【導(dǎo)讀】××單位信息安全檢查

　　

【正文】 期內(nèi)，都有進(jìn)行相關(guān)的數(shù)據(jù)庫(kù)連接，業(yè)務(wù)應(yīng)用等實(shí) 際操作的測(cè)試。暫時(shí)沒(méi)有針對(duì)安全性的相應(yīng)制度及專(zhuān)用的測(cè)試手段 . 備份與存儲(chǔ) 檢查項(xiàng)目 檢查內(nèi)容 檢查說(shuō)明及存在問(wèn)題 1 備份策略 是否建立了明確、合理的備份策略？是否嚴(yán)格按照備份策略對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行備份？（查看備份策略文件、查看備份記錄，或查看備份工具配置） 已 建立了明確、合理的備份策略 ；并 嚴(yán)格按照備份策略對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行備份 ；每季度有專(zhuān)人負(fù)責(zé)巡檢。 2 恢復(fù)預(yù)案 是否建立了明確的恢復(fù)預(yù)案？（查看文件） 已制定《數(shù)據(jù)恢復(fù)預(yù)案》，針對(duì)文件數(shù)據(jù)、業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫(kù)做了明確的技術(shù)處理恢復(fù)的解決方案，但沒(méi)有經(jīng)過(guò)實(shí)際的操作演練。 是否定期進(jìn)行恢復(fù)演練？（查看半年演練記錄） 對(duì)個(gè)別業(yè)務(wù)系統(tǒng)進(jìn)行過(guò)部分?jǐn)?shù)據(jù)的恢復(fù)演練 ，但沒(méi)有記錄。 3 備份介質(zhì)管理 檢查是否建立介質(zhì)的管理制度和廢棄介質(zhì)的處理制度 已制定的《 單位 數(shù)據(jù)備份管理制度》有關(guān)于 介質(zhì)的管理和廢棄介質(zhì)的處理 辦法，但沒(méi)有形成相應(yīng)的處理記錄。 儲(chǔ)存介質(zhì)是否存放在安全環(huán)境 磁帶存儲(chǔ)介質(zhì)目前與其他光盤(pán)、磁盤(pán)介質(zhì)存放在有恒溫恒濕空調(diào)的信息專(zhuān)業(yè)機(jī)房的防潮箱內(nèi)，但 沒(méi)有異地 存放 。 是否有嚴(yán)格的介質(zhì)存取控制，是否有專(zhuān)人對(duì)存儲(chǔ)介質(zhì)進(jìn)行 管理 已制定的《 單位 數(shù)據(jù)備份管理制度》有關(guān)于 介質(zhì)存取控制 及 定期檢查 的規(guī)定， 并有專(zhuān)人管理， 但沒(méi)有形成相應(yīng)的處理記錄。 . 安全應(yīng)急 管理 檢查項(xiàng)目 檢查內(nèi)容 檢查說(shuō)明及存在問(wèn)題 1 應(yīng)急預(yù)案 重要系統(tǒng) 是否有完善的、可操作的應(yīng)急預(yù)案？ 在《 單位 安全事件應(yīng)急處理預(yù)案 》中對(duì)大部分安全事件的定義、特征以及對(duì)策都有詳細(xì)描述，但是該預(yù)案還需要繼續(xù)豐富和完善。 是否對(duì)應(yīng)急預(yù)案進(jìn)行了定期演練？ 僅 對(duì) 具備 測(cè)試環(huán)境的系統(tǒng)進(jìn)行 演練。 2 通報(bào)機(jī) 制 是否按照 集團(tuán) 公司的要求建立了及時(shí)的信息安全信息通報(bào)機(jī)制？ 嚴(yán)格執(zhí)行 集團(tuán) 公司 、省公司的信息安全信息通報(bào)制 度，并建立了相關(guān)機(jī)制。 3 故障聯(lián)動(dòng)機(jī)制 是否建立了良好的故障通訊聯(lián)動(dòng)機(jī)制，聯(lián)合進(jìn)行防護(hù)？ 初步建立了責(zé)任工程師、信息主管、簽約外委維護(hù)商一體的 故障通訊聯(lián)動(dòng)機(jī)制 。 4 故障搶修機(jī)制 是否建立了完善的信息網(wǎng)故障搶修機(jī)制，應(yīng)急資源是否到位？ 與維護(hù)商聯(lián)合制定 信息網(wǎng)故障搶修機(jī)制 ，并做了 應(yīng)急資源 的儲(chǔ)備。 . 安全控制措施 目前 局 已部署了網(wǎng)絡(luò)安全中的兩大要素防病毒及防火墻。企業(yè)網(wǎng)絡(luò)邊界的訪問(wèn)控制系統(tǒng) 建設(shè)得比較完善，對(duì)于外部的非授權(quán)訪問(wèn)和簡(jiǎn)單的網(wǎng)絡(luò)入侵具有較好的阻斷和過(guò)濾功能，防火墻可以隔斷來(lái)自互聯(lián)網(wǎng)蠕蟲(chóng)病毒對(duì)內(nèi)網(wǎng)機(jī)器的掃描，阻止外部電腦主動(dòng)連接并感染辦公網(wǎng)的企圖，而對(duì)于內(nèi)部，企業(yè)級(jí)的趨勢(shì)防 病毒系統(tǒng)可以抵御一般的防病毒攻擊，但是像 入侵檢測(cè)系統(tǒng) 等 基礎(chǔ)的安全防御措施就比較缺乏。 根據(jù) 集團(tuán) 和省公司的要求，在本次自評(píng)估工作中我們嚴(yán)格根據(jù) 《 省公司 公司信息安全檢查工作方案 》 要求的進(jìn)行安全設(shè)備的自評(píng)估。評(píng)估的內(nèi)容和結(jié)果詳見(jiàn)下表： 檢查項(xiàng)目 檢查內(nèi)容 檢查說(shuō)明及存在問(wèn)題 1 防火墻 網(wǎng)絡(luò)中的防火墻部署位置是否合理？ 部署合理 防護(hù)墻規(guī)則配置是否符合安全要求？ 符合安全要求 防護(hù)墻規(guī)則配置的建立、更改是否有規(guī)范的 申請(qǐng)、審核、審批流程？（查看半年內(nèi)的記錄） 已建立 《 單位 網(wǎng)絡(luò)設(shè)備調(diào)整變更制度 》 ，其中對(duì)設(shè)備的接入、變更以及廢棄都有詳細(xì)流程規(guī)定，但工作中還存在不依照制度執(zhí)行的情況。 是否對(duì)防火墻日志進(jìn)行了存儲(chǔ)、備份？ 每個(gè)季度進(jìn)行巡檢并對(duì)日志進(jìn)行 分析 、存儲(chǔ) 2 防病毒系統(tǒng) 防病毒系統(tǒng)是否覆蓋所有服務(wù)器及客戶(hù)端？（覆蓋率至少應(yīng)大于 90％） 防病毒系統(tǒng)覆蓋率 以超過(guò)95％ 。 對(duì)服務(wù)器的防病毒客戶(hù)端管理策略配 置是否合理？（自動(dòng)升級(jí)病毒代碼、每周掃描） 每天 自動(dòng)升級(jí)病毒代碼 ； 配置每周對(duì)服務(wù)器 進(jìn)行 病毒掃描操作 。 是否有專(zhuān)責(zé)人員負(fù)責(zé)維護(hù)防病毒系統(tǒng)，并及時(shí)發(fā)布病毒通告？ 有專(zhuān)責(zé)人員負(fù)責(zé)維護(hù)防病毒系統(tǒng) ；會(huì)不定期的將危害性高的病毒通過(guò)電子郵件通知大家 3 入侵檢測(cè)系統(tǒng) 檢查入侵檢測(cè)系統(tǒng)部署是否合理、能否覆蓋主要網(wǎng)絡(luò)邊界與主要服務(wù)器？ 01 年曾購(gòu)置 ISS 入侵檢測(cè)系統(tǒng)，但由于升級(jí)費(fèi)用昂貴和廠家維護(hù)不到位，現(xiàn)已停用。 是否定期對(duì)審計(jì)信息進(jìn)行分析？ 未進(jìn)行 是否定期更新入侵檢測(cè)的規(guī)則與升級(jí)？ 未有 4 安全技術(shù) 管理 是否部署了身份認(rèn)證系統(tǒng)？ 已 部署 PKI/CA，但未投入使用。 是否部署了安全管理平臺(tái)？ 未部署 是否采用了漏洞掃描系統(tǒng)？ 未有 重要系統(tǒng)一年內(nèi)是否進(jìn)行了信息安全風(fēng)險(xiǎn)評(píng)估？ 隔年進(jìn)行一次信息安全風(fēng)險(xiǎn)評(píng)估 是否部署了針對(duì)安全設(shè)備的日志服務(wù)器？ 未有 6. 安全現(xiàn)狀總結(jié) 通過(guò)對(duì) 單位 信息系統(tǒng)的全方位 自評(píng)估工作 ，基本明確了 單位 在物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全以及 管理 安全 五個(gè)方面現(xiàn)有的安全措施、存在的安全問(wèn)題以及仍然面臨的風(fēng)險(xiǎn)。 根據(jù) 以上對(duì) 單位 安全狀況的分析， 結(jié)合 權(quán)威的 安全管理 經(jīng)驗(yàn)和同類(lèi)行業(yè)組織的管理情況相比較， 單位 管理層存在較好 安全管理 意識(shí) ， 已逐步建立基于信息安全風(fēng)險(xiǎn)評(píng)估的 安全管理體系 ， 而 技術(shù)實(shí)現(xiàn)的安全措施 硬件和軟件 各方面由于環(huán)境的制約現(xiàn)在目前還是比較薄弱 。 . 管理層面 在安全管理方面， 為 進(jìn)一步貫 “積極預(yù)防、及時(shí)發(fā)現(xiàn)、快速反應(yīng)、確?；謴?fù)”的方針，結(jié)合 省公司 管理年建立統(tǒng)一的信息化支持體系的要求， 單位 制定 了 信息安全管理體系。以實(shí)現(xiàn)對(duì)我局信息系統(tǒng)安全工作組織結(jié)構(gòu)和崗位職責(zé)的劃分，確定安全管理制度的分類(lèi)和內(nèi)容形式，形成以策略為指導(dǎo)、以安全制度為形式、按照對(duì)各種角色進(jìn)行安全管理的 安全體系架構(gòu) 。 該信息安全管理 體系根據(jù)國(guó)際和國(guó)內(nèi)信息安全管理標(biāo)準(zhǔn) ISO 17799（ GB/T 19716） 、 ISO2700 ISO 15408（ GB/T 18336）、 ISO 7498 GB 1785ISO 13335(GB/T 、 GB/T ）等標(biāo)準(zhǔn)，《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等信息安全的有關(guān)法律， 結(jié)合 ITIL、 COBIT、 MOF 等先進(jìn)模型，國(guó)家電力行業(yè)政策及 單位 相關(guān)管理辦法制定。 單位 ISMS 信息安全管理體系包括安全管理規(guī)范、安全管理實(shí)施指 南 、安全操作規(guī)范三個(gè)部分組成。通過(guò)三套文件的頒布，建立并實(shí)現(xiàn)我局 以安全管理規(guī)范為標(biāo)準(zhǔn)、安全管理實(shí)施指南為指導(dǎo)、安全操作規(guī)范落實(shí)具體管理細(xì)則的統(tǒng)一策略的信息安全管理體系。 但是我局的安全管理方面還是存在以下幾點(diǎn)比較突出的問(wèn)題 。 1．安全管理人員不足，崗位行政權(quán)利較小 我局沒(méi)有專(zhuān)責(zé)的信息安全管理員，雖然 網(wǎng)絡(luò)和系統(tǒng)管理員也有安全管理的職責(zé) ， 但因此造成 管理員 的眾多工作兼 職 ，很難重視安全方面的管理。另外，各管理員沒(méi)有定義明確的安全職責(zé)， 加之其崗位行政權(quán) 力 的有限性、 組織結(jié)構(gòu)和信息網(wǎng)絡(luò)的龐大性特點(diǎn)，必然導(dǎo)致管理員不能全權(quán)、有 效地形成對(duì)整個(gè)公司自上到下的全面安全管理，也很難在全公司范圍內(nèi)有效的實(shí)施和執(zhí)行某些安全措施。 2． 安全管理制度 仍需繼續(xù)完善 我局制訂的一系列安全制度雖然覆蓋面較廣，但是 由于新系統(tǒng)和城網(wǎng)的建設(shè)仍然還有一些 系統(tǒng)現(xiàn)狀與制度制訂時(shí)存在一定的差異性或者 沒(méi)有完全 顧及的方面，而且在制度推行中也有些制度的流程和表格需要繼續(xù)完善，以通過(guò)制度的修訂和完善提高制度的針對(duì)性和可行性。 3． 員工安全意識(shí) 缺乏 單位 的管理員以及內(nèi)部普通員工， 還是缺乏 一些基本的安全防護(hù)意識(shí)和發(fā)現(xiàn)解決某些常見(jiàn)安全問(wèn)題的能力。 由于缺乏 有效的 機(jī)制 督促員工提 高自己 安全意識(shí) 的機(jī)制 ，導(dǎo)致員工不能?chē)?yán)格遵循公司的安全管理制度，難以配合安全管理員實(shí)施某些安全措施。 . 技術(shù) 層面 單位 信息系統(tǒng)技術(shù)層面相對(duì)管理層面問(wèn)題更加嚴(yán)峻，特別是 系統(tǒng)層面的安全問(wèn)題尤為突出，而目前公司除了防火墻、防病毒外幾乎沒(méi)有其他任何安全技術(shù)措施。 單位 當(dāng)前的安全技術(shù)現(xiàn)狀可以用一句話(huà)概括 ： 事后的響應(yīng)多于事前的預(yù)防 技術(shù)管理人員大多數(shù)工作都是在 “救火隊(duì)”似的 響應(yīng)安全事件 ， 造成這個(gè)問(wèn)題的主要原因是公司 “ 安全體系無(wú) 全面 規(guī)劃”，從而形成了 單位 技術(shù)人員目前 “響應(yīng)為主，預(yù)防為輔” 、“ 被動(dòng)多于主動(dòng)”的 局面 。 單位 的技術(shù)層面存在很多明顯漏洞，每個(gè)漏洞被利用后都可能給公司或個(gè)人造成直接的 或間接的 損失。下面對(duì)目前 單位 存在安全技術(shù)問(wèn)題比較突出的幾個(gè)原因進(jìn)行總結(jié)分析。 1．缺乏一套有效地安全預(yù)警體系 單位 已經(jīng)安裝了防火墻、防病毒系統(tǒng)等安全產(chǎn)品，用于防護(hù)內(nèi)部和外部的不安全活動(dòng)，但由于最新漏洞被利用的快速性、安全問(wèn)題出現(xiàn)的偶然性、安全事件處理的復(fù)雜性以及產(chǎn)品規(guī)則庫(kù)升級(jí)的滯后性，使得管理員不可能及時(shí)的發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)存在的最新漏洞，也就不可能有效的實(shí)現(xiàn)全網(wǎng)的安全預(yù)防工作，相反只能事事被動(dòng)，等問(wèn)題發(fā)生了再去找解決問(wèn)題 的方法，從而給公司帶來(lái)很多不必要的損失。 2．缺乏一套完善的安全防護(hù)體系 對(duì)于重要的業(yè)務(wù)服務(wù)器和網(wǎng)絡(luò)設(shè)備也沒(méi)有很好的身份認(rèn)證和抗拒絕服務(wù)等有效措施。 3．缺乏一套實(shí)時(shí)的安全監(jiān)控體系 對(duì) 單位 信息 系統(tǒng)內(nèi)部的惡意入侵行為并沒(méi)有很好的監(jiān)控手段，從而使得安全事件發(fā)生時(shí)，不能及時(shí)進(jìn)行防護(hù)，僅僅通過(guò)人工監(jiān)控的措施，不可能及時(shí)發(fā)現(xiàn)利用技術(shù)手段的竊取和入侵行為。