信息安全评估报告

1、信息安全评估报告（管理信息系统 ）二零一六年一月1 目标XX单位信息安全检查工作的主要目标是通过自评估工作，发现本局信息系统当前面临的主要安全问题， 边检查边整改， 确保信息网络和重要信息系统的安 全。2 评估依据、范围和方法2.1 评估依据根据国务院信息化工作办公室 关于对国家基础信息网络和重要信息系统开 展安全检查的通知（信安通 200615 号）、国家电力监管委员会关于对电 力行业有关单位重要信息系统开展安全检查的通知 （办信息200648 号）以及 集团公司和省公司公司的文件、检查方案要求，开展XX单位的信息安全评估。2.2 评估范围本次信息安全评估工作重点是重要的业务管理信息系统和网

2、络系统等， 管理 信息系统中业务种类相对较多、 网络和业务结构较为复杂， 在检查工作中强调对 基础信息系统和重点业务系统进行安全性评估，具体包括：基础网络与服务器、 关键业务系统、 现有安全防护措施、 信息安全管理的组织与策略、 信息系统安全 运行和维护情况评估。2.3 评估方法采用自评估方法。3 重要资产识别对本局范围内的重要系统、 重要网络设备、 重要服务器及其安全属性受破坏 后的影响进行识别， 将一旦停止运行影响面大的系统、 关键网络节点设备和安全 设备、承载敏感数据和业务的服务器进行登记汇总， 形成重要资产清单。 资产清 单见附表 1。4 安全事件对本局半年内发生的较大的、 或者发生次

3、数较多的信息安全事件进行汇总记 录，形成本单位的安全事件列表。安全事件列表见附表 2。5 安全检查项目评估5.1 规章制度与组织管理评估5.1.1 组织机构 评估标准信息安全组织机构包括领导机构、工作机构。 现状描述本局已成立了信息安全领导机构，但尚未成立信息安全工作机构。 评估结论完善信息安全组织机构，成立信息安全工作机构。5.1.2 岗位职责 评估标准岗位要求应包括： 专职网络管理人员、 专职应用系统管理人员和专职系统管 理人员；专责的工作职责与工作范围应有制度明确进行界定； 岗位实行主、 副岗 备用制度。 现状描述我局

4、没有配置专职网络管理人员、 专职应用系统管理人员和专职系统管理人 员，都是兼责； 专责的工作职责与工作范围没有明确制度进行界定， 岗位没有实 行主、副岗备用制度。 评估结论本局已有兼职网络管理员、应用系统管理员和系统管理员，在条件许可下， 配置专职管理人员； 专责的工作职责与工作范围没有明确制度进行界定， 根据实 际情况制定管理制度； 岗位没有实行主、 副岗备用制度， 在条件许可下， 落实主、 副岗备用制度。5.1.3 病毒管理 评估标准病毒管理包括计算机病毒防治管理制度、 定期升级的安全策略、 病毒预警和 报告机制、病毒扫描策略（ 1周内至少进行一次扫描） 。5.

5、1.3.2 现状描述本局使用Symantec防病毒软件进行病毒防护，定期从省公司病毒库服务器下 载、升级安全策略；病毒预警是通过第三方和网上提供信息来源，每月统计、汇 总病毒感染情况并提交局生技部和省公司生技部；每周进行二次自动病毒扫描； 没有制定计算机病毒防治管理制度。 评估结论完善病毒预警和报告机制，制定计算机病毒防治管理制度。5.1.4 运行管理 评估标准运行管理应制定信息系统运行管理规程、 缺陷管理制度、 统计汇报制度、 运 维流程、 值班制度并实行工作票制度； 制定机房出入管理制度并上墙， 对进出机 房情况记录。 现状描述没有建立相应信息系统

6、运行管理规程、 缺陷管理制度、 统计汇报制度、 运维 流程、值班制度，没有实行工作票制度；机房出入管理制度上墙，但没有机房进 出情况记录。 评估结论结合本局具体情况， 制订信息系统运行管理规程、 缺陷管理制度、 统计汇报 制度、运维流程、值班制度，实行工作票制度；机房出入管理制度上墙，记录机 房进出情况。5.1.5 账号与口令管理 评估标准制订了账号与口令管理制度；普通用户账户密码、口令长度要求符合大于 6 字符，管理员账户密码、口令长度大于 8字符；半年内账户密码、口令应变更并 保存变更相关记录、 通知、文件，半年内系统用户身份发生变化后应及时对其账 户进行变更或

7、注销。 现状描述没有制订账号与口令管理制度， 普通用户账户密码、 口令长度要求大部分都 不符合大于 6字符；管理员账户密码、口令长度大于 8字符，半年内账户密码、口 令有过变更，但没有变更相关记录、通知、文件；半年内系统用户身份发生变化 后能及时对其账户进行变更或注销。 评估结论制订账号与口令管理制度， 完善普通用户账户与管理员账户密码、 口令长度 要求；对账户密码、 口令变更作相关记录； 及时对系统用户身份发生变化后对其 账户进行变更或注销。5.2 网络与系统安全评估5.2.1 网络架构 评估标准局域网核心交换设备、城域网核心路由设备应采取设备冗余或

8、准备备用设 备，不允许外联链路绕过防火墙，具有当前准确的网络拓扑结构图。 现状描述局域网核心交换设备准备了备用设备，城域网核心路由设备采取了设备冗 余；没有不经过防火墙的外联链路，有当前网络拓扑结构图。 评估结论局域网核心交换设备、 城域网核心路由设备按要求采取设备冗余或准备备用 设备，外联链路没有绕过防火墙，完善网络拓扑结构图。5.2.2 网络分区 评估标准生产控制系统和管理信息系统之间进行分区，VLAF间的访问控制设置合理。 现状描述生产控制系统和管理信息系统之间没有进行分区，VLAF间的访问控制设置合 理。 评估结论对

9、生产控制系统和管理信息系统之间进行分区，VLAN可的访问控制设置合理。5.2.3 网络设备 评估标准网络设备配置有备份， 网络关键点设备采用双电源， 关闭网络设备 HTTP、FTP、 TFTP等服务，SNM社区串、本地用户口令强健（8字符，数字、字母混杂）。 现状描述网络设备配置没有进行备份，网络关键点设备是双电源，网络设备关闭了 HTTR FTP TFTF等服务，SNM社区串、本地用户口令没达到要求。 评估结论对网络设备配置进行备份，完善SNM社区串、本地用户口令强健（8字符， 数字、字母混杂）。5.2.4 IP 管理 评估标准有IR地

10、址管理系统，IP地址管理有规划方案和分配策略，IR地址分配有记录。 现状描述没有IP地址管理系统，正在进行对IP地址的规划和分配，IP地址分配有记录。 评估结论建立IP地址管理系统，加快进行对IP地址的规划和分配，IP地址分配有记录。5.2.5 补丁管理 评估标准有补丁管理的手段或补丁管理制度， Win dows系统主机补丁安装齐全，有补 丁安装的测试记录。 现状描述通过手工补丁管理手段，没有制订相应管理制度；Win dow系统主机补丁安装基本齐全，没有补丁安装的测试记录。 评估结论完善补丁管理的手段，制订相应管理制度；补缺

11、Win dow系统主机补丁安装， 补丁安装前进行测试记录。5.2.6 系统安全配置 评估标准对操作系统的安全配置进行严格的设置，删除系统不必要的服务、协议。 现状描述没有对操作系统的安全配置进行严格的设置，部分系统删除不必要的服务、 协议。 评估结论对操作系统的安全配置进行严格的设置，删除系统不必要的服务、协议。5.2.7 主机备份 评估标准重要的系统主机采用双机备份并进行热切换或者故障恢复的测试。 现状描述重要的系统主机采用了双机备份，进行过热切换或者故障恢复的测试。 评估结论重要的系统主机采用了双机备份，进

12、行热切换或者故障恢复的测试。5.3 网络服务与应用系统评估5.3.1 WWW 服务器 评估标准WWW务用户账户、口令应健壮（查看登录），信息发布进行了分级审核，外 部网站有备份或其他保护措施。 现状描述没有WWW务。 评估结论考虑按上述标准建设WWW务。5.3.2 电子邮件服务器 评估标准对近三个月的邮件数据进行备份， 有专门针对邮件病毒、 垃圾邮件的安全措 施，邮件系统管理员账户 / 口令应强健，邮件系统的维护、检查应有审计记录。 现状描述0/系统邮件数据进行一星期备份，有专门针对邮件病毒、垃圾邮件的趋势防 病毒软件系统，

13、 但该软件存在问题比较多， 邮件系统管理员账户 / 口令设置合理， 邮件系统的维护、检查没有审计记录。 评估结论对0/系统邮件数据进行三个月备份， 关注解决趋势防病毒软件系统问题； 邮 件系统管理员账户 / 口令设置合理，对邮件系统的维护、检查审计进行记录。5.3.3 远程拨号访问 评估标准有限制远程拨号访问的管理措施， 用于业务系统维护的远程拨号访问采取身 份验证、访问操作记录等措施。 现状描述没有远程拨号访问。 评估结论远程拨号访问设置按上述标准执行。5.3.4 应用系统 评估标准应用系统的角色、 权限分配有记录； 用户

14、账户的变更、 修改、注销有记录（半 年记录情况）；关键应用系统的数据功能操作进行审计并进行长期存储；对关键 应用系统有应急预案；关键应用系统管理员账户、用户账户口令定期进行变更； 新系统上线前进行安全性测试。 现状描述营销系统的角色、 权限分配有记录， 其余系统没有； 用户账户的变更、 修改、 注销没有记录； 关键应用系统的数据功能操作没有进行审计； 没有针对关键应用 系统的应急预案； 关键应用系统管理员账户、 用户账户口令有定期进行变更； 有 些新系统上线前没有进行过安全性测试。 评估结论完善系统的角色、权限分配有记录；记录用户账户的变更、修改、注销（半 年记录情

15、况）；关键应用系统的数据功能操作进行审计；制定针对关键应用系统 的应急预案； 关键应用系统管理员账户、 用户账户口令定期进行变更； 新系统上 线前应严格按照相关标准进行安全性测试。5.4 安全技术管理与设备运行状况评估5.4.1 防火墙 评估标准网络中的防火墙位置部署合理， 防火墙规则配置符合安全要求， 防火墙规则 配置的建立、 更改有规范申请、 审核、审批流程， 对防火墙日志进行存储、 备份。 现状描述网络中的防火墙位置部署合理， 防火墙规则配置符合安全要求， 防火墙规则 配置没有建立、 更改有规范申请、 审核、审批流程，对防火墙日志没有进行存储、 备份。5.4.

16、1.3 评估结论网络中的防火墙位置部署合理， 防火墙规则配置符合安全要求， 防火墙规则 配置的建立、更改要有规范申请、审核、审批流程，对防火墙日志应进行存储、 备份。5.4.2 防病毒系统 评估标准防病毒系统覆盖所有服务器及客户端（覆盖率至少应大于 90），对服务器 的防病毒客户端管理策略配置合理（自动升级病毒代码、每周扫描） ，有专责人 员负责维护防病毒系统并及时发布病毒通告。 现状描述防病毒系统覆盖所有客户端（覆盖率大于 90%）,服务器端除了 OA艮务器有 防病毒系统外其余没有； 有兼责人员负责维护防病毒系统， 但基本没有发布病毒 通告。 评估结

17、论防病毒系统覆盖所有客户端（覆盖率大于 90%），服务器端除了 OA艮务器有 防病毒系统外其余没有， 考虑以后实施；考虑配置专责人员负责维护防病毒系统， 并及时发布病毒通告。5.4.3 入侵检测系统 评估标准入侵检测系统部署合理、 覆盖主要网络边界与主要服务器， 定期对审计信息进行分析，定期更新入侵检测的规则与升级。 现状描述没有部署入侵检测系统 评估结论按上述部署、配置入侵检测系统。5.4.4 安全技术管理 评估标准部署身份认证系统、 安全管理平台， 采用漏洞扫描系统， 重要系统一年内进 行信息安全风险评估，部署针对安全设备的日志服务器

18、。 现状描述没有部署身份认证系统、 安全管理平台， 没有漏洞扫描系统， 重要系统没有 进行信息安全风险评估，没有部署针对安全设备的日志服务器。 评估结论按标准部署身份认证系统、 安全管理平台、 针对安全设备的日志服务器， 采 用漏洞扫描系统，重要系统一年进行一次信息安全风险评估。5.5 存储备份系统评估5.5.1 备份策略 评估标准建立明确、 合理的备份策略， 严格按照备份策略对系统数据进行备份 （查看 备份策略文件、查看备份记录或查看备份工具配置） 。 现状描述建立了明确、合理的备份策略并严格按照备份策略对系统数据进行备份。5.5.1.

19、3 评估结论建立明确、合理的备份策略，严格按照备份策略对系统数据进行备份。5.5.2 恢复预案 评估标准建立明确的恢复预案（查看文件） ，定期进行恢复演练。 现状描述没有建立明确的恢复预案，也没有定期进行恢复演练。 评估结论建立明确的恢复预案并定期进行恢复演练。5.5.3 备份介质管理 评估标准建立介质管理制度和废弃介质处理制度， 储存介质存放在安全环境， 有严格 的介质存取控制，有专人对存储介质进行定期检查。 现状描述没有建立介质的管理制度和废弃介质的处理制度，储存介质存放在安全环境，没有严格的介质存取控制，没有对存储介质

20、进行定期检查。 评估结论建立介质管理制度和废弃介质处理制度， 储存介质存放在安全环境， 严格介 质存取控制，对存储介质进行定期检查。5.6 介质及物理环境安全评估5.6.1 机房内部安全防护 评估标准主机房安装门禁、监控与报警系统。 现状描述主机房没有安装门禁、监控系统，有消防报警系统。 评估结论主机房安装门禁、监控与报警系统。5.6.2 机房供、配电 评估标准有详细的机房配线图， 机房供电系统将动力、 照明用电与计算机系统供电线 路分开，机房配备应急照明装置，定期对UPS的运行状况进行检测（查看半年内 检测记录）。5.6.

21、2.2 现状描述没有详细的机房配线图， 机房供电系统将动力、 照明用电与计算机系统供电 线路是分开的，机房没有配备应急照明装置，有定期对UPS的运行状况进行检测 但没有检测记录。 评估结论补全机房配线图， 机房供电系统将动力、 照明用电与计算机系统供电线路分 开，机房配备应急照明装置，定期对 UPS的运行状况进行检测和记录。5.6.3 机房环境防护 评估标准采用气体防火措施，空调系统定期进行检查，机房温度控制在摄氏 26 度以下。 现状描述有手提干粉灭火器， 没有采用气体防火措施， 空调系统定期进行检查， 机房 温度控制在摄氏 26 度以下。5.6.3

22、.3 评估结论采用气体防火措施，空调系统定期进行检查，机房温度控制在摄氏 26 度以下。5.6.4 介质管理 评估标准有介质管理规定，U盘、移动硬盘等存储介质有资产记录和责任人，磁盘、 光盘等存储介质有专人保管，笔记本使用有明确的管理制度。 现状描述有相应的介质管理规定，U盘、移动硬盘等存储介质有资产记录和责任人， 磁盘、光盘等存储介质有专人保管，笔记本使用没有明确的管理制度。 评估结论有相应的介质管理规定，U盘、移动硬盘等存储介质有资产记录和责任人， 磁盘、光盘等存储介质有专人保管，制订笔记本使用管理制度。5.7 应急处置评估5.7.1 应急预案5.

23、7.1.1 评估标准重要系统有完善的、可操作的应急预案，对应急预案进行定期演练。 现状描述重要系统没有完善的、可操作的应急预案。 评估结论制订重要系统完善的、可操作的应急预案并对应急预案进行定期演练。5.7.2 通报机制 评估标准按照集团公司的要求建立及时的信息安全信息通报机制。 现状描述没有按照集团公司的要求建立及时的信息安全信息通报机制。 评估结论按照集团公司的要求建立及时的信息安全信息通报机制。5.7.3 故障联动机制 评估标准建立良好的故障通讯联动机制，进行联合防护。 现状描述没有建立故障

24、通讯联动机制。 评估结论建立良好的故障通讯联动机制，进行联合防护。5.7.4 故障抢修机制 评估标准建立完善的信息网故障抢修机制，应急资源到位。 现状描述没有建立完善的信息网故障抢修机制。 评估结论建立完善的信息网故障抢修机制，应急资源到位。6 自评总结通过对上述的现状分析进行了自评估， 总的来看，有了初步的安全基础设施， 在管理方面具备了部分制度和策略， 安全防护单一， 技术上通过多种手段实现了 基本的访问控制， 但相应的安全策略、 安全管理与技术方面的安全防护需要更新 以适应要求。需要对安全措施和管理制度方面进行改善，通过技术和管理两

25、个方面来确保 策略的遵守和实现，最终能够将安全风险控制在适当范围之内，保证和促进业务 开展。物业安保培训方案为规范保安工作，使保安工作系统化 /规范化，最终使保安具备满足工作需要的知识和技能，特制定本教学教材大纲。一、课程设置及内容全部课程分为专业理论知识和技能训练两大科目。其中专业理论知识内容包括：保安理论知识、消防业务知识3、职业道德、法律常识、保安礼仪、救护知识。作技能训练内容包括：岗位操作指引、勤务技能、消防技能、军事技能。二培训的及要求培训目的1）保安人员培训应以保安理论知识、消防知识、法律常识教学为主，在教学过程中，应要求学员全面熟知保安理论知识及消防专业知识，在工作中的操作与运用

26、，并基本掌握现场保护及处理知识2 ）职业道德课程的教学应根据不同的岗位元而予以不同的内容，使保安在各自不同的工作岗位上都能养成具有本职业特点的良好职业道德和行为规范）法律常识教学是理论课的主要内容之一，要求所有保安都应熟知国家有关法律、法规，成为懂法、知法、守法的公民，运用法律这一有力武器与违法犯罪分子作斗争。工作入口门卫守护，定点守卫及区域巡逻为主要内容，在日常管理和发生突发事件时能够运用所学的技能保护公司财产以及自身安全。2、培训要求1）保安理论培训通过培训使保安熟知保安工作性质、地位、任务、及工作职责权限，同时全面掌握保安专业知识以及在具体工作中应注意的事项及一般情况处置的原则和方法。2）消防知识及消防器材的使用通过培训使保安熟知掌握消防工作的方针任务和意义，熟知各种防火的措施和消防器材设施的操作及使用方法，做到防患于未燃，保护公司财产和员工生命财产的安全。3）法律常识及职业道德教育通过法律常识及职业道德教育，使保安树立法律意识和良好的职业道德观念，能够运用法律知识正确处理工作中发生的各种问题；增强保安人员爱岗敬业、无私奉献更好的为公司服务的精神。技能。4）工作技能培训其