信息安全评估报告.docx

1、信息安全评估报告信息安全评估报告（管理信息系统）二零一六年一月bl1目标X x单位信息安全检查工作的主要U标是通过自评估工作，发现本局信息系 统当前面临的主要安全问题，边检查边整改，确保信息网络和重要信息系统的安 全。2评估依据、范围和方法2.1评估依据根据国务院信息化工作办公室关于对国家基础信息网络和重要信息系统开 展安全检查的通知（信安通2006 15号）、国家电力监管委员会关于对电 力行业有关单位重要信息系统开展安全检查的通知（办信息2006）48号）以及 集团公司和省公司公司的文件、检查方案要求，开展XX单位的信息安全评估。2.2评估范围本次信息安全评估工作重点是重要的业务管理信息系统

2、和网络系统等，管理 信息系统中业务种类相对较多、网络和业务结构较为复杂，在检查工作中强调对 基础信息系统和重点业务系统进行安全性评估，具体包括：基础网络与服务器、 关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全 运行和维护情况评估。2.3评估方法采用自评估方法。3重要资产识别对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏 后的影响进行识别，将一旦停止运行影响面大的系统、关键网络节点设备和安全 设备、承载敏感数据和业务的服务器进行登记汇总，形成重要资产清单。资产清 单见附表4安全事件对本局半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记 录

3、，形成本单位的安全事件列表。安全事件列表见附表2。5安全检査项目评估5.1规章制度与组织管理评估5.1.1组织机构5.1.1.1评估标准信息安全组织机构包括领导机构、1：作机构。5.1.1.2现状描述本局已成立了信息安全领导机构，但尚未成立信息安全工作机构。51.1.3评估结论完善信息安全组织机构，成立信息安全工作机构。5.1.2岗位职责5121评估标准岗位要求应包括：专职网络管理人员、专职应用系统管理人员和专职系统管 理人员；专责的工作职责与工作范围应有制度明确进行界定；岗位实行主、副岗 备用制度。5.1.2.2现状描述我局没有配置专职网络管理人员、专职应用系统管理人员和专职系统管理人 员，

4、都是兼责；专责的工作职责与工作范围没有明确制度进行界定，岗位没有实 行主、副岗备用制度。5.123评估结论本局已有兼职网络管理员、应用系统管理员和系统管理员，在条件许可下， 配置专职管理人员；专责的工作职责与工作范圉没有明确制度进行界定，根据实 际情况制定管理制度；岗位没有实行主、副岗备用制度，在条件许可下，落实主、 副岗备用制度。5.1.3病毒管理5.1.3.1评估标准病毒管理包括讣算机病毒防治管理制度、定期升级的安全策略、病毒预警和 报告机制、病毒扫描策略（1周内至少进行一次扫描）。5.1.3.2现状描述本局使用Symantec防病毒软件进行病毒防护，定期从省公司病毒库服务器下 载、升级安

5、全策略；病毒预警是通过第三方和网上提供信息来源，每月统计、汇 总病毒感染情况并提交局生技部和省公司生技部；每周进行二次自动病毒扫描； 没有制定讣算机病毒防治管理制度。5.133评估结论完善病毒预警和报告机制，制定计算机病毒防治管理制度。5.1.4运行管理5.1.4.1评估标准运行管理应制定信息系统运行管理规程、缺陷管理制度、统讣汇报制度、运 维流程、值班制度并实行工作票制度；制定机房出入管理制度并上墙，对进出机 房情况记录。5.1.4.2现状描述没有建立相应信息系统运行管理规程、缺陷管理制度、统汁汇报制度、运维流程、值班制度，没有实行工作票制度；机房出入管理制度上墙，但没有机房进 出情况记录。

6、5143评估结论结合本局具体情况，制订信息系统运行管理规程、缺陷管理制度、统讣汇报 制度、运维流程、值班制度，实行工作票制度；机房出入管理制度上墙，记录机 房进出情况。5.1.5账号与口令管理5.1.5.1评估标准制订了账号与口令管理制度；普通用户账户密码、口令长度要求符合大于6 字符，管理员账户密码、口令长度大于8字符；半年内账户密码、口令应变更并 保存变更相关记录、通知、文件，半年内系统用户身份发生变化后应及时对其账 户进行变更或注销。51.5.2现状描述没有制订账号与口令管理制度，普通用户账户密码、口令长度要求大部分都 不符合大于6字符；管理员账户密码、口令长度大于8字符，半年内账户密码

7、、口 令有过变更，但没有变更相关记录、通知、文件；半年内系统用户身份发生变化 后能及时对其账户进行变更或注销。51.5.3评估结论制订账号与口令管理制度，完善普通用户账户与管理员账户密码、口令长度 要求；对账户密码、口令变更作相关记录；及时对系统用户身份发生变化后对其 账户进行变更或注销。5.2网络与系统安全评估5.2.1网络架构5.2.1.1评估标准局域网核心交换设备、城域网核心路山设备应采取设备冗余或准备备用设 备，不允许外联链路绕过防火墙，具有当前准确的网络拓扑结构图。521.2现状描述局域网核心交换设备准备了备用设备，城域网核心路由设备采取了设备冗 余；没有不经过防火墙的外联链路，有当

8、前网络拓扑结构图。5.2.1.3评估结论局域网核心交换设备、城域网核心路山设备按要求采取设备兀余或准备备用 设备，外联链路没有绕过防火墙，完善网络拓扑结构图。5.2.2网络分区5.2.2.1评估标准生产控制系统和管理信息系统之间进行分区，VLAN间的访问控制设置合 理。5222现状描述生产控制系统和管理信息系统之间没有进行分区，VLAN间的访问控制设置 合理。522.3评估结论对生产控制系统和管理信息系统之间进行分区，VLAN间的访问控制设置合 理。5.2.3网络设备5.2.3.1评估标准网络设备配置有备份，网络关键点设备采用双电源，关闭网络设备HTTP、 FTP、TFTP等服务，SNMP社区

9、串、本地用户口令强健（8字符，数字、字母混 杂）。523.2现状描述网络设备配置没有进行备份，网络关键点设备是双电源，网络设备关闭了HTTP、FTP、TFTP等服务，SNMP社区串、本地用户口令没达到要求。523.3评估结论对网络设备配置进行备份，完善SNMP社区串、本地用户口令强健（8字符, 数字、字母混杂）。5.2.4 IP 管理524.1评估标准有IP地址管理系统，IP地址管理有规划方案和分配策略，IP地址分配有记录。52.42现状描述没有IP地址管理系统，正在进行对IP地址的规划和分配，IP地址分配有记录。52.4.3评估结论建立IP地址管理系统，加快进行对IP地址的规划和分配，IP地

10、址分配有记录。5.2.5补丁管理5251评估标准有补丁管理的手段或补丁管理制度，Windows系统主机补丁安装齐全，有补 丁安装的测试记录。525.2现状描述通过手工补丁管理手段，没有制订相应管理制度；Windows系统主机补丁安 装基本齐全，没有补丁安装的测试记录。5253评估结论完善补丁管理的手段，制订相应管理制度；补缺Windows系统主机补丁安装, 补丁安装前进行测试记录。526系统安全配:526.1评估标准对操作系统的安全配置进行严格的设置，删除系统不必要的服务、协议。526.2现状描述没有对操作系统的安全配置进行严格的设置，部分系统删除不必要的服务、 协议。526.3评估结论对操作

11、系统的安全配置进行严格的设置，删除系统不必要的服务、协议。5.2.7主机备份5.2.7.1评估标准重要的系统主机采用双机备份并进行热切换或者故障恢复的测试。527.2现状描述重要的系统主机采用了双机备份，进行过热切换或者故障恢复的测试。527.3评估结论重要的系统主机采用了双机备份，进行热切换或者故障恢复的测试。5.3网络服务与应用系统评估5.3.1 WWW服务器5.3.1.1评估标准服务用户账户、口令应健壮（查看登录），信息发布进行了分级审核, 外部网站有备份或其他保护措施。5.3.1.2现状描述没有VWVT服务。5.3.1.3评估结论考虑按上述标准建设vxvw服务。5.3.2电子邮件服务器

12、5.321评估标准对近三个月的邮件数据进行备份，有专门针对邮件病毒、垃圾邮件的安全措 施，邮件系统管理员账户/口令应强健，邮件系统的维护、检查应有审计记录。5322现状描述OA系统邮件数据进行一星期备份，有专门针对邮件病毒、垃圾邮件的趋势 防病毒软件系统，但该软件存在问题比较多，邮件系统管理员账户/口令设置合 理，邮件系统的维护、检查没有审计记录。5.323评估结论对OA系统邮件数据进行三个月备份，关注解决趋势防病毒软件系统问题； 邮件系统管理员账户/口令设置合理，对邮件系统的维护、检查审计进行记录。5.3.3远程拨号访问5.3.3.1评估标准有限制远程拨号访问的管理措施，用于业务系统维护的远

13、程拨号访问采取身 份验证、访问操作记录等措施。5.3.3.2现状描述没有远程拨号访问。53.3.3评估结论远程拨号访问设置按上述标准执行。5.3.4应用系统5.341评估标准应用系统的角色、权限分配有记录；用户账户的变更、修改、注销有记录（半 年记录情况）；关键应用系统的数据功能操作进行审讣并进行长期存储；对关键 应用系统有应急预案；关键应用系统管理员账户、用户账户口令定期进行变更； 新系统上线前进行安全性测试。5.342现状描述营销系统的角色、权限分配有记录，其余系统没有；用户账户的变更、修改、 注销没有记录；关键应用系统的数据功能操作没有进行审计；没有针对关键应用 系统的应急预案；关键应用

14、系统管理员账户、用户账户口令有定期进行变更；有 些新系统上线前没有进行过安全性测试。53.4.3评估结论完善系统的角色、权限分配有记录；记录用户账户的变更、修改、注销（半 年记录情况）；关键应用系统的数据功能操作进行审计；制定针对关键应用系统 的应急预案；关键应用系统管理员账户、用户账户口令定期进行变更；新系统上 线前应严格按照相关标准进行安全性测试。54安全技术管理与设备运行状况评估5.4.1防火墙541.1评估标准网络中的防火墙位置部署合理，防火墙规则配置符合安全要求，防火墙规则 配置的建立、更改有规范申请、审核、审批流程，对防火墙日志进行存储、备份。5.4.1.2现状描述网络中的防火墙位

15、置部署合理，防火墙规则配置符合安全要求，防火墙规则 配置没有建立、更改有规范申请、审核、审批流程，对防火墙日志没有进行存储、 备份。54.1.3评估结论网络中的防火墙位置部署合理，防火墙规则配置符合安全要求，防火墙规则 配置的建立、更改要有规范申请、审核、审批流程，对防火墙日志应进行存储、 备份。5.4.2防病毒系统5.421评估标准防病毒系统覆盖所有服务器及客户端（覆盖率至少应大于90%）,对服务器 的防病毒客户端管理策略配置合理（自动升级病毒代码、每周扫描），有专责人 员负责维护防病毒系统并及时发布病毒通告。5.422现状描述防病毒系统覆盖所有客户端（覆盖率大于90%）,服务器端除了OA服

16、务器有 防病毒系统外其余没有；有兼责人员负责维护防病毒系统，但基本没有发布病毒 通告。5.423评估结论防病毒系统覆盖所有客户端（覆盖率大于90%）,服务器端除了OA服务器有 防病毒系统外其余没有，考虑以后实施;考虑配置专责人员负责维护防病毒系统, 并及时发布病毒通告。543.1评估标准入侵检测系统部署合理、覆盖主要网络边界与主要服务器，定期对审计信息 进行分析，定期更新入侵检测的规则与升级。543.2现状描述没有部署入侵检测系统。5.433评估结论按上述部署、配置入侵检测系统。5.4.4安全技术管理5.441评估标准部署身份认证系统、安全管理平台，采用漏洞扫描系统，重要系统一年内进 行信息安

17、全风险评估，部署针对安全设备的日志服务器。54.4.2现状描述没有部署身份认证系统、安全管理平台，没有漏洞扫描系统，重要系统没有 进行信息安全风险评估，没有部署针对安全设备的日志服务器。5443评估结论按标准部署身份认证系统、安全管理平台、针对安全设备的日志服务器，采 用漏洞扫描系统，重要系统一年进行一次信息安全风险评估。5.5存储备份系统评估5.5.1备份策略5.51.1评估标准建立明确、合理的备份策略，严格按照备份策略对系统数据进行备份（查看 备份策略文件、查看备份记录或查看备份工具配置）。5.5.1.2现状描述建立了明确、合理的备份策略并严格按照备份策略对系统数据进行备份。5.51.3评

18、估结论建立明确、合理的备份策略，严格按照备份策略对系统数据进行备份。5.5.2恢复预案5.52.1评估标准建立明确的恢复预案（查看文件），定期进行恢复演练。5.522现状描述没有建立明确的恢复预案，也没有定期进行恢复演练。5.52.3评估结论建立明确的恢复预案并定期进行恢复演练。5.5.3备份介质管理553.1评估标准建立介质管理制度和废弃介质处理制度，储存介质存放在安全环境，有严格 的介质存取控制，有专人对存储介质进行定期检查。5.5.3.2现状描述没有建立介质的管理制度和废弃介质的处理制度，储存介质存放在安全环 境，没有严格的介质存取控制，没有对存储介质进行定期检查。5.5&3评估结论建立

19、介质管理制度和废弃介质处理制度，储存介质存放在安全环境，严格介 质存取控制，对存储介质进行定期检查。56介质及物理环境安全评估561机房内部安全防护5.6.1.1评估标准主机房安装门禁、监控与报警系统。561.2现状描述主机房没有安装门禁、监控系统，有消防报警系统。5.6.1.3评估结论主机房安装门禁、监控与报警系统。5.6.2机房供、配电562.1评估标准有详细的机房配线图，机房供电系统将动力、照明用电与计算机系统供电线 路分开，机房配备应急照明装置，定期对UPS的运行状况进行检测（查看半年 内检测记录）。5.622现状描述没有详细的机房配线图，机房供电系统将动力、照明用电与计算机系统供电

20、线路是分开的，机房没有配备应急照明装置，有定期对UPS的运行状况进行检 测但没有检测记录。5623评估结论补全机房配线图，机房供电系统将动力、照明用电与计算机系统供电线路分 开，机房配备应急照明装置，定期对UPS的运行状况进行检测和记录。5.6.3机房环境防护563.评估标准采用气体防火措施，空调系统定期进行检查，机房温度控制在摄氏26度以下。56.3.2现状描述有手提干粉灭火器，没有采用气体防火措施，空调系统定期进行检查，机房 温度控制在摄氏26度以下。563.3评估结论采用气体防火措施，空调系统定期进行检查，机房温度控制在摄氏26度以下。5.6.4介质管理564.评估标准有介质管理规定，U

21、盘、移动硬盘等存储介质有资产记录和责任人，磁盘、 光盘等存储介质有专人保管，笔记本使用有明确的管理制度。564.2现状描述有相应的介质管理规定，U盘、移动硬盘等存储介质有资产记录和责任人, 磁盘、光盘等存储介质有专人保管，笔记本使用没有明确的管理制度。5.643评估结论有相应的介质管理规定，U盘、移动硬盘等存储介质有资产记录和责任人, 磁盘、光盘等存储介质有专人保管，制订笔记本使用管理制度。5.7应急处置评估5.7.1应急预案5.7.1.1评估标准重要系统有完善的、可操作的应急预案，对应急预案进行定期演练。5.7.1.2现状描述重要系统没有完善的、可操作的应急预案。5.7.1.3评估结论制订重

22、要系统完善的、可操作的应急预案并对应急预案进行定期演练。5.7.2通报机制5.7.2.1评估标准按照集团公司的要求建立及时的信息安全信息通报机制。S.7.2.2现状描述没有按照集团公司的要求建立及时的信息安全信息通报机制。5.723评估结论按照集团公司的要求建立及时的信息安全信息通报机制。5.7.3故障联动机制5.7.3.1评估标准建立良好的故障通讯联动机制，进行联合防护。57.3.2现状描述没有建立故障通讯联动机制。5.7.3.3评估结论建立良好的故障通讯联动机制，进行联合防护。5.7.4故障抢修机制5.741评估标准建立完善的信息网故障抢修机制，应急资源到位。57.4.2现状描述没有建立完善的信息网故障抢修机制。57.4.3评估结论建立完善的信息网故障抢修机制，应急资源到位。6自评总结通过对上述的现状分析进行了自评估，总的来看，有了初步的安全基础设施, 在管理方面具备了部分制度和策略，安全防护单一，技术上通过多种手段实现了 基本的访问控制，但相应的安全策略、安全管理与技术方面的安全防护需要更新 以适应要求。需要对安全措施和管理制度方面进行改善，通过技术和管理两个方面来确保 策略的遵守和实现，最终能够将安全风险控制在适当范圉之内，保证和促进业务 开展。雨滴穿石，不是靠蛮力，而是靠持之以恒。一一拉蒂默