信息安全评估综合报告Word格式.docx

信息安全评估综合报告Word格式.docx

《信息安全评估综合报告Word格式.docx》由会员分享，可在线阅读，更多相关《信息安全评估综合报告Word格式.docx（12页珍藏版）》请在冰豆网上搜索。

5.1.1.2现实状况描述

本局已成立了信息安全领导机构，但还未成立信息安全工作机构。

5.1.1.3评定结论

完善信息安全组织机构，成立信息安全工作机构。

5.1.2岗位职责

5.1.2.1评定标准

岗位要求应包含：

专职网络管理人员、专职应用系统管理人员和专职系统管理人员；

专责工作职责和工作范围应有制度明确进行界定；

岗位实施主、副岗备用制度。

5.1.2.2现实状况描述

本局没有配置专职网络管理人员、专职应用系统管理人员和专职系统管理人员，全部是兼责；

专责工作职责和工作范围没有明确制度进行界定，岗位没有实施主、副岗备用制度。

5.1.2.3评定结论

本局已经有兼职网络管理员、应用系统管理员和系统管理员，在条件许可下，配置专职管理人员；

专责工作职责和工作范围没有明确制度进行界定，依据实际情况制订管理制度；

岗位没有实施主、副岗备用制度，在条件许可下，落实主、副岗备用制度。

5.1.3病毒管理

5.1.3.1评定标准

病毒管理包含计算机病毒防治管理制度、定时升级安全策略、病毒预警和汇报机制、病毒扫描策略（1周内最少进行一次扫描）。

5.1.3.2现实状况描述

本局使用Symantec防病毒软件进行病毒防护，定时从省企业病毒库服务器下载、升级安全策略；

病毒预警是经过第三方和网上提供信息起源，每个月统计、汇总病毒感染情况并提交局生技部和省企业生技部；

每七天进行二次自动病毒扫描；

没有制订计算机病毒防治管理制度。

5.1.3.3评定结论

完善病毒预警和汇报机制，制订计算机病毒防治管理制度。

5.1.4运行管理

5.1.4.1评定标准

运行管理应制订信息系统运行管理规程、缺点管理制度、统计汇报制度、运维步骤、值班制度并实施工作票制度；

制订机房出入管理制度并上墙，对进出机房情况统计。

5.1.4.2现实状况描述

没有建立对应信息系统运行管理规程、缺点管理制度、统计汇报制度、运维步骤、值班制度，没有实施工作票制度；

机房出入管理制度上墙，但没有机房进出情况统计。

5.1.4.3评定结论

结合本局具体情况，制订信息系统运行管理规程、缺点管理制度、统计汇报制度、运维步骤、值班制度，实施工作票制度；

机房出入管理制度上墙，统计机房进出情况。

5.1.5账号和口令管理

5.1.5.1评定标准

制订了账号和口令管理制度；

一般用户账户密码、口令长度要求符合大于6字符，管理员账户密码、口令长度大于8字符；

六个月内账户密码、口令应变更并保留变更相关统计、通知、文件，六个月内系统用户身份发生改变后应立即对其账户进行变更或注销。

5.1.5.2现实状况描述

没有制订账号和口令管理制度，一般用户账户密码、口令长度要求大部分全部不符合大于6字符；

管理员账户密码、口令长度大于8字符，六个月内账户密码、口令有过变更，但没有变更相关统计、通知、文件；

六个月内系统用户身份发生改变后能立即对其账户进行变更或注销。

5.1.5.3评定结论

制订账号和口令管理制度，完善一般用户账户和管理员账户密码、口令长度要求；

对账户密码、口令变更作相关统计；

立即对系统用户身份发生改变后对其账户进行变更或注销。

5.2网络和系统安全评定

5.2.1网络架构

5.2.1.1评定标准

局域网关键交换设备、城域网关键路由设备应采取设备冗余或准备备用设备，不许可外联链路绕过防火墙，含有目前正确网络拓扑结构图。

5.2.1.2现实状况描述

局域网关键交换设备准备了备用设备，城域网关键路由设备采取了设备冗余；

没有不经过防火墙外联链路，有目前网络拓扑结构图。

5.2.1.3评定结论

局域网关键交换设备、城域网关键路由设备按要求采取设备冗余或准备备用设备，外联链路没有绕过防火墙，完善网络拓扑结构图。

5.2.2网络分区

5.2.2.1评定标准

生产控制系统和管理信息系统之间进行分区，VLAN间访问控制设置合理。

5.2.2.2现实状况描述

生产控制系统和管理信息系统之间没有进行分区，VLAN间访问控制设置合理。

5.2.2.3评定结论

对生产控制系统和管理信息系统之间进行分区，VLAN间访问控制设置合理。

5.2.3网络设备

5.2.3.1评定标准

网络设备配置有备份，网络关键点设备采取双电源，关闭网络设备HTTP、FTP、TFTP等服务，SNMP小区串、当地用户口令强壮（>

8字符，数字、字母混杂）。

5.2.3.2现实状况描述

网络设备配置没有进行备份，网络关键点设备是双电源，网络设备关闭了HTTP、FTP、TFTP等服务，SNMP小区串、当地用户口令没达成要求。

5.2.3.3评定结论

对网络设备配置进行备份，完善SNMP小区串、当地用户口令强壮（>

5.2.4IP管理

5.2.4.1评定标准

有IP地址管理系统，IP地址管理有计划方案和分配策略，IP地址分配有统计。

5.2.4.2现实状况描述

没有IP地址管理系统，正在进行对IP地址计划和分配，IP地址分配有统计。

5.2.4.3评定结论

建立IP地址管理系统，加紧进行对IP地址计划和分配，IP地址分配有统计。

5.2.5补丁管理

5.2.5.1评定标准

有补丁管理手段或补丁管理制度，Windows系统主机补丁安装齐全，有补丁安装测试统计。

5.2.5.2现实状况描述

经过手工补丁管理手段，没有制订对应管理制度；

Windows系统主机补丁安装基础齐全，没有补丁安装测试统计。

5.2.5.3评定结论

完善补丁管理手段，制订对应管理制度；

补缺Windows系统主机补丁安装，补丁安装前进行测试统计。

5.2.6系统安全配置

5.2.6.1评定标准

对操作系统安全配置进行严格设置，删除系统无须要服务、协议。

5.2.6.2现实状况描述

没有对操作系统安全配置进行严格设置，部分系统删除无须要服务、协议。

5.2.6.3评定结论

5.2.7主机备份

5.2.7.1评定标准

关键系统主机采取双机备份并进行热切换或故障恢复测试。

5.2.7.2现实状况描述

关键系统主机采取了双机备份，进行过热切换或故障恢复测试。

5.2.7.3评定结论

关键系统主机采取了双机备份，进行热切换或故障恢复测试。

5.3网络服务和应用系统评定

5.3.1WWW服务器

5.3.1.1评定标准

WWW服务用户账户、口令应健壮（查看登录），信息公布进行了分级审核，外部网站有备份或其它保护方法。

5.3.1.2现实状况描述

没有WWW服务。

5.3.1.3评定结论

考虑按上述标准建设WWW服务。

5.3.2电子邮件服务器

5.3.2.1评定标准

对近三个月邮件数据进行备份，有专门针对邮件病毒、垃圾邮件安全方法，邮件系统管理员账户/口令应强壮，邮件系统维护、检验应有审计统计。

5.3.2.2现实状况描述

OA系统邮件数据进行一星期备份，有专门针对邮件病毒、垃圾邮件趋势防病毒软件系统，但该软件存在问题比较多，邮件系统管理员账户/口令设置合理，邮件系统维护、检验没有审计统计。

5.3.2.3评定结论

对OA系统邮件数据进行三个月备份，关注处理趋势防病毒软件系统问题；

邮件系统管理员账户/口令设置合理，对邮件系统维护、检验审计进行统计。

5.3.3远程拨号访问

5.3.3.1评定标准

有限制远程拨号访问管理方法，用于业务系统维护远程拨号访问采取身份验证、访问操作统计等方法。

5.3.3.2现实状况描述

没有远程拨号访问。

5.3.3.3评定结论

远程拨号访问设置按上述标准实施。

5.3.4应用系统

5.3.4.1评定标准

应用系统角色、权限分配有统计；

用户账户变更、修改、注销有统计（六个月统计情况）；

关键应用系统数据功效操作进行审计并进行长久存放；

对关键应用系统有应急预案；

关键应用系统管理员账户、用户账户口令定时进行变更；

新系统上线前进行安全性测试。

5.3.4.2现实状况描述

营销系统角色、权限分配有统计，其它系统没有；

用户账户变更、修改、注销没有统计；

关键应用系统数据功效操作没有进行审计；

没有针对关键应用系统应急预案；

关键应用系统管理员账户、用户账户口令有定时进行变更；

有些新系统上线前没有进行过安全性测试。

5.3.4.3评定结论

完善系统角色、权限分配有统计；

统计用户账户变更、修改、注销（六个月统计情况）；

关键应用系统数据功效操作进行审计；

制订针对关键应用系统应急预案；

新系统上线前应严格按摄影关标准进行安全性测试。

5.4安全技术管理和设备运行情况评定

5.4.1防火墙

5.4.1.1评定标准

网络中防火墙位置布署合理，防火墙规则配置符合安全要求，防火墙规则配置建立、更改有规范申请、审核、审批步骤，对防火墙日志进行存放、备份。

5.4.1.2现实状况描述

网络中防火墙位置布署合理，防火墙规则配置符合安全要求，防火墙规则配置没有建立、更改有规范申请、审核、审批步骤，对防火墙日志没有进行存放、备份。

5.4.1.3评定结论

网络中防火墙位置布署合理，防火墙规则配置符合安全要求，防火墙规则配置建立、更改要有规范申请、审核、审批步骤，对防火墙日志应进行存放、备份。

5.4.2防病毒系统

5.4.2.1评定标准

防病毒系统覆盖全部服务器及用户端（覆盖率最少应大于90％），对服务器防病毒用户端管理策略配置合理（自动升级病毒代码、每七天扫描），有专责人员负责维护防病毒系统并立即公布病毒通告。

5.4.2.2现实状况描述

防病毒系统覆盖全部用户端（覆盖率大于90％），服务器端除了OA服务器有防病毒系统外其它没有；

有兼责人员负责维护防病毒系统，但基础没有公布病毒通告。

5.4.2.3评定结论

防病毒系统覆盖全部用户端（覆盖率大于90％），服务器端除了OA服务器有防病毒系统外其它没有，考虑以后实施；

考虑配置专责人员负责维护防病毒系统，并立即公布病毒通告。

5.4.3入侵检测系统

5.4.3.1评定标准

入侵检测系统布署合理、覆盖关键网络边界和关键服务器，定时对审计信息进行分析，定时更新入侵检测规则和升级。

5.4.3.2现实状况描述

没有布署入侵检测系统。

5.4.3.3评定结论

按上述布署、配置入侵检测系统。

5.4.4安全技术管理

5.4.4.1评定标准

布署身份认证系统、安全管理平台，采取漏洞扫描系统，关键系统十二个月内进行信息安全风险评定，布署针对安全设备日志服务器。

5.4.4.2现实状况描述

没有布署身份认证系统、安全管理平台，没有漏洞扫描系统，关键系统没有进行信息安全风险评定，没有布署针对安全设备日志服务器。

5.4.4.3评定结论

按标准布署身份认证系统、安全管理平台、针对安全设备日志服务器，采取漏洞扫描系统，关键系统十二个月进行一次信息安全风险评定。

5.5存放备份系统评定

5.5.1备份策略

5.5.1.1评定标准

建立明确、合理备份策略，严格根据备份策略对系统数据进行备份（查看备份策略文件、查看备份统计或查看备份工具配置）。

5.5.1.2现实状况描述

建立了明确、合理备份策略并严格根据备份策略对系统数据进行备份。

5.5.1.3评定结论

建立明确、合理备份策略，严格根据备份策略对系统数据进行备份。

5.5.2恢复预案

5.5.2.1评定标准

建立明确恢复预案（查看文件），定时进行恢复演练。

5.5.2.2现实状况描述

没有建立明确恢复预案，也没有定时进行恢复演练。

5.5.2.3评定结论

建立明确恢复预案并定时进行恢复演练。

5.5.3备份介质管理

5.5.3.1评定标准

建立介质管理制度和废弃介质处理制度，储存介质存放在安全环境，有严格介质存取控制，有专员对存放介质进行定时检验。

5.5.3.2现实状况描述

没有建立介质管理制度和废弃介质处理制度，储存介质存放在安全环境，没有严格介质存取控制，没有对存放介质进行定时检验。

5.5.3.3评定结论

建立介质管理制度和废弃介质处理制度，储存介质存放在安全环境，严格介质存取控制，对存放介质进行定时检验。

5.6介质及物理环境安全评定

5.6.1机房内部安全防护

5.6.1.1评定标准

主机房安装门禁、监控和报警系统。

5.6.1.2现实状况描述

主机房没有安装门禁、监控系统，有消防报警系统。

5.6.1.3评定结论

5.6.2机房供、配电

5.6.2.1评定标准

有具体机房配线图，机房供电系统将动力、照明用电和计算机系统供电线路分开，机房配置应急照明装置，定时对UPS运行情况进行检测（查看六个月内检测统计）。

5.6.2.2现实状况描述

没有具体机房配线图，机房供电系统将动力、照明用电和计算机系统供电线路是分开，机房没有配置应急照明装置，有定时对UPS运行情况进行检测但没有检测统计。

5.6.2.3评定结论

补全机房配线图，机房供电系统将动力、照明用电和计算机系统供电线路分开，机房配置应急照明装置，定时对UPS运行情况进行检测和统计。

5.6.3机房环境防护

5.6.3.1评定标准

采取气体防火方法，空调系统定时进行检验，机房温度控制在摄氏26度以下。

5.6.3.2现实状况描述

有手提干粉灭火器，没有采取气体防火方法，空调系统定时进行检验，机房温度控制在摄氏26度以下。

5.6.3.3评定结论

5.6.4介质管理

5.6.4.1评定标准

有介质管理要求，U盘、移动硬盘等存放介质有资产统计和责任人，磁盘、光盘等存放介质有专员保管，笔记本使用有明确管理制度。

5.6.4.2现实状况描述

有对应介质管理要求，U盘、移动硬盘等存放介质有资产统计和责任人，磁盘、光盘等存放介质有专员保管，笔记本使用没有明确管理制度。

5.6.4.3评定结论

有对应介质管理要求，U盘、移动硬盘等存放介质有资产统计和责任人，磁盘、光盘等存放介质有专员保管，制订笔记本使用管理制度。

5.7应急处理评定

5.7.1应急预案

5.7.1.1评定标准

关键系统有完善、可操作应急预案，对应急预案进行定时演练。

5.7.1.2现实状况描述

关键系统没有完善、可操作应急预案。

5.7.1.3评定结论

制订关键系统完善、可操作应急预案并对应急预案进行定时演练。

5.7.2通报机制

5.7.2.1评定标准

根据集团企业要求建立立即信息安全信息通报机制。

5.7.2.2现实状况描述

没有根据集团企业要求建立立即信息安全信息通报机制。

5.7.2.3评定结论

5.7.3故障联动机制

5.7.3.1评定标准

建立良好故障通讯联动机制，进行联合防护。

5.7.3.2现实状况描述

没有建立故障通讯联动机制。

5.7.3.3评定结论

5.7.4故障抢修机制

5.7.4.1评定标准

建立完善信息网故障抢修机制，应急资源到位。

5.7.4.2现实状况描述

没有建立完善信息网故障抢修机制。

5.7.4.3评定结论

6自评总结

经过对上述现实状况分析进行了自评定，总来看，有了初步安全基础设施，在管理方面含有了部分制度和策略，安全防护单一，技术上经过多个手段实现了基础访问控制，但对应安全策略、安全管理和技术方面安全防护需要更新以适应要求。

需要对安全方法和管理制度方面进行改善，经过技术和管理两个方面来确保策略遵守和实现，最终能够将安全风险控制在合适范围之内，确保和促进业务开展。