第一篇:××单位信息安全评估报告
××单位 信息安全评估报告
(管理信息系统)
××单位 二零一一年九月
1 目标
××单位信息安全检查工作的主要目标是通过自评估工作,发现本局信息系统当前面临的主要安全问题,边检查边整改,确保信息网络和重要信息系统的安全。评估依据、范围和方法
2.1 评估依据
根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》(信安通[2006]15号)、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》(办信息[2006]48号)以及集团公司和省公司公司的文件、检查方案要求, 开展××单位的信息安全评估。
2.2 评估范围
本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等,管理信息系统中业务种类相对较多、网络和业务结构较为复杂,在检查工作中强调对基础信息系统和重点业务系统进行安全性评估,具体包括:基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。
2.3 评估方法
采用自评估方法。重要资产识别
对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别,将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总,形成重要资产清单。资产清单见附表1。
安全事件
对本局半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录,形成本单位的安全事件列表。安全事件列表见附表2。安全检查项目评估
5.1 规章制度与组织管理评估 5.1.1 组织机构
5.1.1.1 评估标准
信息安全组织机构包括领导机构、工作机构。
5.1.1.2 现状描述
本局已成立了信息安全领导机构,但尚未成立信息安全工作机构。
5.1.1.3 评估结论
完善信息安全组织机构,成立信息安全工作机构。
5.1.2 岗位职责
5.1.2.1 评估标准
岗位要求应包括:专职网络管理人员、专职应用系统管理人员和专职系统管理人员;专责的工作职责与工作范围应有制度明确进行界定;岗位实行主、副岗备用制度。
5.1.2.2 现状描述
我局没有配置专职网络管理人员、专职应用系统管理人员和专职系统管理人员,都是兼责;专责的工作职责与工作范围没有明确制度进行界定,岗位没有实行主、副岗备用制度。
5.1.2.3 评估结论
本局已有兼职网络管理员、应用系统管理员和系统管理员,在条件许可下,配置专职管理人员;专责的工作职责与工作范围没有明确制度进行界定,根据实际情况制定管理制度;岗位没有实行主、副岗备用制度,在条件许可下,落实主、副岗备用制度。
5.1.3 病毒管理
5.1.3.1 评估标准
病毒管理包括计算机病毒防治管理制度、定期升级的安全策略、病毒预警和报告机制、病毒扫描策略(1周内至少进行一次扫描)。
5.1.3.2 现状描述
本局使用Symantec防病毒软件进行病毒防护,定期从省公司病毒库服务器下载、升级安全策略;病毒预警是通过第三方和网上提供信息来源,每月统计、汇总病毒感染情况并提交局生技部和省公司生技部;每周进行二次自动病毒扫描;没有制定计算机病毒防治管理制度。
5.1.3.3 评估结论
完善病毒预警和报告机制,制定计算机病毒防治管理制度。
5.1.4 运行管理
5.1.4.1 评估标准
运行管理应制定信息系统运行管理规程、缺陷管理制度、统计汇报制度、运 维流程、值班制度并实行工作票制度;制定机房出入管理制度并上墙,对进出机房情况记录。
5.1.4.2 现状描述
没有建立相应信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度,没有实行工作票制度;机房出入管理制度上墙,但没有机房进出情况记录。
5.1.4.3 评估结论
结合本局具体情况,制订信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度,实行工作票制度;机房出入管理制度上墙,记录机房进出情况。
5.1.5 账号与口令管理
5.1.5.1 评估标准
制订了账号与口令管理制度;普通用户账户密码、口令长度要求符合大于6字符,管理员账户密码、口令长度大于8字符;半年内账户密码、口令应变更并保存变更相关记录、通知、文件,半年内系统用户身份发生变化后应及时对其账户进行变更或注销。
5.1.5.2 现状描述
没有制订账号与口令管理制度,普通用户账户密码、口令长度要求大部分都不符合大于6字符;管理员账户密码、口令长度大于8字符,半年内账户密码、口令有过变更,但没有变更相关记录、通知、文件;半年内系统用户身份发生变化后能及时对其账户进行变更或注销。
5.1.5.3 评估结论
制订账号与口令管理制度,完善普通用户账户与管理员账户密码、口令长度要求;对账户密码、口令变更作相关记录;及时对系统用户身份发生变化后对其账户进行变更或注销。
5.2 网络与系统安全评估 5.2.1 网络架构
5.2.1.1 评估标准
局域网核心交换设备、城域网核心路由设备应采取设备冗余或准备备用设备,不允许外联链路绕过防火墙,具有当前准确的网络拓扑结构图。
5.2.1.2 现状描述
局域网核心交换设备准备了备用设备,城域网核心路由设备采取了设备冗余;没有不经过防火墙的外联链路,有当前网络拓扑结构图。
5.2.1.3 评估结论
局域网核心交换设备、城域网核心路由设备按要求采取设备冗余或准备备用设备,外联链路没有绕过防火墙,完善网络拓扑结构图。
5.2.2 网络分区
5.2.2.1 评估标准
生产控制系统和管理信息系统之间进行分区,VLAN间的访问控制设置合理。
5.2.2.2 现状描述
生产控制系统和管理信息系统之间没有进行分区,VLAN间的访问控制设置合理。
5.2.2.3 评估结论
对生产控制系统和管理信息系统之间进行分区,VLAN间的访问控制设置合理。5.2.3 网络设备
5.2.3.1 评估标准
网络设备配置有备份,网络关键点设备采用双电源,关闭网络设备HTTP、FTP、TFTP等服务,SNMP社区串、本地用户口令强健(>8字符,数字、字母混杂)。
5.2.3.2 现状描述
网络设备配置没有进行备份,网络关键点设备是双电源,网络设备关闭了HTTP、FTP、TFTP等服务,SNMP社区串、本地用户口令没达到要求。
5.2.3.3 评估结论
对网络设备配置进行备份,完善SNMP社区串、本地用户口令强健(>8字符,数字、字母混杂)。
5.2.4 IP管理
5.2.4.1 评估标准
有IP地址管理系统,IP地址管理有规划方案和分配策略,IP地址分配有记录。
5.2.4.2 现状描述
没有IP地址管理系统,正在进行对IP地址的规划和分配,IP地址分配有记录。
5.2.4.3 评估结论
建立IP地址管理系统,加快进行对IP地址的规划和分配,IP地址分配有记录。
5.2.5 补丁管理
5.2.5.1 评估标准
有补丁管理的手段或补丁管理制度,Windows系统主机补丁安装齐全,有补丁安装的测试记录。
5.2.5.2 现状描述
通过手工补丁管理手段,没有制订相应管理制度;Windows系统主机补丁安装基本齐全,没有补丁安装的测试记录。
5.2.5.3 评估结论
完善补丁管理的手段,制订相应管理制度;补缺Windows系统主机补丁安装,补丁安装前进行测试记录。
5.2.6 系统安全配置
5.2.6.1 评估标准
对操作系统的安全配置进行严格的设置,删除系统不必要的服务、协议。
5.2.6.2 现状描述
没有对操作系统的安全配置进行严格的设置,部分系统删除不必要的服务、协议。
5.2.6.3 评估结论
对操作系统的安全配置进行严格的设置,删除系统不必要的服务、协议。
5.2.7 主机备份
5.2.7.1 评估标准
重要的系统主机采用双机备份并进行热切换或者故障恢复的测试。
5.2.7.2 现状描述
重要的系统主机采用了双机备份,进行过热切换或者故障恢复的测试。
5.2.7.3 评估结论
重要的系统主机采用了双机备份,进行热切换或者故障恢复的测试。
5.3 网络服务与应用系统评估 5.3.1 WWW服务器
5.3.1.1 评估标准
WWW服务用户账户、口令应健壮(查看登录),信息发布进行了分级审核,外部网站有备份或其他保护措施。
5.3.1.2 现状描述
没有WWW服务。
5.3.1.3 评估结论
考虑按上述标准建设WWW服务。
5.3.2 电子邮件服务器
5.3.2.1 评估标准
对近三个月的邮件数据进行备份,有专门针对邮件病毒、垃圾邮件的安全措施,邮件系统管理员账户/口令应强健,邮件系统的维护、检查应有审计记录。
5.3.2.2 现状描述
OA系统邮件数据进行一星期备份,有专门针对邮件病毒、垃圾邮件的趋势防病毒软件系统,但该软件存在问题比较多,邮件系统管理员账户/口令设置合理,邮件系统的维护、检查没有审计记录。
5.3.2.3 评估结论
对OA系统邮件数据进行三个月备份,关注解决趋势防病毒软件系统问题;邮件系统管理员账户/口令设置合理,对邮件系统的维护、检查审计进行记录。
5.3.3 远程拨号访问
5.3.3.1 评估标准
有限制远程拨号访问的管理措施,用于业务系统维护的远程拨号访问采取身份验证、访问操作记录等措施。
5.3.3.2 现状描述
没有远程拨号访问。
5.3.3.3 评估结论
远程拨号访问设置按上述标准执行。
5.3.4 应用系统
5.3.4.1 评估标准
应用系统的角色、权限分配有记录;用户账户的变更、修改、注销有记录(半年记录情况);关键应用系统的数据功能操作进行审计并进行长期存储;对关键应用系统有应急预案;关键应用系统管理员账户、用户账户口令定期进行变更;新系统上线前进行安全性测试。
5.3.4.2 现状描述
营销系统的角色、权限分配有记录,其余系统没有;用户账户的变更、修改、注销没有记录;关键应用系统的数据功能操作没有进行审计;没有针对关键应用系统的应急预案;关键应用系统管理员账户、用户账户口令有定期进行变更;有些新系统上线前没有进行过安全性测试。
5.3.4.3 评估结论
完善系统的角色、权限分配有记录;记录用户账户的变更、修改、注销(半年记录情况);关键应用系统的数据功能操作进行审计;制定针对关键应用系统的应急预案;关键应用系统管理员账户、用户账户口令定期进行变更;新系统上线前应严格按照相关标准进行安全性测试。
5.4 安全技术管理与设备运行状况评估 5.4.1 防火墙
5.4.1.1 评估标准
网络中的防火墙位置部署合理,防火墙规则配置符合安全要求,防火墙规则配置的建立、更改有规范申请、审核、审批流程,对防火墙日志进行存储、备份。
5.4.1.2 现状描述
网络中的防火墙位置部署合理,防火墙规则配置符合安全要求,防火墙规则配置没有建立、更改有规范申请、审核、审批流程,对防火墙日志没有进行存储、备份。5.4.1.3 评估结论
网络中的防火墙位置部署合理,防火墙规则配置符合安全要求,防火墙规则配置的建立、更改要有规范申请、审核、审批流程,对防火墙日志应进行存储、备份。
5.4.2 防病毒系统
5.4.2.1 评估标准
防病毒系统覆盖所有服务器及客户端(覆盖率至少应大于90%),对服务器的防病毒客户端管理策略配置合理(自动升级病毒代码、每周扫描),有专责人员负责维护防病毒系统并及时发布病毒通告。
5.4.2.2 现状描述
防病毒系统覆盖所有客户端(覆盖率大于90%),服务器端除了OA服务器有防病毒系统外其余没有;有兼责人员负责维护防病毒系统,但基本没有发布病毒通告。
5.4.2.3 评估结论
防病毒系统覆盖所有客户端(覆盖率大于90%),服务器端除了OA服务器有防病毒系统外其余没有,考虑以后实施;考虑配置专责人员负责维护防病毒系统,并及时发布病毒通告。
5.4.3 入侵检测系统
5.4.3.1 评估标准
入侵检测系统部署合理、覆盖主要网络边界与主要服务器,定期对审计信息进行分析,定期更新入侵检测的规则与升级。
5.4.3.2 现状描述
没有部署入侵检测系统。5.4.3.3 评估结论
按上述部署、配置入侵检测系统。
5.4.4 安全技术管理
5.4.4.1 评估标准
部署身份认证系统、安全管理平台,采用漏洞扫描系统,重要系统一年内进行信息安全风险评估,部署针对安全设备的日志服务器。
5.4.4.2 现状描述
没有部署身份认证系统、安全管理平台,没有漏洞扫描系统,重要系统没有进行信息安全风险评估,没有部署针对安全设备的日志服务器。
5.4.4.3 评估结论
按标准部署身份认证系统、安全管理平台、针对安全设备的日志服务器,采用漏洞扫描系统,重要系统一年进行一次信息安全风险评估。
5.5 存储备份系统评估 5.5.1 备份策略
5.5.1.1 评估标准
建立明确、合理的备份策略,严格按照备份策略对系统数据进行备份(查看备份策略文件、查看备份记录或查看备份工具配置)。
5.5.1.2 现状描述
建立了明确、合理的备份策略并严格按照备份策略对系统数据进行备份。
5.5.1.3 评估结论
建立明确、合理的备份策略,严格按照备份策略对系统数据进行备份。
5.5.2 恢复预案
5.5.2.1 评估标准
建立明确的恢复预案(查看文件),定期进行恢复演练。
5.5.2.2 现状描述
没有建立明确的恢复预案,也没有定期进行恢复演练。
5.5.2.3 评估结论
建立明确的恢复预案并定期进行恢复演练。
5.5.3 备份介质管理
5.5.3.1 评估标准
建立介质管理制度和废弃介质处理制度,储存介质存放在安全环境,有严格的介质存取控制,有专人对存储介质进行定期检查。
5.5.3.2 现状描述
没有建立介质的管理制度和废弃介质的处理制度,储存介质存放在安全环境,没有严格的介质存取控制,没有对存储介质进行定期检查。
5.5.3.3 评估结论
建立介质管理制度和废弃介质处理制度,储存介质存放在安全环境,严格介质存取控制,对存储介质进行定期检查。5.6 介质及物理环境安全评估 5.6.1 机房内部安全防护
5.6.1.1 评估标准
主机房安装门禁、监控与报警系统。
5.6.1.2 现状描述
主机房没有安装门禁、监控系统,有消防报警系统。
5.6.1.3 评估结论
主机房安装门禁、监控与报警系统。
5.6.2 机房供、配电
5.6.2.1 评估标准
有详细的机房配线图,机房供电系统将动力、照明用电与计算机系统供电线路分开,机房配备应急照明装置,定期对UPS的运行状况进行检测(查看半年内检测记录)。
5.6.2.2 现状描述
没有详细的机房配线图,机房供电系统将动力、照明用电与计算机系统供电线路是分开的,机房没有配备应急照明装置,有定期对UPS的运行状况进行检测但没有检测记录。
5.6.2.3 评估结论
补全机房配线图,机房供电系统将动力、照明用电与计算机系统供电线路分开,机房配备应急照明装置,定期对UPS的运行状况进行检测和记录。
5.6.3 机房环境防护
5.6.3.1 评估标准
采用气体防火措施,空调系统定期进行检查,机房温度控制在摄氏26度以下。
5.6.3.2 现状描述
有手提干粉灭火器,没有采用气体防火措施,空调系统定期进行检查,机房温度控制在摄氏26度以下。
5.6.3.3 评估结论
采用气体防火措施,空调系统定期进行检查,机房温度控制在摄氏26度以下。
5.6.4 介质管理
5.6.4.1 评估标准
有介质管理规定,U盘、移动硬盘等存储介质有资产记录和责任人,磁盘、光盘等存储介质有专人保管,笔记本使用有明确的管理制度。
5.6.4.2 现状描述
有相应的介质管理规定,U盘、移动硬盘等存储介质有资产记录和责任人,磁盘、光盘等存储介质有专人保管,笔记本使用没有明确的管理制度。
5.6.4.3 评估结论
有相应的介质管理规定,U盘、移动硬盘等存储介质有资产记录和责任人,磁盘、光盘等存储介质有专人保管,制订笔记本使用管理制度。
5.7 应急处置评估 5.7.1 应急预案
5.7.1.1 评估标准
重要系统有完善的、可操作的应急预案,对应急预案进行定期演练。
5.7.1.2 现状描述
重要系统没有完善的、可操作的应急预案。
5.7.1.3 评估结论
制订重要系统完善的、可操作的应急预案并对应急预案进行定期演练。
5.7.2 通报机制
5.7.2.1 评估标准
按照集团公司的要求建立及时的信息安全信息通报机制。
5.7.2.2 现状描述
没有按照集团公司的要求建立及时的信息安全信息通报机制。
5.7.2.3 评估结论
按照集团公司的要求建立及时的信息安全信息通报机制。
5.7.3 故障联动机制
5.7.3.1 评估标准
建立良好的故障通讯联动机制,进行联合防护。
5.7.3.2 现状描述
没有建立故障通讯联动机制。
5.7.3.3 评估结论
建立良好的故障通讯联动机制,进行联合防护。
5.7.4 故障抢修机制
5.7.4.1 评估标准
建立完善的信息网故障抢修机制,应急资源到位。
5.7.4.2 现状描述
没有建立完善的信息网故障抢修机制。
5.7.4.3 评估结论
建立完善的信息网故障抢修机制,应急资源到位。自评总结
通过对上述的现状分析进行了自评估,总的来看,有了初步的安全基础设施,在管理方面具备了部分制度和策略,安全防护单一,技术上通过多种手段实现了基本的访问控制,但相应的安全策略、安全管理与技术方面的安全防护需要更新以适应要求。需要对安全措施和管理制度方面进行改善,通过技术和管理两个方面来确保策略的遵守和实现,最终能够将安全风险控制在适当范围之内,保证和促进业务开展。
第二篇:银行信息安全评估报告
信息安全评估报告
XXXX银行:
根据《商业银行信息科技风险管理指引》要求,信息科技管理部门应定期向总行提交本行信息安全评估报告,结合我行2020信息安全管理情况,现将本信息安全评估情况报告如下:
一、评估目标
信息安全评估的主要目标是通过自评估工作,发现我行信息系统当前面临的主要安全问题,边检查边整改,确保信息系统的安全。
二、评估依据、范围和方法
(一)评估依据:《商业银行信息科技风险管理指引》及省联社相关制度办法。
(二)评估范围:全行信息系统的安全制度管理、安全组织管理、资产管理、人员管理、物理与环境管理、通信与运营管理、访问控制管理、安全事故管理及合规性管理等方面。
(三)评估方法:采用自评估方法。
三、项目评估
(一)安全制度管理。制定了《信息系统安全运行管理办法》《信息安全策略》《信息安全工作管理办法》《信息系统设备管理办法》《信息系统网络设备用户管理办法》等一系列制度办法,明确了职责范围、工作流程,规范了信息系统生产运行安全工作。
评估结论:制定了切合实际的信息系统安全制度。
(二)信息安全组织管理。成立了信息科技管理委员会、信息系统及网络安全工作领导小组、业务连续性管理委员会及相关工作领导小组,制定了相关职责均按要求履行。
评估结论:成立了相关委员会并履行职责。
(三)资产管理。截止2020年11月底,全行共有计算机886台、UPS 87台、发电机78台、ATM机28台、CRS机58台、3G路由器77台、4G路由器5台、高拍仪台216台、扫描153仪台,均按部门按机构建立有电子台账,专人管理,按照“谁使用谁负责”的原则负责设备安全。定期安排对所有设备的使用进行安全检查,及时进行维修,排出隐患。
评估结论:有专人管理有台账,仍需加强日常维护管理。
(四)人员安全管理。一是各岗位的人员具有相应的专业知识和技能。二是重要岗位采取下列风险防范措施:验证个人信息,审核信息科技员工的道德品行,确保其具备相应的职业操守。三是确保员工了解、遵守信息科技策略、指导原则、信息保密、授权使用信息系统、信息科技管理制度和流程等要求,并同员工签订相关协议。四是评估关键岗位信息科技员工流失带来的风险,做好安排候补员工和岗位接替计划等防范措施;在员工岗位发生变化后及时变更相关信息。五是明确其岗位权限。
评估结论:配备有专职信息科技人员,但人员配备不足,专业胜任能力有待提高,对关键岗位人员流失带来的风险缺乏有效应对措施。
(五)物理与环境安全管理。设立有物理安全保护区域,如计算机中心机房、放置网络设备的专用机房或标准化机柜等重要信息科技设备的区域,明确相应的职责,配置了网络设备和应用程序使用的网络协议和端口。内部网络内容过滤、逻辑访问控制、传输加密、网络监控、记录活动日志等均由省联社按照级别进行了控制。
评估结论:有物理与环境安全防护措施,但仍然存在使用U盘等移动介质带来的病毒感染风险和安全风险。
(六)通信与运营管理。截止2020年11月末我行生产业务租用电信公司SDH线路77条连接市中心机房,线路带宽4M,总行营业部直连市中心机房,生产备用线路租用联通公司3G SIM卡77个连接市中心无线链路业务路由,OA业务租用移动公司MSTP线路77条连接市中心机房,带宽50M,总行营业部直连市中心机房带,生产业务市中心机房2条MSTP 线路连接省中心机房运营商分别为电信公司和联通公司,线路带宽20M。OA业务市中心机房2条MSTP线路连接省中心机房运营商分别为电信公司和移动公司,线路带宽20M。核心路由、核心交换、无线链路业务路由均在市中心机房。
评估结论:生产网主线路稳定,业务办理流畅。但备用线路存在山区网络信号差、不稳定现象,亟需更换4G及以上路由器。
(七)访问控制管理。登陆所有系统均采用个人用户名、密码及柜员卡登陆,用户名实行终身制,一人一卡,卡随人走,并要求定期修改密码。用户调动到新的工作岗位或离开我行时,在系统中及时检查、更新或注销用户身份。
评估结论:系统用户访问控制制度完善,在实际操作中需加强与综合部的沟通,及时将调整人员做系统变更。
(八)系统开发与维护管理。除省联社托管系统外,我行无自建系统。现有的系统全部由省联社开发、测试和运维。
评估结论:无自建系统,本行不涉及。
(九)信息安全事故管理。建立有应急预案及应急处置报告制度,各级机构及时响应信息系统运行事故,逐级向相关的信息科技管理人员报告事故的发生,并进行记录、分析和跟踪,直到完成彻底的处置和根本原因分析。省联社建立有专门处理问题的服务电话,为用户提供相关技术问题的在线支持,并将问题提交给相关信息科技部门进行调查和解决。
评估结论:我行的信息系统从未发生不安全事故,但仍需不断提升应急处置能力和风险防范能力,杜绝不安全事故的发生。
(十)合规性管理。指定了风险管理部专人负责信息科技风险管理,负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面,为业务部门和信息科技部门提供建议及相关合规性信息,实施持续信息科技风险评估,跟踪整改意见的落实,监控信息安全威胁和不合规事件的发生。
评估结论:我行信息系统安全管理均按上级监管部门和管理部门相关制度执行,合规到位。
三、评估总结
通过以上对信息系统安全的自查自评,总的来看,我行的信息系统安全体系较为完善,但仍然存在一定的风险和隐患。比如来自不可控互联网的外部攻击威胁和内部人员的操作风险等。一是要进一步加强员工信息安全意识教育,严格网络与信息安全管理制度,提高网络安全及信息安全工作的主动性和自觉性,增强对安全防范意识和处置能力。二是要加快信息系统基础设施建设,通过安全设施与管理相结合,使安全风险可控,杜绝不安全事故的发生。
信息管理部
第三篇:网络信息安全评估报告
计算机信息安全评估报告
如何
实
现
如
下
图
所
示
可用性1.人们通常采用一些技术措施或网络安全设备来实现这些目标。例如:
使用防火墙,把攻击者阻挡在网络外部,让他们“迚不来”。
即使攻击者迚入了网络内部,由于有加密机制,会使他们“改不了”和“拿不走”关 键信息和资源。
机密性2机密性将对敏感数据的访问权限控制在那些经授权的个人,只有他们才能查看数据。机密性可防止向未经授权的个人泄露信息,或防止信息被加工。
如图所示,“迚不来”和“看不懂”都实现了信息系统的机密性。
人们使用口令对迚入系统的用户迚行身份鉴别,非法用户没有口令就“迚不来”,这就保证了信息系统的机密性。
即使攻击者破解了口令,而迚入系统,加密机制也会使得他们“看不懂”关键信息。例如,甲给乙发送加密文件,只有乙通过解密才能读懂其内容,其他人看到的是乱码。由此便实现了信息的机密性。
完整性3如图所示,“改不了”和“拿不走”都实现了信息系统的完整性。使用加密机制,可以保证信息系统的完整性,攻击者无法对加密信息迚行修改或者复制。
不可抵赖性4如图所示,“跑不掉”就实现了信息系统的不可抵赖性。如果攻击者迚行了非法操作,系统管理员使用审计机制或签名机制也可让他们无所遁形
对考试的机房迚行“管理制度”评估。(1)评估说明
为规范管理,保障计算机设备的正常运行,创造良好的上机环境,必须制定相关的管理制度
(2)评估内容
没有建立相应信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度,没有实行工作票制度;机房出入管理制度上墙,但没有机房迚出情况记录(3)评估分析报告
所存在问题:1没有系统的相关负责人,机房也是谁人都可以自由出入。2在上机过程中做与学习无关的工作。3机房财产规划不健全等(4)评估建议
1、计算机室的管理由系统管理员负责,非机房工作人员未经允许不准迚入。未经许可不得擅自上机操作和对运行设备及各种配置迚行更改。
2、保持机房内清洁、安静,严禁机房内吸烟、吐痰以及大声喧哗;严禁将易燃、易爆、易污染和强磁物品带入机房。
3、机房内的一切物品,未经管理员同意,不得随意挪动,拆卸和带出机房。
4、上机时,应先认真检查机器情况,如有问题应及时向机房管理员反应。
5、上机人员不得在机房内迚行与上机考试无关的计算机操作。
6、上机时应按规定操作,故意或因操作不当造成设备损坏,除照价赔偿外,视情节轻重给予处罚。对考试的机房迚行“物理安全”评估。(1)评估说明
防火,防水,防尘,防腐蚀,主机房安装门禁、监控与报警系统。(2)评估内容 主机房没有安装门禁、监控系统,有消防报警系统。(3)评估分析报告
没有详细的机房配线图,机房供甴系统将动力、照明用甴与计算机系统供甴线路是分开的,机房没有配备应急照明装置,有定期对UPS的运行状况迚行检测但没有检测记录。
(4)评估建议
有详细的机房配线图,机房供甴系统将动力、照明用甴与计算机系统供甴线路分开,机房配备应急照明装置,定期对UPS的运行状况迚行检测(查看半年内检测记录)对考试的机房迚行“计算机系统安全”评估。(1)评估说明
应用系统的角色、权限分配有记录;用户账户的变更、修改、注销有记录(半年记录情况);关键应用系统的数据功能操作迚行审计幵迚行长期存储;对关键应用系统有应急预案;关键应用系统管理员账户、用户账户口令定期迚行变更;新系统上线前迚行安全性测试。
(2)评估内容
营销系统的角色、权限分配有记录,其余系统没有;用户账户的变更、修改、注销没有记录;关键应用系统的数据功能操作没有迚行审计;没有针对关键应用系统的应急预案;关键应用系统管理员账户、用户账户口令有定期迚行变更;有些新系统上线前没有迚行过安全性测试。
(3)评估分析报告
网络中的防火墙位置部署合理,防火墙规则配置符合安全要求,防火墙规则配置的建立、更改有规范申请、审核、审批流程,对防火墙日志迚行存储、备份。
(4)评估建议
完善系统的角色、权限分配有记录;记录用户账户的变更、修改、注销(半年记录情况);关键应用系统的数据功能操作迚行审计;制定针对关键应用系统的应急预案;关键应用系统管理员账户、用户账户口令定期迚行变更;新系统上线前应严格按照相关标准迚行安全性测试。
对考试的机房迚行“网络与通信安全”评估。(1)评估说明
按标准部署身份认证系统、安全管理平台、针对安全设备的日志服务器,采用漏洞扫描系统,重要系统一年迚行一次信息安全风险评估。
(2)评估内容
没有部署身份认证系统、安全管理平台,没有漏洞扫描系统,重要系统没有迚行信息安全风险评估,没有部署针对安全设备的日志服务器。
(3)评估分析报告
按标准部署身份认证系统、安全管理平台、针对安全设备的日志服务器,采用漏洞扫描系统,重要系统一年迚行一次信息安全风险评估。
(4)评估建议
部署身份认证系统、安全管理平台,采用漏洞扫描系统,重要系统一年内迚行信息安全风险评估,部署针对安全设备的日志服务器。
信息安全评估:
对考试的机房迚行“日志与统计安全”评估。(1)评估说明
每天计算机上机记录日志在册,对系统迚行不定时的还原。对本局半年内发生的较大的、或者发生次数较多的信息安全事件迚行汇总记录,形成本单位的安全事件列表
(2)评估内容
已成立了信息安全领导机构,但尚未成立信息安全工作机构。
(3)评估分析报告
局域网核心交换设备、城域网核心路由设备应采取设备冗余或准备备用设备,不允许外联链路绕过防火墙,具有当前准确的网络拓扑结构图
(4)评估建议
完善信息安全组织机构,成立信息安全工作机构。
第四篇:××单位信息安全检查报告
××单位 信息安全检查报告
(管理信息系统)
××单位 二零一一年九月 概述
根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》(信安通[2006]15号)、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》(办信息[2006]48号)以及集团公司和省公司公司的文件、检查方案要求,进行××单位的信息安全检查工作。目标
通过进行本局信息安全大检查,及时发现和查找基础网络和重要信息系统存在的安全隐患,边检查边整改,确保基础网络和重要信息系统安全、可靠运行,掌握当前信息系统面临的主要安全问题,并在对检查结果进行分析判断的基础上提出整改措施。检查内容
3.1 重要资产识别检查
本局资产的统计资产清单(见附表1),通过对重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别,将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行汇总,构成重要资产清单(见附表2)。
3.2 安全事件检查
对本局半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录安全事件清单列表(见附表3)。
3.3 安全缺陷检查
根据下发的安全缺陷检查列表进行安全检查,检查结果见附表4。综合分析
根据对重要资产、安全事件、安全缺陷检查情况,对信息安全状况进行统计分析和判断,明确各种安全事件产生的原因,提出针对性的整改措施。
4.1 重要资产识别分析
根据重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别,将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总,构成重要资产有:二台城域网核心交换机(华为S8512交换机),二台局域网核心交换机(Cisco 6505交换机),Cisco 2600路由器,Cisco PIX525防火墙,八台数据库服务器(OA系统2台、营销系统2台、大客户系统2台、客户服务系统1台、财务系统1台)。
4.2 安全事件分析
2006年近半年没有大的信息安全事件发生,主要是感染病毒,使个人电脑运行速度变慢,影响客户端正常使用。
从检查情况来看,计算机病毒是本局目前信息网络安全面临的首要威胁。应着重加强以下几方面工作:
1、加强信息网络安全教育和培训,增强用户安全防范意识。组织信息安全管理员不同层次的安全培训,开展广泛的、经常性的信息网络安全知识和相关法律法规知识的宣传教育。
2、开展面信息安全预警通报工作。建立信息网络安全预警和通报平台,及时向用户信息安全预警信息。
3、加快推进信息安全等级保护工作,建立健全信息安全防范体系。
4.3 安全缺陷检查分析
4.3.1 规章制度与组织管理分析
规章制度与组织管理总分100分,自评分为34分,得分率34%。得分主要是组织机构、岗位职责、病毒管理,账号与口令管理等方面,但都还需完善;运行管理方面没有制订信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度、没有实行工作票制度,共分50分,检查得分4分,只占8%。
需要整改有如下几方面:
1、完善信息安全组织机构,成立信息安全工作机构。
2、明确专兼职管理人员配置,根据实际情况制定专责的工作职责与工作范围,岗位设置主、副岗备用制度。
3、完善病毒预警和报告机制,制定计算机病毒防治管理制度。
4、制订信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、运行值班制度,实行工作票制度,记录机房进出情况。
5、制订账号与口令管理制度,完善普通用户账户与管理员账户密码、口令长度要求;对账户密码、口令变更作相关记录;及时对系统用户身份发生变化后对其账户进行变更或注销。
4.3.2 关键设备和服务采购情况分析
4.3.3 网络与系统安全分析
网络与系统安全总分100分,自评分为73分,得分率73%。网络架构、网络设备、IP管理、主机备份得分较高;网络分区、补丁管理、系统安全配置得分低。需要整改有如下几方面:
1、生产控制系统和管理信息系统之间进行分区。
2、建立IP地址管理系统,加快进行对IP地址的规划和分配。
3、完善补丁管理手段,制订相应管理制度;补缺Windows系统主机补丁安装,补丁安装前进行测试记录。
4、对操作系统的安全配置进行严格的设置,删除系统不必要的服务、协议。
4.3.4 网络服务与应用系统分析
网络服务与应用系统总分100分,自评分为20分,得分率20%。没有WWW服务,远程拨号访问没有相应管理措施,OA系统邮件数据进行一星期备份,邮件系统的维护、检查没有审计记录;营销系统的角色、权限分配有记录,其余系统没有;用户账户的变更、修改、注销没有记录;关键应用系统的数据功能操作没有进行审计;没有针对关键应用系统的应急预案;关键应用系统管理员账户、用户账户口令有定期进行变更;有些新系统上线前没有进行过安全性测试。需要整改有如下几方面:
1、按标准建设WWW服务。
2、解决OA系统趋势防病毒软件系统问题,对邮件系统的维护、检查审计进行记录。
3、远程拨号访问设置按上述标准执行。
4、记录完善系统的角色、权限分配并记录;记录半年内用户账户的变更、修改、注销;关键应用系统的数据功能操作进行审计;制定针对关键应用系统的应急预案;关键应用系统管理员账户、用户账户口令定期进行变更;新系统上线前应严格按照相关标准进行安全性测试。
4.3.5 安全技术管理与设备运行状况分析
安全技术管理与设备运行状况总分90分,自评分为26分,得分率29%。网络中的防火墙位置部署合理,防火墙规则配置符合安全要求,防火墙规则配置没有建立、更改有规范申请、审核、审批流程,没有对防火墙日志没有进行存储、备份。防病毒系统覆盖所有客户端(覆盖率大于90%),服务器端除了OA服务器有防病毒系统外其余没有;有兼责人员负责维护防病毒系统,但基本没有发布病毒通告。没有部署身份认证系统、安全管理平台,没有漏洞扫描系统。
需要整改有如下几方面:
1、防火墙规则配置的建立、更改要有规范申请、审核、审批流程,对防火墙日志应进行存储、备份。
2、实施服务器端防病毒系统,配置专责人员负责维护防病毒系统并及时发布病毒通告。
3、按标准部署、配置入侵检测系统。
4、按标准部署身份认证系统、安全管理平台、针对安全设备的日志服务器,采用漏洞扫描系统,重要系统将一年进行一次信息安全风险评估。
4.3.6 存储备份系统分析
存储备份系统总分50分,自评分为16分,得分率32%。有备份策略并严格按照备份策略对系统数据进行备份,没有建立明确的恢复预案,也没有定期进行恢复演练,没有建立介质的管理制度和废弃介质的处理制度,储存介质存放在安全环境,没有严格的介质存取控制,没有对存储介质进行定期检查。
需要整改有如下几方面:
1、完善备份策略,严格按照备份策略对系统数据进行备份。
2、建立介质管理制度和废弃介质处理制度,专人对存储介质进行定期检查。
4.3.7 介质及物理环境安全分析
介质及物理环境安全总分70分,自评分为37分,得分率53%。主机房没有安装门禁、监控系统,有消防报警系统。没有机房配线图,机房供电系统将动力、照明用电与计算机系统供电线路是分开的,机房没有配备应急照明装置,有定期对UPS的运行状况进行检测但没有检测记录,有手提干粉灭火器,没有采用气体防火措施,空调系统定期进行检查,机房温度控制在摄氏26度以下,有相应的介质管理规定,U盘、移动硬盘等存储介质有资产记录和责任人,磁盘、光盘等存储介质有专人保管,笔记本使用没有明确的管理制度。
需要整改有如下几方面:
1、主机房安装门禁、监控与报警系统。
2、补全机房配线图,定期对UPS的运行状况进行检测和记录。
3、采用气体防火措施。
4、制订笔记本使用管理制度。
4.3.8 应急处置分析
应急处置分30分,自评分为5分,得分率17%。重要系统没有完善的、可操作的应急预案,按照集团公司的要求建立及时的信息安全信息通报机制,没有建立故障通讯联动机制,没有建立信息网故障抢修机制。
需要整改有如下几方面:
1、制订重要系统完善的、可操作的应急预案并对应急预案进行定期演练。
2、按照集团公司的要求建立及时的信息安全信息通报机制。
3、建立良好的故障通讯联动机制,进行联合防护。检查结论
根据检查结果来看,安全缺陷检查列表检查总分540分,自评分为221分,得分率39%。安全管理方面基础低,需要加强各种信息制度建立,安全组织结构和责任分工要进一步明确,安全策略进一步细化。在安全技术方面来看,加强必要的安全技术建设如补丁管理、入侵检测等的实施,在安全体系建设过程中,需要综合考虑安全要素,既要建立起指导安全工作的安全管理模型,又要建立起完善的技术体系架构,同时为了确保安全运营,还需要建立起信息安全运行维护体系。
第五篇:设计单位(评估报告)
绥阳县小关雷土小学教学楼 主体工程质量评估报告
本工程的主体工程中的各分项工程,均是按设计要求和施工规范操作施工的,工程材料的控制比较认真,所用建筑材料均为合格材料,并且是严格按规范要求抽样送检的,检验的结果均为合格,施工过程是严格按国家强制性标准操作施工的,且每一分项的关键部位,均是经设计人员现场验收合格后,才进行下一道工序施工。本分部工程共分12个分项工程,整个施工质量均达合格标准,且工程技术资料同步真实、齐全,签字真实同步齐全,所以该分部工程经现场检查验收评定为合格工程.绥阳县建筑规划设计室
年 月 日
绥阳县小关雷土小学教学楼
主 体 分 部 工 程
评
估
报
告
绥阳县建筑规划设计室 年 月 日
点击咨询 