《××单位安全评估报告.doc》由会员分享,可在线阅读,更多相关《××单位安全评估报告.doc(30页珍藏版)》请在三一办公上搜索。
1、单位信息安全检查安全评估报告1.概述41.1.背景41.2.目的41.3.评估依据52.安全评估方案62.1.安全评估内容62.1.1.物理层自评估72.1.2.网络层自评估72.1.3.系统层自评估72.1.4.应用层自评估72.1.5.管理层自评估72.2.安全评估流程72.3.安全评估方式92.3.1.管理体系审计92.3.2.安全策略评估102.3.3.网络架构分析102.3.4.手动检查112.3.5.安全技术审计113.信息资产识别123.1.概述123.2.网络结构123.3.应用系统123.4.资产清单134.安全威胁现状与分析134.1.概述134.2.安全威胁分析144.3
2、.安全事件列表145.系统脆弱性现状与分析165.1.概述165.2.管理安全165.3.物理安全195.4.网络安全205.5.系统安全215.6.应用安全225.6.1.网络服务235.6.2.备份与存储245.6.3.安全应急管理255.7.安全控制措施266.安全现状总结286.1.管理层面286.2.技术层面291. 概述1.1. 背景根据国务院信息化工作办公室关于对国家基础信息网络和重要信息系统开展安全检查的通知(信安通200615号)、国家电力监管委员会关于对电力行业有关单位重要信息系统开展安全检查的通知(办信息200648号)、集团公司以及省公司公司相关文件的要求,开展单位范围
3、内的信息安全检查工作。本报告为单位信息系统安全现状自评估结论性报告,描述了对我局信息系统目前面临的各种安全威胁,并从物理安全、网络安全、系统安全、应用安全和管理安全五个层面对我局信息系统安全脆弱性现状进行了详细的分析,最终从客观上对信息系统的安全状况进行了总体评价。1.2. 目的单位信息安全检查工作的主要目标是通过自评估工作,发现公司信息系统当前面临的主要安全问题,边检查边整改,确保公司信息网络和重要信息系统的安全。本次安全检查工作将完成以下任务:1. 完成单位的信息安全风险评估工作。通过检查掌握当前我局信息系统面临的主要安全问题,并在对检查结果进行分析判断的基础上提出整改措施;2. 进行单位
4、信息安全大检查,对我局的基础网络和重要信息系统进行安全性自查,并将相关数据进行汇总分析,统计重大和典型信息安全事件,及时发现和查找基础网络和重要信息系统存在的安全隐患,边检查边整改,确保我局基础网络和重要信息系统安全、可靠运行。1.3. 评估依据本次自评估我局将采用国际信息安全管理标准BS 7799的PDCA思想作为贯穿整个项目过程的主要指导规范。在风险等关键因素的评估及安全体系、安全规划、安全策略、安全方案的建设等方面,我们还参考了SSE-CMM、ISO15408和ISO13335标准。1. BS7799 (ISO/IEC 17799)BS 7799是国内外现在比较流行的信息安全管理标准,其
5、安全模型主要是建立在风险管理的基础上,通过风险分析的方法,使信息风险的发生概率和后果降低到可接受水平,并采取相应措施保证业务不会因安全事件的发生而中断。这个标准中安全管理体系框架构建的过程也就是宏观上指导整个项目实施的过程。这个标准中给出了11类需要进行控制的部分:安全策略、安全组织、资产分类与控制、个人信息安全、物理和环境安全、通信和操作安全、访问控制、系统的开发和维护、商业持续规划、合法性要求等方面的安全风险评估和控制,以及133项控制细则。2. 信息安全风险评估指南&信息安全风险管理指南信息安全风险评估指南和信息安全风险管理指南是国内风险评估的主要规范,它在参考了国际风险评估理论的基础上
6、建立了适用于中国国情的风险评估方法论,无论是风险评估的流程还是风险计算模型都将为本次风险评估的具体实施提供指导。3. SSE-CMMSSE-CMM是“系统安全工程能力成熟模型”的缩写。系统安全工程旨在了解用户单位存在的安全风险,建立符合实际的安全需求,将安全需求转换为贯穿安全系统工程的实施指南。系统安全工程需要对安全机制的正确性和有效性做出验证,证明系统安全的信任度能够达到用户要求,以及未在安全基线内仍存在的安全问题连带的风险在用户可容许、或可控范围内。4. ISO/IEC 15408(GB/T18336)信息技术安全性评估通用准则ISO15408已被颁布为国家标准GB/T18336,简称通用
7、准则(CC),它是评估信息技术产品和系统安全性的基础准则。该标准针对在安全性评估过程中信息技术产品和系统的安全功能及相应的保证措施提出一组通用要求,使各种相对独立的安全性评估结果具有可比性。5. ISO/IEC 13335ISO13335是信息安全管理方面的规范,这个标准的主要目的就是要给出如何有效地实施IT安全管理的建议和指南。6. 等级保护相关标准为了落实信息安全等级保护管理办法(试行),协助XX公司对信息系统进行安全等级保护的建设,将严格遵循公安部颁布的计算机信息系统安全等级保护划分准则(GB17859)、信息系统安全保护等级定级指南(试用稿)、信息系统安全等级保护基本要求(试用稿)、信
8、息系统安全等级保护实施指南(送审稿)、信息系统安全等级保护测评准则(送审稿)、电子政务信息安全等级保护实施指南(试行)(国信办25号文)等相关规范。7. 其他相关标准在具体的安全风险评估操作及安全体系建设方面,还将参考一些国际和国内的技术标准,如AS/NZS 4360: 1999 风险管理标准、GAO/AIMD-00-33信息安全风险评估、加拿大威胁和风险评估工作指南、美国信息安全保障框架IATF等,以此更加规范安全评估及体系建设的具体技术细节。2. 安全评估方案2.1. 安全评估内容本次为了全面的分析局信息系统当前的安全现状,发现当前系统存在的高风险安全隐患和问题,分析当前现状和省公司公司信
9、息安全检查工作方案、ISO17799等国家及行业安全目标之间的差距,我局将对信息网的物理层、网络层、系统层、应用层和管理层进行全面安全评估。2.1.1. 物理层自评估物理层自评估主要是通过局信息网机房内部安全防护、机房供电以及环境防护的安全性进行评估。2.1.2. 网络层自评估网络层自评估主要是对局信息网进行网络架构分析和人工安全检查等评估方法对我局的网络结构、路由器、交换机以及防火墙等网络设备的安全性进行评估。2.1.3. 系统层自评估系统层自评估主要是通过手动检查、安全技术审计等方式对局信息网中的小型机以及Windows PC服务器等应用服务器的操作系统进行安全性自评估工作。2.1.4.
10、应用层自评估应用层自评估主要是通过人工安全检查、安全技术审计等方式对OAK系统、营销系统以及数据库系统等业务应用系统的安全性进行评估。2.1.5. 管理层自评估管理层自评估主要是通过管理体系审核、管理问卷调查等方式对业务系统信息安全管理的建设和执行情况进行评估,并分析当前现状和省公司公司信息安全检查工作方案、ISO17799等国家及行业安全目标之间的差距。2.2. 安全评估流程安全风险评估方案是安全风险模型的体现,本次自评估工作过程可以分为以下几个阶段:l第一阶段确定评估范围阶段,调查并了解我局信息系统业务的流程和运行环境,确定评估范围的边界以及范围内的所有网络系统;l第二阶段是资产的识别和评
11、估阶段,对评估范围内的所有资产进行识别;l第三阶段是安全威胁评估阶段,即评估资产所面临的主要威胁发生可能性;l第四阶段是脆弱性评估阶段,包括从技术、管理、策略方面进行的脆弱程度检查,特别是技术方面,以安全审计和手动抽查的评估;l第五阶段是风险的分析阶段,即通过分析上面所评估的数据,进行风险识别、区分和确认高风险因素;l第六阶段是风险的管理阶段,这一阶段主要是总结整个风险评估过程,制定相关风险控制策略,建立风险评估报告和检查报告,实施某些紧急风险控制措施。2.3. 安全评估方式2.3.1. 管理体系审计通过对局现有的安全管理体系进行审核,了解现有管理体系与ISO27001*省*集团有限公司计算机
12、信息系统安全策略规划书、省公司公司信息安全检查工作方案等相关国家和行业标准的符合情况。安全管理体系的审计包括现有的安全管理管理规范、策略文档、制度文档、流程文档。检查内容主要包括:l 分析当前颁布的所有的管理体系文档的内容是否全面;l 检查当前颁布的安全体系是否符合标准;l 检查当前颁布的各类体系文档的格式是否合理;l 检查当前颁布的安全体系是否在持续改进。l 检查当前颁布的安全体系内容是否符合省公司公司信息安全检查工作方案的要求2.3.2. 安全策略评估安全策略是对整个网络在安全控制、安全管理、安全使用等最全面、最详细的策略性描述,它是整个网络安全的依据。不同的网络需要不同的策略,它必须能回
13、答整个网络中与安全相关的所有问题,例如,如何实现防病毒管理?如何控制远程用户访问的安全性等等。对这些问题做出详细回答,并确定相应的防护手段和实施办法,就是针对整个网络的一份完整的安全策略。策略一旦制订,应当作为整个网络安全行为的准则。这一步工作,就是从整体网络安全的角度对现有的网络安全策略进行全局性的评估,它也包含了技术和管理方面的内容,具体包括:u 安全策略是否全面覆盖了整体网络在各方各面的安全性描述;u 在安全策略中描述的安全控制、管理和使用措施是否正确和有效;u 安全策略中的每一项内容是否都得到确认和具体落实。u 安全策略是否符合省公司公司信息安全检查工作方案的要求2.3.3. 网络架构
14、分析网络架构分析是通过对局管理信息网内信息系统的网络拓扑及网络层面细节架构的评估,主要从以下几个方面进行分析: 网络建设的规范性:网络安全规划、设备命名规范性、网络架构安全性; 网络的可靠性:网络设备和链路冗余、设备选型及可扩展性; 网络边界安全:网络设备的ACL、防火墙、隔离网闸、物理隔离、VLAN(二层ACL)等; 网络协议分析:路由、交换、组播 、IGMP、CGMP等协议; 网络通信安全:通信监控、通信加密、VPN分析等; 设备自身安全:SNMP、口令、设备版本、系统漏洞、服务、端口等; 网络安全管理:网管系统、客户端远程登陆协议、日志审计、设备身份验证等。2.3.4. 手动检查手动检查
15、是自评估工作最重要的手段之一,通过自我内部评估来查找网络结构、网络设备、操作系统、核心应用等安全对象目标存在的脆弱性和威胁性,以及由此归并分析得出相应的安全风险。在本次手动检查主要以下面的物理、网络、系统以及应用四个层次进行自评估工作。1物理层安全:该层的安全问题主要指物理环境的安全性,包括物理安全区域划分、物理安全边界、机房安全、设备安全等2网络层安全:该层的安全问题主要指网络信息的安全性,包括网络层身份认证,网络资源的访问控制,数据传输的保密与完整性、远程接入、域名系统、路由系统的安全,入侵检测的手段等。3系统层安全:该层的安全问题来自网络运行的操作系统:UNIX系列、Windows系列以
16、及专用操作系统等。安全性问题表现在两方面:一是操作系统本身的不安全因素,主要包括身份认证、访问控制、系统漏洞等;二是操作系统的安全配置存在问题。4应用层安全:该层的安全考虑网络对用户提供服务所采用的应用软件和数据的安全性,包括:数据库软件、OAK系统、营销系统、交换与路由系统、防火墙、业务应用软件以及其它网络服务系统等。2.3.5. 安全技术审计通过对局现有的安全技术体系进行审核,了解现有的技术体系与ISO17799、*省*集团有限公司计算机信息系统安全策略规划书、省公司公司信息安全检查工作方案等相关国家和行业标准的符合情况。安全技术体系的审计包括现有的物理安全、网络安全、系统安全以及应用安全
17、等。3. 信息资产识别3.1. 概述资产是风险评估的最终评估对象。在一个全面的风险评估中,风险的所有重要因素都紧紧围绕着资产为中心,威胁、脆弱性以及风险都是针对资产而客观存在的。威胁利用资产自身的脆弱性使得安全事件的发生成为可能,从而形成了风险。这些安全事件一旦发生,将对资产甚至是整个系统都将造成一定的影响。因此资产的评估是风险评估的一个重要的步骤,它被确定和估价的准确性将影响着后面所有因素的评估。3.2. 网络结构图1 单位网络拓扑结构图单位目前是各地分支机构的用户通过100M的ATM网络与核心交换机相连,通信中心用户、物流中心用户、配电用户、输变电用户以及公司楼层用户则通过局域网交换机与核
18、心交换机相连,服务器群被分配在同一个VLAN中。3.3. 应用系统 OA办公自动化系统OAK具有公文管理、档案管理、个人事务等功能。目前该系统已经覆盖了本部及单位。 营销管理系统提供业扩报装、电能计量、电量电费、WEB查询等,使用部门包括配电营业部、客服中心等; 生产管理系统提供设备台帐、高压试验、设备检修、缺陷管理、电网GIS等功能,全公司生产部门都在使用该系统。 配网GIS系统配网GIS系统,主要实现图数建模、设备台帐、运行管理、电网分析等。该系统目前主要使用部门为配电营业部、市场及客户服务部、调度中心、鼎湖农电公司。3.4. 资产清单4. 安全威胁现状与分析4.1. 概述威胁是指可能对资
19、产或组织造成损害事故的潜在原因。作为风险评估的重要因素,威胁是一个客观存在的事物,无论对于多么安全的信息系统而言,它总是一定存在。威胁可能源于对系统直接或间接的攻击,例如:信息泄露、篡改、删除等,破坏了信息的机密性、完整性或可用性。威胁可能源于意外的,或有预谋的事件。一般来说,威胁总是要利用系统、应用或服务的弱点才可能成功地对资产造成伤害。从宏观上讲,威胁按照安全事件的性质可以分为人为错误、非授权蓄意行为、不可抗力、以及设施/设备错误等;按照威胁的主体可以分为系统合法用户、系统非法用户、系统组件和物理环境四种类型。4.2. 安全威胁分析根据局的具体系统情况,结合历年来在信息安全方面发生过的事件
20、记录及对系统管理员关于威胁发生可能性和发展趋势的交流,局信息网主要面临着如下15种安全威胁。按照威胁的主体划分包括:系统合法用户的威胁、系统非法用户的威胁、系统组件的威胁和物理环境的威胁。下面分别对这些威胁及其可能发生的各种情形进行简单描述:威胁主体威胁简称威胁描述系统合法用户(包括系统管理员和其他授权用户)操作错误合法用户工作失误或疏忽的可能性滥用授权合法用户利用自己的权限故意或非故意破坏系统的可能性行为抵赖合法用户对自己操作行为否认的可能性系统非法用户(包括权限较低用户和外部攻击者)身份假冒非法用户冒充合法用户进行操作的可能性密码分析非法用户对系统密码分析的可能性利用漏洞非法用户利用系统漏
21、洞侵入系统的可能性拒绝服务非法用户利用拒绝服务手段攻击系统的可能性恶意代码病毒、特洛伊木马、蠕虫、逻辑炸弹等感染的可能性窃听数据非法用户通过窃听等手段盗取重要数据的可能性物理破坏非法用户利用各种手段对资产物理破坏的可能性社会工程非法用户利用社交等手段获取重要信息的可能性系统组件意外故障系统的硬件、软件发生意外故障的可能性通信中断数据通信传输过程中发生意外中断的可能性物理环境电源中断电源发生中断的可能性灾难火灾、水灾、鼠害、地震等发生的可能性4.3. 安全事件列表 下面的表格是局近半年内发生的较大的、或者发生次数较多的信息安全事件形成的安全事件列表:编号安全事件事件情况简单说明()发生日期后果处
22、理措施1网络故障电信光缆中断,并时断时续。2006.4.25租用电信通道的营销系统客户端连接不上服务器,不能进行业务处理。通过协调电信公司得以修复。2信息系统故障营销系统的数据增长迅猛,在业务繁忙期,出现4个集群节点会随机自动宕机现象,当日发生5号服务器宕机。2006.3.20用电营销客户端要转登陆到4号服务器处理业务,不影响正常工作。在ORACLE维护商的配合下分析了故障的现象和原因,确定申请停运营销系统,安装oracle数据库9.2.0.7的补丁,并且重新安装RMAN备份数据库。处理后系统恢复正常使用。5. 系统脆弱性现状与分析5.1. 概述脆弱性是指资产或资产组中能被威胁所利用的弱点,它
23、包括物理环境、组织机构、业务流程、人员、管理、硬件、软件及通讯设施等各个方面,这些都可能被各种安全威胁利用来侵害一个组织机构内的有关资产及这些资产所支持的业务系统。这些表现出来的各种安全薄弱环节自身并不会造成什么危害,它们只有在被各种安全威胁利用后才可能造成相应的危害。那些没有安全威胁的弱点可以不需要实施安全保护措施,但它们必须记录下来以确保当环境、条件有所变化时能随之加以改变。需要注意的是不正确的、起不到应有作用的或没有正确实施的安全保护措施本身就可能是一个安全薄弱环节。在本次自评估中,系统脆弱性调查是通过对我局信息系统进行安全管理审计、手动检查以及安全技术审计等管理和技术评估手段对信息系统
24、安全性的总结。系统的脆弱性状况是单位整体信息系统基本安全状况的直接反应,也是安全现状分析的重要数据来源。5.2. 管理安全信息安全管理是我局信息系统当前安全状况的主要保障,也是公司尤为重视的基本管理的重要组成部分。目前局初步建立并推行以ISO 27001以及ISO 17799为基础的信息安全管理体系,以实现对信息系统安全工作组织结构和岗位职责的划分,确定安全管理制度的分类和内容形式,形成以策略为指导、以安全制度为形式、按照对各种角色进行安全管理的安全体系架构。根据国际信息安全管理标准ISO 17799,安全管理不只局限于对人员的安全管理制度上的实现,还应该包括安全组织建设、资产安全管理、人员安
25、全管理、通信于操作管理、访问控制管理、系统开发与维护、业务连续性管理等方面。根据集团和省公司的要求,在本次自评估工作中我们严格根据省公司公司信息安全检查工作方案要求的进行管理安全的自评估。评估的内容和结果详见下表:检查项目检查内容检查说明及存在问题1 组织机构是否成立了信息安全领导机构、工作机构? 成立了信息化工作领导小组(供电信20024号关于成立*集团供电分公司信息化工作领导小组的通知),而在单位信息安全管理规范中明确定义了信息安全组织的架构和职能,但由于人员编制问题,目前还没有完全按照该规范执行2岗位职责是否有专职网络管理人员 配备了1名专职网络管理员。是否有专职应用系统管理人员由于信息
26、部岗位配置不足,存在兼职的应用系统管理人员。是否有专职系统管理人员配备了1名专职系统管理员。各专责的工作职责与工作范围是否有制度明确进行界定。单位信息部岗位职责有明确界定。是否实行主、副岗备用制度由于信息部岗位配置不足,没有实行主、副岗备用制度。3病毒管理是否制定了计算机病毒防治管理制度 已制定单位计算机病毒防范管理制度。是否制定了定期升级的安全策略在单位计算机病毒防范管理制度中有具体的规定。而且在病毒管理平台上已经配置了定期升级的安全策略。是否制定了病毒预警和报告机制病毒报告机制在单位安全事件应急处理预案中体现。病毒扫描策略是否规定了1周内至少进行一次扫描? 在防病毒管理平台上已经配置了每周
27、的病毒扫描策略。4运行管理是否建立了信息系统运行管理规程? 按照省公司颁布的管理信息系统建设与运行维护管理导则,每一个信息系统都制定了运行管理规程。重要操作是否实行工作票制度?供电信200621号关于修定相关信息系统管理制度的通知之省公司单位信息网络入网工作票文件规定了重要操作实行工作票制度。机房出入管理制度是否上墙?近3个月的机房进出情况是否有记录? 供电信200621号关于修定相关信息系统管理制度的通知之省公司单位计算机专业机房工作需知文件规定机房管理制度必须上墙。有近3个月的机房进出情况记录。运行值班制度是否规定了普通情况下58小时、关键时期的724小时的现场值班内容机房运行值班制度有规
28、定。是否建立了缺陷管理制度有对网络设备、业务系统、服务器进行定期巡检,发现缺陷并进行整改,有3个月内的记录。但未制定相关的缺陷管理制度。是否建立了统计汇报制度每月底统计汇总全地区信息系统运行月报,上报给局生产例会。是否建立了运维流程,并按照流程进行操作建立了运维流程,有3个月内的运维情况记录。是否对值班人员进行了安排?近3个月值班针对日常、节假日、突发情况等类型,都对值班人员进行了安排。有近3个月详实值班记录内容。平时没有值班人员,关键时候或节假日有值班人员。5 账号与口令管理是否制定了账号、口令管理制度? 已制定单位帐号口令管理制度。普通用户账户密码、口令长度要求是否大于6字符?管理员账户密
29、码、口令长度是否大于8字符? 在单位帐号口令管理制度中作了严格规定。半年内账户密码、口令是否进行过变更?(查看变更相关记录、通知、文件)除系统管理帐户外,大部分普通账户密码、口令半年内未进行过变更。半年内系统用户身份发生变化后是否及时对其账户进行了变更或注销?(查看相关记录)系统用户身份发生变化后有及时对其账户进行变更或注销,但没有做记录。5.3. 物理安全本次自评估主要对机房环境以及设备维护方面的安全性进行调查。由于单位网络系统管理人员人员职责明确,平时进出机房仅限于管理员,因此机房物理安全的某些人员控制方面还比较不错,现有的一些管理措施包括机房有严格进出控制、重大变更配置均有记录、机房有U
30、PS电源、有效的防火、防水、防雷、降温等措施。而在介质管理方面严格遵循关于印发省公司公司单位办公用便携式计算机及存储介质安全管理规定(试行)的通知,但对于U盘和移动硬盘管理方面缺乏详细的领用记录和责任人记录。根据集团和省公司的要求,在本次自评估工作中我们严格根据省公司公司信息安全检查工作方案要求的进行物理安全的自评估。评估的内容和结果详见下表:检查项目检查内容检查说明及存在问题 1 机房内部安全防护主机房是否安装了门禁、监控与报警系统?有门禁、监控与报警系统;2 机房供、配电是否有详细的机房配线图?有详细的机房配线图;机房供电系统是否将动力、照明用电与计算机系统供电线路分开?有将动力、照明与计
31、算机系统供电线路分开;机房是否配备应急照明装置?配备;是否定期对UPS的运行状况进行检测?(查看半年内检测记录)有定期维护记录 ;3 机房环境防护是否采用了气体防火措施?采用;空调系统是否定期进行检查?有定期维护记录 ;机房温度是否控制在摄氏26度以下?高温天正午,精密空调偶尔会出现接近30度的情况,需要启动备用空调;4介质管理是否有相应的介质管理规定。供电信200620号关于印发省公司公司单位办公用便携式计算机及存储介质安全管理规定(试行)的通知U盘、移动硬盘等存储介质是否有资产记录和责任人没有详细的领用记录和责任人记录;磁盘、光盘等存储介质是否有专人保管?有配备专人保管笔记本使用是否有明确
32、的管理制度? 供电信200620号关于印发省公司公司单位办公用便携式计算机及存储介质安全管理规定(试行)的通知5.4. 网络安全根据集团和省公司的要求,在本次自评估工作中我们严格根据省公司公司信息安全检查工作方案要求的进行网络安全的自评估。评估的内容和结果详见下表:检查项目检查内容检查说明及存在问题 1 网络架构局域网核心交换设备,广域网核心路由设备是否采取了设备冗余或准备了备用设备?局域网、城域网核心设备共用1台三层交换机,使用另外1台作为冷备是否有不经过防火墙的外联链路? 是否有当前准确的网络拓扑结构图? 有准确的网络拓扑图2 网络分区生产控制系统和管理信息系统之间是否部署了隔离措施部署C
33、isco PIX防火墙VLAN间的访问控制是否合理?VLAN间的访问根据需求进行控制3 网络设备网络设备配置是否进行了备份?(电子、物理介质)网络设备配置进行电子介质备份,并在每次更改都进行备份网络关键点设备是否双电源? 城域网核心设备、局域网为核心设备均为双电源,汇聚层设备、关键防火墙只有单电源是否关闭了HTTP、FTP、TFTP等服务? 已关闭HTTP、FTP、TFTP服务SNMP社区串、本地用户口令是否强健(8字符,数字、字母混杂)?SNMP字符串长度不够,本地用户口令较强健4 IP管理是否有IP地址管理系统?是否有IP地址的规划方案和分配策略?有是否有IP地址分配记录? 有5.5. 系
34、统安全局中部署了补丁管理系统,并采取积极的适当的方式进行修补和加固。因此,整个局域网范围内的主机和终端均不存在太多严重的高风险漏洞。在主机维护方面有专职的系统管理员,对服务器定期进行维护和管理,与此同时对常见的操作系统都有标准的安全加固指引,因此相对来说这些设备的高风险安全漏洞较少。而终端设备受系统升级和管理等问题,导致还是存在着非常多的高风险漏洞。但是局没有部署任何安全漏洞审计系统,缺乏对补丁管理系统的安全审计,不能及时掌握重要主机、网络设备、个人终端存在的安全漏洞。根据集团和省公司的要求,在本次自评估工作中我们严格根据省公司公司信息安全检查工作方案要求的进行系统安全的自评估。评估的内容和结
35、果详见下表:检查项目检查内容检查说明及存在问题 1补丁管理是否有补丁管理的手段,或管理制度?安装了WSUS系统Windows系统主机补丁安装是否齐全?自动下载补丁,安装齐全是否有补丁安装的测试记录? 服务器有补丁安装的测试记录,普通客户端无测试记录2系统安全配置是否对操作系统的安全配置进行了严格的设置?在域控制器的组策略里做了部份安全策略配置是否删除了系统中不必要的服务、协议?对客户端作部分服务的限制3主机备份重要的系统主机是否采用了双机备份?仅对部分重要业务系统采用双机热备是否进行过热切换,或者故障恢复的测试?采用了双机备份的系统进行过热切换,或者故障恢复的测试。5.6. 应用安全单位的应用
36、层面包括常见应用软件和业务应用软件两大类。常见应用软件由于在社会上的广泛流传性,至今被发现安全漏洞和安全配置缺陷较多,而本次单位信息系统自评估中也发现若干的应用层面的安全问题。单位业务应用软件的评估主要考虑其现有的安全功能方面内容,比如身份认证、访问控制、安全审计、备份与应急恢复等。根据集团和省公司的要求,在本次自评估工作中我们严格根据省公司公司信息安全检查工作方案要求的进行应用安全的自评估。评估的内容和结果详见下表:5.6.1. 网络服务检查项目检查内容检查说明及存在问题 1 WWW服务WWW服务用户账户、口令是否健壮?(查看登录)统一由省公司提供对外WEB服务。信息发布是否进行了分级审核?
37、(查看审核记录)执行分级审核记录齐全。外部网站是否有备份,或其他保护措施?统一由省公司提供对外WEB服务,有保护措施。2 电子邮件服务是否对近3个月的邮件数据进行了备份? 没有提供互联网电子邮件服务。是否有专门针对邮件病毒、垃圾邮件的安全措施? 没有提供互联网电子邮件服务。邮件系统管理员账户/口令是否强健?邮件系统的维护、检查是否有审计记录? 没有提供互联网电子邮件服务。3 远程拨号访问服务是否有限制远程拨号访问的管理措施? 我局已取消远程拨号访问服务。用于业务系统维护的远程拨号访问是否采取了身份验证、访问操作记录等措施?我局业务系统维护不采用远程拨号访问方式。4 应用系统应用系统的角色、权限
38、分配是否有记录? 用户账户的变更、修改、注销是否有记录?(查看半年记录情况)全局的域控制系统有用户账户的变更、修改、注销的记录,并且按审批流程填写了完整的信息业务申请表,但其他业务系统暂时没有实行。关键应用系统的数据功能操作是否进行审计?审计信息是否进行了长期存储?关键应用系统的操作没有完全实行审计日志功能,但目前的营销系统中涉及营销收费的关键操作都有对操作进行审计。是否有针对关键应用系统的应急预案?在单位安全事件应急处理预案中对大部分安全事件的定义、特征以及对策都有详细描述,但是该预案还需要继续丰富和完善。关键应用系统管理员账户、用户账户口令是否定期进行了变更?业务系统暂时没有实行。新系统上
39、线前是否进行过安全性测试?新系统在正式投运前都有一至三个月的试运行期;在试运行期内,都有进行相关的数据库连接,业务应用等实际操作的测试。暂时没有针对安全性的相应制度及专用的测试手段5.6.2. 备份与存储检查项目检查内容检查说明及存在问题 1 备份策略是否建立了明确、合理的备份策略?是否严格按照备份策略对系统数据进行备份?(查看备份策略文件、查看备份记录,或查看备份工具配置)已建立了明确、合理的备份策略;并严格按照备份策略对系统数据进行备份;每季度有专人负责巡检。2 恢复预案是否建立了明确的恢复预案?(查看文件)已制定数据恢复预案,针对文件数据、业务系统的数据库做了明确的技术处理恢复的解决方案
40、,但没有经过实际的操作演练。是否定期进行恢复演练?(查看半年演练记录)对个别业务系统进行过部分数据的恢复演练,但没有记录。3 备份介质管理检查是否建立介质的管理制度和废弃介质的处理制度已制定的单位数据备份管理制度有关于介质的管理和废弃介质的处理办法,但没有形成相应的处理记录。储存介质是否存放在安全环境磁带存储介质目前与其他光盘、磁盘介质存放在有恒温恒湿空调的信息专业机房的防潮箱内,但没有异地存放。是否有严格的介质存取控制,是否有专人对存储介质进行管理已制定的单位数据备份管理制度有关于介质存取控制及定期检查的规定,并有专人管理,但没有形成相应的处理记录。5.6.3. 安全应急管理检查项目检查内容
41、检查说明及存在问题 1 应急预案重要系统是否有完善的、可操作的应急预案? 在单位安全事件应急处理预案中对大部分安全事件的定义、特征以及对策都有详细描述,但是该预案还需要继续丰富和完善。是否对应急预案进行了定期演练? 仅对具备测试环境的系统进行演练。2 通报机制是否按照集团公司的要求建立了及时的信息安全信息通报机制? 严格执行集团公司、省公司的信息安全信息通报制度,并建立了相关机制。3 故障联动机制是否建立了良好的故障通讯联动机制,联合进行防护? 初步建立了责任工程师、信息主管、签约外委维护商一体的故障通讯联动机制。4 故障抢修机制是否建立了完善的信息网故障抢修机制,应急资源是否到位? 与维护商
42、联合制定信息网故障抢修机制,并做了应急资源的储备。5.7. 安全控制措施目前局已部署了网络安全中的两大要素防病毒及防火墙。企业网络边界的访问控制系统建设得比较完善,对于外部的非授权访问和简单的网络入侵具有较好的阻断和过滤功能,防火墙可以隔断来自互联网蠕虫病毒对内网机器的扫描,阻止外部电脑主动连接并感染办公网的企图,而对于内部,企业级的趋势防病毒系统可以抵御一般的防病毒攻击,但是像入侵检测系统等基础的安全防御措施就比较缺乏。根据集团和省公司的要求,在本次自评估工作中我们严格根据省公司公司信息安全检查工作方案要求的进行安全设备的自评估。评估的内容和结果详见下表:检查项目检查内容检查说明及存在问题
43、1防火墙网络中的防火墙部署位置是否合理? 部署合理防护墙规则配置是否符合安全要求? 符合安全要求防护墙规则配置的建立、更改是否有规范的申请、审核、审批流程?(查看半年内的记录)已建立单位网络设备调整变更制度,其中对设备的接入、变更以及废弃都有详细流程规定,但工作中还存在不依照制度执行的情况。是否对防火墙日志进行了存储、备份? 每个季度进行巡检并对日志进行分析、存储2防病毒系统防病毒系统是否覆盖所有服务器及客户端?(覆盖率至少应大于90)防病毒系统覆盖率以超过95。对服务器的防病毒客户端管理策略配置是否合理?(自动升级病毒代码、每周扫描)每天自动升级病毒代码;配置每周对服务器进行病毒扫描操作。是
44、否有专责人员负责维护防病毒系统,并及时发布病毒通告?有专责人员负责维护防病毒系统;会不定期的将危害性高的病毒通过电子邮件通知大家3 入侵检测系统检查入侵检测系统部署是否合理、能否覆盖主要网络边界与主要服务器? 01年曾购置ISS入侵检测系统,但由于升级费用昂贵和厂家维护不到位,现已停用。是否定期对审计信息进行分析?未进行是否定期更新入侵检测的规则与升级?未有4 安全技术管理是否部署了身份认证系统?已部署PKI/CA,但未投入使用。是否部署了安全管理平台?未部署是否采用了漏洞扫描系统?未有重要系统一年内是否进行了信息安全风险评估?隔年进行一次信息安全风险评估是否部署了针对安全设备的日志服务器?未
45、有6. 安全现状总结通过对单位信息系统的全方位自评估工作,基本明确了单位在物理安全、网络安全、系统安全、应用安全以及管理安全五个方面现有的安全措施、存在的安全问题以及仍然面临的风险。根据以上对单位安全状况的分析,结合权威的安全管理经验和同类行业组织的管理情况相比较,单位管理层存在较好安全管理意识,已逐步建立基于信息安全风险评估的安全管理体系,而技术实现的安全措施硬件和软件各方面由于环境的制约现在目前还是比较薄弱。6.1. 管理层面在安全管理方面,为进一步贯 “积极预防、及时发现、快速反应、确保恢复”的方针,结合省公司管理年建立统一的信息化支持体系的要求,单位制定了信息安全管理体系。以实现对我局信息系统安全工作组织结构和岗位职责的划分,确定安全管理制度的分类和内容形式,形成以策略为指导、以安全制度为形式、按照对各种角色进行安全
