XX等保合规差距评估报告.docx
- 文档编号:26321986
- 上传时间:2023-06-17
- 格式:DOCX
- 页数:52
- 大小:215.94KB
XX等保合规差距评估报告.docx
《XX等保合规差距评估报告.docx》由会员分享,可在线阅读,更多相关《XX等保合规差距评估报告.docx(52页珍藏版)》请在冰豆网上搜索。
XX项目等保合规
差距评估报告
第4页/共52页
目录
1引言 5
1.1评估背景 5
1.2评估目的 5
1.3评估范围 6
1.4评估依据 6
2评估实施方法与过程 8
2.1评估实施总体流程 8
2.2现有资料收集与整理 9
2.3信息安全问卷调研 9
2.4现场管理访谈 9
2.5人工检查与技术评估 10
2.6安全风险分析 11
2.7合规性分析 11
3评估结果综述 12
3.1信息化建设现状 12
3.2总体信息安全差距 13
3.3信息安全技术评估结果 14
3.3.1物理安全评估 14
3.3.1.1现状描述 14
3.3.1.2发现问题 15
3.3.1.3处置建议 15
3.3.2网络安全评估 15
3.3.2.1现状描述 15
3.3.2.2发现问题 15
3.3.2.3处置建议 16
3.3.3主机安全评估 16
3.3.3.1现状描述 16
3.3.3.2发现问题 16
3.3.3.3处置建议 17
3.3.4应用安全评估 17
3.3.4.1现状描述 17
3.3.4.2发现问题 17
3.3.4.3处置建议 18
3.3.5数据安全评估 18
3.3.5.1现状描述 18
3.3.5.2发现问题 18
3.3.5.3处置建议 18
3.4信息安全管理评估结果 19
3.4.1安全管理制度评估 19
3.4.1.1现状描述 19
3.4.1.2发现问题 19
3.4.1.3处置建议 19
3.4.2安全管理机构评估 19
3.4.2.1现状描述 19
3.4.2.2发现问题 19
3.4.2.3处置建议 20
3.4.3人员安全管理评估 20
3.4.3.1现状描述 20
3.4.3.2发现问题 20
3.4.3.3处置建议 20
3.4.4系统建设管理评估 20
3.4.4.1现状描述 20
3.4.4.2发现问题 21
3.4.4.3处置建议 21
3.4.5系统运维管理评估 21
3.4.5.1现状描述 21
3.4.5.2发现问题 21
3.4.5.3处置建议 22
4等保三级差距分析 23
1引言
1.1评估背景
XX法院成立于1950年12月21日,法院审判办公楼坐落于XX。
全院现有正式干警168人,本科以上学历151人,占总人数的90.1%,其中硕士33人,占总人数的21.9%,管辖7个街道、16个镇,户籍人口113.1万人,常住人口106.8万人,其中城镇常住人口65.92万
人。
2010年以来,XX法院共审执结各类案件49460件,解决争议标的额46.7亿元,执行兑现7.7亿元,XX川经济社会发展作出了应有贡献。
近年来,随着信息技术的不断发展,信息化建设水平有了显著的提高,基本实现了信息化办公与案件审判执行,全院建设了审判执行系统、案件档案管理系统、OA系统、数字法庭系统、内部宣传网站系统等业务应用信息系统,提高了日常办公效率,也为重庆市高级人民法院统一的信息数据管理提高了保障。
十八大以来,随着国际安全形势不断复杂,国家领导人的不断重视,网络与信息安全已经上升到了国家安全高度,各政府单位与各级相关部门相继开展公安部信息系统安全等级保护系列标准与规范的贯彻与执行工作,对自身信息系统的安全风险识别与整改,提升信息系统安全等级,保障业务应用与重要数据的机密性、完整性、可用性。
XX人民法院为响应重庆市高级人民法院关于信息系统安全等级保护工作有效开展的指导意见,希望完善自身业务信息系统(等级保护第三级安全要求)安全保护手段,有必要开展信息系统安全等级保护合规差距分析工作,发现安全短板,找出不足之处,为后期安全整改提供指导性意见与建议。
1.2评估目的
现状调研与差距分析是信息系统安全等级保护建设项目的主要基础工作之一,XX公司评估人员通过文件复审、问卷调查、现场访谈、现场走查等方式对XX人民法院信息系统的安全现状进行详细的调研,掌握目前XX人民法院信息安全建设工作中的短板,分析与等级保护体系的差距,评估出现的安全风险,为下一阶段的安全整改工作打下坚实的基础。
本次评估工作的主要目的为:
n了解目前信息化建设的整体状态;
第52页/共52页
n评测与等级保护的差距水平;
n找出信息安全建设与管理的工作短板;
n发现已出现或即将出现的安全风险;
n提出安全整改指导建议。
1.3评估范围
本次评估工作的范围是信息安全技术与信息安全管理相关内容:
n信息安全技术
Ø物理安全
Ø网络安全
Ø主机安全
Ø应用安全
Ø数据安全
n信息安全管理
Ø安全管理机构
Ø安全管理制度
Ø人员安全管理
Ø系统建设管理
Ø系统运维管理
1.4评估依据
本次评估工作的相关标准与依据为:
等级保护
GB17859-1999计算机信息系统安全保护等级划分准则
GB/Taaaaa-xxxx信息安全技术信息系统安全等级保护实施指南
系统定级
GB/T22240-2008信息安全技术信息系统安全保护等级定级指南
技术方面
GB/T22239-2008信息安全技术信息系统安全等级保护基本要求
GB/T20270-2006信息安全技术网络基础安全技术要求GB/T20271-2006信息安全技术信息系统通用安全技术要求GB/T20272-2006信息安全技术操作系统安全技术要求
GB/T20273-2006信息安全技术数据库管理系统通用安全技术要求
GA/T671-2006信息安全技术终端计算机系统安全等级技术要求
GA/T709-2007信息安全技术信息系统安全等级保护基本模型
管理方面
GB/T22239-2008信息安全技术信息系统安全等级保护基本要求
2评估实施方法与过程
2.1评估实施总体流程
信息安全现状调研是以XX公司安全咨询方法论为衡量准则和执行方法,同时参考相关政策法规、行业最佳实践以及咨询顾问在信息安全方面的实践经验,采用文件复审、问卷调查与人工检查、现场访谈等方式,针对XX区人民法院信息系统安全制度体系、组织架构、运行维护和技术防护等各方面进行详细调查与综合分析,以全面目前的信息安全现状的过程。
下图简单描述了xx公司在信息安全现状调研阶段所采用的工作方式和方法。
分析和总结
现场访谈
人工检查
文档复审
n文档复审主要现有的组织架构、岗位职责、现有安全制度等,为现场访谈等做好准备。
n人工检查通过一系列的重要信息资产的安全配置检查单(操作系统,网络设备,安全设备,数据库等),与数据中心总体运维的各类应用、操作系统、主机和网络设备,安全设备的配置进行对比检查,了解安全运维方面的现状,并通过漏洞扫
描,技术性渗透测试等手段发现信息资产的技术性安全问题,为日后形成配置规范打下基础。
问卷调查则是提出有针对性的问题调研,通过填卷人对XX法院内部各安全技术环节,各安全管理环节,各安全组织环节的基本情况做出中立的填写,为差距分析做好准备。
n现场访谈通过对信息化相关负责人、骨干人员、运维人员、开发人员的面对面访谈,深入了解各业务组的业务工作及IT应用现状和信息安全状况,并了解各业务组面临的具体安全问题和对本项目的期望。
n在上述各项工作完成之后,XX公司安全顾问结合信息系统安全等级保护基本要求以及其它相关要求,对各项安全现状调研工作的结果进行逐一差距分析,最后对整体的安全现状做出总体评价和描述。
2.2现有资料收集与整理
目的:
全面掌握现有组织架构、制度文件、流程类资料。
任务:
主要任务是收集评估对象相关信息资料,包括企业风险管理框架、制度、流程、KRI地图、业务战略、IT规划、白皮书、IT制度文件、落实留痕、IT运维程序和记录、信息安全管理和记录、IT基础设施资料、IT应用系统资料、组织架构信息和安全事件等。
方式和工具:
主要采用下发调研表和主动询问整理的方式收集现有资料。
n制度文件调研表
n资产收集调研表
资料收集情况:
XX法院因信息化人员只有一人,相关信息系统管理与安全管理的文件制度相对较少,且长时间没有更新,仅收集到《中心机房管理职责规定》与《中华人民共和国保守国家秘密法规定的十二种禁止行为》两份管理制度。
2.3信息安全问卷调研
目的:
通过问卷填写方式全面了解信息安全技术与管理现状。
任务:
主要是让信息化相关负责人根据企业实际IT建设情况填写相关安全事件、安全管理、安全体系运作、安全运维流程方面的遇到的问题。
方式和工具:
主要采用下发调研表的方式完成调研。
n信息安全问卷调研表
问卷调研情况:
本次评估通过下发《信息安全问卷调查表》让相关负责人填写后收集。
2.4现场管理访谈
目的:
通过与人员现场询问、沟通、了解的方式全面了解信息安全技术与管理现状。
任务:
主要是了解信息资产状况,安全体系管理运行,应用的安全技术,资产管理运行,
开发相关的运行,人力管理运行,安全要求和需求,实调研安全运维(操作)流程和程序,监控和审计的调研,备份和容灾的调研等。
方式和工具:
主要采用下发调研表的方式完成调研。
n访谈提纲与访谈记录
现场访谈情况:
本次评估通过根据《等保三级差距分析调研表》的内容与XX人民法院信息化负责人余欢进行了现场访谈调研。
2.5人工检查与技术评估
目的:
通过技术手段与专家经验分析目前XX法院信息系统与资产的技术防护短板。
任务:
核心系统抽样服务器技术评估与人工检查,网络架构评估与网络设备安全检查,办公终端抽样检查,业务系统技术性渗透测试。
方式和工具:
主要采用如下方式进行人工检查和技术评估。
n工具扫描检测
Ø业界成熟的漏洞扫描工具
n资产安全配置核查规范
ØUNIX系统安全配置规范
ØLINUX系统安全配置规范
ØWINDOWS系统安全配置规范
Ø网络设备安全配置规范
Ø数据库安全配置规范
Ø防火墙设备安全配置规范
n技术性渗透测试
Ø黑盒测试
检查与评估情况:
本次由于XX法院业务系统的运行重要性及时间问题,根据客户要求没有做技术性渗透测试与安全漏洞扫描,但是对以下部分IT资产的安全配置做了详细的检查:
资产名称
主要用途
IP地址
审判执行应用服务器
法院审判执行系统WEB应用
149.XX.0.X
OA服务器
法院内部OA系统应用
149.XX.0.X
内部网站服务器
法院内部网站应用
149.XX0.X
中兴交换机ZXR10
核心交换机1
149.XX.251.X
中兴交换机ZXR10
核心交换机2
149.XX.252.X
深信服防火墙
网络边界防护
10.XX.251.X
天融信入侵检测(IDS)
网络安全检测
未知
金盾内网安全管理系统
终端安全集中管控
149.XX.0.X
2.6安全风险分析
目的:
分析组织体系,技术体系,管理体系目前存在的问题。
任务:
分析IT投入、安全管理体系运行,应用的安全技术,资产管理,开发管理,人力管理,安全要求和需求,安全运维(操作)流程和程序,监控和审计,备份和容灾等方面的管理问题;分析部门职责,岗位职责,安全考核等方面的落实问题;分析系统安全漏洞,配置漏洞,代码漏洞等方面的技术问题。
方式和工具:
采用如下方式进行问题分析。
n制度内容评审;
n制度执行情况分析;
n设备安全分析;
n网络安全分析;
n系统安全分析;
n组织架构完整性分析;
安全风险分析实施情况:
评估人员通过结合众多公检法行业的安全检查与评估经验,以专家的视角对目前收集到的原始信息(制度,规范,扫描结果,配置核查结果,访谈记录,调研表的填写,安全意识调查等)对安全风险与出现的问题进行分析。
2.7合规性分析
目的:
分析目前反映的问题和行业标准的差距。
任务:
主要任务是分析与信息系统安全等级保护系列标准的差距。
方式和工具:
采用如下方式和工具了解安全差距方面的问题。
n等级保护差距分析表;
n等级保护各项内容现状评估评分表;
合规性分析实施情况:
评估人员通过参考等级保护三级基本要求的10个大类项,73个子类项,290个基本要求,对比目前了解的相关安全管理情况作出差距分析结果。
3评估结果综述
3.1信息化建设现状
XX人民法院信息化建设整体相对较为简单,业务系统不多,网络结构比较单一,如下图所示:
n 两台核心交换机为中兴ZRX108905,为主备模式,承载所有法院内部所有业务信息系统和各办公终端的总体网络流量;
n 出口为一台中兴路由器,通过电信提供的专网与XXX高级人民法院和其他区域的人民法院进行网络互连与业务数据共享;
n 各楼层均通过楼层交换机汇聚后接入核心交换机访问业务应用区域;
n业务应用区域内的审批执行系统数据库分别接入爱数存储与同友存储设备,档案管理系统与数字法庭系统分别接入各自数据存储阵列;OA系统与网站系统均为一台服务器承载应用;
n网络到电信专网的总出口处部署了防火墙进行安全防护;
n核心交换机分别旁路部署了网络入侵检测(IDS)和终端安全管理认证网关。
3.2总体信息安全差距
XX人民法院的信息安全体系建设比较落后,安全短板较多,根据现状调研的安全总体差距体现为除物理安全、网络安全、人员安全达到等级保护三级部分要求外,主机安全、应用安全、数据安全、安全管理制度、安全管理机构、系统建设管理、系统运维管理等几个方面均有较大的安全差距,如下图所示:
3.3信息安全技术评估结果
3.3.1物理安全评估
3.3.1.1现状描述
n 所有物理区域与外界都有门禁系统或者保安人员值守,进入办公楼的外部人员还需进行安全检查;
n 外来人员进入机房均有内部人员陪同,进入机房施工有相应的使用登记单;
n 机房内部环境整洁,没有发现易燃、易爆等危险物品;
n 机房具有完善的空调、消防、供电等设施,对于这些设施能够进行定期的检查与维护;
n 机房设备走线规范,都贴有相应的资产标签;
n 明确了机房物理环境的负责人与配合部门;
3.3.1.2发现问题
n机房内发现有未喝完的矿泉水瓶;
n机房内缺少动力环境情况监控;
n人员对机房的访问缺少真实的登记记录,来访记录随意性较大;
n缺少对信息设备信息安全要求描述的条例,如场外设备安全、设备安全报废和重用、设备维护、线缆安全等;
n缺乏机房管理细则及场外设备管理制度;
3.3.1.3处置建议
n应逐步完善机房的日常安全管理制度;
n应建立完整真实的访问情况记录,提高安全防范意识;
n应尽快清理机房内的无关物品,保持机房干净整洁;
n应形成一套完善的机房动力环境安全监控机制,提高运维水平与故障发现效率。
3.3.2网络安全评估
3.3.2.1现状描述
n网络核心交换部分采用了两台交换机冗余备份,保证了网络核心链路稳定;
n针对具体业务与区域划分了VLAN;
n针对指定的IP地址设置了ACL列表,做到了访问控制与隔离;
n网络出口处部署了防火墙进行安全防护;
n网络中部署了网络安全入侵检测系统进行安全监控;
3.3.2.2发现问题
n缺乏网络审计手段,对异常流量、设备操作、违规协议等问题不能及时发现和定位;
n缺乏网络层防病毒手段,对计算机病毒木马和其他恶意代码不能及时阻断;
n网络入侵检测系统(IDS)没有真正启用,没有数据也没有监控报表定期分析;
n防火墙的IPS策略库、WEB防护策略库、数据泄密防护策略库不是最新的,僵尸网络识别策略库已经过期了;
n网络性能与流量使用情况缺乏有效的监控管理手段;
n采样的两台网络设备缺乏基本安全配置,两台核心交换机均为默认配置,具体表现为:
Ø没有禁用设备BANNNER,造成设备信息泄漏;
Ø没有启用SSH安全登录协议,只用采用了明文的TELNET和本地CONSOLE登录;
Ø启用了OSPF协议单没有启动路由安全认证,如MD5加密;
Ø日志没有开启远程收集,本地日志记录有限;
Ø设备用户和密码为明文保存,没有加密保存;
3.3.2.3处置建议
n应完善网络行为审计手段,建立网络审计与安全管控机制;
n应通过网络防毒设备对计算机病毒与恶意代码进行网络层防护;
n应完善网络性能监控与设备运维手段,提高网络资源使用分析与集中管控水平;
n应对网络设备进行安全规范配置;
3.3.3主机安全评估
3.3.3.1现状描述
n终端操作系统都安装了杀毒软件并通过离线包进行更新;
n终端通过内网安全管控系统进行认证安全控制;
n服务器操作系统登陆均设置了复杂密码。
3.3.3.2发现问题
n部分服务器没有安装杀毒软件,导致出现计算机病毒入侵安全风险;
n缺乏对操作系统的操作行为审计;
n缺乏账号管理与身份认证的统一管理,没有认证日志记录,存在多人共用一账号的情况;
n终端安全目前只实现了U盘插入安全管理,其他功能没有启用;
n终端安全使用习惯没有建立,存在大量登录弱口令;
n缺乏对服务器性能的实时监控与告警机制,运维效率不高;
n采样的三台应用服务器配置基本为默认配置,存在较高安全风险,具体表现为:
Ø没有任何安全防护软件;
Ø安全补丁从未更新,存在大量安全漏洞;
Ø安全访问审核日志没有打开,从未记录相关访问情况;
Ø密码安全策略未开启;
Ø账号锁定策略未开启;
Ø危险服务如TaskScheduler、remoteregistry、printerspooler没有关闭;
3.3.3.3处置建议
n应继续完善的统一防病毒体系,对终端、服务器进行安全防护;
n应形成操作行为审计手段;
n应完善服务器性能监控与设备运维手段,提高网络资源使用分析与集中管控水平;
n应对服务器进行安全规范配置,对安全补丁、审核日志、本地安全策略、开启服务等进行安全配置修改,提高服务器安全等级。
3.3.4应用安全评估
3.3.4.1现状描述
n通过防火墙的WAF功能对应用系统的WEB程序进行安全防护;
n应用系统的账号按角色进行了权限分类与限制;
3.3.4.2发现问题
n缺乏应用操作的安全审计手段;
n缺乏对应用的定期安全评估与漏洞检测;
n缺乏对程序代码的安全审计手段;
n缺乏对应用性能的有效监控与问题分析定位;
3.3.4.3处置建议
n应定期对应用系统进行安全漏洞检查与渗透测试;
n应形成应用系统操作行为审计手段;
n应完善应用程序的性能监控与设备运维手段,提高资源使用分析与集中管控水平;
n应规范软件开发流程,形成代码开发或上线前的程序级代码安全审计机制。
3.3.5数据安全评估
3.3.5.1现状描述
n案例审批信息数据通过应用程序功能设置按账号权限进行数据上传与分享;
n关键数据都进行了阵列存储备份,并形成了备份机制。
3.3.5.2发现问题
n数据上传没有经过专用加密通道;
n重要数据的敏感信息没有加密保护;
3.3.5.3处置建议
n应建立专用数据上传与分享加密VPN通道;
n应对敏感信息进行加密保护。
3.4信息安全管理评估结果
3.4.1安全管理制度评估
3.4.1.1现状描述
n已经制定了一些IT管理制度与要求,如《移动存储介质管理办法》、《终端管理办法》、《网络管理办法》、《机房管理办法》等。
3.4.1.2发现问题
n管理制度内容覆盖不全,安全管理内容只占较少部分;
n缺乏纲领性信息安全工作指导,如信息安全目标、策略、方针等;
n制度长期没有评审与更新,内容过于成旧;
n制度没有检查执行记录,无法判断是否按照要求执行与宣贯。
3.4.1.3处置建议
n应完善各方面的安全管理制度与操作规范;
n应形成制度执行的检查与考核机制,提高自觉遵守管理规定的意识;
n应定期对管理制度进行内容评审与修订,保持适用性;
n应建立信息安全方针、目标、策略。
3.4.2安全管理机构评估
3.4.2.1现状描述
n信息化专职人员1名,工作职责包括安全建设、维护、管理;
n有系统集成厂家负责技术支持与技术沟通。
3.4.2.2发现问题
n没有形成体系化的信息安全组织架构,信息安全领导层、信息安全管理层、信息安
全执行层分工不明确;
n信息化工作岗位没有明确具体安全工作的职责与义务;
3.4.2.3处置建议
n因法院人员编制问题不能建立信息安全团队,可以通过明确各级领导、中层干部、普通员工的信息安全责任间接建立信息安全组织架构;
3.4.3人员安全管理评估
3.4.3.1现状描述
n内部人员正式编制员工通过国家统一公务员考试与面试审核入职;
n所有不同类型编制的内部人员都签订了保密协议;
n离岗与转岗人员的工作交接都有详细的记录。
3.4.3.2发现问题
n没有对关键岗位人员进行安全管理与工作审计;
n没有制定信息安全培训计划,很少进行不同岗位不同层次的安全培训。
3.4.3.3处置建议
n应定期对关键岗位人员进行安全管理与培训教育;
n应制定符合实际工作需求的信息安全知识培训计划,对不同岗位的人员从管理、技术、意识等不同内容进行定期的、系统的培训。
3.4.4系统建设管理评估
3.4.4.1现状描述
n所有业务系统与网络已经定级并完成评测;
n所有工程项目的方案均正式公开招投标并经过专家组评审;
n所有采购和使用的IT产品均是正规厂家生产的市场主流产品,安全产品全部有正式的公安部销售许可证;
n工程实施过程的质量由厂家和信息化负责人监督控制,并由办公室联合验收。
3.4.4.2发现问题
n项目管理过程文档与记录过于简单,有的项目只有一个进度确认表,没有形成体系化的项目管理机制;
n项目需求到设计开发没有安全介入,安全防护设计也没有形成第三方单独的方案;
n开发过程为高院统一指定外包商开发,对人员不能进行安全控制;
n没有指定专门的信息安全服务商,而是由项目
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- XX 合规 差距 评估 报告
![提示](https://static.bdocx.com/images/bang_tan.gif)