信息安全风险评估报告

信息安全风险评估报告

需要完善岗位职责制度，配置专职网络管理人员、专职应用系统管理人员和专职系统管理人员，明确各岗位的工作职责和范围，并实行主、副岗备用制度。5.2基础设施安全评估5.2.1网络安全5.2.1.1评估标准网络设备应采用安全可靠的设备，网络拓扑应合理，网络设备应进行安全配置，网络设备应具备完善的日志记录和审计功能。5.2.1.2现状描述本局网络设备采用的大多是普通设备，网络拓扑不够合理，网络设备安全配置不完善，日志记录和审计功能不够完善。5.2.1.3评估结论需要升级网络设备，采用安全可靠的设备，优化网络拓扑，加强网络设备的安全配置，完善日志记录和审计功能。5.2.2服务器安全5.2.2.1评估标准服务器应采用安全可靠的操作系统和应用软件，应定期进行安全补丁更新和漏洞扫描，应具备完善的日志记录和审计功能。5.2.2.2现状描述本局服务器采用的操作系统和应用软件存在安全隐患，安全补丁更新和漏洞扫描不够及时，日志记录和审计功能不够完善。5.2.2.3评估结论需要升级服务器操作系统和应用软件，定期进行安全补丁更新和漏洞扫描，完善日志记录和审计功能。6整改措施根据评估结果，制定整改措施，并明确整改责任人和整改时限。对于重要问题，应及时报告上级主管部门。制订账号与口令管理制度，明确普通用户账户密码、口令长度要求大于6字符，管理员账户密码、口令长度大于8字符；半年内账户密码、口令应变更并保存变更相关记录、通知、文件；半年内系统用户身份发生变化后应及时对其账户进行变更或注销。同时，需要对已有账户密码、口令进行检查和更新。没有补丁管理的手段或补丁管理制度，Windows系统主机补丁安装不齐全，没有补丁安装的测试记录。5.2.5.3评估结论制定补丁管理制度，确保Windows系统主机补丁安装齐全，并记录补丁安装的测试过程。应用系统的用户账户、口令应健壮，应用系统安装目录和数据目录应分开设置，应用系统管理员账户/口令应强健，应用系统的维护、检查应有审计记录。5.3.4.2现状描述应用系统的用户账户、口令设置一般，应用系统安装目录和数据目录没有分开设置，应用系统管理员账户/口令设置合理，应用系统的维护、检查没有审计记录。5.3.4.3评估结论应用系统的用户账户、口令设置要健壮；应用系统安装目录和数据目录要分开设置；应用系统管理员账户/口令设置要强健；应用系统的维护、检查要有审计记录。入侵检测系统部署合理，覆盖所有关键系统，配置合理，能够及时发现并报警入侵行为，有专责人员负责维护入侵检测系统并定期检测系统运行状况。5.4.3.2现状描述没有部署入侵检测系统。5.4.3.3评估结论需要部署入侵检测系统，覆盖所有关键系统，并配置合理，能够及时发现并报警入侵行为，配置专责人员负责维护入侵检测系统并定期检测系统运行状况。系统5.6.2.1评估标准供、配电系统应符合国家标准和相关规定，定期进行检查和维护，备用电源应保证正常运行。5.6.2.2现状描述供、配电系统符合国家标准和相关规定，但没有定期检查和维护，备用电源也没有保证正常运行。5.6.2.3评估结论供、配电系统应符合国家标准和相关规定，定期进行检查和维护，备用电源必须保证正常运行。5.6.3机房温度、湿度、灰尘等环境参数的控制5.6.3.1评估标准机房温度、湿度、灰尘等环境参数应符合国家标准和相关规定，定期进行检查和维护。5.6.3.2现状描述机房温度、湿度、灰尘等环境参数符合国家标准和相关规定，但没有定期检查和维护。5.6.3.3评估结论机房温度、湿度、灰尘等环境参数应符合国家标准和相关规定，定期进行检查和维护。评估结论：建立良好的故障通讯联动机制，实现联合防护，同时建立完善的信息网故障抢修机制，保证应急资源到位。自评总结：经过对现状的分析，我们发现虽然已经建立了一些安全基础设施和管理制度，