信息安全评估报告.doc

信息安全评估报告(管理信息系统)二零一六年一月191 目标单位信息安全检查工作的主要目标是通过自评估工作，发现本局信息系统当前面临的主要安全问题，边检查边整改，确保信息网络和重要信息系统的安全。2 评估依据、范围和方法2.1 评估依据根据国务院信息化工作办公室关于对国家基础信息网络和重要信息系统开展安全检查的通知（信安通200615号）、国家电力监管委员会关于对电力行业有关单位重要信息系统开展安全检查的通知（办信息200648号）以及集团公司和省公司公司的文件、检查方案要求, 开展单位的信息安全评估。2.2 评估范围本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等，管理信息系统中业务种类相对较多、网络和业务结构较为复杂，在检查工作中强调对基础信息系统和重点业务系统进行安全性评估，具体包括：基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。2.3 评估方法采用自评估方法。3 重要资产识别对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别，将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总，形成重要资产清单。资产清单见附表1。4 安全事件对本局半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录，形成本单位的安全事件列表。安全事件列表见附表2。5 安全检查项目评估5.1 规章制度与组织管理评估5.1.1 组织机构 评估标准信息安全组织机构包括领导机构、工作机构。 现状描述本局已成立了信息安全领导机构，但尚未成立信息安全工作机构。 评估结论完善信息安全组织机构，成立信息安全工作机构。5.1.2 岗位职责 评估标准岗位要求应包括：专职网络管理人员、专职应用系统管理人员和专职系统管理人员；专责的工作职责与工作范围应有制度明确进行界定；岗位实行主、副岗备用制度。 现状描述我局没有配置专职网络管理人员、专职应用系统管理人员和专职系统管理人员，都是兼责；专责的工作职责与工作范围没有明确制度进行界定，岗位没有实行主、副岗备用制度。 评估结论本局已有兼职网络管理员、应用系统管理员和系统管理员，在条件许可下，配置专职管理人员；专责的工作职责与工作范围没有明确制度进行界定，根据实际情况制定管理制度；岗位没有实行主、副岗备用制度，在条件许可下，落实主、副岗备用制度。5.1.3 病毒管理 评估标准病毒管理包括计算机病毒防治管理制度、定期升级的安全策略、病毒预警和报告机制、病毒扫描策略（1周内至少进行一次扫描）。 现状描述本局使用Symantec防病毒软件进行病毒防护，定期从省公司病毒库服务器下载、升级安全策略；病毒预警是通过第三方和网上提供信息来源，每月统计、汇总病毒感染情况并提交局生技部和省公司生技部；每周进行二次自动病毒扫描；没有制定计算机病毒防治管理制度。 评估结论完善病毒预警和报告机制，制定计算机病毒防治管理制度。5.1.4 运行管理 评估标准运行管理应制定信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度并实行工作票制度；制定机房出入管理制度并上墙，对进出机房情况记录。 现状描述没有建立相应信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度，没有实行工作票制度；机房出入管理制度上墙，但没有机房进出情况记录。 评估结论结合本局具体情况，制订信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度，实行工作票制度；机房出入管理制度上墙，记录机房进出情况。5.1.5 账号与口令管理 评估标准制订了账号与口令管理制度；普通用户账户密码、口令长度要求符合大于6字符，管理员账户密码、口令长度大于8字符；半年内账户密码、口令应变更并保存变更相关记录、通知、文件，半年内系统用户身份发生变化后应及时对其账户进行变更或注销。 现状描述没有制订账号与口令管理制度，普通用户账户密码、口令长度要求大部分都不符合大于6字符；管理员账户密码、口令长度大于8字符，半年内账户密码、口令有过变更，但没有变更相关记录、通知、文件；半年内系统用户身份发生变化后能及时对其账户进行变更或注销。 评估结论制订账号与口令管理制度，完善普通用户账户与管理员账户密码、口令长度要求；对账户密码、口令变更作相关记录；及时对系统用户身份发生变化后对其账户进行变更或注销。5.2 网络与系统安全评估5.2.1 网络架构 评估标准局域网核心交换设备、城域网核心路由设备应采取设备冗余或准备备用设备，不允许外联链路绕过防火墙，具有当前准确的网络拓扑结构图。 现状描述局域网核心交换设备准备了备用设备，城域网核心路由设备采取了设备冗余；没有不经过防火墙的外联链路，有当前网络拓扑结构图。 评估结论局域网核心交换设备、城域网核心路由设备按要求采取设备冗余或准备备用设备，外联链路没有绕过防火墙，完善网络拓扑结构图。5.2.2 网络分区 评估标准生产控制系统和管理信息系统之间进行分区，VLAN间的访问控制设置合理。 现状描述生产控制系统和管理信息系统之间没有进行分区，VLAN间的访问控制设置合理。 评估结论对生产控制系统和管理信息系统之间进行分区，VLAN间的访问控制设置合理。5.2.3 网络设备 评估标准网络设备配置有备份，网络关键点设备采用双电源，关闭网络设备HTTP、FTP、TFTP等服务，SNMP社区串、本地用户口令强健（8字符，数字、字母混杂）。 现状描述网络设备配置没有进行备份，网络关键点设备是双电源，网络设备关闭了HTTP、FTP、TFTP等服务，SNMP社区串、本地用户口令没达到要求。 评估结论对网络设备配置进行备份，完善SNMP社区串、本地用户口令强健（8字符，数字、字母混杂）。5.2.4 IP管理 评估标准有IP地址管理系统，IP地址管理有规划方案和分配策略，IP地址分配有记录。 现状描述没有IP地址管理系统，正在进行对IP地址的规划和分配，IP地址分配有记录。 评估结论建立IP地址管理系统，加快进行对IP地址的规划和分配，IP地址分配有记录。5.2.5 补丁管理 评估标准有补丁管理的手段或补丁管理制度，Windows系统主机补丁安装齐全，有补丁安装的测试记录。 现状描述通过手工补丁管理手段，没有制订相应管理制度；Windows系统主机补丁安装基本齐全，没有补丁安装的测试记录。 评估结论完善补丁管理的手段，制订相应管理制度；补缺Windows系统主机补丁安装，补丁安装前进行测试记录。5.2.6 系统安全配置 评估标准对操作系统的安全配置进行严格的设置，删除系统不必要的服务、协议。 现状描述没有对操作系统的安全配置进行严格的设置，部分系统删除不必要的服务、协议。 评估结论对操作系统的安全配置进行严格的设置，删除系统不必要的服务、协议。5.2.7 主机备份 评估标准重要的系统主机采用双机备份并进行热切换或者故障恢复的测试。 现状描述重要的系统主机采用了双机备份，进行过热切换或者故障恢复的测试。 评估结论重要的系统主机采用了双机备份，进行热切换或者故障恢复的测试。5.3 网络服务与应用系统评估 5.3.1 WWW服务器 评估标准WWW服务用户账户、口令应健壮（查看登录），信息发布进行了分级审核，外部网站有备份或其他保护措施。 现状描述没有WWW服务。 评估结论考虑按上述标准建设WWW服务。5.3.2 电子邮件服务器 评估标准对近三个月的邮件数据进行备份，有专门针对邮件病毒、垃圾邮件的安全措施，邮件系统管理员账户/口令应强健，邮件系统的维护、检查应有审计记录。 现状描述OA系统邮件数据进行一星期备份，有专门针对邮件病毒、垃圾邮件的趋势防病毒软件系统，但该软件存在问题比较多，邮件系统管理员账户/口令设置合理，邮件系统的维护、检查没有审计记录。 评估结论对OA系统邮件数据进行三个月备份，关注解决趋势防病毒软件系统问题；邮件系统管理员账户/口令设置合理，对邮件系统的维护、检查审计进行记录。5.3.3 远程拨号访问 评估标准有限制远程拨号访问的管理措施，用于业务系统维护的远程拨号访问采取身份验证、访问操作记录等措施。 现状描述没有远程拨号访问。 评估结论远程拨号访问设置按上述标准执行。5.3.4 应用系统 评估标准应用系统的角色、权限分配有记录；用户账户的变更、修改、注销有记录（半年记录情况）；关键应用系统的数据功能操作进行审计并进行长期存储；对关键应用系统有应急预案；关键应用系统管理员账户、用户账户口令定期进行变更；新系统上线前进行安全性测试。 现状描述营销系统的角色、权限分配有记录，其余系统没有；用户账户的变更、修改、注销没有记录；关键应用系统的数据功能操作没有进行审计；没有针对关键应用系统的应急预案；关键应用系统管理员账户、用户账户口令有定期进行变更；有些新系统上线前没有进行过安全性测试。 评估结论完善系统的角色、权限分配有记录；记录用户账户的变更、修改、注销（半年记录情况）；关键应用系统的数据功能操作进行审计；制定针对关键应用系统的应急预案；关键应用系统管理员账户、用户账户口令定期进行变更；新系统上线前应严格按照相关标准进行安全性测试。5.4 安全技术管理与设备运行状况评估5.4.1 防火墙 评估标准网络中的防火墙位置部署合理，防火墙规则配置符合安全要求，防火墙规则配置的建立、更改有规范申请、审核、审批流程，对防火墙日志进行存储、备份。 现状描述网络中的防火墙位置部署合理，防火墙规则配置符合安全要求，防火墙规则配置没有建立、更改有规范申请、审核、审批流程，对防火墙日志没有进行存储、备份。 评估结论网络中的防火墙位置部署合理，防火墙规则配置符合安全要求，防火墙规则配置的建立、更改要有规范申请、审核、审批流程，对防火墙日志应进行存储、备份。5.4.2 防病毒系统 评估标准防病毒系统覆盖所有服务器及客户端（覆盖率至少应大于90），对服务器的防病毒客户端管理策略配置合理（自动升级病毒代码、每周扫描），有专责人员负责维护防病毒系统并及时发布病毒通告。 现状描述防病毒系统覆盖所有客户端（覆盖率大于90），服务器端除了OA服务器有防病毒系统外其余没有；有兼责人员负责维护防病毒系统，但基本没有发布病毒通告。 评估结论防病毒系统覆盖所有客户端（覆盖率大于90），服务器端除了OA服务器有防病毒系统外其余没有，考虑以后实施；考虑配置专责人员负责维护防病毒系统，并及时发布病毒通告。5.4.3 入侵检测系统 评估标准入侵检测系统部署合理、覆盖主要网络边界与主要服务器，定期对审计信息进行分析，定期更新入侵检测的规则与升级。 现状描述没有部署入侵检测系统。 评估结论按上述部署、配置入侵检测系统。5.4.4 安全技术管理 评估标准部署身份认证系统、安全管理平台，采用漏洞扫描系统，重要系统一年内进行信息安全风险评估，部署针对安全设备的日志服务器。 现状描述没有部署身份认证系统、安全管理平台，没有漏洞扫描系统，重要系统没有进行信息安全风险评估，没有部署针对安全设备的日志服务器。 评估结论按标准部署身份认证系统、安全管理平台、针对安全设备的日志服务器，采用漏洞扫描系统，重要系统一年进行一次信息安全风险评估。5.5 存储备份系统评估 5.5.1 备份策略 评估标准建立明确、合理的备份策略，严格按照备份策略对系统数据进行备份（查看备份策略文件、查看备份记录或查看备份工具配置）。 现状描述建立了明确、合理的备份策略并严格按照备份策略对系统数据进行备份。 评估结论建立明确、合理的备份策略，严格按照备份策略对系统数据进行备份。5.5.2 恢复预案 评估标准建立明确的恢复预案（查看文件），定期进行恢复演练。 现状描述没有建立明确的恢复预案，也没有定期进行恢复演练。 评估结论建立明确的恢复预案并定期进行恢复演练。5.5.3 备份介质管理 评估标准建立介质管理制度和废弃介质处理制度，储存介质存放在安全环境，有严格的介质存取控制，有专人对存储介质进行定期检查。 现状描述没有建立介质的管理制度和废弃介质的处理制度，储存介质存放在安全环境，没有严格的介质存取控制，没有对存储介质进行定期检查。 评估结论建立介质管理制度和废弃介质处理制度，储存介质存放在安全环境，严格介质存取控制，对存储介质进行定期检查。5.6 介质及物理环境安全评估5.6.1 机房内部安全防护 评估标准主机房安装门禁、监控与报警系统。 现状描述主机房没有安装门禁、监控系统，有消防报警系统。 评估结论主机房安装门禁、监控与报警系统。5.6.2 机房供、配电 评估标准有详细的机房配线图，机房供电系统将动力、照明用电与计算机系统供电线路分开，机房配备应急照明装置，定期对UPS的运行状况进行检测（查看半年内检测记录）。 现状描述没有详细的机房配线图，机房供电系统将动力、照明用电与计算机系统供电线路是分开的，机房没有配备应急照明装置，有定期对UPS的运行状况进行检测但没有检测记录。 评估结论补全机房配线图，机房供电系统将动力、照明用电与计算机系统供电线路分开，机房配备应急照明装置，定期对UPS的运行状况进行检测和记录。5.6.3 机房环境防护 评估标准采用气体防火措施，空调系统定期进行检查，机房温度控制在摄氏26度以下。 现状描述有手提干粉灭火器，没有采用气体防火措施，空调系统定期进行检查，机房温度控制在摄氏26度以下。 评估结论采用气体防火措施，空调系统定期进行检查，机房温度控制在摄氏26度以下。5.6.4 介质管理 评估标准有介质管理规定，U盘、移动硬盘等存储介质有资产记录和责任人，磁盘、光盘等存储介质有专人保管，笔记本使用有明确的管理制度。 现状描述有相应的介质管理规定，U盘、移动硬盘等存储介质有资产记录和责任人，磁盘、光盘等存储介质有专人保管，笔记本使用没有明确的管理制度。 评估结论有相应的介质管理规定，U盘、移动硬盘等