第一篇:××单位信息安全整改报告
××单位 信息安全整改报告
(管理信息系统)
××单位 二零一一年九月
概述
根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》(信安通[2006]15号)、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》(办信息[2006]48号)以及集团公司和省公司公司的文件要求,进行××单位的信息安全整改工作。目标
根据安全检查报告中的整改措施,积极实施整改,力争将检查中发现的安全隐患快速、高效的解决。
××单位信息安全检查工作的主要目标是通过自评估工作,发现本局信息系统当前面临的主要安全问题,边检查边整改,确保本局信息网络和重要信息系统的安全。
本次安全检查工作将完成以下任务:
1)完成相关单位典型系统的信息安全风险评估工作。通过检查掌握当前本局信息系统面临的主要安全问题,并在对检查结果进行分析判断的基础上提出整改措施;
2)进行本局范围内信息安全大检查,对相关单位的基础网络和重要信息系统进行安全性自查,并将相关数据进行汇总分析,统计重大和典型信息安全事件,及时发现和查找基础网络和重要信息系统存在的安全隐患,边检查边整改,确保本局基础网络和重要信息系统安全、可靠运行。安全整改措施
3.1 关于规章制度与组织管理的整改
1、完善信息安全组织机构,成立信息安全工作机构。整改措施:
2、明确专兼职管理人员配置,根据实际情况制定专责的工作职责与工作范围,岗位设置主、副岗备用制度。
整改措施:
3、完善病毒预警和报告机制,制定计算机病毒防治管理制度。整改措施:
4、制订信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、运行值班制度,实行工作票制度,记录机房进出情况。
整改措施:
5、制订账号与口令管理制度,完善普通用户账户与管理员账户密码、口令长度要求;对账户密码、口令变更作相关记录;及时对系统用户身份发生变化后对其账户进行变更或注销。
整改措施:
3.2 关于网络与系统安全的整改
1、生产控制系统和管理信息系统之间进行分区。整改措施:
2、建立IP地址管理系统,加快进行对IP地址的规划和分配。整改措施:
3、完善补丁管理手段,制订相应管理制度;补缺Windows系统主机补丁安装,补丁安装前进行测试记录。
整改措施:
4、对操作系统的安全配置进行严格的设置,删除系统不必要的服务、协议。整改措施:
3.3 关于网络服务与应用系统的整改
1、按标准建设WWW服务。整改措施:
2、解决OA系统趋势防病毒软件系统问题,对邮件系统的维护、检查审计进行记录。
整改措施:
3、远程拨号访问设置按上述标准执行。整改措施:
4、记录完善系统的角色、权限分配并记录;记录半年内用户账户的变更、修改、注销;关键应用系统的数据功能操作进行审计;制定针对关键应用系统的应急预案;关键应用系统管理员账户、用户账户口令定期进行变更;新系统上线前应严格按照相关标准进行安全性测试。
整改措施:
3.4 关于安全技术管理与设备运行状况的整改
1、防火墙规则配置的建立、更改要有规范申请、审核、审批流程,对防火墙日志应进行存储、备份。
整改措施:
2、实施服务器端防病毒系统,配置专责人员负责维护防病毒系统并及时发布病毒通告。整改措施:
3、按标准部署、配置入侵检测系统。整改措施:
4、按标准部署身份认证系统、安全管理平台、针对安全设备的日志服务器,采用漏洞扫描系统,重要系统将一年进行一次信息安全风险评估。
整改措施:
3.5 关于存储备份系统的整改
1、完善备份策略,严格按照备份策略对系统数据进行备份。整改措施:
2、建立介质管理制度和废弃介质处理制度,专人对存储介质进行定期检查。整改措施:
3.6 关于介质及物理环境安全的整改
1、主机房安装门禁、监控与报警系统。整改措施:
2、补全机房配线图,定期对UPS的运行状况进行检测和记录。整改措施:
3、采用气体防火措施。整改措施:
4、制订笔记本使用管理制度。整改措施:
3.7 关于应急处置的整改
1、制订重要系统完善的、可操作的应急预案并对应急预案进行定期演练。整改措施:
2、按照集团公司的要求建立及时的信息安全信息通报机制。整改措施:
3、建立良好的故障通讯联动机制,进行联合防护。整改措施: 整改结论
第二篇:××单位信息安全检查报告
××单位 信息安全检查报告
(管理信息系统)
××单位 二零一一年九月 概述
根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》(信安通[2006]15号)、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》(办信息[2006]48号)以及集团公司和省公司公司的文件、检查方案要求,进行××单位的信息安全检查工作。目标
通过进行本局信息安全大检查,及时发现和查找基础网络和重要信息系统存在的安全隐患,边检查边整改,确保基础网络和重要信息系统安全、可靠运行,掌握当前信息系统面临的主要安全问题,并在对检查结果进行分析判断的基础上提出整改措施。检查内容
3.1 重要资产识别检查
本局资产的统计资产清单(见附表1),通过对重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别,将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行汇总,构成重要资产清单(见附表2)。
3.2 安全事件检查
对本局半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录安全事件清单列表(见附表3)。
3.3 安全缺陷检查
根据下发的安全缺陷检查列表进行安全检查,检查结果见附表4。综合分析
根据对重要资产、安全事件、安全缺陷检查情况,对信息安全状况进行统计分析和判断,明确各种安全事件产生的原因,提出针对性的整改措施。
4.1 重要资产识别分析
根据重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别,将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总,构成重要资产有:二台城域网核心交换机(华为S8512交换机),二台局域网核心交换机(Cisco 6505交换机),Cisco 2600路由器,Cisco PIX525防火墙,八台数据库服务器(OA系统2台、营销系统2台、大客户系统2台、客户服务系统1台、财务系统1台)。
4.2 安全事件分析
2006年近半年没有大的信息安全事件发生,主要是感染病毒,使个人电脑运行速度变慢,影响客户端正常使用。
从检查情况来看,计算机病毒是本局目前信息网络安全面临的首要威胁。应着重加强以下几方面工作:
1、加强信息网络安全教育和培训,增强用户安全防范意识。组织信息安全管理员不同层次的安全培训,开展广泛的、经常性的信息网络安全知识和相关法律法规知识的宣传教育。
2、开展面信息安全预警通报工作。建立信息网络安全预警和通报平台,及时向用户信息安全预警信息。
3、加快推进信息安全等级保护工作,建立健全信息安全防范体系。
4.3 安全缺陷检查分析
4.3.1 规章制度与组织管理分析
规章制度与组织管理总分100分,自评分为34分,得分率34%。得分主要是组织机构、岗位职责、病毒管理,账号与口令管理等方面,但都还需完善;运行管理方面没有制订信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度、没有实行工作票制度,共分50分,检查得分4分,只占8%。
需要整改有如下几方面:
1、完善信息安全组织机构,成立信息安全工作机构。
2、明确专兼职管理人员配置,根据实际情况制定专责的工作职责与工作范围,岗位设置主、副岗备用制度。
3、完善病毒预警和报告机制,制定计算机病毒防治管理制度。
4、制订信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、运行值班制度,实行工作票制度,记录机房进出情况。
5、制订账号与口令管理制度,完善普通用户账户与管理员账户密码、口令长度要求;对账户密码、口令变更作相关记录;及时对系统用户身份发生变化后对其账户进行变更或注销。
4.3.2 关键设备和服务采购情况分析
4.3.3 网络与系统安全分析
网络与系统安全总分100分,自评分为73分,得分率73%。网络架构、网络设备、IP管理、主机备份得分较高;网络分区、补丁管理、系统安全配置得分低。需要整改有如下几方面:
1、生产控制系统和管理信息系统之间进行分区。
2、建立IP地址管理系统,加快进行对IP地址的规划和分配。
3、完善补丁管理手段,制订相应管理制度;补缺Windows系统主机补丁安装,补丁安装前进行测试记录。
4、对操作系统的安全配置进行严格的设置,删除系统不必要的服务、协议。
4.3.4 网络服务与应用系统分析
网络服务与应用系统总分100分,自评分为20分,得分率20%。没有WWW服务,远程拨号访问没有相应管理措施,OA系统邮件数据进行一星期备份,邮件系统的维护、检查没有审计记录;营销系统的角色、权限分配有记录,其余系统没有;用户账户的变更、修改、注销没有记录;关键应用系统的数据功能操作没有进行审计;没有针对关键应用系统的应急预案;关键应用系统管理员账户、用户账户口令有定期进行变更;有些新系统上线前没有进行过安全性测试。需要整改有如下几方面:
1、按标准建设WWW服务。
2、解决OA系统趋势防病毒软件系统问题,对邮件系统的维护、检查审计进行记录。
3、远程拨号访问设置按上述标准执行。
4、记录完善系统的角色、权限分配并记录;记录半年内用户账户的变更、修改、注销;关键应用系统的数据功能操作进行审计;制定针对关键应用系统的应急预案;关键应用系统管理员账户、用户账户口令定期进行变更;新系统上线前应严格按照相关标准进行安全性测试。
4.3.5 安全技术管理与设备运行状况分析
安全技术管理与设备运行状况总分90分,自评分为26分,得分率29%。网络中的防火墙位置部署合理,防火墙规则配置符合安全要求,防火墙规则配置没有建立、更改有规范申请、审核、审批流程,没有对防火墙日志没有进行存储、备份。防病毒系统覆盖所有客户端(覆盖率大于90%),服务器端除了OA服务器有防病毒系统外其余没有;有兼责人员负责维护防病毒系统,但基本没有发布病毒通告。没有部署身份认证系统、安全管理平台,没有漏洞扫描系统。
需要整改有如下几方面:
1、防火墙规则配置的建立、更改要有规范申请、审核、审批流程,对防火墙日志应进行存储、备份。
2、实施服务器端防病毒系统,配置专责人员负责维护防病毒系统并及时发布病毒通告。
3、按标准部署、配置入侵检测系统。
4、按标准部署身份认证系统、安全管理平台、针对安全设备的日志服务器,采用漏洞扫描系统,重要系统将一年进行一次信息安全风险评估。
4.3.6 存储备份系统分析
存储备份系统总分50分,自评分为16分,得分率32%。有备份策略并严格按照备份策略对系统数据进行备份,没有建立明确的恢复预案,也没有定期进行恢复演练,没有建立介质的管理制度和废弃介质的处理制度,储存介质存放在安全环境,没有严格的介质存取控制,没有对存储介质进行定期检查。
需要整改有如下几方面:
1、完善备份策略,严格按照备份策略对系统数据进行备份。
2、建立介质管理制度和废弃介质处理制度,专人对存储介质进行定期检查。
4.3.7 介质及物理环境安全分析
介质及物理环境安全总分70分,自评分为37分,得分率53%。主机房没有安装门禁、监控系统,有消防报警系统。没有机房配线图,机房供电系统将动力、照明用电与计算机系统供电线路是分开的,机房没有配备应急照明装置,有定期对UPS的运行状况进行检测但没有检测记录,有手提干粉灭火器,没有采用气体防火措施,空调系统定期进行检查,机房温度控制在摄氏26度以下,有相应的介质管理规定,U盘、移动硬盘等存储介质有资产记录和责任人,磁盘、光盘等存储介质有专人保管,笔记本使用没有明确的管理制度。
需要整改有如下几方面:
1、主机房安装门禁、监控与报警系统。
2、补全机房配线图,定期对UPS的运行状况进行检测和记录。
3、采用气体防火措施。
4、制订笔记本使用管理制度。
4.3.8 应急处置分析
应急处置分30分,自评分为5分,得分率17%。重要系统没有完善的、可操作的应急预案,按照集团公司的要求建立及时的信息安全信息通报机制,没有建立故障通讯联动机制,没有建立信息网故障抢修机制。
需要整改有如下几方面:
1、制订重要系统完善的、可操作的应急预案并对应急预案进行定期演练。
2、按照集团公司的要求建立及时的信息安全信息通报机制。
3、建立良好的故障通讯联动机制,进行联合防护。检查结论
根据检查结果来看,安全缺陷检查列表检查总分540分,自评分为221分,得分率39%。安全管理方面基础低,需要加强各种信息制度建立,安全组织结构和责任分工要进一步明确,安全策略进一步细化。在安全技术方面来看,加强必要的安全技术建设如补丁管理、入侵检测等的实施,在安全体系建设过程中,需要综合考虑安全要素,既要建立起指导安全工作的安全管理模型,又要建立起完善的技术体系架构,同时为了确保安全运营,还需要建立起信息安全运行维护体系。
第三篇:信息安全检查整改报告
XX市工商行政管理局关于2012年
信息安全检查整改报告
市公安局:
4月18日贵单位对我局进行信息安全等级保护工作进行监督检查后,按照《中华人民共和国计算机信息系统安全保护条例》,我局对照相关文件要求,针对本单位安全检查工作情况认真组织开展了自查整改。现将自查整改情况报告如下:
一、信息安全状况总体评价
我局在督察检查结果的基础上,认真进行整改,信息安全工作与上一相比信息安全工作取得了新的进展,一是在制度上更加健全;二是在人员落实上更加明确;三是在保密意识有所提高;四是未出现任何信息安全事故。
二、2012年信息安全主要工作情况
(一)信息安全组织管理
成立了信息系统安全工作领导小组。明确了信息系统安全工作的责任领导和具体管护人员。按照信息安全工作要求上制定了信息安全工作计划或工作方案。建立了信息安全责任制。按责任规定:信息安全工作领导小组对信息安全负首责,主管领导负总责,具体管理人负主责,并在单位组织开展信息安全教育培训。
(二)日常信息安全管理 严格落实岗位责任制和保密责任制,建立资产管理制度并认真落实,资产台账清晰、账物相符;安装必要的办公软件和应用软件,不安装与工作无关的软件;定期维护计算机。办公用计算机、公文处理软件、信息安全设备、服务器、网络设备等使用产品,特别是本新采购办公用计算机、公文处理软件、信息安全设备满足安全可控要求。重点检查信息安全防护设施建设、运行、维护、检查及管理等费用纳入部门预算。
(三)信息安全防护管理 1.网络边界防护管理。
关闭不必要的应用、服务、端口;定期更新账户口令;定期清理病毒木马,使用技术工具定期进行漏洞扫描、病毒木马检测。有效配置设备安全策略;使用安全设备防病毒、防火墙、入侵检测。2.门户网站安全管理。
管理系统管理账户和口令,清理无关账户,防止出现空口令、弱口令和默认口令;关闭不必要的端口,停止不必要的服务和应用,删除不必要的链接和插件;删除临时文件,防止敏感信息泄露;建立信息发布审核制度;使用技术工具定期进行漏洞扫描、木马检测。3.电子邮箱安全管理。
不允许非本部门人员特别是无关人员使用邮箱;使用技术措施控制和管理口令,口令强度符合要求、定期更新。4.移动存储设备安全管理。
采取集中安全管理措施;配备必要的电子消磁或销毁设备;非法使用非涉密信息系统和涉密信息系统。
(四)信息安全应急管理
制定信息安全应急预案并进行演练培训。明确了应急技术支援队伍。重要数据和重要信息系统备份。上及本未发生信息安全事件。
(五)信息安全教育培训
开展信息安全和保密形势教育及警示教育,领导干部和机关工作人员积极参加信息安全基本技能培训。
三、自查中发现的不足和整改意见
根据监督检查中的具体要求,在自查整改过程中发现了一些不足,同时结合我局实际,今后要在以下几个方面进行整改。
(一)培训教育时间不够。
因单位业务工作量大,专业性强,需要学习的内容广泛,在信息安全培训教育上安排的时间仍显不足,一些专业技术问题还不够清楚。下一步,将更加有效地安排工作学习时间。
(二)信息系统安全工作的水平还有待提高。
对信息安全的管护水平还不够高,提高安全工作的现代化水平,有利于我们进一步加强对计算机信息系统安全的防范和保密工作。设备维护、更新及时。要加大对线路、系统等的及时维护和保养,同时,针对信息技术的飞快发展的特点,要加大更新力度。
(三)经费不足。
因工作经费紧张,投入不足,下一步将合理安排,加大工作经费投入。
四、整改后取得的成效
我局领导高度重视,把信息安全检查工作列入了重要议事日程,并及时成立了信息安全工作领导小组,明确了检查责任人,组织制定了检查工作计划和检查方案,对检查工作进行了安排部署,确保了检查工作的顺利进行。针对自查和抽查中发现的问题进行了整改,我们安排了更多的有效时间去学习相关的信息安全知识,加强信息安全教育培训,以增强信息技术人员安全防范意识和应对能力;同时,加大对线路、系统等的及时维护和保养,密切监测,随时随地解决可能发生的信息系统安全事故;针对信息技术飞快发展的特点,做到更新及时,对重要文件、信息资源做到及时备份,数据恢复,并加大了信息安全系统维护的经费投入。
整改之后我局信息系统得到了更好的维护,严格按照上级部门的要求,积极完善各项安全制度、充分加强信息化安全工作人员教育培训、全面落实安全防范措施、全力保障信息安全工作经费,信息安全风险得到有效降低,应急处置能力得到切实提高,保证了我局信息系统持续安全稳定运行。
二○一二年五月三日
第四篇:××单位信息安全评估报告
××单位 信息安全评估报告
(管理信息系统)
××单位 二零一一年九月
1 目标
××单位信息安全检查工作的主要目标是通过自评估工作,发现本局信息系统当前面临的主要安全问题,边检查边整改,确保信息网络和重要信息系统的安全。评估依据、范围和方法
2.1 评估依据
根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》(信安通[2006]15号)、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》(办信息[2006]48号)以及集团公司和省公司公司的文件、检查方案要求, 开展××单位的信息安全评估。
2.2 评估范围
本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等,管理信息系统中业务种类相对较多、网络和业务结构较为复杂,在检查工作中强调对基础信息系统和重点业务系统进行安全性评估,具体包括:基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。
2.3 评估方法
采用自评估方法。重要资产识别
对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别,将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总,形成重要资产清单。资产清单见附表1。
安全事件
对本局半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录,形成本单位的安全事件列表。安全事件列表见附表2。安全检查项目评估
5.1 规章制度与组织管理评估 5.1.1 组织机构
5.1.1.1 评估标准
信息安全组织机构包括领导机构、工作机构。
5.1.1.2 现状描述
本局已成立了信息安全领导机构,但尚未成立信息安全工作机构。
5.1.1.3 评估结论
完善信息安全组织机构,成立信息安全工作机构。
5.1.2 岗位职责
5.1.2.1 评估标准
岗位要求应包括:专职网络管理人员、专职应用系统管理人员和专职系统管理人员;专责的工作职责与工作范围应有制度明确进行界定;岗位实行主、副岗备用制度。
5.1.2.2 现状描述
我局没有配置专职网络管理人员、专职应用系统管理人员和专职系统管理人员,都是兼责;专责的工作职责与工作范围没有明确制度进行界定,岗位没有实行主、副岗备用制度。
5.1.2.3 评估结论
本局已有兼职网络管理员、应用系统管理员和系统管理员,在条件许可下,配置专职管理人员;专责的工作职责与工作范围没有明确制度进行界定,根据实际情况制定管理制度;岗位没有实行主、副岗备用制度,在条件许可下,落实主、副岗备用制度。
5.1.3 病毒管理
5.1.3.1 评估标准
病毒管理包括计算机病毒防治管理制度、定期升级的安全策略、病毒预警和报告机制、病毒扫描策略(1周内至少进行一次扫描)。
5.1.3.2 现状描述
本局使用Symantec防病毒软件进行病毒防护,定期从省公司病毒库服务器下载、升级安全策略;病毒预警是通过第三方和网上提供信息来源,每月统计、汇总病毒感染情况并提交局生技部和省公司生技部;每周进行二次自动病毒扫描;没有制定计算机病毒防治管理制度。
5.1.3.3 评估结论
完善病毒预警和报告机制,制定计算机病毒防治管理制度。
5.1.4 运行管理
5.1.4.1 评估标准
运行管理应制定信息系统运行管理规程、缺陷管理制度、统计汇报制度、运 维流程、值班制度并实行工作票制度;制定机房出入管理制度并上墙,对进出机房情况记录。
5.1.4.2 现状描述
没有建立相应信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度,没有实行工作票制度;机房出入管理制度上墙,但没有机房进出情况记录。
5.1.4.3 评估结论
结合本局具体情况,制订信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度,实行工作票制度;机房出入管理制度上墙,记录机房进出情况。
5.1.5 账号与口令管理
5.1.5.1 评估标准
制订了账号与口令管理制度;普通用户账户密码、口令长度要求符合大于6字符,管理员账户密码、口令长度大于8字符;半年内账户密码、口令应变更并保存变更相关记录、通知、文件,半年内系统用户身份发生变化后应及时对其账户进行变更或注销。
5.1.5.2 现状描述
没有制订账号与口令管理制度,普通用户账户密码、口令长度要求大部分都不符合大于6字符;管理员账户密码、口令长度大于8字符,半年内账户密码、口令有过变更,但没有变更相关记录、通知、文件;半年内系统用户身份发生变化后能及时对其账户进行变更或注销。
5.1.5.3 评估结论
制订账号与口令管理制度,完善普通用户账户与管理员账户密码、口令长度要求;对账户密码、口令变更作相关记录;及时对系统用户身份发生变化后对其账户进行变更或注销。
5.2 网络与系统安全评估 5.2.1 网络架构
5.2.1.1 评估标准
局域网核心交换设备、城域网核心路由设备应采取设备冗余或准备备用设备,不允许外联链路绕过防火墙,具有当前准确的网络拓扑结构图。
5.2.1.2 现状描述
局域网核心交换设备准备了备用设备,城域网核心路由设备采取了设备冗余;没有不经过防火墙的外联链路,有当前网络拓扑结构图。
5.2.1.3 评估结论
局域网核心交换设备、城域网核心路由设备按要求采取设备冗余或准备备用设备,外联链路没有绕过防火墙,完善网络拓扑结构图。
5.2.2 网络分区
5.2.2.1 评估标准
生产控制系统和管理信息系统之间进行分区,VLAN间的访问控制设置合理。
5.2.2.2 现状描述
生产控制系统和管理信息系统之间没有进行分区,VLAN间的访问控制设置合理。
5.2.2.3 评估结论
对生产控制系统和管理信息系统之间进行分区,VLAN间的访问控制设置合理。5.2.3 网络设备
5.2.3.1 评估标准
网络设备配置有备份,网络关键点设备采用双电源,关闭网络设备HTTP、FTP、TFTP等服务,SNMP社区串、本地用户口令强健(>8字符,数字、字母混杂)。
5.2.3.2 现状描述
网络设备配置没有进行备份,网络关键点设备是双电源,网络设备关闭了HTTP、FTP、TFTP等服务,SNMP社区串、本地用户口令没达到要求。
5.2.3.3 评估结论
对网络设备配置进行备份,完善SNMP社区串、本地用户口令强健(>8字符,数字、字母混杂)。
5.2.4 IP管理
5.2.4.1 评估标准
有IP地址管理系统,IP地址管理有规划方案和分配策略,IP地址分配有记录。
5.2.4.2 现状描述
没有IP地址管理系统,正在进行对IP地址的规划和分配,IP地址分配有记录。
5.2.4.3 评估结论
建立IP地址管理系统,加快进行对IP地址的规划和分配,IP地址分配有记录。
5.2.5 补丁管理
5.2.5.1 评估标准
有补丁管理的手段或补丁管理制度,Windows系统主机补丁安装齐全,有补丁安装的测试记录。
5.2.5.2 现状描述
通过手工补丁管理手段,没有制订相应管理制度;Windows系统主机补丁安装基本齐全,没有补丁安装的测试记录。
5.2.5.3 评估结论
完善补丁管理的手段,制订相应管理制度;补缺Windows系统主机补丁安装,补丁安装前进行测试记录。
5.2.6 系统安全配置
5.2.6.1 评估标准
对操作系统的安全配置进行严格的设置,删除系统不必要的服务、协议。
5.2.6.2 现状描述
没有对操作系统的安全配置进行严格的设置,部分系统删除不必要的服务、协议。
5.2.6.3 评估结论
对操作系统的安全配置进行严格的设置,删除系统不必要的服务、协议。
5.2.7 主机备份
5.2.7.1 评估标准
重要的系统主机采用双机备份并进行热切换或者故障恢复的测试。
5.2.7.2 现状描述
重要的系统主机采用了双机备份,进行过热切换或者故障恢复的测试。
5.2.7.3 评估结论
重要的系统主机采用了双机备份,进行热切换或者故障恢复的测试。
5.3 网络服务与应用系统评估 5.3.1 WWW服务器
5.3.1.1 评估标准
WWW服务用户账户、口令应健壮(查看登录),信息发布进行了分级审核,外部网站有备份或其他保护措施。
5.3.1.2 现状描述
没有WWW服务。
5.3.1.3 评估结论
考虑按上述标准建设WWW服务。
5.3.2 电子邮件服务器
5.3.2.1 评估标准
对近三个月的邮件数据进行备份,有专门针对邮件病毒、垃圾邮件的安全措施,邮件系统管理员账户/口令应强健,邮件系统的维护、检查应有审计记录。
5.3.2.2 现状描述
OA系统邮件数据进行一星期备份,有专门针对邮件病毒、垃圾邮件的趋势防病毒软件系统,但该软件存在问题比较多,邮件系统管理员账户/口令设置合理,邮件系统的维护、检查没有审计记录。
5.3.2.3 评估结论
对OA系统邮件数据进行三个月备份,关注解决趋势防病毒软件系统问题;邮件系统管理员账户/口令设置合理,对邮件系统的维护、检查审计进行记录。
5.3.3 远程拨号访问
5.3.3.1 评估标准
有限制远程拨号访问的管理措施,用于业务系统维护的远程拨号访问采取身份验证、访问操作记录等措施。
5.3.3.2 现状描述
没有远程拨号访问。
5.3.3.3 评估结论
远程拨号访问设置按上述标准执行。
5.3.4 应用系统
5.3.4.1 评估标准
应用系统的角色、权限分配有记录;用户账户的变更、修改、注销有记录(半年记录情况);关键应用系统的数据功能操作进行审计并进行长期存储;对关键应用系统有应急预案;关键应用系统管理员账户、用户账户口令定期进行变更;新系统上线前进行安全性测试。
5.3.4.2 现状描述
营销系统的角色、权限分配有记录,其余系统没有;用户账户的变更、修改、注销没有记录;关键应用系统的数据功能操作没有进行审计;没有针对关键应用系统的应急预案;关键应用系统管理员账户、用户账户口令有定期进行变更;有些新系统上线前没有进行过安全性测试。
5.3.4.3 评估结论
完善系统的角色、权限分配有记录;记录用户账户的变更、修改、注销(半年记录情况);关键应用系统的数据功能操作进行审计;制定针对关键应用系统的应急预案;关键应用系统管理员账户、用户账户口令定期进行变更;新系统上线前应严格按照相关标准进行安全性测试。
5.4 安全技术管理与设备运行状况评估 5.4.1 防火墙
5.4.1.1 评估标准
网络中的防火墙位置部署合理,防火墙规则配置符合安全要求,防火墙规则配置的建立、更改有规范申请、审核、审批流程,对防火墙日志进行存储、备份。
5.4.1.2 现状描述
网络中的防火墙位置部署合理,防火墙规则配置符合安全要求,防火墙规则配置没有建立、更改有规范申请、审核、审批流程,对防火墙日志没有进行存储、备份。5.4.1.3 评估结论
网络中的防火墙位置部署合理,防火墙规则配置符合安全要求,防火墙规则配置的建立、更改要有规范申请、审核、审批流程,对防火墙日志应进行存储、备份。
5.4.2 防病毒系统
5.4.2.1 评估标准
防病毒系统覆盖所有服务器及客户端(覆盖率至少应大于90%),对服务器的防病毒客户端管理策略配置合理(自动升级病毒代码、每周扫描),有专责人员负责维护防病毒系统并及时发布病毒通告。
5.4.2.2 现状描述
防病毒系统覆盖所有客户端(覆盖率大于90%),服务器端除了OA服务器有防病毒系统外其余没有;有兼责人员负责维护防病毒系统,但基本没有发布病毒通告。
5.4.2.3 评估结论
防病毒系统覆盖所有客户端(覆盖率大于90%),服务器端除了OA服务器有防病毒系统外其余没有,考虑以后实施;考虑配置专责人员负责维护防病毒系统,并及时发布病毒通告。
5.4.3 入侵检测系统
5.4.3.1 评估标准
入侵检测系统部署合理、覆盖主要网络边界与主要服务器,定期对审计信息进行分析,定期更新入侵检测的规则与升级。
5.4.3.2 现状描述
没有部署入侵检测系统。5.4.3.3 评估结论
按上述部署、配置入侵检测系统。
5.4.4 安全技术管理
5.4.4.1 评估标准
部署身份认证系统、安全管理平台,采用漏洞扫描系统,重要系统一年内进行信息安全风险评估,部署针对安全设备的日志服务器。
5.4.4.2 现状描述
没有部署身份认证系统、安全管理平台,没有漏洞扫描系统,重要系统没有进行信息安全风险评估,没有部署针对安全设备的日志服务器。
5.4.4.3 评估结论
按标准部署身份认证系统、安全管理平台、针对安全设备的日志服务器,采用漏洞扫描系统,重要系统一年进行一次信息安全风险评估。
5.5 存储备份系统评估 5.5.1 备份策略
5.5.1.1 评估标准
建立明确、合理的备份策略,严格按照备份策略对系统数据进行备份(查看备份策略文件、查看备份记录或查看备份工具配置)。
5.5.1.2 现状描述
建立了明确、合理的备份策略并严格按照备份策略对系统数据进行备份。
5.5.1.3 评估结论
建立明确、合理的备份策略,严格按照备份策略对系统数据进行备份。
5.5.2 恢复预案
5.5.2.1 评估标准
建立明确的恢复预案(查看文件),定期进行恢复演练。
5.5.2.2 现状描述
没有建立明确的恢复预案,也没有定期进行恢复演练。
5.5.2.3 评估结论
建立明确的恢复预案并定期进行恢复演练。
5.5.3 备份介质管理
5.5.3.1 评估标准
建立介质管理制度和废弃介质处理制度,储存介质存放在安全环境,有严格的介质存取控制,有专人对存储介质进行定期检查。
5.5.3.2 现状描述
没有建立介质的管理制度和废弃介质的处理制度,储存介质存放在安全环境,没有严格的介质存取控制,没有对存储介质进行定期检查。
5.5.3.3 评估结论
建立介质管理制度和废弃介质处理制度,储存介质存放在安全环境,严格介质存取控制,对存储介质进行定期检查。5.6 介质及物理环境安全评估 5.6.1 机房内部安全防护
5.6.1.1 评估标准
主机房安装门禁、监控与报警系统。
5.6.1.2 现状描述
主机房没有安装门禁、监控系统,有消防报警系统。
5.6.1.3 评估结论
主机房安装门禁、监控与报警系统。
5.6.2 机房供、配电
5.6.2.1 评估标准
有详细的机房配线图,机房供电系统将动力、照明用电与计算机系统供电线路分开,机房配备应急照明装置,定期对UPS的运行状况进行检测(查看半年内检测记录)。
5.6.2.2 现状描述
没有详细的机房配线图,机房供电系统将动力、照明用电与计算机系统供电线路是分开的,机房没有配备应急照明装置,有定期对UPS的运行状况进行检测但没有检测记录。
5.6.2.3 评估结论
补全机房配线图,机房供电系统将动力、照明用电与计算机系统供电线路分开,机房配备应急照明装置,定期对UPS的运行状况进行检测和记录。
5.6.3 机房环境防护
5.6.3.1 评估标准
采用气体防火措施,空调系统定期进行检查,机房温度控制在摄氏26度以下。
5.6.3.2 现状描述
有手提干粉灭火器,没有采用气体防火措施,空调系统定期进行检查,机房温度控制在摄氏26度以下。
5.6.3.3 评估结论
采用气体防火措施,空调系统定期进行检查,机房温度控制在摄氏26度以下。
5.6.4 介质管理
5.6.4.1 评估标准
有介质管理规定,U盘、移动硬盘等存储介质有资产记录和责任人,磁盘、光盘等存储介质有专人保管,笔记本使用有明确的管理制度。
5.6.4.2 现状描述
有相应的介质管理规定,U盘、移动硬盘等存储介质有资产记录和责任人,磁盘、光盘等存储介质有专人保管,笔记本使用没有明确的管理制度。
5.6.4.3 评估结论
有相应的介质管理规定,U盘、移动硬盘等存储介质有资产记录和责任人,磁盘、光盘等存储介质有专人保管,制订笔记本使用管理制度。
5.7 应急处置评估 5.7.1 应急预案
5.7.1.1 评估标准
重要系统有完善的、可操作的应急预案,对应急预案进行定期演练。
5.7.1.2 现状描述
重要系统没有完善的、可操作的应急预案。
5.7.1.3 评估结论
制订重要系统完善的、可操作的应急预案并对应急预案进行定期演练。
5.7.2 通报机制
5.7.2.1 评估标准
按照集团公司的要求建立及时的信息安全信息通报机制。
5.7.2.2 现状描述
没有按照集团公司的要求建立及时的信息安全信息通报机制。
5.7.2.3 评估结论
按照集团公司的要求建立及时的信息安全信息通报机制。
5.7.3 故障联动机制
5.7.3.1 评估标准
建立良好的故障通讯联动机制,进行联合防护。
5.7.3.2 现状描述
没有建立故障通讯联动机制。
5.7.3.3 评估结论
建立良好的故障通讯联动机制,进行联合防护。
5.7.4 故障抢修机制
5.7.4.1 评估标准
建立完善的信息网故障抢修机制,应急资源到位。
5.7.4.2 现状描述
没有建立完善的信息网故障抢修机制。
5.7.4.3 评估结论
建立完善的信息网故障抢修机制,应急资源到位。自评总结
通过对上述的现状分析进行了自评估,总的来看,有了初步的安全基础设施,在管理方面具备了部分制度和策略,安全防护单一,技术上通过多种手段实现了基本的访问控制,但相应的安全策略、安全管理与技术方面的安全防护需要更新以适应要求。需要对安全措施和管理制度方面进行改善,通过技术和管理两个方面来确保策略的遵守和实现,最终能够将安全风险控制在适当范围之内,保证和促进业务开展。
第五篇:网络信息安全保密工作整改报告
xx县教体局网络信息安全保密工作
整 改 报 告
自XX 县信息化领导小组对我局进行安全检查以来,我局对 网络信息安全保密工作高度重视,主管局长XX 同志于9 月13 日 组织了“加强网络信息安全保密工作”专题会,会上我们认真分 析了检查小组的指导意见以及在自查中发现的一些管理上的细 节问题;在此基础上制定了网络信息安全保密工作整改方案:
一、以“方城县教育系统网络文明公约”普及为契机,在全县教 育系统进行网络信息安全保密工作的强化宣传教育。
通过强化宣传教育,使教育系统内人人都能认识到网络信息 安全保密工作的重要性,以自觉带自律,从自身的细节处做起,每个人都是一个安全点,点点相边形成安全面。从而强化网络信 息安全保密工作。
二、对入网单位的自查要制度化。
在自查过程中,对部分单位线路架设不规范;五防措施不到 位要求其限期整改的,在整改后进行复查。
成立网络信息安全工作检查小组,在复查的基础上,对所有 入网单位进行不定期、不定时、不定点的突击抽查。以敦促各网 络接入单位对网络信息安全保密工作管理常规化、制度化。
三、对文印室等重要信息点完善管理
针对文印室数据交换时暴露出的移动介质管理不到位的问 题,我们认真分析现况。制订管理方案,并由局办公室专门下发 通知,“通知”要求各科室指定办公用的移动存储设备,并登记 造册,各科室在进行数据交换时不使用指定设备以外的设备,在 进行数据交换前进行相关的安全扫描。
架设物理隔离区的安全扫描机,安装相关安全软件并定期更 新,对进入文印室的移动存储设备进行病毒、木马等相关安全扫 描,确认安全后再进入文印室等重要信息管理区;从而确保重要 信息区的信息安全。
XX 县教体局
2011 年9 月19 日
点击咨询 