某無線網(wǎng)絡(luò)安全風(fēng)險評估方案報告

1、XXXX有限公司無線網(wǎng)絡(luò)安全風(fēng)險評估報告XXXX有限公司二零一八年八月1. 目標(biāo)XXXX有限公司無線網(wǎng)絡(luò)安全檢查工作的主要目標(biāo)是通過自評估 工作，發(fā)現(xiàn)本局信息系統(tǒng)當(dāng)前面臨的主要安全問題，邊檢查邊整改，確保信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全。一.評估依據(jù)、范圍和方法1.1評估依據(jù)根據(jù)國務(wù)院信息化工作辦公室關(guān)于對國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)開展安全檢查的通知 信安通2006 15號）、國家電 力監(jiān)管委員會關(guān)于對電力行業(yè)有關(guān)單位重要信息系統(tǒng)開展安全檢查 的通知辦信息200648號）以及集團(tuán)公司和省公司公司的文件、 檢查方案要求，開展X單位的信息安全評估。1.2評估范圍本次無線網(wǎng)絡(luò)安全評估工作重點(diǎn)是重要的

2、業(yè)務(wù)管理信息系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)等，管理信息系統(tǒng)中業(yè)務(wù)種類相對較多、網(wǎng)絡(luò)和業(yè)務(wù)結(jié)構(gòu) 較為復(fù)雜，在檢查工作中強(qiáng)調(diào)對基礎(chǔ)無線網(wǎng)絡(luò)信息系統(tǒng)和重點(diǎn)業(yè)務(wù) 系統(tǒng)進(jìn)行安全性評估，具體包括：基礎(chǔ)網(wǎng)絡(luò)與服務(wù)器、無線路由 器、無線AP系統(tǒng)、現(xiàn)有安全防護(hù)措施、信息安全管理的組織與策 略、信息系統(tǒng)安全運(yùn)行和維護(hù)情況評估。1.3評估方法米用自評估方法。2. 重要資產(chǎn)識別對本司范圍內(nèi)的重要系統(tǒng)、重要網(wǎng)絡(luò)設(shè)備、重要服務(wù)器及其安 全屬性受破壞后的影響進(jìn)行識別，將一旦停止運(yùn)行影響面大的系統(tǒng)、關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備和安全設(shè)備、承載敏感數(shù)據(jù)和業(yè)務(wù)的服務(wù)器 進(jìn)行登記匯總。3. 安全事件對本司半年內(nèi)發(fā)生的較大的、或者發(fā)生次數(shù)較多的信息安全事 件進(jìn)

3、行匯總記錄，形成本單位的安全事件列表。4. 無線網(wǎng)絡(luò)安全檢查項(xiàng)目評估1. 評估標(biāo)準(zhǔn)無線網(wǎng)絡(luò)信息安全組織機(jī)構(gòu)包括領(lǐng)導(dǎo)機(jī)構(gòu)、工作機(jī)構(gòu)。崗位要求應(yīng)包括：專職網(wǎng)絡(luò)管理人員、專職應(yīng)用系統(tǒng)管理人員和專職系統(tǒng) 管理人員；專責(zé)的工作職責(zé)與工作范圍應(yīng)有制度明確進(jìn)行界定；崗位實(shí)行主、副崗備用制度。病毒管理包括計算機(jī)病毒防治管理制度、定期升級的安全策略、病毒預(yù)警和報告機(jī)制、病毒掃描策略（1 周內(nèi)至少進(jìn)行一次掃描）。2. 現(xiàn)狀描述本司已成立了信息安全領(lǐng)導(dǎo)機(jī)構(gòu)，但尚未成立信息安全工作機(jī) 構(gòu)。配置專職網(wǎng)絡(luò)管理人員，專責(zé)的工作職責(zé)與工作范圍有明確制 度進(jìn)行界定。本司使用360防病毒軟件進(jìn)行病毒防護(hù)，病毒預(yù)警是通 過第三方和

4、網(wǎng)上提供信息來源，每月統(tǒng)計、匯總病毒感染情況并提 交局生技部和省公司生技部；每周進(jìn)行二次自動病毒掃描；沒有制 定計算機(jī)病毒防治管理制度。3. 評估結(jié)論完善信息安全組織機(jī)構(gòu)，成立信息安全工作機(jī)構(gòu)。完善病毒預(yù) 警和報告機(jī)制，制定計算機(jī)病毒防治管理制度。5. 無線網(wǎng)絡(luò)賬號與口令管理1.評估標(biāo)準(zhǔn)制訂了賬號與口令管理制度；普通用戶賬戶密碼、口令長度要 求符合大于6字符，管理員賬戶密碼、口令長度大于8字符；半年內(nèi) 賬戶密碼、口令應(yīng)變更并保存變更相關(guān)記錄、通知、文件，半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后應(yīng)及時對其賬戶進(jìn)行變更或注銷。2. 現(xiàn)狀描述本司以制訂賬號與口令管理制度 ，普通用戶賬戶密碼、口令長 度要求大部分

5、都符合大于6字符；管理員賬戶密碼、口令長度大于8 字符，半年內(nèi)賬戶密碼、口令有過變更，但沒有變更相關(guān)記錄、通 知、文件；半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后能及時對其賬戶進(jìn)行變 更或注銷。3. 評估結(jié)論制訂賬號與口令管理制度，完善普通用戶賬戶與管理員賬戶密 碼、口令長度要求；對賬戶密碼、口令變更作相關(guān)記錄；及時對系 統(tǒng)用戶身份發(fā)生變化后對其賬戶進(jìn)行變更或注銷。6. 無線網(wǎng)絡(luò)與系統(tǒng)安全評估1.評估標(biāo)準(zhǔn)無線局域網(wǎng)核心交換設(shè)備、城域網(wǎng)核心路由設(shè)備應(yīng)采取設(shè)備冗 余或準(zhǔn)備備用設(shè)備，不允許外聯(lián)鏈路繞過防火墻，具有當(dāng)前準(zhǔn)確的 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。無線網(wǎng)絡(luò)設(shè)備配置有備份，網(wǎng)絡(luò)關(guān)鍵點(diǎn)設(shè)備采用 雙電源，關(guān)閉網(wǎng)絡(luò)設(shè)備HTTP、

6、FTP、TFTP等服務(wù)，SNMP社區(qū)串、 本地用戶口令強(qiáng)?。?字符，數(shù)字、字母混雜）。2. 現(xiàn)狀描述無線局域網(wǎng)核心交換設(shè)備準(zhǔn)備了備用設(shè)備，城域網(wǎng)核心路由設(shè)備采取了設(shè)備冗余；沒有不經(jīng)過防火墻的外聯(lián)鏈路，有當(dāng)前網(wǎng)絡(luò)拓 撲結(jié)構(gòu)圖。網(wǎng)絡(luò)設(shè)備配置沒有進(jìn)行備份，網(wǎng)絡(luò)關(guān)鍵點(diǎn)設(shè)備是雙電 源，網(wǎng)絡(luò)設(shè)備關(guān)閉了 HTTP、FTP、TFTP等服務(wù)，SNMP社區(qū)串、本 地用戶口令沒達(dá)到要求。3. 評估結(jié)論無線局域網(wǎng)核心交換設(shè)備、城域網(wǎng)核心路由設(shè)備按要求采取設(shè) 備冗余或準(zhǔn)備備用設(shè)備，外聯(lián)鏈路沒有繞過防火墻，完善網(wǎng)絡(luò)拓?fù)?結(jié)構(gòu)圖。對網(wǎng)絡(luò)設(shè)備配置進(jìn)行備份，完善SNMP社區(qū)串、本地用戶 口令強(qiáng)?。?字符，數(shù)字、字母混雜）。7.

7、ip管理與補(bǔ)丁管理1.評估標(biāo)準(zhǔn)有無線ip地址管理系統(tǒng)，無線ip地址管理有規(guī)劃方案和分配策略，無線ip地址分配有記錄。有補(bǔ)丁管理的手段或補(bǔ)丁管理制度Windows系統(tǒng)主機(jī)補(bǔ)丁安裝齊全，有補(bǔ)丁安裝的測試記錄2. 現(xiàn)狀描述有IP地址管理系統(tǒng)，正在進(jìn)行對IP地址的規(guī)劃和分配，IP地址分 配有記錄。通過手工補(bǔ)丁管理手段 ，沒有制訂相應(yīng)管理制度 ； Windows系統(tǒng)主機(jī)補(bǔ)丁安裝基本齊全，沒有補(bǔ)丁安裝的測試記錄3. 評估結(jié)論加快進(jìn)行對IP地址的規(guī)劃和分配，IP地址分配有記錄。完善補(bǔ) 丁管理的手段，制訂相應(yīng)管理制度；補(bǔ)缺Windows系統(tǒng)主機(jī)補(bǔ)丁安 裝，補(bǔ)丁安裝前進(jìn)行測試記錄。8.防火墻1. 評估標(biāo)準(zhǔn)無線網(wǎng)絡(luò)中的防火墻位置部署合理，防火墻規(guī)則配置符合安全要求，防火墻規(guī)則配置的建立、更改有規(guī)范申請、審核、審批流程，對防火墻日志進(jìn)行存儲、備份。2. 現(xiàn)狀描述無線網(wǎng)絡(luò)中的防火墻位置部署合理，防火墻規(guī)則配置符合安全要求，防火墻規(guī)則配置沒有建立、更改有規(guī)范申請、審核、審批流 程，對防火墻日志沒有進(jìn)行存儲、備份。3.評估結(jié)論網(wǎng)絡(luò)中的防火墻位置部署合理，防火墻規(guī)則配置符合安全要 求，防火墻規(guī)則配置的建立、更改要有規(guī)范申請、審核、審批流 程，對防火墻日志應(yīng)進(jìn)行存儲、備份。9自評總結(jié)通過對上述的現(xiàn)狀分析進(jìn)行了自評估，總的來看，有了初步的安全基礎(chǔ)設(shè)施，在管理方面具備了部分制度和策略，安全防護(hù)單一，技