǒng)計。系統(tǒng)安全配置評定標準對操作系統(tǒng)安全配置進行嚴格設置，刪除系統(tǒng)無須要服務、協(xié)議?，F實狀況描述沒有對操作系統(tǒng)安全配置進行嚴格設置，部分系統(tǒng)刪除無須要服務、協(xié)議。評定結論對操作系統(tǒng)安全配置進行嚴格設置，刪除系統(tǒng)無須要服務、協(xié)議。主機備份評定標準關鍵系統(tǒng)主機采取雙機備份并進行熱切換或故障恢復測試?，F實狀況描述關鍵系統(tǒng)主機采取了雙機備份，進行過熱切換或故障恢復測試。評定結論關鍵系統(tǒng)主機采取了雙機備份，進行熱切換或故障恢復測試。網絡服務和應用系統(tǒng)評定WWW服務器評定標準WWW服務用戶賬戶、口令應健壯（查看登錄），信息公布進行了分級審核，外部網站有備份或其它保護方法?，F實狀況描述沒有WWW服務。評定結論考慮按上述標準建設WWW服務。電子郵件服務器評定標準對近三個月郵件數據進行備份，有專門針對郵件病毒、垃圾郵件安全方法，郵件系統(tǒng)管理員賬戶/口令應強壯，郵件系統(tǒng)維護、檢驗應有審計統(tǒng)計。現實狀況描述OA系統(tǒng)郵件數據進行一星期備份，有專門針對郵件病毒、垃圾郵件趨勢防病毒軟件系統(tǒng)，但該軟件存在問題比較多，郵件系統(tǒng)管理員賬戶/口令設置合理，郵件系統(tǒng)維護、檢驗沒有審計統(tǒng)計。評定結論對OA系統(tǒng)郵件數據進行三個月備份，關注處理趨勢防病毒軟件系統(tǒng)問題；郵件系統(tǒng)管理員賬戶/口令設置合理，對郵件系統(tǒng)維護、檢驗審計進行統(tǒng)計。遠程撥號訪問評定標準有限制遠程撥號訪問管理方法，用于業(yè)務系統(tǒng)維護遠程撥號訪問采取身份驗證、訪問操作統(tǒng)計等方法?，F實狀況描述沒有遠程撥號訪問。評定結論遠程撥號訪問設置按上述標準實施。應用系統(tǒng)評定標準應用系統(tǒng)角色、權限分配有統(tǒng)計；用戶賬戶變更、修改、注銷有統(tǒng)計（六個月統(tǒng)計情況）；關鍵應用系統(tǒng)數據功效操作進行審計并進行長久存放；對關鍵應用系統(tǒng)有應急預案；關鍵應用系統(tǒng)管理員賬戶、用戶賬戶口令定時進行變更；新系統(tǒng)上線前進行安全性測試?，F實狀況描述營銷系統(tǒng)角色、權限分配有統(tǒng)計，其它系統(tǒng)沒有；用戶賬戶變更、修改、注銷沒有統(tǒng)計；關鍵應用系統(tǒng)數據功效操作沒有進行審計；沒有針對關鍵應用系統(tǒng)應急預案；關鍵應用系統(tǒng)管理員賬戶、用戶賬戶口令有定時進行變更；有些新系統(tǒng)上線前沒有進行過安全性測試。評定結論完善系統(tǒng)角色、權限分配有統(tǒng)計；統(tǒng)計用戶賬戶變更、修改、注銷（六個月統(tǒng)計情況）；關鍵應用系統(tǒng)數據功效操作進行審計；制訂針對關鍵應用系統(tǒng)應急預案；關鍵應用系統(tǒng)管理員賬戶、用戶賬戶口令定時進行變更；新系統(tǒng)上線前應嚴格按攝影關標準進行安全性測試。安全技術管理和設備運行情況評定防火墻評定標準網絡中防火墻位置布署合理，防火墻規(guī)則配置符合安全要求，防火墻規(guī)則配置建立、更改有規(guī)范申請、審核、審批步驟，對防火墻日志進行存放、備份?，F實狀況描述網絡中防火墻位置布署合理，防火墻規(guī)則配置符合安全要求，防火墻規(guī)則配置沒有建立、更改有規(guī)范申請、審核、審批步驟，對防火墻日志沒有進行存放、備份。評定結論網絡中防火墻位置布署合理，防火墻規(guī)則配置符合安全要求，防火墻規(guī)則配置建立、更改要有規(guī)范申請、審核、審批步驟，對防火墻日志應進行存放、備份。防病毒系統(tǒng)評定標準防病毒系統(tǒng)覆蓋全部服務器及用戶端（覆蓋率最少應大于90％），對服務器防病毒用戶端管理策略配置合理（自動升級病毒代碼、每七天掃描），有專責人員負責維護防病毒系統(tǒng)并立即公布病毒通告。現實狀況描述防病毒系統(tǒng)覆蓋全部用戶端（覆蓋率大于90％），服務器端除了OA服務器有防病毒系統(tǒng)外其它沒有；有兼責人員負責維護防病毒系統(tǒng)，但基礎沒有公布病毒通告。評定結論防病毒系統(tǒng)覆蓋全部用戶端（覆蓋率大于90％），服務器端除了OA服務器有防病毒系統(tǒng)外其它沒有，考慮以后實施；考慮配置專責人員負責維護防病毒系統(tǒng)，并立即公布病毒通告。入侵檢測系統(tǒng)評定標準入侵檢測系統(tǒng)布署合理、覆蓋關鍵網絡邊界和關鍵服務器，定時對審計信息進行分析，定時更新入侵檢測規(guī)則和升級?，F實狀況描述沒有布署入侵檢測系統(tǒng)。評定結論按上述布署、配置入侵檢測系統(tǒng)。安全技術管理評定標準布署身份認證系統(tǒng)、安全管理平臺，采取漏洞掃描系統(tǒng)，關鍵系統(tǒng)十二個月內進行信息安全風險評定，布署針對安全設備日志服務器。現實狀況描述沒有布署身份認證系統(tǒng)、安全管理平臺，沒有漏洞掃描系統(tǒng)，關鍵系統(tǒng)沒有進行信息安全風險評定，沒有布署針對安全設備日志服務器。評定結論按標準布署身份認證系統(tǒng)、安全管理平臺、針對安全設備日志服務器，采取漏洞掃描系統(tǒng)，關鍵系統(tǒng)十二個月進行一次信息安全風險評定。存放備份系統(tǒng)評定備份策略評定標準建立明確、合理備份策略，嚴格根據備份策略對系統(tǒng)數據進行備份（查看備份策略文件、查看備份統(tǒng)計或查看備份工具配置）?，F實狀況描述建立了明確、合理備份策略并嚴格根據備份策略對系統(tǒng)數據進行備份。評定結論建立明確、合理備份策略，嚴格根據備份策略對系統(tǒng)數據進行備份?；謴皖A案評定標準建立明確恢復預案（查看文件），定時進行恢復演練?，F實狀況描述沒有建立明確恢復預案，也沒有定時進行恢復演練。評定結論建立明確恢復預案并定時進行恢復演練。備份介質管理評定標準建立介質管理制度和廢棄介質處理制度，儲存介質存放在安全環(huán)境，有嚴格介質存取控制，有專員對存放介質進行定時檢驗?，F實狀況描述沒有建立介質管理制度和廢棄介質處理制度，儲存介質存放在安全環(huán)境，沒有嚴格介質存取控制，沒有對存放介質進行定時檢驗。評定結論建立介質管理制度和廢棄介質處理制度，儲存介質存放在安全環(huán)境，嚴格介質存取控制，對存放介質進行定時檢驗。介質及物理環(huán)境安全評定機房內部安全防護評定標準主機房安裝門禁、監(jiān)控和報警系統(tǒng)。現實狀況描述主機房沒有安裝門禁、監(jiān)控系統(tǒng)，有消防報警系統(tǒng)。評定結論主機房安裝門禁、監(jiān)控和報警系統(tǒng)。機房供、配電評定標準有具體機房配線圖，機房供電系統(tǒng)將動力、照明用電和計算機系統(tǒng)供電線路分開，機房配置應急照明裝置，定時對UPS運行情況進行檢測（查看六個月內檢測統(tǒng)計）?，F實狀況描述沒有具體機房配線圖，機房供電系統(tǒng)將動力、照明用電和計算機系統(tǒng)供電線路是分開，機房沒有配置應急照明裝置，有定時對UPS運行情況進行檢測但沒有檢測統(tǒng)計。評定結論補全機房配線圖，機房供電系統(tǒng)將動力、照明用電和計算機系統(tǒng)供電線路分開，機房配置應急照明裝置，定時對UPS運行情況進行檢測和統(tǒng)計。機房環(huán)境防護評定標準采取氣體防火方法，空調系統(tǒng)定時進行檢驗，機房溫度控制在攝氏26度以下?，F實狀況描述有手提干粉滅火器，沒有采取氣體防火方法，空調系統(tǒng)定時進行檢驗，機房溫度控制在攝氏26度以下。評定結論采取氣體防火方法，空調系統(tǒng)定時進行檢驗，機房溫度控制在攝氏26度以下。介質管理評定標準有介質管理要求，U盤、移動硬盤等存放介質有資產統(tǒng)計和責任人，磁盤、光盤等存放介質有專員保管，筆記本使用有明確管理制度。現實狀況描述有對應介質管理要求，U盤、移動硬盤等存放介質有資產統(tǒng)計和責任人，磁盤、光盤等存放介質有專員保管，筆記本使用沒有明確管理制度。評定結論有對應介質管理要求，U盤、移動硬盤等存放介質有資產統(tǒng)計和責任人，磁盤、光盤等存放介質有專員保管，制訂筆記本使用管理制度。應急處理評定應急預案評定標準關鍵系統(tǒng)有完善、可操作應急預案，對應急預案進行定時演練?，F實狀況描述關鍵系統(tǒng)沒有完善、可操作應急預案。評定結論制訂關鍵系統(tǒng)完善、可操作應急預案并對應急預案進行定時演練。通報機制評定標準根據集團企業(yè)要求建立立即信息安全信息通報機制?，F實狀況描述沒有根據集團企業(yè)要求建立立即信息安全信息通報機制。評定結論根據集團企業(yè)要求建立立即信息安全信息通報機制。故障聯動機制評定標準建立良好故障通訊聯動機制，進行聯合防護?，F實