重要信息系统安全状况综合分析报告

XXX重要信息系统安全状况综合分析报告2011-07-11一、XXX重要信息系统安全状况调查情况2011年，公安部公共信息网络安全监察局全国首次信息网络安全状况调查活动。XXX公安机关公共信息网络安全监察部门、授权测评单位参与，并且承担了到现场调查和技术分析工作。调查内容为从2011年XX月至2011年XX月市内各大机构重要信息系统的综合情况。通过调查，较为全面地了解、掌握了XXX当前信息网络安全事件种类、发现途径、造成的损失和安全管理中存在的主要问题，并及时的整理成文档形式向上级报告。准确掌握辖区内重要信息系统安全保护状况，为领导和综合部门决策提供支持二、信息网络安全状况调查此次分析报告重点以市内各大XXX行业为目标，通过对XXX多家XXX公司进行的前期调查或者等级保护测评后，了解大多数被调查的XXX单位信息网络规模的情况，各个XXX公司的定级备案系统也不相同，一般重要系统以DCS分散控制系统、SIS监控系统、MIS信息管理系统、OA系统、WEB系统、物资管理系统、XXX调度数据网、电能量计量系统等等为主。定级重要系统占用电厂比例大约值为：2011年XX月至2011年XX月，在被初步调查单位中发现有部分电厂单位发生过信息网络安全事件，占被调查总数的58%。其中，发生过1次的占总数的27%，2次的占13%，3次以上的占大约6%，此外，有7%的调查对象不清楚是否发生过网络安全事件。从发生安全事件的类型分析，遭受计算机病毒、蠕虫和木马程序破坏的情况最为突出，占安全事件总数的79%，其次是垃圾邮件，占36%，拒绝服务、端口扫描和篡改网页等网络攻击情况也比较突出，共占到总数的43%。安全威胁类型从网络安全事件的发现途径分析，以人工监测和技术手段发现为主，其中由网络（系统）管理员通过技术监测发现的占65%，通过安全产品报警发现的占32%，通过事后分析发现的占32%，有关部门通知后发现的占13%。从网络安全事件造成的破坏和损失看，有54%的被调查单位认为网络安全事件造成的损失轻微或比较轻微。根据调查缺少访问控制的XXX单位占70%，缺少安全审计的占75%，缺少身份鉴别的占55%，缺少入侵防范的占35%，缺少恶意代码防范的占25%，以及缺少物理安全和管理安全的占70%以上。调查结果表明，首先造成网络安全事件发生的主要原因是安全管理制度不落实和安全防范意识薄弱。其中由于未修补或者防范软件漏洞导致发生的安全事件，占事件总数的70%以上，登录密码过于简单或者未修改密码导致发生的安全事件占45%以上，安全事件发生之后缺乏安全审计，处理事故不够及时占40%以上。其次，缺少物理安全以及缺少管理安全占用比率也达到70%以上，众所周知机房物理安全乃是重中之重，物理安全达不到标准即所有的技术标准都如空中楼阁。具体不达标的细节如：部分单位物理位置选择不规范，机房和办公场地选择应该具有防震、防风和防雨等能力，但是目前没有体现出来。物理访问比较随意，根据要求机房各个出入口应安排专人值守或配置电子门禁系统，但调查发现仅有少数用户配备。防盗窃和防破坏达不到标准、防雷防火防水和防潮能力较差，根据要求主机房尽量避开水源，与主机房无关的给排水管道不得穿过机房，目前发现以及少数机房有暖气管道通过，这都够成了未来机房事故，更有甚者机房未安装相应设备来控制温湿度，这都成为了潜在的安全威胁。再者，管理制度不完善，岗位不清晰、人员配备混乱、授权和审批只是形式、审核和检查过于松散、人员安全管理达不到标准、系统建设管理和系统运维管理缺少标准等等。虽然这些都是极个别现象，但是一旦事故发生造成的损失将不可估计。三、分析报告（一）从发生安全事件类型看，“感染计算机病毒、蠕虫和木马程序”占发生安全事件比例的79%，远高于其他技术层面安全事件。从原因分析，计算机病毒等破坏程序利用软件安全漏洞传播的情况比较突出，而我国信息网络用户操作系统软件比较集中在Windows系统，带来的系统性安全风险比较集中。因此，建立一套完善的信息安全系统、通报和预警发布工作机制，及时发布重大信息网络安全问题和计算机病毒疫情预警信息是有效防范信息网络安全事件和降低损失的重要措施。（二）调查结果表明，当前安全管理工作存在的主要问题是用户安全意识薄弱，对信息网络安全重视程度不够，安全措施不落实，导致安全事件的发生。从发生安全事件的原因中，占前两位的分别是“未修补软件安全漏洞”和“登录密码过于简单或未修改”等等，也表明了用户缺乏相关的安全防范意识和基本的安全防范常识。因此，开展等级保护测评工作迫在眉睫，通过等级保测评的相关工作加强各个行业用户对安全威胁的认知程度，增强信息网络用户安全防范意识和防范能力是避免信息网络安全事件发生。（三）在发生安全事件的被调查单位中，一年内发生了3次以上的安全事件的达到了40%，说明安全管理工作漏洞比较多。大部分的单位虽然使用了防火墙和计算机病毒防治产品，安装了基本的技术防范设备，但是技术防范措施比较薄弱。如何建立完整的信息网络安全保护策略、规范的管理制度和成体系的技术防范措施，很多被调查单位表示希望主管部门加强这方面的指导。推进信息安全等级保护工作，使信息网络安全管理工作逐步走向规范化、制度化，建立起比较完善的技术防范体系