【正文】 ............................................................ 28 . 技術(shù)層面 ................................................................................ 29 1. 概述 . 背景 根據(jù) 國務院信息化工作辦公室《關(guān)于對國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)開展安全檢查的通知》（信安通［ 2021］ 15號） 、國家電力監(jiān)管委員會《關(guān)于對電力行業(yè)有關(guān)單位重要信息系統(tǒng)開展安全檢查的通知》（辦信息 [2021]48號） 、集團 公司 以及 省公司 公司 相關(guān)文件的 要求 ，開展 單位 范圍內(nèi)的信息 安全檢查工作。通過檢查掌握當前 我局 信息系統(tǒng)面臨的主要安全問題，并在對檢查結(jié)果進行分析判斷的基礎(chǔ)上提出整改措施； 2. 進行 單位 信息安全大檢查，對 我局 的基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)進行安全性自查，并將相關(guān)數(shù)據(jù)進行匯總分析，統(tǒng)計重大和典型信息安全 事件 ， 及時發(fā)現(xiàn)和查找 基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng) 存在的安全隱患，邊檢查邊整改，確保 我局 基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng) 安全、可靠運行 。這個標準中安全管 理體系框架構(gòu)建的過程也就是宏觀上指導整個項目實施的過程。 3. SSECMM SSECMM 是 “系統(tǒng)安全工程能力成熟模型 ”的縮寫。該標 準針對在安全性評估過程中信息技術(shù)產(chǎn)品和系統(tǒng)的安全功能及相應的保證措施提出一組通用要求，使各種相對獨立的安全性評估結(jié)果具有可比性。 2. 安全評估方案 . 安全 評估內(nèi)容 本次為了全面的分析 局 信息系統(tǒng)當前的安全現(xiàn)狀，發(fā)現(xiàn)當前系統(tǒng)存在的高風險安全隱患和問題， 分析當前現(xiàn)狀和 《 省公司 公司信息安全檢查工作方案 》 、ISO17799 等國家及行業(yè)安全目標之間的差距 ， 我局將對 信息網(wǎng) 的 物理層、 網(wǎng)絡(luò)層、系統(tǒng)層、應用層和管理層進行全面安全評估。 . 應用層 自 評估 應用層 自 評估主要是通過人工安全檢查 、安全技術(shù)審計 等方式 對 OAK 系統(tǒng) 、營銷系統(tǒng)以及 數(shù)據(jù)庫 系統(tǒng) 等 業(yè)務應用系統(tǒng)的安全性進行評估。安全管理體 系的審計包括現(xiàn)有的安全管理 管理規(guī)范、 策略文檔、制度文檔、流程文檔 。對這些問題做出詳細回答，并確定相應的防護手段和實施辦法，就是針對整個網(wǎng)絡(luò)的一份完整的安全策略。 . 手動檢查 手動檢查是自評估工作最重要的手段之一 ， 通過自我內(nèi)部評估 來查找網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、 操作系統(tǒng)、核心應用 等安全對象目標存在 的脆弱性 和威脅 性，以及由此歸并分析得出相應的安全風險。安全性問題表現(xiàn)在兩方面：一是操作系統(tǒng)本身的不安全因素，主要包括身份認證、訪問控制、系統(tǒng)漏洞等；二是操作系統(tǒng)的安全配置存在問題。 3. 信息 資產(chǎn)識別 . 概述 資產(chǎn)是風險評估的最終評估對象。因此資產(chǎn)的評估是風險評估的一個重要的步驟，它被確定和估價的準確性將影響著后面所有因素的評估。 ? 營銷管理系統(tǒng) 提供業(yè)擴報裝、電能計量、電量電費、 WEB 查詢等，使用部門包括配電營業(yè)部、客服中心等； ? 生產(chǎn)管理系統(tǒng) 提供設(shè)備臺帳、高壓試驗、設(shè)備檢修、缺陷管理、電網(wǎng) GIS 等功能，全公司生產(chǎn)部門都在使用該系統(tǒng)。作為風險評估的重要因素，威脅是一個客觀存在的事物，無論對于多么安全的信息系統(tǒng)而言，它總是一定存在。從宏觀上講，威脅按照安全事件的性質(zhì)可以分為人為錯誤、非授權(quán)蓄意行為、不可抗力、以及設(shè)施 /設(shè)備錯誤等 ；按照威脅的主體可以分為 系統(tǒng)合法用戶、系統(tǒng)非法用戶、系統(tǒng)組件和物理環(huán)境四種類型。 營銷系統(tǒng)客戶端連接不上服務器，不能進行業(yè)務處理。 在 ORACLE 維護商的配合下分析了故障的現(xiàn)象和原因，確定申請停運營銷系統(tǒng)，安裝oracle 數(shù)據(jù)庫，并且重新安裝 RMAN備份數(shù)據(jù)庫。那些沒有安全威脅的弱點可以不需要實施安全保護措施，但它們必須記錄下來以確保當環(huán)境、條件有所變化時能隨之加以改變。 . 管理 安全 信息 安全管理 是我 局信息系統(tǒng)當前安全狀 況的主要保障，也是公司尤為重視的基本管理的重要組成部分。評估的內(nèi)容和結(jié)果詳見下表： 檢查項目 檢查內(nèi)容 檢查說明及存在問題 1 組織機構(gòu) 是否成立了信息安全領(lǐng)導機構(gòu)、工作機構(gòu)？ 成立了 信息化工作領(lǐng)導小組 （ 供電信［ 2021］ 4 號《關(guān)于成立 **集團 供電分公司信息化工作領(lǐng)導小組的通知》 ）， 而在《 單位 信息安全管理規(guī)范》中明確定義 了 信息安全組織的架構(gòu)和職能，但由于人員編制 問題，目前還沒有完全按照該規(guī)范執(zhí)行 2 崗位職責 是否有 專職 網(wǎng)絡(luò)管理 人員 配備了 1 名 專職 網(wǎng)絡(luò)管理 員 。 《 單位 信息部崗位職責 》 有明確界定 。 而且 在病毒管理平臺上已經(jīng)配置了定期升級的安全策略。 重要操作是否實行工作票制度？ 供電信〔 2021〕 21 號《關(guān)于修定相關(guān)信息系統(tǒng)管 理制度的通知》 之《 省公司 單位 信息網(wǎng)絡(luò)入網(wǎng)工作票》文件規(guī)定了 重要操作實行工作票制度 。 是否建立了缺陷管理制度 有 對網(wǎng)絡(luò)設(shè)備、業(yè)務系統(tǒng)、服務器進行定期巡 檢 ， 發(fā)現(xiàn)缺陷并進行整改，有 3 個月內(nèi)的記錄 。 是否對值班人員進行了安排？近 3 個月值班 針對日常、節(jié)假日、突發(fā)情況等類型，都對值班人員進行了安排。 普通用戶賬戶密碼、口令長度要求是否大于 6字符？管理員賬戶密碼、口令長度是否大于 8 字符？ 在《 單位 帳號口令管理制度》中作了嚴格規(guī)定。 由 于 單位 網(wǎng)絡(luò)系統(tǒng)管理人員 人員職責明確 ，平時進出機房僅限于 管理員，因此 機房物理安全 的某些人員控制 方面 還 比較不錯， 現(xiàn)有的一些管理措施包括 機房有嚴格進出 控制 、 重大變更配置均有記錄、 機房有 UPS 電源、有效的防火、防水、 防雷、降溫等措施。 供電信〔 2021〕 20 號 《關(guān)于印發(fā)《 省公司 公司 單位 辦公用便攜式計算機及存儲介質(zhì)安全管理規(guī)定（試行）》的通知》 U盤、移動硬盤等存儲介質(zhì)是否有資產(chǎn)記錄和責任人 沒有詳細的領(lǐng)用記錄和責任人記錄； 磁盤、光盤等存儲介質(zhì)是否有專人保管？ 有配備專人保管 筆記本 使用是否有明確的管理制度？ 供電信〔 2021〕 20 號 《關(guān)于印發(fā)《 省公司 公司 單位 辦公用便攜式計算機及存儲介質(zhì)安全管理規(guī)定（試行）》的通知》 . 網(wǎng)絡(luò)安全 根據(jù) 集團 和省公司的要求，在本次自評估工作中我們嚴格根據(jù) 《 省公司 公司信息安全檢查工作方案 》 要求的進行網(wǎng)絡(luò)安全的自評估。而終端設(shè)備受系統(tǒng)升級和管理等問題，導致還是 存在 著非常 多的 高風險 漏洞 。 . 應用安全 單位 的應用層面包括常見應用軟件和業(yè)務應用軟件兩大類。評估 的內(nèi)容和結(jié)果詳見下表： . 網(wǎng)絡(luò)服務 檢查項目 檢查內(nèi)容 檢查說明及存在問題 1 WWW 服務 WWW服務用戶賬戶、口令是否健壯？（查看登錄） 統(tǒng)一由省公司提供對外 WEB 服務。 是否有專門針對郵件病毒、垃圾郵件的安全措施？ 沒有提供互聯(lián)網(wǎng) 電子郵件服務 。 4 應用系統(tǒng) 應用系統(tǒng)的角色、權(quán)限分配是否有記錄？ 用戶賬戶的變更、修改、注銷是否有記錄？（查看半年記錄情況） 全局的域控制系統(tǒng)有 用戶賬戶的變更、修改、注銷 的記錄，并且按審批流程填寫了完 整的《信息業(yè)務申請表》，但其他業(yè)務系統(tǒng)暫時沒有實行。 新系統(tǒng)上線前是否進行過安全性 測試？ 新系統(tǒng)在正式投運前都有一至三個月的試運行期；在試運行期內(nèi)，都有進行相關(guān)的數(shù)據(jù)庫連接，業(yè)務應用等實 際操作的測試。 3 備份介質(zhì)管理 檢查是否建立介質(zhì)的管理制度和廢棄介質(zhì)的處理制度 已制定的《 單位 數(shù)據(jù)備份管理制度》有關(guān)于 介質(zhì)的管理和廢棄介質(zhì)的處理 辦法，但沒有形成相應的處理記錄。 是否對應急預案進行了定期演練？ 僅 對 具備 測試環(huán)境的系統(tǒng)進行 演練。 . 安全控制措施 目前 局 已部署了網(wǎng)絡(luò)安全中的兩大要素防病毒及防火墻。 是否對防火墻日志進行了存儲、備份？ 每個季度進行巡檢并對日志進行 分析 、存儲 2 防病毒系統(tǒng) 防病毒系統(tǒng)是否覆蓋所有服務器及客戶端？（覆蓋率至少應大于 90％） 防病毒系統(tǒng)覆蓋率 以超過95％ 。 是否部署了安全管理平臺？ 未部署 是否采用了漏洞掃描系統(tǒng)？ 未有 重要系統(tǒng)一年內(nèi)是否進行了信息安全風險評估？ 隔年進行一次信息安全風險評估 是否部署了針對安全設(shè)備的日志服務器？ 未有 6. 安全現(xiàn)狀總結(jié) 通過對 單位 信息系統(tǒng)的全方位 自評估工作 ，基本明確了 單位 在物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應用安全以及 管理 安全 五個方面現(xiàn)有的安全措施、存在的安全問題以及仍然面臨的風險。 該信息安全管理 體系根據(jù)國際和國內(nèi)信息安全管理標準 ISO 17799（ GB/T 19716） 、 ISO2700 ISO 15408（ GB/T 18336）、 ISO 7498 GB 1785ISO 13335(GB/T 、 GB/T ）等標準，《中華人民共和國計算機信息系統(tǒng)安全保護條例》等信息安全的有關(guān)法律， 結(jié)合 ITIL、 COBIT、 MOF 等先進模型，國家電力行業(yè)政策及 單位 相關(guān)管理辦法制定。 1．安全管理人員不足，崗位行政權(quán)利較小 我局沒有專責的信息安全管理員，雖然 網(wǎng)絡(luò)和系統(tǒng)管理員也有安全管理的職責 ， 但因此造成 管理員