【正文】 分100分，自評分為73分，得分率73%。網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)設(shè)備、IP管理、主機備份得分較高；網(wǎng)絡(luò)分區(qū)、補丁管理、系統(tǒng)安全配置得分低。需要整改有如下幾方面：生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間進行分區(qū)。建立IP地址管理系統(tǒng)，加快進行對IP地址的規(guī)劃和分配。完善補丁管理手段，制訂相應(yīng)管理制度；補缺Windows系統(tǒng)主機補丁安裝，補丁安裝前進行測試記錄。對操作系統(tǒng)的安全配置進行嚴格的設(shè)置，刪除系統(tǒng)不必要的服務(wù)、協(xié)議。 網(wǎng)絡(luò)服務(wù)與應(yīng)用系統(tǒng)分析網(wǎng)絡(luò)服務(wù)與應(yīng)用系統(tǒng)總分100分，自評分為20分，得分率20%。沒有WWW服務(wù)，遠程撥號訪問沒有相應(yīng)管理措施，OA系統(tǒng)郵件數(shù)據(jù)進行一星期備份，郵件系統(tǒng)的維護、檢查沒有審計記錄；營銷系統(tǒng)的角色、權(quán)限分配有記錄，其余系統(tǒng)沒有；用戶賬戶的變更、修改、注銷沒有記錄；關(guān)鍵應(yīng)用系統(tǒng)的數(shù)據(jù)功能操作沒有進行審計；沒有針對關(guān)鍵應(yīng)用系統(tǒng)的應(yīng)急預(yù)案；關(guān)鍵應(yīng)用系統(tǒng)管理員賬戶、用戶賬戶口令有定期進行變更；有些新系統(tǒng)上線前沒有進行過安全性測試。需要整改有如下幾方面：按標準建設(shè)WWW服務(wù)。解決OA系統(tǒng)趨勢防病毒軟件系統(tǒng)問題，對郵件系統(tǒng)的維護、檢查審計進行記錄。遠程撥號訪問設(shè)置按上述標準執(zhí)行。記錄完善系統(tǒng)的角色、權(quán)限分配并記錄；記錄半年內(nèi)用戶賬戶的變更、修改、注銷；關(guān)鍵應(yīng)用系統(tǒng)的數(shù)據(jù)功能操作進行審計；制定針對關(guān)鍵應(yīng)用系統(tǒng)的應(yīng)急預(yù)案；關(guān)鍵應(yīng)用系統(tǒng)管理員賬戶、用戶賬戶口令定期進行變更；新系統(tǒng)上線前應(yīng)嚴格按照相關(guān)標準進行安全性測試。 安全技術(shù)管理與設(shè)備運行狀況分析安全技術(shù)管理與設(shè)備運行狀況總分90分，自評分為26分，得分率29%。網(wǎng)絡(luò)中的防火墻位置部署合理，防火墻規(guī)則配置符合安全要求，防火墻規(guī)則配置沒有建立、更改有規(guī)范申請、審核、審批流程，沒有對防火墻日志沒有進行存儲、備份。防病毒系統(tǒng)覆蓋所有客戶端（覆蓋率大于90％），服務(wù)器端除了OA服務(wù)器有防病毒系統(tǒng)外其余沒有；有兼責人員負責維護防病毒系統(tǒng)，但基本沒有發(fā)布病毒通告。沒有部署身份認證系統(tǒng)、安全管理平臺，沒有漏洞掃描系統(tǒng)。需要整改有如下幾方面：防火墻規(guī)則配置的建立、更改要有規(guī)范申請、審核、審批流程，對防火墻日志應(yīng)進行存儲、備份。實施服務(wù)器端防病毒系統(tǒng)，配置專責人員負責維護防病毒系統(tǒng)并及時發(fā)布病毒通告。按標準部署、配置入侵檢測系統(tǒng)。按標準部署身份認證系統(tǒng)、安全管理平臺、針對安全設(shè)備的日志服務(wù)器，采用漏洞掃描系統(tǒng)，重要系統(tǒng)將一年進行一次信息安全風險評估。 存儲備份系統(tǒng)分析存儲備份系統(tǒng)總分50分，自評分為16分，得分率32%。有備份策略并嚴格按照備份策略對系統(tǒng)數(shù)據(jù)進行備份，沒有建立明確的恢復預(yù)案，也沒有定期進行恢復演練，沒有建立介質(zhì)的管理制度和廢棄介質(zhì)的處理制度，儲存介質(zhì)存放在安全環(huán)境，沒有嚴格的介質(zhì)存取控制，沒有對存儲介質(zhì)進行定期檢查。需要整改有如下幾方面：完善備份策略，嚴格按照備份策略對系統(tǒng)數(shù)據(jù)進行備份。建立介質(zhì)管理制度和廢棄介質(zhì)處理制度，專人對存儲介質(zhì)進行定期檢查。 介質(zhì)及物理環(huán)境安全分析介質(zhì)及物理環(huán)境安全總分70分，自評分為37分，得分率53%。主機房沒有安裝門禁、監(jiān)控系統(tǒng)，有消防報警系統(tǒng)。沒有機房配線圖，機房供電系統(tǒng)將動力、照明用電與計算機系統(tǒng)供電線路是分開的，機房沒有配備應(yīng)急照明裝置，有定期對UPS的運行狀況進行檢測但沒有檢測記錄，有手提干粉滅火器，沒有采用氣體防火措施，空調(diào)系統(tǒng)定期進行檢查，機房溫度控制在攝氏26度以下，有相應(yīng)的介質(zhì)管理規(guī)定，U盤、移動硬盤等存儲介質(zhì)有資產(chǎn)記錄和責任人，磁盤、光盤等存儲介質(zhì)有專人保管，筆記本使用沒有明確的管理制度。需要整改有如下幾方面：主機房安裝門禁、監(jiān)控與報警系統(tǒng)。補全機房配線圖，定期對UPS的運行狀況進行檢測和記錄。采用氣體防火措施。制訂筆記本使用管理制度。 應(yīng)急處置分析應(yīng)急處置分30分，自評分為5分，得分率17%。重要系統(tǒng)沒有完善的、可操作的應(yīng)急預(yù)案，按照集團公司的要求建立及時的信息安全信息通報機制，沒有建立故障通訊聯(lián)動機制，沒有建立信息網(wǎng)故障搶修機制。需要整改有如下幾方面：制訂重要系統(tǒng)完善的、可操作的應(yīng)急預(yù)案并對應(yīng)急預(yù)案進行定期演練。按照集團公司的要求建立及時的信息安全信息通報機制。建立良好的故障通訊聯(lián)動機制，進行聯(lián)合防護。檢查結(jié)論根據(jù)檢查結(jié)果來看，安全缺陷檢查列表檢查總分540分，自評分為221分，得分率39%。安全管理方面基礎(chǔ)低，需要加強各種信息制度建立，安全組織結(jié)構(gòu)和責任分工要進一步明確，安全策略進一步細化。在安全技術(shù)方面來看，加強必要的安全技術(shù)建設(shè)如補丁管理、入侵檢測等的實施，在安全體系建設(shè)過程中，需要綜合考慮安全要素，既要建立起指導安全工作的安全管理模型，又要建立起完善的技術(shù)體系架構(gòu)，同時為了確保安全運營，還需要建立起信息安全運行維護體系。