××单位安全检查报告.doc

单位信息安全检查报告省公司公司单位2011年9月- 37 -1 概述根据国务院信息化工作办公室关于对国家基础信息网络和重要信息系统开展安全检查的通知（信安通200615号）、国家电力监管委员会关于对电力行业有关单位重要信息系统开展安全检查的通知（办信息200648号）以及集团公司的文件要求，开展省公司公司（以下简称公司）范围内的信息安全检查工作。2 目标安全检查工作的主要目标是通过自评估工作，发现公司信息系统当前面临的主要安全问题，边检查边整改，确保公司信息网络和重要信息系统的安全。本次安全检查工作将完成以下任务：1） 完成直属各单位典型系统的信息安全风险评估工作。通过检查掌握当前公司信息系统面临的主要安全问题，并在对检查结果进行分析判断的基础上提出整改措施。2） 进行公司范围内信息安全大检查，对各单位的基础网络和重要信息系统进行安全性自查，并将相关数据进行汇总分析，统计重大和典型信息安全事件，及时发现和查找基础网络和重要信息系统存在的安全隐患，边检查边整改，确保公司基础网络和重要信息系统安全、可靠运行。3 组织机构成立省公司公司单位信息安全检查领导小组和工作小组，组织协调局信息安全检查工作。4 检查方法安全检查工作中将采取风险评估的基本方法、对检查范围内的工作内容按照评估的基本框架进行，确保检查工作的出发点、过程和结果与实际情况相符。安全检查工作采用信息安全风险评估的基本方法，按照“谁主管、谁负责，谁运营、谁负责”的原则，以各单位组织自评估（自查）为主，并与上级检查和专家指导相结合，对检查范围内的工作内容按照评估的基本框架进行，确保检查工作的出发点、过程和结果与实际情况相符。为配合检查工作的顺利开展、确保检查工作的实效，在检查实施过程中，应采取有效的检查工具，结合人工检查，并参照相关的技术规范进行。检查工作中，按照检查列表由检查人员根据系统特点逐项检查，确保数据的可靠和真实，人工检查要进行签字和审核，确保检查双方对结果的认可。5 检查内容 5.1 资产清单表附件1检查内容见附件1资产清单表。5.2 事件清单表附件2检查事件清单见附件2事件清单表。 5.3 检查结果表附件3检查结果见附件3检查结果表。6 综合分析单位通过对本单位重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行的识别，将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总，形成了重要资产清单。通过对本单位半年内发生的较大的、或者发生次数较多的信息安全事件（网络故障、信息系统故障）进行了汇总记录，形成了本单位近半年内的的安全事件清单。我局根据广电公司下发的安全缺陷检查列表包括规章制度与组织管理、关建设备和服务采购情况、网络与系统安全、网络与应用系统、安全技术管理与设备运行状况、存储备份系统、介质及物理环境安全、应急处置等进行了安全缺陷检查，填写了安全缺陷检查结果表。对我局的信息安全状况组织了单位信息部的所有系统管理人员、专职、专责进行分析和判断，明确了这些安全事件产生的原因，提出了针对的整改措施。附件4检查结果整改措施。附件1资产清单表附件2事件清单表编号安全事件事件情况简单说明（）发生日期后果处理措施1网络故障电信光缆中断，并时断时续。2006.4.252信息系统故障营销系统的数据增长迅猛，在业务繁忙期，出现4个集群节点会随机自动宕机现象，当日发生5号服务器宕机。2006.3.20附件3检查结果表1. 规章制度与组织管理（满分110分）检查项目检查内容检查分值1 组织机构（10分）是否成立了信息安全领导机构、工作机构？（缺一项扣5分）2岗位职责（15分）是否有专职网络管理人员(缺一项扣3分，兼职扣1分) 是否有专职应用系统管理人员(缺一项扣3分，兼职扣1分)是否有专职系统管理人员(缺一项扣3分，兼职扣1分)各专责的工作职责与工作范围是否有制度明确进行界定。（否扣4分，）是否实行主、副岗备用制度（否扣2分）3病毒管理（12分）是否制定了计算机病毒防治管理制度（否扣3分） 是否制定了定期升级的安全策略（否扣3分）是否制定了病毒预警和报告机制（否扣3分）病毒扫描策略是否规定了1周内至少进行一次扫描？（否扣3分）4运行管理（50分）是否建立了信息系统运行管理规程？（否扣3分）重要操作是否实行工作票制度？（检查3个月内的操作票，满分8分）机房出入管理制度是否上墙？近3个月的机房进出情况是否有记录？（满分8分）运行值班制度是否规定了普通情况下58小时、关键时期的724小时的现场值班内容？（否扣3分）是否建立了缺陷管理制度（检查3个月内情况，满分8分）是否建立了统计汇报制度（检查3个月内情况，满分8分）是否建立了运维流程，并按照流程进行操作（检查3个月内情况，满分8分）是否对值班人员进行了安排？近3个月值班记录内容是否详实？（满分4分）5 账号与口令管理（23分）是否制定了账号、口令管理制度？（否扣5分） 普通用户账户密码、口令长度要求是否大于6字符？管理员账户密码、口令长度是否大于8字符？（每项不符扣4分）半年内账户密码、口令是否进行过变更？（查看变更相关记录、通知、文件）（否扣5分）半年内系统用户身份发生变化后是否及时对其账户进行了变更或注销？（查看相关记录）（否扣5分）得分合计2. 关键设备和服务采购情况名称品牌数量外包服务商或运维服务情况(注明是否为系统内单位)服务评价（好、中、差）服务保密性要求执行情况（好、中、差）交换机好好好好路由器好好小型机好好好好好好防火墙好好入侵检测防病毒好好好好漏洞扫描网管软件好好安全监控平台风险评估、安全管理、安全规划等咨询服务好好好好好好好好安全运维、安全加固、网络优化等外包服务好好好好产品安全性测试服务3. 网络与系统安全（100分）检查项目检查内容检查分值1 网络架构（25）局域网核心交换设备，广域网核心路由设备是否采取了设备冗余或准备了备用设备？（满分10分，关键点缺一项扣2分，扣完为止）是否有不经过防火墙的外联链路？（满分10分，有扣10分）是否有当前准确的网络拓扑结构图？（满分5分）2 网络分区（8）生产控制系统和管理信息系统之间是否部署了隔离措施（满分5分）VLAN间的访问控制是否合理？（满分3分）3 网络设备（23）网络设备配置是否进行了备份？（电子、物理介质）（满分3分）网络关键点设备是否双电源？（满分5分）是否关闭了HTTP、FTP、TFTP等服务？（满分5分）SNMP社区串、本地用户口令是否强健（8字符，数字、字母混杂）？（满分10分，一项不合格扣5分）4 IP管理（14）是否有IP地址管理系统？（满分3分）是否有IP地址的规划方案和分配策略？（满分8分）是否有IP地址分配记录？（满分3分）5补丁管理（13）是否有补丁管理的手段，或管理制度？（满分5分）Windows系统主机补丁安装是否齐全？（满分5分）是否有补丁安装的测试记录？（满分3分）6系统安全配置（8）是否对操作系统的安全配置进行了严格的设置？（满分5分）是否删除了系统中不必要的服务、协议？（满分3分）8主机备份（10）重要的系统主机是否采用了双机备份？（满分5分）是否进行过热切换，或者故障恢复的测试？（满分5分）得分合计4. 网络服务与应用系统（100分）检查项目检查内容检查分值1 WWW服务（25）WWW服务用户账户、口令是否健壮？（查看登录）（满分10分）信息发布是否进行了分级审核？（查看审核记录）（满分5分）外部网站是否有备份，或其他保护措施？（满分10分）2 电子邮件服务（20）是否对近3个月的邮件数据进行了备份？（满分5分）是否有专门针对邮件病毒、垃圾邮件的安全措施？（满分5分）邮件系统管理员账户/口令是否强健？邮件系统的维护、检查是否有审计记录？（满分10分）3 远程拨号访问服务（15）是否有限制远程拨号访问的管理措施？（满分5分）用于业务系统维护的远程拨号访问是否采取了身份验证、访问操作记录等措施？（满分10分）4 应用系统（40）应用系统的角色、权限分配是否有记录？（满分5分） 用户账户的变更、修改、注销是否有记录？（查看半年记录情况）（满分10分）关键应用系统的数据功能操作是否进行审计？审计信息是否进行了长期存储？（满分5分）是否有针对关键应用系统的应急预案？（满分10分）关键应用系统管理员账户、用户账户口令是否定期进行了变更？（满分5分）新系统上线前是否进行过安全性测试？（满分5分）得分合计5. 安全技术管理与设备运行状况（90分）检查项目检查内容检查分值1防火墙（35）网络中的防火墙部署位置是否合理？（满分10分）防护墙规则配置是否符合安全要求？（满分10分）防护墙规则配置的建立、更改是否有规范的申请、审核、审批流程？（查看半年内的记录）（满分10分）是否对防火墙日志进行了存储、备份？（满分5分）2防病毒系统（20）防病毒系统是否覆盖所有服务器及客户端？（覆盖率至少应大于90）（满分5分）对服务器的防病毒客户端管理策略配置是否合理？（自动升级病毒代码、每周扫描）（满分10分）是否有专责人员负责维护防病毒系统，并及时发布病毒通告？（满分5分）3 入侵检测系统（15）检查入侵检测系统部署是否合理、能否覆盖主要网络边界与主要服务器？（满分5分）是否定期对审计信息进行分析？（满分5分）是否定期更新入侵检测的规则与升级？（满分5分）4 安全技术管理（20）是否部署了身份认证系统？（满分3分）是否部署了安全管理平台？（满分2分）是否采用了漏洞扫描系统？（满分5分）重要系统一年内是否进行了信息安全风险评估？（满分5分）是否部署了针对安全设备的日志服务器？（满分5分）得分合计6. 存储备份系统（50分）检查项目检查内容检查分值1 备份策略（10）是否建立了明确、合理的备份策略？是否严格按照备份策略对系统数据进行备份？（查看备份策略文件、查看备份记录，或查看备份工具配置）（满分10分）2 恢复预案（20）是否建立了明确的恢复预案？（查看文件）（满分10分）是否定期进行恢复演练？（查看半年演练记录）（满分10分）3 备份介质管理（20）检查是否建立介质的管理制度和废弃介质的处理制度 （满分10分）储存介质是否存放在安全环境（满分5分）是否有严格的介质存取控制，是否有专人对存储介质进行管理（满分5分）得分合计7. 介质及物理环境安全（70分）检查项目检查内容检查分值1 机房内部安全防护（5）主机房是否安装了门禁、监控与报警系统？（满分5分）2 机房供、配电（25）是否有详细的机房配线图？（满分5分）机房供电系统是否将动力、照明用电与计算机系统供电线路分开？（满分5分）机房是否配备应急照明装置？（满分5分）是否定期对UPS的运行状况进行检测？（查看半年内检测记录）（满分10分）3 机房环境防护（20）是否采用了气体防火措施？（满分10分）空调系统是否定期进行检查？（满分5分）机房温度是否控制在摄氏26度以下？（满分5分）4介质管理（20）是否有相应的介质管理规定。（否扣5分）U盘、移动硬盘等存储介质是否有资产记录和责任人（否扣5分）磁盘、光盘等存储介质是否有专人保管？（否扣5分）笔记本使用是否有明确的管理制度？（否扣5分）得分合计8. 应急处置（30分）检查项目检查内容检查分值1 应急预案（15）重要系统是否有完善的、可操作的应急预案？（满分5分）是否对应急预案进行了定期演练？（满分10分）2 通报机制（5）是否按照集团公司的要求建立了及时的信息安全信息通报机制？（满分5分）3 故障联动机制（5）是否建立了良好的故障通讯联动机制，联合进行防护？（满分5分）4 故障抢修机制（5）是否建立了完善的信息网故障抢修机制，应急资源是否到位？（满分5分）得分合计附件4检查结果整改措施1. 规章制度与组织管理检查项目检查内容检查说明及存在问题整改措施1 组织机构是否成立了信息安全领导机构、工作机构？成立了信息化工作领导小组（20024号关于成立集团供电分公司信息化工作领导小组的通知），而单位信息安全管理规范中明确定义信息安全组织的架构和职能，但由于人员编制问题，目前还没有完全按照该规范执行严格按照单位信息安全管理规范和单位信息安全管理实施指南成立安全领导机构和工作机构。2岗位职责是否有专职网络管理人员 配备了1名专职网络管理员。信息网络日益扩大，1名不够。是否有专职应用系统管理人员由于信息部岗位配置不足，存在兼职的应用系统管理人员。不是每个系统都有专职人员是否有专职系统管理人员配备了1名专职系统管理员。各专责的工作职责与工作范围是否有制度明确进行界定。单位信息部岗位职责有明确界定。是否实行主、副岗备用制度由于信息部岗位配置不足，没有实行主、副岗备用制度。在目前的岗位配置情况下，争取网络管理员实行主、副岗备用制度。3病毒管理是否制定了计算机病毒防治管理制度 已制定单位计算机病毒防范管理制度。是否制定了定期升级的安全策略在单位计算机病毒防范管理制度中有具体的规定。而且在病毒管理平台上已经配置了定期升级的安全策略。在单位计算机病毒防范管理制度体现是否制定了病毒预警和报告机制病毒报告机制在单位安全事件应急处理预案中体现。完善在单位计算机病毒防范管理制度体现。病毒扫描策略是否规定了1周内至少进行一次扫描？ 在病毒管理平台上已经配置了每周的病毒扫描策略。4运行管理是否建立了信息系统运行管理规程？ 按照省公司颁布的管理信息系统建设与运行维护管理导则，每一个信息系统都制定了运行管理规程。重要操作是否实行工作票制度？ 供电信200621号关于修定相关信息系统管理制度的通知之省公司单位信息网络入网工作票文件规定了重要操作实行工作票制度。机房出入管理制度是否上墙？近3个月的机房进出情况是否有记录？ 供电信200621号关于修定相关信息系统管理制度的通知之省公司单位计算机专业机房工作需知文件规定机房管理制度必须上墙。有近3个月的机房进出情况记录。运行值班制度是否规定了普通情况下58小时、关键时期的724小时的现场值班内容？ 机房运行值班制度有规定。是否建立了缺陷管理制度（检查3个月内情况，）有对网络设备、业务系统、服务器进行定期巡检，发现缺陷并进行整改，有3个月内的记录。但未制定相关的缺陷管理制度。参考省公司电力通信设备缺陷管理办法，尽快制定单位信息系统设备缺陷管理制度。是否建立了统计汇报制度（检查3个月内情况，）每月底统计汇总全地区信息系统运行月报，上报给局生产例会。是否建立了运维流程，并按照流程进行操作（检查3个月内情况，）建立了运维流程，有3个月内的运维情况记录。是否对值班人员进行了安排？近3个月值班记录内容是否详实？ 针对日常、节假日、突发情况等类型，都对值班人员进行了安排。有近3个月详实值班记录内容。平时没有值班人员，关键时候或节假日有值班人员。BS7799，人员配备5 账号与口令管理是否制定了账号、口令管理制度？ 已制定单位帐号口令管理制度。普通用户账户密码、口令长度要求是否大于6字符？管理员账户密码、口令长度是否大于8字符？ 在单位帐号口令管理制度中作了严格规定。半年内账户密码、口令是否进行过变更？（查看变更相关记录、通知、文件）除系统管理帐户外，大部分普通账户密码、口令半年内未进行过变更。局发文要求所有员工严格执行单位帐号口令管理制度半年内系统用户身份发生变化后是否及时对其账户进行了变更或注销？ 系统用户身份发生变化后有及时对其账户进行变更或注销，但没有做记录。要求系统管理员严格执行单位帐号口令管理制度2. 网络与系统安全检查项目检查内容检查说明及存在问题 整改措施1 网络架构局域网核心交换设备，广域网核心路由设备是否采取了设备冗余或准备了备用设备？ 局域网、城域网核心设备共用1台三层交换机，使用另外1台作为冷备06年新建城域网及局域网项目中进行改造是否有不经过防火墙的外联链路？ 是否有当前准确的网络拓扑结构图？ 有准确的网络拓扑图2 网络分区生产控制系统和管理信息系统之间是否部署了隔离措施（满分5分）部署Cisco PIX防火墙VLAN间的访问控制是否合理？ VLAN间的访问根据需求进行控制3 网络设备网络设备配置是否进行了备份？（电子、物理介质）网络设备配置进行电子介质备份，并在每次更改都进行备份网络关键点设备是否双电源？ 城域网核心设备、局域网为核心设备均为双电源，汇聚层设备、关键防火墙只有单电源重要路由器、防火墙已有一台冷备是否关闭了HTTP、FTP、TFTP等服务？ 已关闭HTTP、FTP、TFTP服务SNMP社区串、本地用户口令是否强健（8字符，数字、字母混杂）？ SNMP字符串长度不够，本地用户口令较强健06年新建城域网及局域网项目中进行改造4 IP管理是否有IP地址管理系统？ 是否有IP地址的规划方案和分配策略？ 有是否有IP地址分配记录？（满分3分）有5补丁管理是否有补丁管理的手段，或管理制度？ 安装了WSUS系统Windows系统主机补丁安装是否齐全？ 自动下载补丁，安装齐全是否有补丁安装的测试记录？ 服务器有补丁安装的测试记录，普通客户端无测试记录6系统安全配置是否对操作系统的安全配置进行了严格的设置？ 在域控制器的组策略里做了部份安全策略配置07年对AD域进行改造，加强客户端、服务器的安全配置是否删除了系统中不必要的服务、协议？ 对客户端作部分服务的限制07年对AD域进行改造，加强对客户端、服务器的不必要的服务、协议进行限制8主机备份重要的系统主机是否采用了双机备份？ 仅对部分重要业务系统采用双机热备07年对财务、客服系统采用双机热备是否进行过热切换，或者故障恢复的测试？ 采用了双机备份的系统进行过热切换，或者故障恢复的测试。3. 网络服务与应用系统检查项目检查内容检查说明及存在问题 整改措施1 WWW服务WWW服务用户账户、口令是否健壮？（查看登录）统一由省公司提供对外WEB服务。信息发布是否进行了分级审核？（查看审核记录）执行分级审核记录齐全。外部网站是否有备份，或其他保护措施？ 统一由省公司提供对外WEB服务，有保护措施。2 电子邮件服务是否对近3个月的邮件数据进行了备份？ 没有提供互联网电子邮件服务。是否有专门针对邮件病毒、垃圾邮件的安全措施？ 没有提供互联网电子邮件服务。邮件系统管理员账户/口令是否强健？邮件系统的维护、检查是否有审计记录？ 没有提供互联网电子邮件服务。3 远程拨号访问服务是否有限制远程拨号访问的管理措施？ 我局已取消远程拨号访问服务。用于业务系统维护的远程拨号访问是否采取了身份验证、访问操作记录等措施？ 我局业务系统维护不采用远程拨号访问方式。4 应用系统应用系统的角色、权限分配是否有记录？ 在各个应用系统运维管理规程里明确应用系统的角色、权限分配，并有详细记录。用户账户的变更、修改、注销是否有记录？（查看半年记录情况）全局的域控制系统有用户账户的变更、修改、注销的记录，并且按审批流程填写了完整的信息业务申请表，但其他业务系统暂时没有实行。要求各应用系统内用户账户的变更、修改、注销进行详细记录，每年由相关系统管理员填写并整理归档。关键应用系统的数据功能操作是否进行审计？审计信息是否进行了长期存储？ 关键应用系统的操作没有完全实行审计日志功能，但目前的营销系统中涉及营销收费的关键操作都有对操作进行审计。新建系统要求具备对数据操作进行审计的功能。是否有针对关键应用系统的应急预案？ 针对大面积停电已建立信息系统针对大停电应事故急处理预案操作手册并发文，其中包含关键应用系统针对大停电事故的应急预案按照信息系统管理规范和指南完善对其他事故预案。关键应用系统管理员账户、用户账户口令是否定期进行了变更？ 业务系统暂时没有实行。单位帐号口令管理制度明确规定关键应用系统管理员账户、用户账户口令定期进行变更，并进行详细记录，每年由相关系统管理员整理归档。新系统上线前是否进行过安全性测试？新系统在正式投运前都有一至三个月的试运行期；在试运行期内，都有进行相关的数据库连接，业务应用等实际操作的测试。暂时没有针对安全性的相应制度及专用的测试手段了解相关测试技术，联系技术力量好的厂家做技术交流4. 安全技术管理与设备运行状况检查项目检查内容检查说明及存在问题 整改措施1防火墙网络中的防火墙部署位置是否合理？部署合理防护墙规则配置是否符合安全要求？ 符合安全要求防护墙规则配置的建立、更改是否有规范测申请、审核、审批流程？（查看半年内的记录）已建立单位网络设备调整变更制度，其中对设备的接入、变更以及废弃都有详细流程规定，但工作中还存在不依照制度执行的情况。严格按照单位网络设备调整变更制度执行是否对防火墙日志进行了存储、备份？ 每个季度进行巡检并对日志进行分析、存储2防病毒系统防病毒系统是否覆盖所有服务器及客户端？（覆盖率至少应大于90）防病毒系统覆盖率以超过95。对服务器的防病毒客户端管理策略配置是否合理？（自动升级病毒代码、每周扫描）每天自动升级病毒代码；配置每周对服务器进行病毒扫描操作。是否有专责人员负责维护防病毒系统，并及时发布病毒通告？ 有专责人员负责维护防病毒系统；会不定期的将危害性高的病毒通过电子邮件通知大家3 入侵检测系统检查入侵检测系统部署是否合理、能否覆盖主要网络边界与主要服务器？ 01年曾购置ISS入侵检测系统，但由于升级费用昂贵和厂家维护不到位，现已停用。在06年的IDC安全防范项目中新建是否定期对审计信息进行分析？未进行在06年的IDC安全防范项目中新建后执行是否定期更新入侵检测的规则与升级？ 未有在06年的IDC安全防范项目中新建后执行4 安全技术管理是否部署了身份认证系统？ 已部署PKI/CA，但未投入使用。验收后将投入使用是否部署了安全管理平台？ 未部署明年部署是否采用了漏洞扫描系统？未有在06年的IDC安全防范项目中建立漏洞扫描系统重要系统一年内是否进行了信息安全风险评估？ 隔年进行一次信息安全风险评估以后在每年增加信息安全风险评估预算是否部署了针对安全设备的日志服务器？ 未有07年新增对安全设备的日志管理系统5. 存储备份系统检查项目检查内容检查说明及存在问题 整改措施1 备份策略是否建立了明确、合理的备份策略？是否严格按照备份策略对系统数据进行备份？（查看备份策略文件、查看备份记录，或查看备份工具配置）已建立了明确、合理的备份策略；并严格按照备份策略对系统数据进行备份；每季度有专人负责巡检。2 恢复预案是否建立了明确的恢复预案？（查看文件）已制定数据恢复预案，针对文件数据、业务系统的数据库做了明确的技术处理恢复的解决方案，但没有经过实际的操作演练。今后每年根据业务系统的重要等级及硬件平台的冗余程度，选择合适的非业务繁忙时间，与业务管理部门协商确定恢复演练的方案及具体的实施操作，并严格按照数据恢复预案内的流程执行操作，积累相关经验，记录存档并不断修编完善该数据恢复预案是否定期进行恢复演练？（查看半年演练记录）对个别业务系统进行过部分数据的恢复演练，但没有记录。今后每年根据业务系统的重要等级及硬件平台的冗余程度，选择合适的非业务繁忙时间，与业务管理部门协商确定恢复演练的方案及具体的实施操作，并记录存档。3 备份介质管理检查是否建立介质的管理制度和废弃介质的处理制度已制定的单位数据备份管理制度有关于介质的管理和废弃介质的处理办法，但没有形成相应的处理记录。在今后介质的存取控制和废弃介质的处理时，严格执行相关记录并存档。储存介质是否存放在安全环境磁带存储介质目前与其他光盘、磁盘介质存放在有恒温恒湿空调的信息专业机房的防潮箱内，但没有异地存放。新