单位安全检查报告.docx
《单位安全检查报告.docx》由会员分享,可在线阅读,更多相关《单位安全检查报告.docx(29页珍藏版)》请在冰豆网上搜索。
单位安全检查报告
××单位
信息安全检查报告
省公司公司××单位
2011年9月
1概述
根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》(信安通[2006]15号)、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》(办信息[2006]48号)以及集团公司的文件要求,开展省公司公司(以下简称公司)范围内的信息安全检查工作。
2目标
安全检查工作的主要目标是通过自评估工作,发现公司信息系统当前面临的主要安全问题,边检查边整改,确保公司信息网络和重要信息系统的安全。
本次安全检查工作将完成以下任务:
1)完成直属各单位典型系统的信息安全风险评估工作。
通过检查掌握当前公司信息系统面临的主要安全问题,并在对检查结果进行分析判断的基础上提出整改措施。
2)进行公司范围内信息安全大检查,对各单位的基础网络和重要信息系统进行安全性自查,并将相关数据进行汇总分析,统计重大和典型信息安全事件,及时发现和查找基础网络和重要信息系统存在的安全隐患,边检查边整改,确保公司基础网络和重要信息系统安全、可靠运行。
3组织机构
成立省公司公司××单位信息安全检查领导小组和工作小组,组织协调局信息安全检查工作。
4检查方法
安全检查工作中将采取风险评估的基本方法、对检查范围内的工作内容按照评估的基本框架进行,确保检查工作的出发点、过程和结果与实际情况相符。
安全检查工作采用信息安全风险评估的基本方法,按照“谁主管、谁负责,谁运营、谁负责”的原则,以各单位组织自评估(自查)为主,并与上级检查和专家指导相结合,对检查范围内的工作内容按照评估的基本框架进行,确保检查工作的出发点、过程和结果与实际情况相符。
为配合检查工作的顺利开展、确保检查工作的实效,在检查实施过程中,应采取有效的检查工具,结合人工检查,并参照相关的技术规范进行。
检查工作中,按照检查列表由检查人员根据系统特点逐项检查,确保数据的可靠和真实,人工检查要进行签字和审核,确保检查双方对结果的认可。
5检查内容
5.1资产清单表附件1
检查内容见附件1资产清单表。
5.2事件清单表附件2
检查事件清单见附件2事件清单表。
5.3检查结果表附件3
检查结果见附件3检查结果表。
6综合分析
××单位通过对本单位重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行的识别,将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总,形成了重要资产清单。
通过对本单位半年内发生的较大的、或者发生次数较多的信息安全事件(网络故障、信息系统故障)进行了汇总记录,形成了本单位近半年内的的安全事件清单。
我局根据广电公司下发的安全缺陷检查列表包括规章制度与组织管理、关建设备和服务采购情况、网络与系统安全、网络与应用系统、安全技术管理与设备运行状况、存储备份系统、介质及物理环境安全、应急处置等进行了安全缺陷检查,填写了安全缺陷检查结果表。
对我局的信息安全状况组织了单位信息部的所有系统管理人员、专职、专责进行分析和判断,明确了这些安全事件产生的原因,提出了针对的整改措施。
附件4检查结果整改措施。
附件1资产清单表
附件2事件清单表
编号
安全事件
事件情况简单说明()
发生日期
后果
处理措施
1
网络故障
电信光缆中断,并时断时续。
2006.4.25
2
信息系统故障
营销系统的数据增长迅猛,在业务繁忙期,出现4个集群节点会随机自动宕机现象,当日发生5号服务器宕机。
2006.3.20
附件3检查结果表
1.规章制度与组织管理(满分110分)
检查项目
检查内容
检查分值
1组织机构(10分)
是否成立了信息安全领导机构、工作机构?
(缺一项扣5分)
2岗位职责(15分)
是否有专职网络管理人员(缺一项扣3分,兼职扣1分)
是否有专职应用系统管理人员(缺一项扣3分,兼职扣1分)
是否有专职系统管理人员(缺一项扣3分,兼职扣1分)
各专责的工作职责与工作范围是否有制度明确进行界定。
(否扣4分,)
是否实行主、副岗备用制度(否扣2分)
3病毒管理(12分)
是否制定了计算机病毒防治管理制度(否扣3分)
是否制定了定期升级的安全策略(否扣3分)
是否制定了病毒预警和报告机制(否扣3分)
病毒扫描策略是否规定了1周内至少进行一次扫描?
(否扣3分)
4运行管理(50分)
是否建立了信息系统运行管理规程?
(否扣3分)
重要操作是否实行工作票制度?
(检查3个月内的操作票,满分8分)
机房出入管理制度是否上墙?
近3个月的机房进出情况是否有记录?
(满分8分)
运行值班制度是否规定了普通情况下5*8小时、关键时期的7*24小时的现场值班内容?
(否扣3分)
是否建立了缺陷管理制度(检查3个月内情况,满分8分)
是否建立了统计汇报制度(检查3个月内情况,满分8分)
是否建立了运维流程,并按照流程进行操作(检查3个月内情况,满分8分)
是否对值班人员进行了安排?
近3个月值班记录内容是否详实?
(满分4分)
5账号与口令管理(23分)
是否制定了账号、口令管理制度?
(否扣5分)
普通用户账户密码、口令长度要求是否大于6字符?
管理员账户密码、口令长度是否大于8字符?
(每项不符扣4分)
半年内账户密码、口令是否进行过变更?
(查看变更相关记录、通知、文件)(否扣5分)
半年内系统用户身份发生变化后是否及时对其账户进行了变更或注销?
(查看相关记录)(否扣5分)
得分合计
2.关键设备和服务采购情况
名称
品牌
数量
外包服务商或运维服务情况
(注明是否为系统内单位)
服务评价(好、中、差)
服务保密性要求执行情况(好、中、差)
交换机
好
好
好
好
路由器
好
好
小型机
好
好
好
好
好
好
防火墙
好
好
入侵检测
防病毒
好
好
好
好
漏洞扫描
网管软件
好
好
安全监控平台
风险评估、安全管理、安全规划等咨询服务
好
好
好
好
好
好
好
好
安全运维、安全加固、网络优化等外包服务
好
好
好
好
产品安全性测试服务
3.网络与系统安全(100分)
检查项目
检查内容
检查分值
1网络架构(25)
局域网核心交换设备,广域网核心路由设备是否采取了设备冗余或准备了备用设备?
(满分10分,关键点缺一项扣2分,扣完为止)
是否有不经过防火墙的外联链路?
(满分10分,有扣10分)
是否有当前准确的网络拓扑结构图?
(满分5分)
2网络分区(8)
生产控制系统和管理信息系统之间是否部署了隔离措施(满分5分)
VLAN间的访问控制是否合理?
(满分3分)
3网络设备(23)
网络设备配置是否进行了备份?
(电子、物理介质)(满分3分)
网络关键点设备是否双电源?
(满分5分)
是否关闭了HTTP、FTP、TFTP等服务?
(满分5分)
SNMP社区串、本地用户口令是否强健(>8字符,数字、字母混杂)?
(满分10分,一项不合格扣5分)
4IP管理(14)
是否有IP地址管理系统?
(满分3分)
是否有IP地址的规划方案和分配策略?
(满分8分)
是否有IP地址分配记录?
(满分3分)
5补丁管理(13)
是否有补丁管理的手段,或管理制度?
(满分5分)
Windows系统主机补丁安装是否齐全?
(满分5分)
是否有补丁安装的测试记录?
(满分3分)
6系统安全配置(8)
是否对操作系统的安全配置进行了严格的设置?
(满分5分)
是否删除了系统中不必要的服务、协议?
(满分3分)
8主机备份(10)
重要的系统主机是否采用了双机备份?
(满分5分)
是否进行过热切换,或者故障恢复的测试?
(满分5分)
得分合计
4.
网络服务与应用系统(100分)
检查项目
检查内容
检查分值
1WWW服务(25)
WWW服务用户账户、口令是否健壮?
(查看登录)(满分10分)
信息发布是否进行了分级审核?
(查看审核记录)(满分5分)
外部网站是否有备份,或其他保护措施?
(满分10分)
2电子邮件服务(20)
是否对近3个月的邮件数据进行了备份?
(满分5分)
是否有专门针对邮件病毒、垃圾邮件的安全措施?
(满分5分)
邮件系统管理员账户/口令是否强健?
邮件系统的维护、检查是否有审计记录?
(满分10分)
3远程拨号访问服务(15)
是否有限制远程拨号访问的管理措施?
(满分5分)
用于业务系统维护的远程拨号访问是否采取了身份验证、访问操作记录等措施?
(满分10分)
4应用系统(40)
应用系统的角色、权限分配是否有记录?
(满分5分)
用户账户的变更、修改、注销是否有记录?
(查看半年记录情况)(满分10分)
关键应用系统的数据功能操作是否进行审计?
审计信息是否进行了长期存储?
(满分5分)
是否有针对关键应用系统的应急预案?
(满分10分)
关键应用系统管理员账户、用户账户口令是否定期进行了变更?
(满分5分)
新系统上线前是否进行过安全性测试?
(满分5分)
得分合计
5.
安全技术管理与设备运行状况(90分)
检查项目
检查内容
检查分值
1防火墙(35)
网络中的防火墙部署位置是否合理?
(满分10分)
防护墙规则配置是否符合安全要求?
(满分10分)
防护墙规则配置的建立、更改是否有规范的申请、审核、审批流程?
(查看半年内的记录)(满分10分)
是否对防火墙日志进行了存储、备份?
(满分5分)
2防病毒系统(20)
防病毒系统是否覆盖所有服务器及客户端?
(覆盖率至少应大于90%)(满分5分)
对服务器的防病毒客户端管理策略配置是否合理?
(自动升级病毒代码、每周扫描)(满分10分)
是否有专责人员负责维护防病毒系统,并及时发布病毒通告?
(满分5分)
3入侵检测系统(15)
检查入侵检测系统部署是否合理、能否覆盖主要网络边界与主要服务器?
(满分5分)
是否定期对审计信息进行分析?
(满分5分)
是否定期更新入侵检测的规则与升级?
(满分5分)
4安全技术管理(20)
是否部署了身份认证系统?
(满分3分)
是否部署了安全管理平台?
(满分2分)
是否采用了漏洞扫描系统?
(满分5分)
重要系统一年内是否进行了信息安全风险评估?
(满分5分)
是否部署了针对安全设备的日志服务器?
(满分5分)
得分合计
6.
存储备份系统(50分)
检查项目
检查内容
检查分值
1备份策略(10)
是否建立了明确、合理的备份策略?
是否严格按照备份策略对系统数据进行备份?
(查看备份策略文件、查看备份记录,或查看备份工具配置)(满分10分)
2恢复预案(20)
是否建立了明确的恢复预案?
(查看文件)(满分10分)
是否定期进行恢复演练?
(查看半年演练记录)(满分10分)
3备份介质管理(20)
检查是否建立介质的管理制度和废弃介质的处理制度(满分10分)
储存介质是否存放在安全环境(满分5分)
是否有严格的介质存取控制,是否有专人对存储介质进行管理(满分5分)
得分合计
7.
介质及物理环境安全(70分)
检查项目
检查内容
检查分值
1机房内部安全防护(5)
主机房是否安装了门禁、监控与报警系统?
(满分5分)
2机房供、配电(25)
是否有详细的机房配线图?
(满分5分)
机房供电系统是否将动力、照明用电与计算机系统供电线路分开?
(满分5分)
机房是否配备应急照明装置?
(满分5分)
是否定期对UPS的运行状况进行检测?
(查看半年内检测记录)(满分10分)
3机房环境防护(20)
是否采用了气体防火措施?
(满分10分)
空调系统是否定期进行检查?
(满分5分)
机房温度是否控制在摄氏26度以下?
(满分5分)
4介质管理(20)
是否有相应的介质管理规定。
(否扣5分)
U盘、移动硬盘等存储介质是否有资产记录和责任人(否扣5分)
磁盘、光盘等存储介质是否有专人保管?
(否扣5分)
笔记本使用是否有明确的管理制度?
(否扣5分)
得分合计
8.
应急处置(30分)
检查项目
检查内容
检查分值
1应急预案(15)
重要系统是否有完善的、可操作的应急预案?
(满分5分)
是否对应急预案进行了定期演练?
(满分10分)
2通报机制(5)
是否按照集团公司的要求建立了及时的信息安全信息通报机制?
(满分5分)
3故障联动机制(5)
是否建立了良好的故障通讯联动机制,联合进行防护?
(满分5分)
4故障抢修机制(5)
是否建立了完善的信息网故障抢修机制,应急资源是否到位?
(满分5分)
得分合计
附件4检查结果整改措施
1.规章制度与组织管理
检查项目
检查内容
检查说明及存在问题
整改措施
1组织机构
是否成立了信息安全领导机构、工作机构?
成立了信息化工作领导小组([2002]4号《关于成立集团××供电分公司信息化工作领导小组的通知》),而《××单位信息安全管理规范》中明确定义信息安全组织的架构和职能,但由于人员编制问题,目前还没有完全按照该规范执行
严格按照《××单位信息安全管理规范》和《××单位信息安全管理实施指南》成立安全领导机构和工作机构。
2岗位职责
是否有专职网络管理人员
配备了1名专职网络管理员。
信息网络日益扩大,1名不够。
是否有专职应用系统管理人员
由于信息部岗位配置不足,存在兼职的应用系统管理人员。
不是每个系统都有专职人员
是否有专职系统管理人员
配备了1名专职系统管理员。
各专责的工作职责与工作范围是否有制度明确进行界定。
《××单位信息部岗位职责》有明确界定。
是否实行主、副岗备用制度
由于信息部岗位配置不足,没有实行主、副岗备用制度。
在目前的岗位配置情况下,争取网络管理员实行主、副岗备用制度。
3病毒管理
是否制定了计算机病毒防治管理制度
已制定《××单位计算机病毒防范管理制度》。
是否制定了定期升级的安全策略
在《××单位计算机病毒防范管理制度》中有具体的规定。
而且在病毒管理平台上已经配置了定期升级的安全策略。
在《××单位计算机病毒防范管理制度》体现
是否制定了病毒预警和报告机制
病毒报告机制在《××单位安全事件应急处理预案》中体现。
完善在《××单位计算机病毒防范管理制度》体现。
病毒扫描策略是否规定了1周内至少进行一次扫描?
在病毒管理平台上已经配置了每周的病毒扫描策略。
4运行管理
是否建立了信息系统运行管理规程?
按照省公司颁布的《管理信息系统建设与运行维护管理导则》,每一个信息系统都制定了运行管理规程。
重要操作是否实行工作票制度?
×供电信〔2006〕21号《关于修定相关信息系统管理制度的通知》之《省公司××单位信息网络入网工作票》文件规定了重要操作实行工作票制度。
机房出入管理制度是否上墙?
近3个月的机房进出情况是否有记录?
×供电信〔2006〕21号《关于修定相关信息系统管理制度的通知》之《省公司××单位计算机专业机房工作需知》文件规定机房管理制度必须上墙。
有近3个月的机房进出情况记录。
运行值班制度是否规定了普通情况下5*8小时、关键时期的7*24小时的现场值班内容?
《机房运行值班制度》有规定。
是否建立了缺陷管理制度(检查3个月内情况,)
有对网络设备、业务系统、服务器进行定期巡检,发现缺陷并进行整改,有3个月内的记录。
但未制定相关的缺陷管理制度。
参考《省公司电力通信设备缺陷管理办法》,尽快制定《××单位信息系统设备缺陷管理制度》。
是否建立了统计汇报制度(检查3个月内情况,)
每月底统计汇总全地区信息系统运行月报,上报给局生产例会。
是否建立了运维流程,并按照流程进行操作(检查3个月内情况,)
建立了运维流程,有3个月内的运维情况记录。
是否对值班人员进行了安排?
近3个月值班记录内容是否详实?
针对日常、节假日、突发情况等类型,都对值班人员进行了安排。
有近3个月详实值班记录内容。
平时没有值班人员,关键时候或节假日有值班人员。
BS7799,人员配备
5账号与口令管理
是否制定了账号、口令管理制度?
已制定《××单位帐
号口令管理制度》。
普通用户账户密码、口令长度要求是否大于6字符?
管理员账户密码、口令长度是否大于8字符?
在《××单位帐号口令管理制度》中作了严格规定。
半年内账户密码、口令是否进行过变更?
(查看变更相关记录、通知、文件)
除系统管理帐户外,大部分普通账户密码、口令半年内未进行过变更。
局发文要求所有员工严格执行《××单位帐号口令管理制度》
半年内系统用户身份发生变化后是否及时对其账户进行了变更或注销?
系统用户身份发生变化后有及时对其账户进行变更或注销,但没有做记录。
要求系统管理员严格执行《××单位帐号口令管理制度》
2.网络与系统安全
检查项目
检查内容
检查说明及存在问题
整改措施
1网络架构
局域网核心交换设备,广域网核心路由设备是否采取了设备冗余或准备了备用设备?
局域网、城域网核心设备共用1台三层交换机,使用另外1台作为冷备
06年新建城域网及局域网项目中进行改造
是否有不经过防火墙的外联链路?
是否有当前准确的网络拓扑结构图?
有准确的网络拓扑图
2网络分区
生产控制系统和管理信息系统之间是否部署了隔离措施(满分5分)
部署CiscoPIX防火墙
VLAN间的访问控制是否合理?
VLAN间的访问根据需求进行控制
3网络设备
网络设备配置是否进行了备份?
(电子、物理介质)
网络设备配置进行电子介质备份,并在每次更改都进行备份
网络关键点设备是否双电源?
城域网核心设备、局域网为核心设备均为双电源,汇聚层设备、关键防火墙只有单电源
重要路由器、防火墙已有一台冷备
是否关闭了HTTP、FTP、TFTP等服务?
已关闭HTTP、FTP、TFTP服务
SNMP社区串、本地用户口令是否强健(>8字符,数字、字母混杂)?
SNMP字符串长度不够,本地用户口令较强健
06年新建城域网及局域网项目中进行改造
4IP管理
是否有IP地址管理系统?
是否有IP地址的规划方案和分配策略?
有
是否有IP地址分配记录?
(满分3分)
有
5补丁管理
是否有补丁管理的手段,或管理制度?
安装了WSUS系统
Windows系统主机补丁安装是否齐全?
自动下载补丁,安装齐全
是否有补丁安装的测试记录?
服务器有补丁安装的测试记录,普通客户端无测试记录
6系统安全配置
是否对操作系统的安全配置进行了严格的设置?
在域控制器的组策略里做了部份安全策略配置
07年对AD域进行改造,加强客户端、服务器的安全配置
是否删除了系统中不必要的服务、协议?
对客户端作部分服务的限制
07年对AD域进行改造,加强对客户端、服务器的不必要的服务、协议进行限制
8主机备份
重要的系统主机是否采用了双机备份?
仅对部分重要业务系统采用双机热备
07年对财务、客服系统采用双机热备
是否进行过热切换,或者故障恢复的测试?
采用了双机备份的系统进行过热切换,或者故障恢复的测试。
3.网络服务与应用系统
检查项目
检查内容
检查说明及存在问题
整改措施
1WWW服务
WWW服务用户账户、口令是否健壮?
(查看登录)
统一由省公司提供对外WEB服务。
信息发布是否进行了分级审核?
(查看审核记录)
执行分级审核记录齐全。
外部网站是否有备份,或其他保护措施?
统一由省公司提供对外WEB服务,有保护措施。
2电子邮件服务
是否对近3个月的邮件数据进行了备份?
没有提供互联网电子邮件服务。
是否有专门针对邮件病毒、垃圾邮件的安全措施?
没有提供互联网电子邮件服务。
邮件系统管理员账户/口令是否强健?
邮件系统的维护、检查是否有审计记录?
没有提供互联网电子邮件服务。
3远程拨号访问服务
是否有限制远程拨号访问的管理措施?
我局已取消远程拨号访问服务。
用于业务系统维护的远程拨号访问是否采取了身份验证、访问操作记录等措施?
我局业务系统维护不采用远程拨号访问方式。
4应用系统
应用系统的角色、权限分配是否有记录?
在各个应用系统运维管理规程里明确应用系统的角色、权限分配,并有详细记录。
用户账户的变更、修改、注销是否有记录?
(查看半年记录情况)
全局的域控制系统有用户账户的变更、修改、注销的记录,并且按审批流程填写了完整的《信息业务申请表》,但其他业务系统暂时没有实行。
要求各应用系统内用户账户的变更、修改、注销进行详细记录,每年由相关系统管理员填写并整理归档。
关键应用系统的数据功能操作是否进行审计?
审计信息是否进行了长期存储?
关键应用系统的操作没有完全实行审计日志功能,但目前的营销系统中涉及营销收费的关键操作都有对操作进行审计。
新建系统要求具备对数据操作进行审计的功能。
是否有针对关键应用系统的应急预案?
针对大面积停电已建立《信息系统针对大停电应事故急处理预案操作手册》并发文,其中包含关键应用系统针对大停电事故的应急预案
按照《信息系统管理规范和指南》完善对其他事故预案。
关键应用系统管理员账户、用户账户口令是否定期进行了变更?
业务系统暂时没有实行。
《××单位帐号口令管理制度》明确规定关键应用系统管理员账户、用户账户口令定期进行变更,并进行详细记录,每年由相关系统管理员整理归档。
新系统上线前是否进行过安全性测试?
新系统在正式投运前都有一至三个月的试运行期;在试运行期内,都有进行相关的数据库连接,业务应用等实际操作的测试。
暂时没有针对安全性的相应制度及专用的测试手段
了解相关测试技术,联系技术力量好的厂家做技术交流
4.安全技术管理与设备运行状况
检查项目
检查内容
检查说明及存在问题
整改措施
1防火墙
网络中的防火墙部署位置是否合
升级会员 