××單位安全檢查報(bào)告

1、X X單位信息安全檢查報(bào)告省公司公司X X單位2011年9月1概述根據(jù)國(guó)務(wù)院信息化工作辦公室關(guān)于對(duì)國(guó)家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)開(kāi) 展安全檢查的通知（信安通2006 15號(hào)）、國(guó)家電力監(jiān)管委員會(huì)關(guān)于對(duì)電 力行業(yè)有關(guān)單位重要信息系統(tǒng)開(kāi)展安全檢查的通知（辦信息200648號(hào)）以及集團(tuán)公司的文件要求，開(kāi)展省公司公司（以下簡(jiǎn)稱公司）范圍內(nèi)的信息安全檢查 工作。2目標(biāo)安全檢查工作的主要目標(biāo)是通過(guò)自評(píng)估工作， 發(fā)現(xiàn)公司信息系統(tǒng)當(dāng)前面臨的 主要安全問(wèn)題，邊檢查邊整改，確保公司信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全。本次安全檢查工作將完成以下任務(wù)：D 完成直屬各單位典型系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工作。通過(guò)檢查掌握當(dāng) 前公司

2、信息系統(tǒng)面臨的主要安全問(wèn)題，并在對(duì)檢查結(jié)果進(jìn)行分析判斷 的基礎(chǔ)上提出整改措施。2）進(jìn)行公司范圍內(nèi)信息安全大檢查， 對(duì)各單位的基礎(chǔ)網(wǎng)絡(luò)和重要信息系 統(tǒng)進(jìn)行安全性自查，并將相關(guān)數(shù)據(jù)進(jìn)行匯總分析，統(tǒng)計(jì)重大和典型信 息安全事件，及時(shí)發(fā)現(xiàn)和查找基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)存在的安全隱 患，邊檢查邊整改，確保公司基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)安全、可靠運(yùn) 行。3組織機(jī)構(gòu)成立省公司公司X X單位信息安全檢查領(lǐng)導(dǎo)小組和工作小組，組織協(xié)調(diào)局 信息安全檢查工作。4檢查方法安全檢查工作中將采取風(fēng)險(xiǎn)評(píng)估的基本方法、 對(duì)檢查范圍內(nèi)的工作內(nèi)容按照 評(píng)估的基本框架進(jìn)行，確保檢查工作的出發(fā)點(diǎn)、過(guò)程和結(jié)果與實(shí)際情況相符。安全檢查工作采用信息

3、安全風(fēng)險(xiǎn)評(píng)估的基本方法，按照“誰(shuí)主管、誰(shuí)負(fù)責(zé)， 誰(shuí)運(yùn)營(yíng)、誰(shuí)負(fù)責(zé)”的原則，以各單位組織自評(píng)估（自查）為主，并與上級(jí)檢查和 專家指導(dǎo)相結(jié)合，對(duì)檢查范圍內(nèi)的工作內(nèi)容按照評(píng)估的基本框架進(jìn)行，確保檢查工作的出發(fā)點(diǎn)、過(guò)程和結(jié)果與實(shí)際情況相符。為配合檢查工作的順利開(kāi)展、確保檢查工作的實(shí)效，在檢查實(shí)施過(guò)程中，應(yīng) 采取有效的檢查工具，結(jié)合人工檢查，并參照相關(guān)的技術(shù)規(guī)范進(jìn)行。檢查工作中，按照檢查列表由檢查人員根據(jù)系統(tǒng)特點(diǎn)逐項(xiàng)檢查，確保數(shù)據(jù)的 可靠和真實(shí)，人工檢查要進(jìn)行簽字和審核，確保檢查雙方對(duì)結(jié)果的認(rèn)可。5檢查內(nèi)容5.1 資產(chǎn)清單表附件1檢查內(nèi)容見(jiàn)附彳1資產(chǎn)清單表。5.2 事件清單表附件2檢查事件清單見(jiàn)附件2事件

4、清單表5.3 檢查結(jié)果表附件3檢查結(jié)果見(jiàn)附件3檢查結(jié)果表。6綜合分析X X單位通過(guò)對(duì)本單位重要系統(tǒng)、重要網(wǎng)絡(luò)設(shè)備、重要服務(wù)器及其安全屬性 受破壞后的影響進(jìn)行的識(shí)別，將一旦停止運(yùn)行影響面大的系統(tǒng)、 關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)設(shè) 備和安全設(shè)備、承載敏感數(shù)據(jù)和業(yè)務(wù)的服務(wù)器進(jìn)行登記匯總，形成了重要資產(chǎn)清 單。通過(guò)對(duì)本單位半年內(nèi)發(fā)生的較大的、 或者發(fā)生次數(shù)較多的信息安全事件（網(wǎng) 絡(luò)故障、信息系統(tǒng)故障）進(jìn)行了匯總記錄，形成了本單位近半年內(nèi)的的安全事件 清單。我局根據(jù)廣電公司下發(fā)的安全缺陷檢查列表包括規(guī)章制度與組織管理、關(guān)建設(shè)備和服務(wù)采購(gòu)情況、網(wǎng)絡(luò)與系統(tǒng)安全、網(wǎng)絡(luò)與應(yīng)用系統(tǒng)、安全技術(shù)管理與設(shè)備 運(yùn)行狀況、存儲(chǔ)備份系統(tǒng)、介

5、質(zhì)及物理環(huán)境安全、應(yīng)急處置等進(jìn)行了安全缺陷檢 查，填寫(xiě)了安全缺陷檢查結(jié)果表。對(duì)我局的信息安全狀況組織了單位信息部的所有系統(tǒng)管理人員、專職、專責(zé)進(jìn)行分析和判斷，明確了這些安全事件產(chǎn)生的原因，提出了針對(duì)的整改措施。附件4檢查結(jié)果整改措施編號(hào)安全事件事件情況簡(jiǎn)單說(shuō)明（）發(fā)生日期后果處理措施1網(wǎng)絡(luò)故障電信光纜中斷，并時(shí)斷時(shí)續(xù)。2006.4.252信息系統(tǒng)故障營(yíng)銷系統(tǒng)的數(shù)據(jù)增長(zhǎng)迅猛，在業(yè)務(wù)繁忙 期，出現(xiàn)4個(gè)集群節(jié)點(diǎn)會(huì)隨機(jī)自動(dòng)宕機(jī) 現(xiàn)象，當(dāng)日發(fā)生5號(hào)服務(wù)器宕機(jī)。2006.3.201.規(guī)章制度與組織管理（滿分 110分）檢查項(xiàng)目檢查內(nèi)容檢查分值1組織機(jī)構(gòu)（10 分）是否成立了信息安全領(lǐng)導(dǎo)機(jī)構(gòu)、工作機(jī)構(gòu)？ （

6、缺一項(xiàng)扣5分）2岡位職責(zé)（15 分）是否有專職網(wǎng)絡(luò)管理人員（缺一項(xiàng)扣3分，兼 職扣1分）是否有專職應(yīng)用系統(tǒng)管理人員（缺一項(xiàng)扣3 分，兼職扣1分）是否有專職系統(tǒng)管理人員（缺一項(xiàng)扣3分，兼 職扣1分）各專責(zé)的工作職責(zé)與工作范圍是否有制度明 確進(jìn)行界定。（否扣4分，）是否實(shí)行主、副崗備用制度（否扣 2分）3病毒管埋（12 分）是否制定了計(jì)算機(jī)病毒防治管理制度（否扣3 分）是否制定了定期升級(jí)的安全策略（否扣 3分）是否制定J病毒預(yù)警和報(bào)告機(jī)制（否扣 3分）病毒掃描策略是否規(guī)定了 1周內(nèi)至少進(jìn)一 次掃描？（否扣3分）4運(yùn)行管理（50 分）是否建立了信息系統(tǒng)運(yùn)行管理規(guī)程？（否扣3 分）重要操作是否實(shí)行工作

7、票制度？（檢查 3個(gè) 月內(nèi)的操作票，滿分8分）機(jī)房出入管理制度是否上墻？近 3個(gè)月的機(jī)房進(jìn)出情況是否啟記錄？（滿分 8分）運(yùn)行值班制度是否規(guī)定了普通情況下 5 * 8小 時(shí)、關(guān)鍵時(shí)期的7* 24小時(shí)的現(xiàn)場(chǎng)值班內(nèi)容？（否扣3分）是否建立了缺陷管理制度（檢查 3個(gè)月內(nèi)情 況，滿分8分）是否建立了統(tǒng)計(jì)匯報(bào)制度（檢查 3個(gè)月內(nèi)情 況，滿分8分）是否建立了運(yùn)維流程，并按照流程進(jìn)行操作 （檢查3個(gè)月內(nèi)情況，滿分8分）是否對(duì)值班人員進(jìn)行了安若卜？近 3個(gè)月值班 記錄內(nèi)容是否詳實(shí)？（滿分4分）5賬號(hào)與口令管 理（23分）是否制定了賬號(hào)、口令管理制度？（否扣 5分）普通用戶賬戶密碼、口令長(zhǎng)度要求是否大于6 字符

8、？管理員賬戶密碼、口令長(zhǎng)度是否大于8 字符？（每項(xiàng)/、符扣4分）半年內(nèi)賬戶密碼、口令是否進(jìn)行過(guò)變更？（查 看變更相關(guān)記錄、通知、文件）（否扣5分）半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后是否及時(shí)對(duì) 其賬戶進(jìn)行了變更或注銷？（查看相關(guān)記錄）（否扣5分）得分合計(jì)2 .關(guān)鍵設(shè)備和服務(wù)采購(gòu)情況名稱品牌數(shù)量外包服務(wù)商或運(yùn)維服務(wù)情況 （注明是否為系統(tǒng)內(nèi)單位）服務(wù)評(píng)價(jià)（好、 中、差）服務(wù)保密性要 求執(zhí)行情況 （好、中、差）交換機(jī)好好好好路由器好P 好 小型機(jī)好好好好好好防火墻好好入侵檢測(cè)防病用好好好好漏洞掃描網(wǎng)管軟件好好安全監(jiān)控平臺(tái)風(fēng)險(xiǎn)評(píng)估、安全管理、安 全規(guī)劃等咨詢服務(wù)好好好r 好好好好好安全運(yùn)維、安全加固、網(wǎng) 絡(luò)優(yōu)

9、化等外包服務(wù)好好好好產(chǎn)品安全性測(cè)試服務(wù)3 .網(wǎng)絡(luò)與系統(tǒng)安全（100分）檢查項(xiàng)目檢查內(nèi)容檢查分值1網(wǎng)絡(luò)架構(gòu)（25）局域網(wǎng)核心交換設(shè)備，廣域網(wǎng)核心路由設(shè)備是 合采取了設(shè)備冗余或準(zhǔn)備了備用設(shè)備？（滿分 10分，關(guān)鍵點(diǎn)缺一項(xiàng)扣2分，扣完為止）是否有/、經(jīng)過(guò)防火墻的外聯(lián)鏈路？（滿分10分，后扣10分）是否有當(dāng)前準(zhǔn)確的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖？（滿分 5分）2網(wǎng)絡(luò)分區(qū)（8）生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間是否吾B署了 隔離措施（滿分5分）VLAN句的訪問(wèn)控制是否合理？（滿分 3分）3網(wǎng)絡(luò)設(shè)備（23）網(wǎng)絡(luò)設(shè)備配置是否進(jìn)行了備份？（電子、物理 介質(zhì)）（滿分3分）網(wǎng)絡(luò)關(guān)鍵點(diǎn)設(shè)備是否雙電源？（滿分 5分）是否關(guān)閉了 HTTP

10、 FTR TFTP等服務(wù)？（滿分 5分）SNMpf區(qū)用、本地用戶口令是否強(qiáng)健（8字符， 數(shù)字、字母混雜）？（滿分10分，一項(xiàng)/、合格 扣5分）4 IP 管理（14）是否有IP地址管理系統(tǒng)？（滿分3分）是否有IP地址的規(guī)劃方案和分配策略？（滿分 8分）是否有IP地址分配記錄？（滿分3分）5補(bǔ)丁管理（13）是否有補(bǔ)丁管理的手段，或管理制度？（滿分 5分）Windows系統(tǒng)主機(jī)補(bǔ)丁安裝是含齊全？（湎分5 分）是否有補(bǔ)丁安裝的測(cè)試記錄？（滿分 3分）6系統(tǒng)安全配置（8）是否對(duì)操作系統(tǒng)的安全配置進(jìn)行了嚴(yán)格的設(shè) 置？（滿分5分）是否刪除了系統(tǒng)中不必要的服務(wù)、協(xié)議？（滿 分3分）8主機(jī)備份（10）重要的系統(tǒng)

11、主機(jī)是否采用了雙機(jī)備份？（滿分 5分）是否進(jìn)行過(guò)熱切換，或者故障恢復(fù)的測(cè)試？（滿 分5分）得分合計(jì)4 .網(wǎng)絡(luò)服務(wù)與應(yīng)用系統(tǒng)（100分）檢查項(xiàng)目檢查內(nèi)容檢查分值1 WW務(wù)（25）WW職務(wù)用戶賬戶、口令是否健壯？（查看登錄） （滿分10分）信息發(fā)布是否進(jìn)行了分級(jí)審核？（查看審核記錄） （滿分5分）外部網(wǎng)站是否有備份，或其他保護(hù)措施？（滿分10分）2電子郵件服務(wù)（20）是否對(duì)近3個(gè)月的郵件數(shù)據(jù)進(jìn)行了備份？（滿分5分）是否有專門(mén)針對(duì)郵件病毒、垃圾郵件的安全措 施？（滿分5分）郵件系統(tǒng)管理員賬戶/口令是否強(qiáng)健？郵件系統(tǒng)的維護(hù)、檢查是否啟審計(jì)記錄？（滿分 10分）3遠(yuǎn)程撥號(hào)訪問(wèn) 服務(wù)（15）是否有限制遠(yuǎn)程

12、撥號(hào)訪問(wèn)的管理措施？（滿分 5分）用于業(yè)務(wù)系統(tǒng)維護(hù)的遠(yuǎn)程撥號(hào)訪問(wèn)是否采取了身份驗(yàn)證、訪問(wèn)操作記錄等措施？（滿分 10分）4應(yīng)用系統(tǒng)（40）應(yīng)用系統(tǒng)的角色、權(quán)限分配是否有記錄? （滿分 5分）用戶賬戶的變更、修改、注銷是否有記錄？（查 看半年記錄情況）（滿分10分）關(guān)鍵應(yīng)用系統(tǒng)的數(shù)據(jù)功能操作是否進(jìn)行審計(jì)？審計(jì)信息是否進(jìn)行了長(zhǎng)期存儲(chǔ)？（滿分 5分）是否有針對(duì)關(guān)鍵應(yīng)用系統(tǒng)的應(yīng)急預(yù)案？（滿分 10 分）關(guān)鍵應(yīng)用系統(tǒng)管理員賬戶、用戶賬戶口令是否定 期進(jìn)行了變更？（滿分5分）新系統(tǒng)上線前是否進(jìn)行過(guò)安全性測(cè)試？（滿分 5分）得分合計(jì)5 .安全技術(shù)管理與設(shè)備運(yùn)行狀況（90分）檢查項(xiàng)目檢查內(nèi)容檢查分值1防火墻（

13、35）網(wǎng)絡(luò)中的防火墻部署位置是否合理？（滿分10分）防護(hù)墻規(guī)則配置是否符合安全要求？（滿分10分）防護(hù)墻規(guī)則配置的建立、更改是否啟規(guī)范的申請(qǐng)、審核、審批流程？（查看半年內(nèi)的記錄）（滿分10分）是否對(duì)防火墻日志進(jìn)行了存儲(chǔ)、備份？（滿分 5分）2防病毒系統(tǒng)（20）防病毒系統(tǒng)是否覆蓋所有服務(wù)器及客戶端？（覆 蓋率至少應(yīng)大于90%）（滿分5分）對(duì)服務(wù)器的防病毒客戶端管理策略配置是否合理？（自動(dòng)升級(jí)病毒代碼、每周掃描）（滿分10 分）是否有專貢人員負(fù)責(zé)維護(hù)防病毒系統(tǒng)，并及時(shí)發(fā) 布病母通告？（湎分5分）3入侵檢測(cè)系統(tǒng)（15檢查入侵檢測(cè)系統(tǒng)部署是否合理、能否覆蓋主要網(wǎng)絡(luò)邊界與主要服務(wù)器？（滿分 5分）f是否

14、定期對(duì)審計(jì)信息進(jìn)行分析？（滿分 5分）是否定期更新入侵檢測(cè)的規(guī)則與升級(jí)？（滿分 5分）4安全技術(shù)管理 （2。是否部署了身份認(rèn)證系統(tǒng)？（滿分 3分）是否夸B署了安全管理平臺(tái)？（滿分 2分）是否采用了漏洞掃描系統(tǒng)？（滿分 5分）重要系今年內(nèi)是否進(jìn)行了信息安全風(fēng)險(xiǎn)評(píng)估？ （滿分5分）是否夸口署了針對(duì)安全設(shè)備的日志服務(wù)器？（滿分5分）得分合計(jì)6 .存儲(chǔ)備份系統(tǒng)（50分）檢查項(xiàng)目檢查內(nèi)容檢查分值1備份策略（10）是否建立了明確、合理的備份策略？是否嚴(yán)格按 照備份策略對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行備份？（查看備份策 略文件、查看備份記錄，或查看備份工具配置）（滿分10分）2恢復(fù)塊菜（20）是否建立了明確的恢復(fù)預(yù)案？（查看

15、文件）（滿分10分）是否定期進(jìn)行恢復(fù)演練？（查看半年演練記錄） （滿分10分）3備份介質(zhì)管理（20）檢查是否建立介質(zhì)的管理制度和廢棄介質(zhì)的處理 制度（滿分10分）儲(chǔ)存介質(zhì)是否存放在安全環(huán)境（滿分 5分）是否有嚴(yán)格的介質(zhì)存取控制，是否有專人對(duì)存儲(chǔ) 介質(zhì)進(jìn)行官理（滿分5分）得分合計(jì)7,介質(zhì)及物理環(huán)境安全（70分）檢查項(xiàng)目檢查內(nèi)容檢查分值1機(jī)房?jī)?nèi)部安全防護(hù)（5）主機(jī)房是否安裝了門(mén)禁、監(jiān)控與報(bào)警系統(tǒng)？（滿 分5分）2機(jī)房供、配電（25）是否有詳細(xì)的機(jī)房配線圖？（滿分 5分）機(jī)房供電系統(tǒng)是否將動(dòng)力、照明用電與計(jì)算機(jī)系 統(tǒng)供電線路分開(kāi)？（滿分5分）機(jī)房是否配備應(yīng)急照明裝置？（滿分 5分）是否定期對(duì)UPS的

16、運(yùn)行狀況進(jìn)行檢測(cè)？（查看半 年內(nèi)檢測(cè)記錄）（滿分10分）3機(jī)房環(huán)境防護(hù)（20）是否采用了氣體防火措施？（滿分 10分）空調(diào)系統(tǒng)是否定期進(jìn)行檢查？（滿分 5分）機(jī)房溫度是否控制在攝氏 26度以下？（滿分5 分）4介質(zhì)管理（20）是否后相應(yīng)的介質(zhì)管理規(guī)定。（否扣5分）U盤(pán)、移動(dòng)硬盤(pán)等存儲(chǔ)介質(zhì)是否有資產(chǎn)記錄和責(zé) 任人（否扣5分）磁盤(pán)、光盤(pán)等存儲(chǔ)介質(zhì)是否有專人保管？（否扣 5分）筆記本使用是否有明確的管理制度？（否扣5分）得分合計(jì)8.應(yīng)急處置（30分）檢查項(xiàng)目檢查內(nèi)容檢查分值1應(yīng)急預(yù)案（15）重要系統(tǒng)是否有完善的、可操作的應(yīng)急預(yù)案？（滿 分5分）是否對(duì)應(yīng)急預(yù)案進(jìn)行了定期演練？（滿分 10分）2通報(bào)機(jī)制

17、（5）是否按照集團(tuán)公司的要求建立了及時(shí)的信息安全 信息通報(bào)機(jī)制？（滿分5分）3故障聯(lián)動(dòng)機(jī)制（5）是否建立了良好的故障通訊聯(lián)動(dòng)機(jī)制，聯(lián)合進(jìn)行 防護(hù)？（滿分5分）4故障搶修機(jī)制（5）是否建立了完善的信息網(wǎng)故障搶修機(jī)制，應(yīng)急資 源是否到位？（滿分5分）得分合計(jì)附件4檢查結(jié)果整改措施1.規(guī)章制度與組織管理檢查項(xiàng)目檢查內(nèi)容檢查說(shuō)明及存在問(wèn)題整改措施1組織機(jī)構(gòu)是否成立了信息安全領(lǐng)導(dǎo)機(jī)構(gòu)、工作 機(jī)構(gòu)？成立了信息化工作領(lǐng)導(dǎo) 小組（2002 4號(hào)關(guān)于 成立集團(tuán)XX供電分公 司信息化工作領(lǐng)導(dǎo)小組 的通知），而X X單位 信息安全管理規(guī)范中明 確定義信息安全組織的 架構(gòu)和職能，但由于人員 編制問(wèn)題，目前還沒(méi)有完 全

18、按照該規(guī)范執(zhí)行嚴(yán)格按照XX 單位信息安全 管理規(guī)范和X X單位信 息安全管理實(shí) 施指南成立安 全領(lǐng)耳機(jī)構(gòu)和 工作機(jī)構(gòu)。2崗位職責(zé)是否啟專職網(wǎng)絡(luò)管理人員配備了1名專職網(wǎng)絡(luò)管理 員。信息網(wǎng)絡(luò)日益擴(kuò) 大，1名不夠。是否啟專職應(yīng)用系統(tǒng)管理人員由于信息部崗位配置不 足，存在兼職的應(yīng)用系統(tǒng) 管理人員。不是每個(gè)系統(tǒng)都 府專職人員是否有專職系統(tǒng)管理人員配備了1名專職系統(tǒng)管理員。各專責(zé)的工作職責(zé)與工作范圍是否有 制度明確進(jìn)行界定。X X單位信息部崗位 職責(zé)有明確界定。是否實(shí)行主、副崗備用制度由于信息部崗位配置不 足，沒(méi)有實(shí)行主、副崗備 用制度。在目前的崗位配 置情況卜，爭(zhēng)取網(wǎng) 絡(luò)管理員實(shí)行主、 副崗備用制度。3

19、病毒管理是否制定了計(jì)算機(jī)病毒防治管理制度已制定X X單位計(jì)算機(jī) 病毒防范管理制度。是否制定了定期升級(jí)的安全策略在X X單位計(jì)算機(jī)病毒 防范管理制度中有具體 的規(guī)定。而且在杭附管理 平臺(tái)上已經(jīng)配置了定期 升級(jí)的安全策略。在X X單位計(jì)算 機(jī)病毒防范管理 制度體現(xiàn)是否制定J病毒預(yù)警和報(bào)告機(jī)制病毒報(bào)告機(jī)制在XX單 位安全事件應(yīng)急處理預(yù) 案中體現(xiàn)。完善在XX單位 計(jì)算機(jī)病毒防范 管理制度體現(xiàn)。病毒掃描策略是否規(guī)定了1周內(nèi)至少進(jìn)行一次掃描？在病毒管埋平臺(tái)上已經(jīng) 配置了每周的病毒掃描 策略。4運(yùn)行管理是否建立了信息系統(tǒng)運(yùn)行管理規(guī)程？按照省公司頒布的管理 信息系統(tǒng)建設(shè)與運(yùn)行維 護(hù)管理導(dǎo)則，每一個(gè)信 息系統(tǒng)都

20、制定了運(yùn)行管 理規(guī)程。重要操作是否實(shí)行工作票制度？X供電信200621號(hào)關(guān) 于修定相關(guān)信息系統(tǒng)管 理制度的通知之省公 司XX單位信息網(wǎng)絡(luò)入 網(wǎng)工作票文件規(guī)定J重 要操作實(shí)行工作票制度。機(jī)房出入管理制度是否上墻？近 3個(gè) 月的機(jī)房進(jìn)出情況是否啟記錄？X供電信200621號(hào)關(guān) 于修定相關(guān)信息系統(tǒng)管 理制度的通知之省公 司X X單位計(jì)算機(jī)專業(yè) 機(jī)房工作方知文件規(guī)定 機(jī)房管理制度必須上墻。 有近3個(gè)月的機(jī)房進(jìn)出情 況記錄。運(yùn)行值班制度是否規(guī)定了普通情況下 5* 8小時(shí)、關(guān)鍵時(shí)期的7 *24小時(shí)的現(xiàn)場(chǎng)值班內(nèi)容？機(jī)房運(yùn)行值班制度有 規(guī)定。是否建立了缺陷管理制度（檢查 3個(gè) 月內(nèi)情況，）有對(duì)網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)系

21、 統(tǒng)、服務(wù)器進(jìn)行定期巡 檢，發(fā)現(xiàn)缺陷并進(jìn)行整 改，有3個(gè)月內(nèi)的記錄。 但未制定相關(guān)的缺陷管 理制度。參考省公司電力 通信設(shè)備缺陷管 理辦法，盡快制 定X X單位信息 系統(tǒng)設(shè)備缺陷管 理制度。是否建立了統(tǒng)計(jì)匯報(bào)制度（檢查 3個(gè) 月內(nèi)情況，）每月底統(tǒng)計(jì)匯總?cè)貐^(qū) 信息系統(tǒng)運(yùn)行月報(bào)，上報(bào) 給局生產(chǎn)例會(huì)。是否建立了運(yùn)維流程，并按照流程進(jìn) 行操作（檢查3個(gè)月內(nèi)情況，）建立了運(yùn)維流程，有3個(gè) 月內(nèi)的運(yùn)維情況記錄。是否對(duì)值班人員進(jìn)行了安排？近 3個(gè) 月值班記錄內(nèi)容是否詳實(shí)？針對(duì)日常、節(jié)假日、突發(fā) 情況等類型，都對(duì)值班人 員進(jìn)行了安排。有近3個(gè) 月詳實(shí)值班記錄內(nèi)容。平 時(shí)沒(méi)有值班人員，關(guān)鍵時(shí) 候或節(jié)假日有值班

22、人員。BS7799人員配備5賬號(hào)與口令管 理是否制定了賬號(hào)、口令管理制度？已制定X X單位帳 號(hào)口令管理制度。普通用戶賬戶密碼、口令長(zhǎng)度要求是 否大于6字符？管埋員賬戶密碼、口 令長(zhǎng)度是否大于8字符？在X X單位帳號(hào)口令管 理制度中作了嚴(yán)格規(guī) 定。半年內(nèi)賬戶密碼、口令是否進(jìn)行過(guò)變 更？（查看變更相關(guān)記錄、通知、文 件）除系統(tǒng)管理帳戶外，大部 分普通賬戶密碼、口令半 年內(nèi)未進(jìn)行過(guò)父更。局發(fā)文要求所有 員工嚴(yán)格執(zhí)行 XX單位帳號(hào) 口令管理制度半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后是否 及時(shí)對(duì)其賬戶進(jìn)行了變更或注銷？系統(tǒng)用戶身份發(fā)生變化 后后及時(shí)對(duì)其賬戶進(jìn)行 變更或注銷，但沒(méi)有做記 錄。要求系統(tǒng)管理員 嚴(yán)格執(zhí)

23、行X X單 位帳號(hào)口令管理 制度2 .網(wǎng)絡(luò)與系統(tǒng)安全檢查項(xiàng)目檢查內(nèi)容檢查說(shuō)明及存在問(wèn)題整改措施1網(wǎng)絡(luò)架構(gòu)局域網(wǎng)核心交換設(shè)備，廣域網(wǎng)核心路由設(shè)備是 合采取了設(shè)備冗余或準(zhǔn)備了備用設(shè)備？局域網(wǎng)、城域網(wǎng)核心 設(shè)備共用1臺(tái)三層交 換機(jī)，使用另外1臺(tái) 作為冷備06年新建城域網(wǎng)及局 域網(wǎng)項(xiàng)目中進(jìn)行改造是含有不經(jīng)過(guò)防火墻的外聯(lián)鏈路？是否有當(dāng)前準(zhǔn)確的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖？有準(zhǔn)確的網(wǎng)絡(luò)拓?fù)鋱D2網(wǎng)絡(luò)分區(qū)生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間是否吾B署了 隔離措施（滿分5分）部署Cisco PIX防火 墻VLAN間的訪問(wèn)控制是否合理？VLAN間的訪問(wèn)根據(jù)需 求進(jìn)行控制3網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)設(shè)備配置是否進(jìn)行了備份？（電子、物理 介質(zhì)）網(wǎng)絡(luò)設(shè)

24、備配置進(jìn)行電 子介質(zhì)備份，并在每 次更改都進(jìn)行備份網(wǎng)絡(luò)關(guān)鍵點(diǎn)設(shè)備是否雙電源？城域網(wǎng)核心設(shè)備、局 域網(wǎng)為核心設(shè)備均為 雙電源，匯聚層設(shè)備、 關(guān)鍵防火墻只有單電 源重要路由器、防火墻 已有一臺(tái)冷備是否關(guān)閉了 HTTP FTR TFTP等服務(wù)？已關(guān)閉HTTP FTP、TFTP月艮務(wù)SNMP+區(qū)用、本地用戶口令是否強(qiáng)?。?字符， 數(shù)字、字母混雜）？SNMP字符串長(zhǎng)度不 夠，本地用戶口令較 強(qiáng)健06年新建城域網(wǎng)及局 域網(wǎng)項(xiàng)目中進(jìn)行改造4 IP管理是否有IP地址管理系統(tǒng)？是否有IP地址的規(guī)劃方案和分配策略？:有是否有IP地址分配記錄？（滿分3分）有5補(bǔ)丁管理是否有補(bǔ)丁管理的手段，或管理制度？安裝了 WSU

25、系統(tǒng)Windows系統(tǒng)主機(jī)補(bǔ)丁安裝是含齊全？自動(dòng)下載補(bǔ)丁，安裝 齊全是否啟補(bǔ)丁安裝的測(cè)試記錄？服務(wù)器有補(bǔ)丁安裝的 測(cè)試記錄，普通客戶 端無(wú)測(cè)試記錄6系統(tǒng)安全配置是否對(duì)操作系統(tǒng)的安全配置進(jìn)行了嚴(yán)格的設(shè) 置？在域控制器的組策略 里做了部份安全策略 配置07年對(duì)AD域進(jìn)行改 造，加強(qiáng)客戶端、服 務(wù)器的安全配置是否刪除了系統(tǒng)中不必要的服務(wù)、協(xié)議？對(duì)客戶端作部分服務(wù) 的限制07年對(duì)AD域進(jìn)行改 造，加強(qiáng)對(duì)客戶端、 服務(wù)器的不必要的服 務(wù)、協(xié)議進(jìn)行限制8主機(jī)備份重要的系統(tǒng)主機(jī)是否采用了雙機(jī)備份？?jī)H對(duì)部分重要業(yè)務(wù)系 統(tǒng)采用雙機(jī)熱備07年對(duì)財(cái)務(wù)、客服系 統(tǒng)采用雙機(jī)熱備是否進(jìn)行過(guò)熱切換，或者故障恢復(fù)的測(cè)試？采用

26、了雙機(jī)備份的系 統(tǒng)進(jìn)行過(guò)熱切換，或 者故障恢復(fù)的測(cè)試。3 .網(wǎng)絡(luò)服務(wù)與應(yīng)用系統(tǒng)檢查項(xiàng)目檢查內(nèi)容檢查說(shuō)明及存在問(wèn)題整改措施1 wwW 務(wù)WWW務(wù)用戶賬戶、口令是否健壯？（查看 登錄）統(tǒng)一由省公司提供對(duì) 外WEB艮務(wù)。信息發(fā)布是否進(jìn)行了分級(jí)審核？（查看審核 記錄）執(zhí)行分級(jí)審核記錄齊 全。外部網(wǎng)站是否有備份，或其他保護(hù)措施？統(tǒng)一由省公司提供對(duì) 外WEB艮務(wù)，有保護(hù)措 施。2電子郵件服務(wù)是否對(duì)近3個(gè)月的郵件數(shù)據(jù)進(jìn)行了備份？沒(méi)有提供互聯(lián)網(wǎng)電子 郵件服務(wù)。是否后專門(mén)針對(duì)郵件9丙毒、垃圾郵件的安全 措施？沒(méi)有提供互聯(lián)網(wǎng)電子 郵件服務(wù)。郵件系統(tǒng)管理員賬戶/口令是否強(qiáng)??？郵件 系統(tǒng)的維護(hù)、檢查是否啟審計(jì)記錄？沒(méi)

27、有提供互聯(lián)網(wǎng)電子 郵件服務(wù)。3遠(yuǎn)程撥號(hào)訪問(wèn) 服務(wù)是否有限制遠(yuǎn)程撥號(hào)訪問(wèn)的管理措施？我局已取消遠(yuǎn)程撥號(hào) 訪問(wèn)服務(wù)。用于業(yè)務(wù)系統(tǒng)維護(hù)的遠(yuǎn)程撥號(hào)訪問(wèn)是否采取 了身份驗(yàn)證、訪問(wèn)操作記錄等措施？我局業(yè)務(wù)系統(tǒng)維護(hù)不 采用遠(yuǎn)程撥號(hào)訪問(wèn)方 式。4應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)的角色、權(quán)限分配是否有記錄,在各個(gè)應(yīng)用系統(tǒng)運(yùn) 維管理規(guī)程里明確 應(yīng)用系統(tǒng)的角色、權(quán) 限分配，并肩詳細(xì)記錄。用戶賬戶的變更、修改、注銷是否有記錄？ （查看半年記錄情況）全局的域控制系統(tǒng)有 用戶賬戶的變更、修 改、注銷的記錄，并且 按審批流程填寫(xiě)了完 整的信息業(yè)務(wù)申請(qǐng) 表，但其他業(yè)務(wù)系統(tǒng) 暫時(shí)沒(méi)有實(shí)行。要求各應(yīng)用系統(tǒng)內(nèi) 用戶賬戶的變更、修 改、注銷進(jìn)行詳細(xì)

28、記 錄，每年由相關(guān)系統(tǒng) 管理員填寫(xiě)并整理 歸檔。關(guān)鍵應(yīng)用系統(tǒng)的數(shù)據(jù)功能操作是否進(jìn)行審 計(jì)？審計(jì)信息是否進(jìn)行了長(zhǎng)期存儲(chǔ)？關(guān)鍵應(yīng)用系統(tǒng)的操作 沒(méi)有完全實(shí)行審計(jì)日 志功能，但目前的營(yíng)銷 系統(tǒng)中涉及營(yíng)銷收費(fèi) 的關(guān)鍵操作都有對(duì)操 作進(jìn)行審計(jì)。新建系統(tǒng)要求具備 對(duì)數(shù)據(jù)操作進(jìn)行審 計(jì)的功能。是否有針對(duì)關(guān)鍵應(yīng)用系統(tǒng)的應(yīng)急預(yù)案？針對(duì)大面積停電已建 立信息系統(tǒng)針對(duì)大停 電應(yīng)事故急處理預(yù)案 操作手冊(cè)并發(fā)文，其 中包含關(guān)鍵應(yīng)用系統(tǒng) 針對(duì)人停電事故的應(yīng) 急預(yù)殺按照信息系統(tǒng)管理 規(guī)范和指南完善對(duì) 其他事故預(yù)案。關(guān)鍵應(yīng)用系統(tǒng)管理員賬戶、用戶賬戶口令是 否定期進(jìn)行了變更？業(yè)務(wù)系統(tǒng)暫時(shí)沒(méi)有實(shí) 行。X X單位帳號(hào)口 令管理制度明

29、確規(guī) 定關(guān)鍵應(yīng)用系統(tǒng)管 理員賬戶、用戶賬戶 口令定期進(jìn)行變更，并進(jìn)行詳細(xì)記錄，每 年由相關(guān)系統(tǒng)管理 員整理歸檔。新系統(tǒng)上線前是否進(jìn)行過(guò)安全性測(cè)試？新系統(tǒng)在正式投運(yùn)前 都有一至三個(gè)月的試 運(yùn)行期；在試運(yùn)行期 內(nèi)，都有進(jìn)行相關(guān)的數(shù) 據(jù)庫(kù)連接，業(yè)務(wù)應(yīng)用等 實(shí)際操作的測(cè)試。暫時(shí) 沒(méi)有針對(duì)安全性的相 應(yīng)制度及專用的測(cè)試 手段了解相關(guān)測(cè)試技術(shù)， 聯(lián)系技術(shù)力量好的 廠豕做技人交流4 .安全技術(shù)管理與設(shè)備運(yùn)行狀況檢查項(xiàng)目檢查內(nèi)容檢查說(shuō)明及存在問(wèn)題整改措施1防火墻r網(wǎng)絡(luò)中的防火墻部署位置是否合理？部署合理防護(hù)墻規(guī)則配置是否符合安全要求？符合安全要求防護(hù)墻規(guī)則配置的建立、更改是否有規(guī)范 測(cè)申請(qǐng)、審核、審批流程？（

30、查看半年內(nèi) 的記錄）已建立X x單位網(wǎng)絡(luò)設(shè) 備調(diào)整變更制度，其中 對(duì)設(shè)備的接入、變更以及 廢棄都有詳細(xì)流程規(guī)定， 但工作中還存在不依照 制度執(zhí)行的情況。嚴(yán)格按照X X單位網(wǎng)絡(luò) 設(shè)備調(diào)整變更制度執(zhí)行是否對(duì)防火墻日志進(jìn)行了存儲(chǔ)、備份？每個(gè)季度進(jìn)行巡檢并對(duì) 日志進(jìn)行分析、存儲(chǔ)2防病毒系統(tǒng)防病毒系統(tǒng)是否覆蓋所有服務(wù)器及客戶 端？（覆蓋率至少應(yīng)大于90%）防病毒系統(tǒng)覆蓋率以超 過(guò) 95%。對(duì)服務(wù)器的防病毒客戶端管理策略配置是 否合理？（自動(dòng)升級(jí)杭附代碼、每周掃描）每天自動(dòng)升級(jí)病毒代碼； 配置每周對(duì)服務(wù)器進(jìn)行 病毒掃描操作。是否有專貢人員負(fù)責(zé)維護(hù)防病毒系統(tǒng)，并 及時(shí)發(fā)布病母通告？有專貢人員負(fù)責(zé)維護(hù)防 杭附

31、系統(tǒng)；會(huì)/、定期的將 危害性局的病毒通過(guò)電 子郵件通知大家3入侵檢測(cè)系統(tǒng)檢查入侵檢測(cè)系統(tǒng)部署是否合理、能否覆 蓋主要網(wǎng)絡(luò)邊界與主要服務(wù)器？01年曾購(gòu)置ISS入侵檢 測(cè)系統(tǒng)，但由于升級(jí)費(fèi)用在06年的IDC安全防范 項(xiàng)目中新建昂貴和廠家維護(hù)不到位， 現(xiàn)已停用。是否定期對(duì)審計(jì)信息進(jìn)行分析？未進(jìn)行在06年的IDC安全防范 項(xiàng)目中新建后執(zhí)行是否定期更新入侵檢測(cè)的規(guī)則與升級(jí)？未有在06年的IDC安全防范 項(xiàng)目中新建后執(zhí)行4安全技術(shù)管理是否部署了身份認(rèn)證系統(tǒng)？已部署PKI/CA,但未投 入使用。驗(yàn)收后將投入使用是否部署了安全管理平臺(tái)？木印者明年部署是有采用了漏洞掃描系統(tǒng)？未有在06年的IDC安全防范 項(xiàng)目中

32、建立漏洞掃描系 統(tǒng)重要系今年內(nèi)是否進(jìn)行了信息安全風(fēng)險(xiǎn) 評(píng)估？隔年進(jìn)一次信息安全 風(fēng)險(xiǎn)評(píng)估以后在每年增加信息安 全風(fēng)險(xiǎn)評(píng)估預(yù)算是否部署了針對(duì)安全設(shè)備的日志服務(wù)器？未有07年新增對(duì)安全設(shè)備的 日志管理系統(tǒng)5.存儲(chǔ)備份系統(tǒng)檢查項(xiàng)目檢查內(nèi)容檢查說(shuō)明及存在問(wèn)題整改措施1備份策略是否建立了明確、合理的備份策略？是否 嚴(yán)格按照備份策略對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行備 份？（查看備份策略文件、查看備份記錄， 或查看備份工具配置）已建立了明確、合理的備份 策略；并嚴(yán)格按照備份策略 對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行備份；每季 度由專人負(fù)責(zé)巡檢。2恢復(fù)段茶是否建立了明確的恢復(fù)預(yù)案？（查看文 件）已制定數(shù)據(jù)恢復(fù)預(yù)案， 針對(duì)文件數(shù)據(jù)、業(yè)務(wù)系統(tǒng)的 數(shù)據(jù)庫(kù)

33、做了明確的技術(shù)處 理恢復(fù)的解決方案，但沒(méi)有 經(jīng)過(guò)實(shí)際的操作演練。今后每年根據(jù)業(yè)務(wù)系統(tǒng)的重要 等級(jí)及硬件平臺(tái)的冗余程度， 選擇合適的非業(yè)務(wù)繁忙時(shí)間， 與業(yè)務(wù)管理部門(mén)協(xié)商確定恢復(fù) 演練的方案及具體的實(shí)施操 作，并嚴(yán)格按照數(shù)據(jù)恢復(fù)預(yù) 案內(nèi)的流程執(zhí)行操作，積累 相關(guān)經(jīng)驗(yàn)，記錄存檔并不斷修 編完善該數(shù)據(jù)恢復(fù)預(yù)案是否定期進(jìn)行恢復(fù)演練？（查看半年演練 記錄）對(duì)個(gè)別業(yè)務(wù)系統(tǒng)進(jìn)行過(guò)部 分?jǐn)?shù)據(jù)的恢復(fù)演練，但沒(méi)有 記錄。今后每年根據(jù)業(yè)務(wù)系統(tǒng)的重要 等級(jí)及硬件平臺(tái)的冗余程度， 選擇合適的非業(yè)務(wù)繁忙時(shí)間， 與業(yè)務(wù)管理部門(mén)協(xié)商確定恢復(fù) 演練的方案及具體的實(shí)施操 作，并記錄存檔。3備份介質(zhì)管 理檢查是否建立介質(zhì)的管理制度和廢棄介 質(zhì)的處理制度已制定的XX單位數(shù)據(jù)備 份管理制度肩關(guān)于介質(zhì)的在今后介質(zhì)的存取控制和廢棄 介質(zhì)的處理時(shí)，嚴(yán)格執(zhí)行相關(guān)管理和廢棄介質(zhì)的處理辦 法，但沒(méi)后形成相應(yīng)的處理 記錄。記錄并存檔。儲(chǔ)存介質(zhì)是否存放在安全環(huán)境磁帶存儲(chǔ)介質(zhì)目前與其他 光盤(pán)、磁盤(pán)介質(zhì)存放在啟恒 溫恒濕空調(diào)的信息專業(yè)機(jī) 房的防潮箱內(nèi)，但沒(méi)有異地 存放。新的IDC機(jī)房的建設(shè)將考慮