信息安全评估综合报告Word格式.docx
《信息安全评估综合报告Word格式.docx》由会员分享,可在线阅读,更多相关《信息安全评估综合报告Word格式.docx(12页珍藏版)》请在冰豆网上搜索。
5.1.1.2现实状况描述
本局已成立了信息安全领导机构,但还未成立信息安全工作机构。
5.1.1.3评定结论
完善信息安全组织机构,成立信息安全工作机构。
5.1.2岗位职责
5.1.2.1评定标准
岗位要求应包含:
专职网络管理人员、专职应用系统管理人员和专职系统管理人员;
专责工作职责和工作范围应有制度明确进行界定;
岗位实施主、副岗备用制度。
5.1.2.2现实状况描述
本局没有配置专职网络管理人员、专职应用系统管理人员和专职系统管理人员,全部是兼责;
专责工作职责和工作范围没有明确制度进行界定,岗位没有实施主、副岗备用制度。
5.1.2.3评定结论
本局已经有兼职网络管理员、应用系统管理员和系统管理员,在条件许可下,配置专职管理人员;
专责工作职责和工作范围没有明确制度进行界定,依据实际情况制订管理制度;
岗位没有实施主、副岗备用制度,在条件许可下,落实主、副岗备用制度。
5.1.3病毒管理
5.1.3.1评定标准
病毒管理包含计算机病毒防治管理制度、定时升级安全策略、病毒预警和汇报机制、病毒扫描策略(1周内最少进行一次扫描)。
5.1.3.2现实状况描述
本局使用Symantec防病毒软件进行病毒防护,定时从省企业病毒库服务器下载、升级安全策略;
病毒预警是经过第三方和网上提供信息起源,每个月统计、汇总病毒感染情况并提交局生技部和省企业生技部;
每七天进行二次自动病毒扫描;
没有制订计算机病毒防治管理制度。
5.1.3.3评定结论
完善病毒预警和汇报机制,制订计算机病毒防治管理制度。
5.1.4运行管理
5.1.4.1评定标准
运行管理应制订信息系统运行管理规程、缺点管理制度、统计汇报制度、运维步骤、值班制度并实施工作票制度;
制订机房出入管理制度并上墙,对进出机房情况统计。
5.1.4.2现实状况描述
没有建立对应信息系统运行管理规程、缺点管理制度、统计汇报制度、运维步骤、值班制度,没有实施工作票制度;
机房出入管理制度上墙,但没有机房进出情况统计。
5.1.4.3评定结论
结合本局具体情况,制订信息系统运行管理规程、缺点管理制度、统计汇报制度、运维步骤、值班制度,实施工作票制度;
机房出入管理制度上墙,统计机房进出情况。
5.1.5账号和口令管理
5.1.5.1评定标准
制订了账号和口令管理制度;
一般用户账户密码、口令长度要求符合大于6字符,管理员账户密码、口令长度大于8字符;
六个月内账户密码、口令应变更并保留变更相关统计、通知、文件,六个月内系统用户身份发生改变后应立即对其账户进行变更或注销。
5.1.5.2现实状况描述
没有制订账号和口令管理制度,一般用户账户密码、口令长度要求大部分全部不符合大于6字符;
管理员账户密码、口令长度大于8字符,六个月内账户密码、口令有过变更,但没有变更相关统计、通知、文件;
六个月内系统用户身份发生改变后能立即对其账户进行变更或注销。
5.1.5.3评定结论
制订账号和口令管理制度,完善一般用户账户和管理员账户密码、口令长度要求;
对账户密码、口令变更作相关统计;
立即对系统用户身份发生改变后对其账户进行变更或注销。
5.2网络和系统安全评定
5.2.1网络架构
5.2.1.1评定标准
局域网关键交换设备、城域网关键路由设备应采取设备冗余或准备备用设备,不许可外联链路绕过防火墙,含有目前正确网络拓扑结构图。
5.2.1.2现实状况描述
局域网关键交换设备准备了备用设备,城域网关键路由设备采取了设备冗余;
没有不经过防火墙外联链路,有目前网络拓扑结构图。
5.2.1.3评定结论
局域网关键交换设备、城域网关键路由设备按要求采取设备冗余或准备备用设备,外联链路没有绕过防火墙,完善网络拓扑结构图。
5.2.2网络分区
5.2.2.1评定标准
生产控制系统和管理信息系统之间进行分区,VLAN间访问控制设置合理。
5.2.2.2现实状况描述
生产控制系统和管理信息系统之间没有进行分区,VLAN间访问控制设置合理。
5.2.2.3评定结论
对生产控制系统和管理信息系统之间进行分区,VLAN间访问控制设置合理。
5.2.3网络设备
5.2.3.1评定标准
网络设备配置有备份,网络关键点设备采取双电源,关闭网络设备HTTP、FTP、TFTP等服务,SNMP小区串、当地用户口令强壮(>
8字符,数字、字母混杂)。
5.2.3.2现实状况描述
网络设备配置没有进行备份,网络关键点设备是双电源,网络设备关闭了HTTP、FTP、TFTP等服务,SNMP小区串、当地用户口令没达成要求。
5.2.3.3评定结论
对网络设备配置进行备份,完善SNMP小区串、当地用户口令强壮(>
5.2.4IP管理
5.2.4.1评定标准
有IP地址管理系统,IP地址管理有计划方案和分配策略,IP地址分配有统计。
5.2.4.2现实状况描述
没有IP地址管理系统,正在进行对IP地址计划和分配,IP地址分配有统计。
5.2.4.3评定结论
建立IP地址管理系统,加紧进行对IP地址计划和分配,IP地址分配有统计。
5.2.5补丁管理
5.2.5.1评定标准
有补丁管理手段或补丁管理制度,Windows系统主机补丁安装齐全,有补丁安装测试统计。
5.2.5.2现实状况描述
经过手工补丁管理手段,没有制订对应管理制度;
Windows系统主机补丁安装基础齐全,没有补丁安装测试统计。
5.2.5.3评定结论
完善补丁管理手段,制订对应管理制度;
补缺Windows系统主机补丁安装,补丁安装前进行测试统计。
5.2.6系统安全配置
5.2.6.1评定标准
对操作系统安全配置进行严格设置,删除系统无须要服务、协议。
5.2.6.2现实状况描述
没有对操作系统安全配置进行严格设置,部分系统删除无须要服务、协议。
5.2.6.3评定结论
5.2.7主机备份
5.2.7.1评定标准
关键系统主机采取双机备份并进行热切换或故障恢复测试。
5.2.7.2现实状况描述
关键系统主机采取了双机备份,进行过热切换或故障恢复测试。
5.2.7.3评定结论
关键系统主机采取了双机备份,进行热切换或故障恢复测试。
5.3网络服务和应用系统评定
5.3.1WWW服务器
5.3.1.1评定标准
WWW服务用户账户、口令应健壮(查看登录),信息公布进行了分级审核,外部网站有备份或其它保护方法。
5.3.1.2现实状况描述
没有WWW服务。
5.3.1.3评定结论
考虑按上述标准建设WWW服务。
5.3.2电子邮件服务器
5.3.2.1评定标准
对近三个月邮件数据进行备份,有专门针对邮件病毒、垃圾邮件安全方法,邮件系统管理员账户/口令应强壮,邮件系统维护、检验应有审计统计。
5.3.2.2现实状况描述
OA系统邮件数据进行一星期备份,有专门针对邮件病毒、垃圾邮件趋势防病毒软件系统,但该软件存在问题比较多,邮件系统管理员账户/口令设置合理,邮件系统维护、检验没有审计统计。
5.3.2.3评定结论
对OA系统邮件数据进行三个月备份,关注处理趋势防病毒软件系统问题;
邮件系统管理员账户/口令设置合理,对邮件系统维护、检验审计进行统计。
5.3.3远程拨号访问
5.3.3.1评定标准
有限制远程拨号访问管理方法,用于业务系统维护远程拨号访问采取身份验证、访问操作统计等方法。
5.3.3.2现实状况描述
没有远程拨号访问。
5.3.3.3评定结论
远程拨号访问设置按上述标准实施。
5.3.4应用系统
5.3.4.1评定标准
应用系统角色、权限分配有统计;
用户账户变更、修改、注销有统计(六个月统计情况);
关键应用系统数据功效操作进行审计并进行长久存放;
对关键应用系统有应急预案;
关键应用系统管理员账户、用户账户口令定时进行变更;
新系统上线前进行安全性测试。
5.3.4.2现实状况描述
营销系统角色、权限分配有统计,其它系统没有;
用户账户变更、修改、注销没有统计;
关键应用系统数据功效操作没有进行审计;
没有针对关键应用系统应急预案;
关键应用系统管理员账户、用户账户口令有定时进行变更;
有些新系统上线前没有进行过安全性测试。
5.3.4.3评定结论
完善系统角色、权限分配有统计;
统计用户账户变更、修改、注销(六个月统计情况);
关键应用系统数据功效操作进行审计;
制订针对关键应用系统应急预案;
新系统上线前应严格按摄影关标准进行安全性测试。
5.4安全技术管理和设备运行情况评定
5.4.1防火墙
5.4.1.1评定标准
网络中防火墙位置布署合理,防火墙规则配置符合安全要求,防火墙规则配置建立、更改有规范申请、审核、审批步骤,对防火墙日志进行存放、备份。
5.4.1.2现实状况描述
网络中防火墙位置布署合理,防火墙规则配置符合安全要求,防火墙规则配置没有建立、更改有规范申请、审核、审批步骤,对防火墙日志没有进行存放、备份。
5.4.1.3评定结论
网络中防火墙位置布署合理,防火墙规则配置符合安全要求,防火墙规则配置建立、更改要有规范申请、审核、审批步骤,对防火墙日志应进行存放、备份。
5.4.2防病毒系统
5.4.2.1评定标准
防病毒系统覆盖全部服务器及用户端(覆盖率最少应大于90%),对服务器防病毒用户端管理策略配置合理(自动升级病毒代码、每七天扫描),有专责人员负责维护防病毒系统并立即公布病毒通告。
5.4.2.2现实状况描述
防病毒系统覆盖全部用户端(覆盖率大于90%),服务器端除了OA服务器有防病毒系统外其它没有;
有兼责人员负责维护防病毒系统,但基础没有公布病毒通告。
5.4.2.3评定结论
防病毒系统覆盖全部用户端(覆盖率大于90%),服务器端除了OA服务器有防病毒系统外其它没有,考虑以后实施;
考虑配置专责人员负责维护防病毒系统,并立即公布病毒通告。
5.4.3入侵检测系统
5.4.3.1评定标准
入侵检测系统布署合理、覆盖关键网络边界和关键服务器,定时对审计信息进行分析,定时更新入侵检测规则和升级。
5.4.3.2现实状况描述
没有布署入侵检测系统。
5.4.3.3评定结论
按上述布署、配置入侵检测系统。
5.4.4安全技术管理
5.4.4.1评定标准
布署身份认证系统、安全管理平台,采取漏洞扫描系统,关键系统十二个月内进行信息安全风险评定,布署针对安全设备日志服务器。
5.4.4.2现实状况描述
没有布署身份认证系统、安全管理平台,没有漏洞扫描系统,关键系统没有进行信息安全风险评定,没有布署针对安全设备日志服务器。
5.4.4.3评定结论
按标准布署身份认证系统、安全管理平台、针对安全设备日志服务器,采取漏洞扫描系统,关键系统十二个月进行一次信息安全风险评定。
5.5存放备份系统评定
5.5.1备份策略
5.5.1.1评定标准
建立明确、合理备份策略,严格根据备份策略对系统数据进行备份(查看备份策略文件、查看备份统计或查看备份工具配置)。
5.5.1.2现实状况描述
建立了明确、合理备份策略并严格根据备份策略对系统数据进行备份。
5.5.1.3评定结论
建立明确、合理备份策略,严格根据备份策略对系统数据进行备份。
5.5.2恢复预案
5.5.2.1评定标准
建立明确恢复预案(查看文件),定时进行恢复演练。
5.5.2.2现实状况描述
没有建立明确恢复预案,也没有定时进行恢复演练。
5.5.2.3评定结论
建立明确恢复预案并定时进行恢复演练。
5.5.3备份介质管理
5.5.3.1评定标准
建立介质管理制度和废弃介质处理制度,储存介质存放在安全环境,有严格介质存取控制,有专员对存放介质进行定时检验。
5.5.3.2现实状况描述
没有建立介质管理制度和废弃介质处理制度,储存介质存放在安全环境,没有严格介质存取控制,没有对存放介质进行定时检验。
5.5.3.3评定结论
建立介质管理制度和废弃介质处理制度,储存介质存放在安全环境,严格介质存取控制,对存放介质进行定时检验。
5.6介质及物理环境安全评定
5.6.1机房内部安全防护
5.6.1.1评定标准
主机房安装门禁、监控和报警系统。
5.6.1.2现实状况描述
主机房没有安装门禁、监控系统,有消防报警系统。
5.6.1.3评定结论
5.6.2机房供、配电
5.6.2.1评定标准
有具体机房配线图,机房供电系统将动力、照明用电和计算机系统供电线路分开,机房配置应急照明装置,定时对UPS运行情况进行检测(查看六个月内检测统计)。
5.6.2.2现实状况描述
没有具体机房配线图,机房供电系统将动力、照明用电和计算机系统供电线路是分开,机房没有配置应急照明装置,有定时对UPS运行情况进行检测但没有检测统计。
5.6.2.3评定结论
补全机房配线图,机房供电系统将动力、照明用电和计算机系统供电线路分开,机房配置应急照明装置,定时对UPS运行情况进行检测和统计。
5.6.3机房环境防护
5.6.3.1评定标准
采取气体防火方法,空调系统定时进行检验,机房温度控制在摄氏26度以下。
5.6.3.2现实状况描述
有手提干粉灭火器,没有采取气体防火方法,空调系统定时进行检验,机房温度控制在摄氏26度以下。
5.6.3.3评定结论
5.6.4介质管理
5.6.4.1评定标准
有介质管理要求,U盘、移动硬盘等存放介质有资产统计和责任人,磁盘、光盘等存放介质有专员保管,笔记本使用有明确管理制度。
5.6.4.2现实状况描述
有对应介质管理要求,U盘、移动硬盘等存放介质有资产统计和责任人,磁盘、光盘等存放介质有专员保管,笔记本使用没有明确管理制度。
5.6.4.3评定结论
有对应介质管理要求,U盘、移动硬盘等存放介质有资产统计和责任人,磁盘、光盘等存放介质有专员保管,制订笔记本使用管理制度。
5.7应急处理评定
5.7.1应急预案
5.7.1.1评定标准
关键系统有完善、可操作应急预案,对应急预案进行定时演练。
5.7.1.2现实状况描述
关键系统没有完善、可操作应急预案。
5.7.1.3评定结论
制订关键系统完善、可操作应急预案并对应急预案进行定时演练。
5.7.2通报机制
5.7.2.1评定标准
根据集团企业要求建立立即信息安全信息通报机制。
5.7.2.2现实状况描述
没有根据集团企业要求建立立即信息安全信息通报机制。
5.7.2.3评定结论
5.7.3故障联动机制
5.7.3.1评定标准
建立良好故障通讯联动机制,进行联合防护。
5.7.3.2现实状况描述
没有建立故障通讯联动机制。
5.7.3.3评定结论
5.7.4故障抢修机制
5.7.4.1评定标准
建立完善信息网故障抢修机制,应急资源到位。
5.7.4.2现实状况描述
没有建立完善信息网故障抢修机制。
5.7.4.3评定结论
6自评总结
经过对上述现实状况分析进行了自评定,总来看,有了初步安全基础设施,在管理方面含有了部分制度和策略,安全防护单一,技术上经过多个手段实现了基础访问控制,但对应安全策略、安全管理和技术方面安全防护需要更新以适应要求。
需要对安全方法和管理制度方面进行改善,经过技术和管理两个方面来确保策略遵守和实现,最终能够将安全风险控制在合适范围之内,确保和促进业务开展。
升级会员 