信息安全風險評價報告

1、勝達集團信息安全評估報告（管理信息系統(tǒng)）勝達集團二零一六年一月1目標勝達集團信息安全檢查工作的主要目標是通過自評估工作，發(fā)現(xiàn)本局信息系統(tǒng)當前面臨的主要安全問題，邊檢查邊整改，確保信息網(wǎng)絡和重要信息系統(tǒng)的安全。2評估依據(jù)、范圍和方法2.1 評估依據(jù)根據(jù)國務院信息化工作辦公室關(guān)于對國家基礎信息網(wǎng)絡和重要信息系統(tǒng)開展安全檢查的通知（信安通200615號）、國家電力監(jiān)管委員會關(guān)于對電力行業(yè)有關(guān)單位重要信息系統(tǒng)開展安全檢查的通知（辦信息200648號）以及集團公司和省公司公司的文件、檢查方案要求，開展XX單位的信息安全評估。2.2 評估范圍本次信息安全評估工作重點是重要的業(yè)務管理信息系統(tǒng)和網(wǎng)絡系統(tǒng)等，管

2、理信息系統(tǒng)中業(yè)務種類相對較多、網(wǎng)絡和業(yè)務結(jié)構(gòu)較為復雜，在檢查工作中強調(diào)對基礎信息系統(tǒng)和重點業(yè)務系統(tǒng)進行安全性評估，具體包括：基礎網(wǎng)絡與服務器、關(guān)鍵業(yè)務系統(tǒng)、現(xiàn)有安全防護措施、信息安全管理的組織與策略、信息系統(tǒng)安全運行和維護情況評估。2.3 評估方法采用自評估方法。3重要資產(chǎn)識別對本局范圍內(nèi)的重要系統(tǒng)、重要網(wǎng)絡設備、重要服務器及其安全屬性受破壞后的影響進行識別，將一旦停止運行影響面大的系統(tǒng)、關(guān)鍵網(wǎng)絡節(jié)點設備和安全設備、承載敏感數(shù)據(jù)和業(yè)務的服務器進行登記匯總，形成重要資產(chǎn)清單。資產(chǎn)清單見附表1。4安全事件對本局半年內(nèi)發(fā)生的較大的、或者發(fā)生次數(shù)較多的信息安全事件進行匯總記錄，形成本單位的安全事件列表

3、。安全事件列表見附表2。5安全檢查項目評估5.1 規(guī)章制度與組織管理評估5.1.1 組織機構(gòu) 評估標準信息安全組織機構(gòu)包括領導機構(gòu)、工作機構(gòu)。 現(xiàn)狀描述本局已成立了信息安全領導機構(gòu)，但尚未成立信息安全工作機構(gòu)。完善信息安全組織機構(gòu)，成立信息安全I作機構(gòu)°5.1.2 崗位職責 估標準崗位要求應包括：專職網(wǎng)絡管理人員、專職應用系統(tǒng)管理人員和專職系統(tǒng)管理人員；專責的工作職責與工作范圍應有制度明確進行界定；崗位實行主、副崗備用制度。 現(xiàn)狀描述我局沒有配置專職網(wǎng)絡管理人員、專職應用系統(tǒng)管理人員和專職系統(tǒng)管理人員，都是兼責；專責的工作職責與

4、工作范圍沒有明確制度進行界定，崗位沒有實行主、副崗備用制度。 評估結(jié)論本局已有兼職網(wǎng)絡管理員、應用系統(tǒng)管理員和系統(tǒng)管理員，在條件許可下，配置專職管理人員；專責的工作職責與工作范圍沒有明確制度進行界定，根據(jù)實際情況制定管理制度；崗位沒有實行主、副崗備用制度，在條件許可下，落實主、副崗備用制度。5.1.3 病毒管理 評估標準病毒管理包括計算機病毒防治管理制度、定期升級的安全策略、病毒預警和報告機制、病毒掃描策略（1周內(nèi)至少進行一次掃描）。 現(xiàn)狀描述本局使用Symantec防病毒軟件進行病毒防護，定期從省公司病毒庫服務器下載、升級安全策略；病毒預警是通過第三

5、方和網(wǎng)上提供信息來源，每月統(tǒng)計、匯總病毒感染情況并提交局生技部和省公司生技部；每周進行二次自動病毒掃描；沒有制定計算機病毒防治管理制度。 評估結(jié)論完善病毒預警和報告機制，制定計算機病毒防治管理制度。5.1.4 運行管理 評估標準運行管理應制定信息系統(tǒng)運行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運維流程、值班制度并實行工作票制度；制定機房出入管理制度并上墻，對進出機房情況記錄。 現(xiàn)狀描述沒有建立相應信息系統(tǒng)運行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運維流程、值班制度，沒有實行工作票制度；機房出入管理制度上墻，但沒有機房進出情況記錄。 評估結(jié)論

6、結(jié)合本局具體情況，制訂信息系統(tǒng)運行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運維流程、值班制度，實行I作票制度；機房出入管理制度上墻，記錄機房進出情況。5.1.5 賬號與口令管理 評估標準制訂了賬號與口令管理制度；普通用戶賬戶密碼、口令長度要求符合大于6字符，管理員賬戶密碼、口令長度大于8字符；半年內(nèi)賬戶密碼、口令應變更并保存變更相關(guān)記錄、通知、文件，半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后應及時對其賬戶進行變更或注銷。 現(xiàn)狀描述沒有制訂賬號與口令管理制度，普通用戶賬戶密碼、口令長度要求大部分都不符合大于6字符；管理員賬戶密碼、口令長度大于8字符，半年內(nèi)賬戶密碼、口令有過變更，但沒

7、有變更相關(guān)記錄、通知、文件；半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后能及時對其賬戶進行變更或注銷。 評估結(jié)論制訂賬號與口令管理制度，完善普通用戶賬戶與管理員賬戶密碼、口令長度要求；對賬戶密碼、口令變更作相關(guān)記錄；及時對系統(tǒng)用戶身份發(fā)生變化后對其賬戶進行變更或注銷。5.2 網(wǎng)絡與系統(tǒng)安全評估5.2.1 網(wǎng)絡架構(gòu) 評估標準局域網(wǎng)核心交換設備、城域網(wǎng)核心路由設備應采取設備冗余或準備備用設備，不允許外聯(lián)鏈路繞過防火墻，具有當前準確的網(wǎng)絡拓撲結(jié)構(gòu)圖。 現(xiàn)狀描述局域網(wǎng)核心交換設備準備了備用設備，城域網(wǎng)核心路由設備采取了設備冗余；沒有不經(jīng)過防火墻的外聯(lián)鏈路，有當前網(wǎng)絡拓撲結(jié)構(gòu)圖

8、。 評估結(jié)論局域網(wǎng)核心交換設備、城域網(wǎng)核心路由設備按要求采取設備冗余或準備備用設備，外聯(lián)鏈路沒有繞過防火墻，完善網(wǎng)絡拓撲結(jié)構(gòu)圖。5.2.2 網(wǎng)絡分區(qū) 評估標準生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間進行分區(qū)，VLAN間的訪問控制設置合理。 現(xiàn)狀描述生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間沒有進行分區(qū)，VLAN間的訪問控制設置合理。 評估結(jié)論對生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間進行分區(qū)，VLAN間的訪問控制設置合理。5.2.3 網(wǎng)絡設備 評估標準網(wǎng)絡設備配置有備份，網(wǎng)絡關(guān)鍵點設備采用雙電源，關(guān)閉網(wǎng)絡設備HTTP、FTRTFTP等服務，SNMP社區(qū)串、

9、本地用戶口令強?。?字符，數(shù)字、字母混雜）。 現(xiàn)狀描述網(wǎng)絡設備配置沒有進行備份，網(wǎng)絡關(guān)鍵點設備是雙電源，網(wǎng)絡設備關(guān)閉了HTTP、FTRTFTP等服務，SNMP社區(qū)串、本地用戶口令沒達到要求。 評估結(jié)論對網(wǎng)絡設備配置進行備份，完善SNMP社區(qū)串、本地用戶口令強?。?字符，數(shù)字、字母混雜）。5.2.4 IP管理 評估標準有ip地址管理系統(tǒng)，ip地址管理有規(guī)劃方案和分配策略， 現(xiàn)狀描述沒有ip地址管理系統(tǒng)，正在進行對ip地址的規(guī)劃和分配, 評估結(jié)論建立ip地址管理系統(tǒng)，加快進行對ip地址的規(guī)劃和分配,ip地址分配有記錄。ip地址分

10、配有記錄。ip地址分配有記錄。5.2.5 補丁管理 評估標準有補丁管理的手段或補丁管理制度，Windows系統(tǒng)主機補丁安裝齊全，有補丁安裝的測試記錄。 現(xiàn)狀描述Windows系統(tǒng)主機補丁安裝基本齊Windows系統(tǒng)主機補丁安裝，補丁安通過手工補丁管理手段，沒有制訂相應管理制度;全，沒有補丁安裝的測試記錄。 評估結(jié)論完善補丁管理的手段，制訂相應管理制度；補缺裝前進行測試記錄。5.2.6 系統(tǒng)安全配置 評估標準對操作系統(tǒng)的安全配置進行產(chǎn)格的設置，刪除系統(tǒng)不必要的服務、協(xié)議。 現(xiàn)狀描述沒有對操作系統(tǒng)的安全配置進行嚴格的設置，部分系

11、統(tǒng)刪除不必要的服務、協(xié)議。 評估結(jié)論對操作系統(tǒng)的安全配置進行嚴格的設置，刪除系統(tǒng)不必要的服務、協(xié)議。5.2.7 主機備份 評估標準重要的系統(tǒng)主機采用雙機備份并進行熱切換或者故障恢復的測試。 現(xiàn)狀描述重要的系統(tǒng)主機采用了雙機備份，進行過熱切換或者故障恢復的測試。 評估結(jié)論重要的系統(tǒng)主機采用了雙機備份，進行熱切換或者故障恢復的測試。5.3 網(wǎng)絡服務與應用系統(tǒng)評估5.3.1 WWW服務器 評估標準WWW服務用戶賬戶、口令應健壯（查看登錄），信息發(fā)布進行了分級審核，外部網(wǎng)站有備份或其他保護措施。 現(xiàn)狀描述沒有WWW服務

12、。 評估結(jié)論考慮按上述標準建設WWW服務。5.3.2 電子郵件服務器 評估標準對近三個月的郵件數(shù)據(jù)進行備份，有專門針對郵件病毒、垃圾郵件的安全措施，郵件系統(tǒng)管理員賬戶/口令應強健，郵件系統(tǒng)的維護、檢查應有審計記錄。 現(xiàn)狀描述OA系統(tǒng)郵件數(shù)據(jù)進行一星期備份，有專門針對郵件病毒、垃圾郵件的趨勢防病毒軟件系統(tǒng)，但該軟件存在問題比較多，郵件系統(tǒng)管理員賬戶/口令設置合理，郵件系統(tǒng)的維護、檢查沒有審計記錄。對OA系統(tǒng)郵件數(shù)據(jù)進行三個月備份，關(guān)注解決趨勢防病毒軟件系統(tǒng)問題；郵件系統(tǒng)管理員賬戶/口令設置合理，對郵件系統(tǒng)的維護、檢查審計進行記錄。5.3.3 遠程撥號訪問

13、 評估標準有限制遠程撥號訪問的管理措施，用于業(yè)務系統(tǒng)維護的遠程撥號訪問采取身份驗證、訪問操作記錄等措施。 現(xiàn)狀描述沒有遠程撥號訪問。 評估結(jié)論遠程撥號訪問設置按上述標準執(zhí)行。5.3.4 應用系統(tǒng) 評估標準應用系統(tǒng)的角色、權(quán)限分配有記錄；用戶賬戶的變更、修改、注銷有記錄（半年記錄情況）；關(guān)鍵應用系統(tǒng)的數(shù)據(jù)功能操作進行審計并進行長期存儲；對關(guān)鍵應用系統(tǒng)有應急預案；關(guān)鍵應用系統(tǒng)管理員賬戶、用戶賬戶口令定期進行變更；新系統(tǒng)上線前進行安全性測試。 現(xiàn)狀描述營銷系統(tǒng)的角色、權(quán)限分配有記錄，其余系統(tǒng)沒有；用戶賬戶的變更、修改、注銷沒有記錄

14、；關(guān)鍵應用系統(tǒng)的數(shù)據(jù)功能操作沒有進行審計；沒有針對關(guān)鍵應用系統(tǒng)的應急預案；關(guān)鍵應用系統(tǒng)管理員賬戶、用戶賬戶口令有定期進行變更；有些新系統(tǒng)上線前沒有進行過安全性測試。 評估結(jié)論完善系統(tǒng)的角色、權(quán)限分配有記錄；記錄用戶賬戶的變更、修改、注銷（半年記錄情況）；關(guān)鍵應用系統(tǒng)的數(shù)據(jù)功能操作進行審計；制定針對關(guān)鍵應用系統(tǒng)的應急預案；關(guān)鍵應用系統(tǒng)管理員賬戶、用戶賬戶口令定期進行變更；新系統(tǒng)上線前應嚴格按照相關(guān)標準進行安全性測試。5.4 安全技術(shù)管理與設備運行狀況評估5.4.1 防火墻 評估標準網(wǎng)絡中的防火墻位置部署合理，防火墻規(guī)則配置符合安全要求，防火墻規(guī)則配置的建立、更改有規(guī)范

15、申請、審核、審批流程，對防火墻日志進行存儲、備份。 現(xiàn)狀描述網(wǎng)絡中的防火墻位置部署合理，防火墻規(guī)則配置符合安全要求，防火墻規(guī)則配置沒有建立、更改有規(guī)范申請、審核、審批流程，對防火墻日志沒有進行存儲、備份。 評估結(jié)論網(wǎng)絡中的防火墻位置部署合理，防火墻規(guī)則配置符合安全要求，防火墻規(guī)則配置的建立、更改要有規(guī)范申請、審核、審批流程，對防火墻日志應進行存儲、備份。5.4.2 防病毒系統(tǒng) 評估標準防病毒系統(tǒng)覆蓋所有服務器及客戶端（覆蓋率至少應大于90%）,對服務器的防病毒客戶端管理策略配置合理（自動升級病毒代碼、每周掃描），有專責人員負責維護防病毒系統(tǒng)并及時發(fā)布病

16、毒通告。 現(xiàn)狀描述防病毒系統(tǒng)覆蓋所有客戶端（覆蓋率大于90%）,服務器端除了OA服務器有防病毒系統(tǒng)外其余沒有；有兼責人員負責維護防病毒系統(tǒng)，但基本沒有發(fā)布病毒通告。 評估結(jié)論防病毒系統(tǒng)覆蓋所有客戶端（覆蓋率大于90%）,服務器端除了OA服務器有防病毒系統(tǒng)外其余沒有，考慮以后實施；考慮配置專責人員負責維護防病毒系統(tǒng)，并及時發(fā)布病毒通告。5.4.3 入侵檢測系統(tǒng) 評估標準入侵檢測系統(tǒng)部署合理、覆蓋主要網(wǎng)絡邊界與主要服務器，定期對審計信息進行分析，定期更新入侵檢測的規(guī)則與升級。 現(xiàn)狀描述沒有部署入侵檢測系統(tǒng)。 評估結(jié)論按上述部署、

17、配置入侵檢測系統(tǒng)。5.4.4 安全技術(shù)管理 評估標準部署身份認證系統(tǒng)、安全管理平臺，采用漏洞掃描系統(tǒng)，重要系統(tǒng)一年內(nèi)進行信息安全風險評估，部署針對安全設備的日志服務器。 現(xiàn)狀描述沒有部署身份認證系統(tǒng)、安全管理平臺，沒有漏洞掃描系統(tǒng)，重要系統(tǒng)沒有進行信息安全風險評估，沒有部署針對安全設備的H志服務器。 評估結(jié)論按標準部署身份認證系統(tǒng)、安全管理平臺、針對安全設備的日志服務器，采用漏洞掃描系統(tǒng)，重要系統(tǒng)一年進行一次信息安全風險評估。5.5 存儲備份系統(tǒng)評估5.5.1 備份策略 評估標準建立明確、合理的備份策略，嚴格按照備份策略對系統(tǒng)數(shù)據(jù)進行備份

18、（查看備份策略文件、查看備份記錄或查看備份工具配置）。 現(xiàn)狀描述建立了明確、合理的備份策略并嚴格按照備份策略對系統(tǒng)數(shù)據(jù)進行備份。 評估結(jié)論建立明確、合理的備份策略，嚴格按照備份策略對系統(tǒng)數(shù)據(jù)進行備份。5.5.2 恢復預案 評估標準建立明確的恢復預案（查看文件），定期進行恢復演練。 現(xiàn)狀描述沒有建立明確的恢復預案，也沒有定期進行恢復演練。 評估結(jié)論建立明確的恢復預案并定期進行恢復演練。5.5.3 備份介質(zhì)管理 評估標準建立介質(zhì)管理制度和廢棄介質(zhì)處理制度，儲存介質(zhì)存放在安全環(huán)境，有嚴格的介質(zhì)存取控制，有專人對存儲介

19、質(zhì)進行定期檢查。 現(xiàn)狀描述沒有建立介質(zhì)的管理制度和廢棄介質(zhì)的處理制度，儲存介質(zhì)存放在安全環(huán)境，沒有嚴格的介質(zhì)存取控制，沒有對存儲介質(zhì)進行定期檢查。 評估結(jié)論建立介質(zhì)管理制度和廢棄介質(zhì)處理制度，儲存介質(zhì)存放在安全環(huán)境，嚴格介質(zhì)存取控制，對存儲介質(zhì)進行定期檢查。5.6 介質(zhì)及物理環(huán)境安全評估5.6.1 機房內(nèi)部安全防護 評估標準主機房安裝門禁、監(jiān)控與報警系統(tǒng)。 現(xiàn)狀描述主機房沒有安裝門禁、監(jiān)控系統(tǒng)，有消防報警系統(tǒng)。 評估結(jié)論主機房安裝門禁、監(jiān)控與報警系統(tǒng)。5.6.2 機房供、配電 評估標準有詳細的機房配線圖，機房供

20、電系統(tǒng)將動力、照明用電與計算機系統(tǒng)供電線路分開，機房配備應急照明裝置，定期對ups的運行狀況進行檢測（查看半年內(nèi)檢測記錄）。 現(xiàn)狀描述沒有詳細的機房配線圖，機房供電系統(tǒng)將動力、照明用電與計算機系統(tǒng)供電線路是分開的，機房沒有配備應急照明裝置，有定期對ups的運行狀況進行檢測但沒有檢測記錄。 評估結(jié)論補全機房配線圖，機房供電系統(tǒng)將動力、照明用電與計算機系統(tǒng)供電線路分開，機房配備應急照明裝置，定期對ups的運行狀況進行檢測和記錄。5.6.3 機房環(huán)境防護 評估標準采用氣體防火措施，空調(diào)系統(tǒng)定期進行檢查，機房溫度控制在攝氏26度以下。 現(xiàn)狀描述有手提干粉滅火器，沒有采用氣體防火措施，空調(diào)系統(tǒng)定期進行檢查，機房溫度控制在攝氏26度以下。 評估結(jié)論采用氣體防火措施，空調(diào)系統(tǒng)定期進行檢查，機房溫度控制在攝氏26度以下。5.6.4 介質(zhì)管理 評估標準有介質(zhì)管理規(guī)定，u盤、移動硬盤等存儲介質(zhì)有資產(chǎn)記錄和責任人，磁盤、光盤等存儲介質(zhì)有專人保管，筆記本使用有明確的管理制度。 現(xiàn)狀描述有相應的介質(zhì)管理規(guī)定，u盤、移動硬盤等存儲介質(zhì)有資產(chǎn)記錄和責任人，磁盤、光盤等存儲介質(zhì)有專人保管，筆記本使用沒有明確的管理制度。 評估結(jié)論有相應的介質(zhì)管理規(guī)定，u盤、移動硬盤等存儲介質(zhì)