單位信息安全評估報告

1、 10單位信息安全評估報告(治理信息系統(tǒng))單位 2022年九月目標全。評估依據(jù)、范圍和方法評估依據(jù)信安通202215 號、國家電力監(jiān)管委員會關于對電力行業(yè)有關單位重要信息系統(tǒng)開展安全檢查的通知辦信息202248以及評估范圍運行和維護狀況評估。評估方法承受自評估方法。重要資產識別單見附表1。安全大事錄，形本錢單位的安全大事列表。安全大事列表見附表2。安全檢查工程評估規(guī)章制度與組織治理評估組織機構評估標準信息安全組織機構包括領導機構、工作機構。現(xiàn)狀描述本局已成立了信息安全領導機構，但尚未成立信息安全工作機構。評估結論完善信息安全組織機構，成立信息安全工作機構。崗位職責評估標準備用制度。現(xiàn)狀描述行主

2、、副崗備用制度。評估結論本局已有兼職網(wǎng)絡治理員、應用系統(tǒng)治理員和系統(tǒng)治理員，在條件許可下，副崗備用制度。病毒治理評估標準報告機制、病毒掃描策略1周內至少進展一次掃描。現(xiàn)狀描述本局使用Symantec沒有制定計算機病毒防治治理制度。評估結論完善病毒預警和報告機制，制定計算機病毒防治治理制度。運行治理評估標準房狀況記錄。現(xiàn)狀描述出狀況記錄。評估結論房進出狀況。賬號與口令治理評估標準制訂了賬號與口令治理制度；一般用戶賬戶密碼、口令長度要求符合大于6字符，治理員賬戶密碼、口令長度大于8字符；半年內賬戶密碼、口令應變更并戶進展變更或注銷。現(xiàn)狀描述不符合大于68字符，半年內賬戶密碼、口后能準時對其賬戶進展

3、變更或注銷。評估結論賬戶進展變更或注銷。網(wǎng)絡與系統(tǒng)安全評估網(wǎng)絡架構評估標準備，不允許外聯(lián)鏈路繞過防火墻，具有當前準確的網(wǎng)絡拓撲構造圖?，F(xiàn)狀描述余；沒有不經過防火墻的外聯(lián)鏈路，有當前網(wǎng)絡拓撲構造圖。評估結論設備，外聯(lián)鏈路沒有繞過防火墻，完善網(wǎng)絡拓撲構造圖。網(wǎng)絡分區(qū)評估標準生產把握系統(tǒng)和治理信息系統(tǒng)之間進展分區(qū)，VLAN間的訪問把握設置合理?，F(xiàn)狀描述理。評估結論VLAN間的訪問把握設置合理。網(wǎng)絡設備評估標準 FTP、TFTP等效勞，SNMP社區(qū)串、本地用戶口令強健8字符，數(shù)字、字母混雜?，F(xiàn)狀描述 、FTP、TFTP等效勞，SNMP社區(qū)串、本地用戶口令沒到達要求。評估結論對網(wǎng)絡設備配置進展備份，完善

4、SNMP社區(qū)串、本地用戶口令強健8字符，數(shù)字、字母混雜。IP治理評估標準有IPIPIP地址安排有記錄?，F(xiàn)狀描述沒有IPIPIP地址安排有記錄。評估結論建立IPIPIP地址安排有記錄。補丁治理評估標準有補丁治理的手段或補丁治理制度，Windows系統(tǒng)主機補丁安裝齊全，有補丁安裝的測試記錄。現(xiàn)狀描述通過手工補丁治理手段，沒有制訂相應治理制度；Windows系統(tǒng)主機補丁安裝根本齊全，沒有補丁安裝的測試記錄。評估結論Windows系統(tǒng)主機補丁安裝，補丁安裝前進展測試記錄。系統(tǒng)安全配置評估標準對操作系統(tǒng)的安全配置進展嚴格的設置，刪除系統(tǒng)不必要的效勞、協(xié)議。現(xiàn)狀描述協(xié)議。評估結論對操作系統(tǒng)的安全配置進展嚴

5、格的設置，刪除系統(tǒng)不必要的效勞、協(xié)議。主機備份評估標準重要的系統(tǒng)主機承受雙機備份并進展熱切換或者故障恢復的測試。現(xiàn)狀描述重要的系統(tǒng)主機承受了雙機備份，進展過熱切換或者故障恢復的測試。評估結論重要的系統(tǒng)主機承受了雙機備份，進展熱切換或者故障恢復的測試。網(wǎng)絡效勞與應用系統(tǒng)評估WWW 效勞器評估標準WWW效勞用戶賬戶、口令應強健查看登錄部網(wǎng)站有備份或其他保護措施。現(xiàn)狀描述沒有WWW效勞。評估結論考慮按上述標準建設WWW效勞。電子郵件效勞器評估標準施，郵件系統(tǒng)治理員賬戶/口令應強健，郵件系統(tǒng)的維護、檢查應有審計記錄。現(xiàn)狀描述OA/口令設置合理，郵件系統(tǒng)的維護、檢查沒有審計記錄。評估結論件系統(tǒng)治理員賬戶

6、/口令設置合理，對郵件系統(tǒng)的維護、檢查審計進展記錄。遠程撥號訪問評估標準份驗證、訪問操作記錄等措施?，F(xiàn)狀描述沒有遠程撥號訪問。評估結論遠程撥號訪問設置按上述標準執(zhí)行。應用系統(tǒng)評估標準半年記錄狀況；關鍵應用系統(tǒng)的數(shù)據(jù)功能操作進展審計并進展長期存儲；對關鍵系統(tǒng)上線前進展安全性測試。現(xiàn)狀描述些系統(tǒng)上線前沒有進展過安全性測試。評估結論半年記錄狀況；關鍵應用系統(tǒng)的數(shù)據(jù)功能操作進展審計；制定針對關鍵應用系統(tǒng)線前應嚴格依據(jù)相關標準進展安全性測試。安全技術治理與設備運行狀況評估防火墻評估標準現(xiàn)狀描述備份。評估結論備份。防病毒系統(tǒng)評估標準防病毒系統(tǒng)掩蓋全部效勞器及客戶端掩蓋率至少應大于90的防病毒客戶端治理策略

7、配置合理自動升級病毒代碼、每周掃描員負責維護防病毒系統(tǒng)并準時公布病毒通告。現(xiàn)狀描述防病毒系統(tǒng)掩蓋全部客戶端掩蓋率大于90，效勞器端除了OA效勞器有通告。評估結論防病毒系統(tǒng)掩蓋全部客戶端掩蓋率大于90，效勞器端除了OA效勞器有并準時公布病毒通告。入侵檢測系統(tǒng)評估標準進展分析，定期更入侵檢測的規(guī)章與升級?，F(xiàn)狀描述沒有部署入侵檢測系統(tǒng)。評估結論按上述部署、配置入侵檢測系統(tǒng)。安全技術治理評估標準信息安全風險評估，部署針對安全設備的日志效勞器?，F(xiàn)狀描述進展信息安全風險評估，沒有部署針對安全設備的日志效勞器。評估結論漏洞掃描系統(tǒng)，重要系統(tǒng)一年進展一次信息安全風險評估。存儲藏份系統(tǒng)評估備份策略評估標準備份策

8、略文件、查看備份記錄或查看備份工具配置?，F(xiàn)狀描述建立了明確、合理的備份策略并嚴格依據(jù)備份策略對系統(tǒng)數(shù)據(jù)進展備份。評估結論建立明確、合理的備份策略，嚴格依據(jù)備份策略對系統(tǒng)數(shù)據(jù)進展備份?；謴皖A案評估標準建立明確的恢復預案查看文件，定期進展恢復演練。現(xiàn)狀描述沒有建立明確的恢復預案，也沒有定期進展恢復演練。評估結論建立明確的恢復預案并定期進展恢復演練。備份介質治理評估標準的介質存取把握，有專人對存儲介質進展定期檢查?，F(xiàn)狀描述境，沒有嚴格的介質存取把握，沒有對存儲介質進展定期檢查。評估結論質存取把握，對存儲介質進展定期檢查。介質及物理環(huán)境安全評估機房內部安全防護評估標準主機房安裝門禁、監(jiān)控與報警系統(tǒng)?，F(xiàn)

9、狀描述主機房沒有安裝門禁、監(jiān)控系統(tǒng)，有消防報警系統(tǒng)。評估結論主機房安裝門禁、監(jiān)控與報警系統(tǒng)。機房供、配電評估標準UPS檢測記錄?，F(xiàn)狀描述UPS但沒有檢測記錄。評估結論UPS機房環(huán)境防護評估標準26下?，F(xiàn)狀描述26評估結論承受氣體防火措施，空調系統(tǒng)定期進展檢查，機房溫度把握在攝氏26 度以下。介質治理評估標準光盤等存儲介質有專人保管，筆記本使用有明確的治理制度。現(xiàn)狀描述磁盤、光盤等存儲介質有專人保管，筆記本使用沒有明確的治理制度。評估結論磁盤、光盤等存儲介質有專人保管，制訂筆記本使用治理制度。應急處置評估應急預案評估標準重要系統(tǒng)有完善的、可操作的應急預案，對應急預案進展定期演練。現(xiàn)狀描述重要系統(tǒng)沒有完善的、可操作的應急預案。評估結論制訂重要系統(tǒng)完善的、可操作的應急預案并對應急預案進展定期演練。通報機制評估標準依據(jù)集團公司的要求建立準時的信息安全信息通報機制?，F(xiàn)狀描述沒有依據(jù)集團公司的要求建立準時的信息安全信息通報機制。評估結論依據(jù)集團公司的要求建立準時的信息安全信息通報機制。故障聯(lián)動機制評估標準建立良好的