【正文】 。 2．缺乏一套完善的安全防護(hù)體系 對(duì)于重要的業(yè)務(wù)服務(wù)器和網(wǎng)絡(luò)設(shè)備也沒有很好的身份認(rèn)證和抗拒絕服務(wù)等有效措施。下面對(duì)目前 單位 存在安全技術(shù)問題比較突出的幾個(gè)原因進(jìn)行總結(jié)分析。 單位 當(dāng)前的安全技術(shù)現(xiàn)狀可以用一句話概括 ： 事后的響應(yīng)多于事前的預(yù)防 技術(shù)管理人員大多數(shù)工作都是在 “救火隊(duì)”似的 響應(yīng)安全事件 ， 造成這個(gè)問題的主要原因是公司 “ 安全體系無 全面 規(guī)劃”，從而形成了 單位 技術(shù)人員目前 “響應(yīng)為主，預(yù)防為輔” 、“ 被動(dòng)多于主動(dòng)”的 局面 。 由于缺乏 有效的 機(jī)制 督促員工提 高自己 安全意識(shí) 的機(jī)制 ，導(dǎo)致員工不能嚴(yán)格遵循公司的安全管理制度，難以配合安全管理員實(shí)施某些安全措施。 2． 安全管理制度 仍需繼續(xù)完善 我局制訂的一系列安全制度雖然覆蓋面較廣，但是 由于新系統(tǒng)和城網(wǎng)的建設(shè)仍然還有一些 系統(tǒng)現(xiàn)狀與制度制訂時(shí)存在一定的差異性或者 沒有完全 顧及的方面，而且在制度推行中也有些制度的流程和表格需要繼續(xù)完善，以通過制度的修訂和完善提高制度的針對(duì)性和可行性。 1．安全管理人員不足，崗位行政權(quán)利較小 我局沒有專責(zé)的信息安全管理員，雖然 網(wǎng)絡(luò)和系統(tǒng)管理員也有安全管理的職責(zé) ， 但因此造成 管理員 的眾多工作兼 職 ，很難重視安全方面的管理。通過三套文件的頒布，建立并實(shí)現(xiàn)我局 以安全管理規(guī)范為標(biāo)準(zhǔn)、安全管理實(shí)施指南為指導(dǎo)、安全操作規(guī)范落實(shí)具體管理細(xì)則的統(tǒng)一策略的信息安全管理體系。 該信息安全管理 體系根據(jù)國(guó)際和國(guó)內(nèi)信息安全管理標(biāo)準(zhǔn) ISO 17799（ GB/T 19716） 、 ISO2700 ISO 15408（ GB/T 18336）、 ISO 7498 GB 1785ISO 13335(GB/T 、 GB/T ）等標(biāo)準(zhǔn)，《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等信息安全的有關(guān)法律， 結(jié)合 ITIL、 COBIT、 MOF 等先進(jìn)模型，國(guó)家電力行業(yè)政策及 單位 相關(guān)管理辦法制定。 . 管理層面 在安全管理方面， 為 進(jìn)一步貫 “積極預(yù)防、及時(shí)發(fā)現(xiàn)、快速反應(yīng)、確保恢復(fù)”的方針，結(jié)合 省公司 管理年建立統(tǒng)一的信息化支持體系的要求， 單位 制定 了 信息安全管理體系。 是否部署了安全管理平臺(tái)？ 未部署 是否采用了漏洞掃描系統(tǒng)？ 未有 重要系統(tǒng)一年內(nèi)是否進(jìn)行了信息安全風(fēng)險(xiǎn)評(píng)估？ 隔年進(jìn)行一次信息安全風(fēng)險(xiǎn)評(píng)估 是否部署了針對(duì)安全設(shè)備的日志服務(wù)器？ 未有 6. 安全現(xiàn)狀總結(jié) 通過對(duì) 單位 信息系統(tǒng)的全方位 自評(píng)估工作 ，基本明確了 單位 在物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全以及 管理 安全 五個(gè)方面現(xiàn)有的安全措施、存在的安全問題以及仍然面臨的風(fēng)險(xiǎn)。 是否有專責(zé)人員負(fù)責(zé)維護(hù)防病毒系統(tǒng)，并及時(shí)發(fā)布病毒通告？ 有專責(zé)人員負(fù)責(zé)維護(hù)防病毒系統(tǒng) ；會(huì)不定期的將危害性高的病毒通過電子郵件通知大家 3 入侵檢測(cè)系統(tǒng) 檢查入侵檢測(cè)系統(tǒng)部署是否合理、能否覆蓋主要網(wǎng)絡(luò)邊界與主要服務(wù)器？ 01 年曾購置 ISS 入侵檢測(cè)系統(tǒng)，但由于升級(jí)費(fèi)用昂貴和廠家維護(hù)不到位，現(xiàn)已停用。 是否對(duì)防火墻日志進(jìn)行了存儲(chǔ)、備份？ 每個(gè)季度進(jìn)行巡檢并對(duì)日志進(jìn)行 分析 、存儲(chǔ) 2 防病毒系統(tǒng) 防病毒系統(tǒng)是否覆蓋所有服務(wù)器及客戶端？（覆蓋率至少應(yīng)大于 90％） 防病毒系統(tǒng)覆蓋率 以超過95％ 。 根據(jù) 集團(tuán) 和省公司的要求，在本次自評(píng)估工作中我們嚴(yán)格根據(jù) 《 省公司 公司信息安全檢查工作方案 》 要求的進(jìn)行安全設(shè)備的自評(píng)估。 . 安全控制措施 目前 局 已部署了網(wǎng)絡(luò)安全中的兩大要素防病毒及防火墻。 3 故障聯(lián)動(dòng)機(jī)制 是否建立了良好的故障通訊聯(lián)動(dòng)機(jī)制，聯(lián)合進(jìn)行防護(hù)？ 初步建立了責(zé)任工程師、信息主管、簽約外委維護(hù)商一體的 故障通訊聯(lián)動(dòng)機(jī)制 。 是否對(duì)應(yīng)急預(yù)案進(jìn)行了定期演練？ 僅 對(duì) 具備 測(cè)試環(huán)境的系統(tǒng)進(jìn)行 演練。 是否有嚴(yán)格的介質(zhì)存取控制，是否有專人對(duì)存儲(chǔ)介質(zhì)進(jìn)行 管理 已制定的《 單位 數(shù)據(jù)備份管理制度》有關(guān)于 介質(zhì)存取控制 及 定期檢查 的規(guī)定， 并有專人管理， 但沒有形成相應(yīng)的處理記錄。 3 備份介質(zhì)管理 檢查是否建立介質(zhì)的管理制度和廢棄介質(zhì)的處理制度 已制定的《 單位 數(shù)據(jù)備份管理制度》有關(guān)于 介質(zhì)的管理和廢棄介質(zhì)的處理 辦法，但沒有形成相應(yīng)的處理記錄。 2 恢復(fù)預(yù)案 是否建立了明確的恢復(fù)預(yù)案？（查看文件） 已制定《數(shù)據(jù)恢復(fù)預(yù)案》，針對(duì)文件數(shù)據(jù)、業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫做了明確的技術(shù)處理恢復(fù)的解決方案，但沒有經(jīng)過實(shí)際的操作演練。 新系統(tǒng)上線前是否進(jìn)行過安全性 測(cè)試？ 新系統(tǒng)在正式投運(yùn)前都有一至三個(gè)月的試運(yùn)行期；在試運(yùn)行期內(nèi)，都有進(jìn)行相關(guān)的數(shù)據(jù)庫連接，業(yè)務(wù)應(yīng)用等實(shí) 際操作的測(cè)試。 是否有針對(duì)關(guān)鍵應(yīng)用系統(tǒng)的應(yīng)急預(yù)案？ 在《 單位 安全事件應(yīng)急處理預(yù)案 》中對(duì)大部分安全事件的定義、特征以及對(duì)策都有詳細(xì)描述，但是該預(yù)案還需要繼續(xù)豐富和完善。 4 應(yīng)用系統(tǒng) 應(yīng)用系統(tǒng)的角色、權(quán)限分配是否有記錄？ 用戶賬戶的變更、修改、注銷是否有記錄？（查看半年記錄情況） 全局的域控制系統(tǒng)有 用戶賬戶的變更、修改、注銷 的記錄，并且按審批流程填寫了完 整的《信息業(yè)務(wù)申請(qǐng)表》，但其他業(yè)務(wù)系統(tǒng)暫時(shí)沒有實(shí)行。 3 遠(yuǎn)程撥號(hào)訪問服務(wù) 是否有限制遠(yuǎn)程撥號(hào)訪問的管理措施？ 我局 已 取消 遠(yuǎn)程撥號(hào)訪問 服務(wù)。 是否有專門針對(duì)郵件病毒、垃圾郵件的安全措施？ 沒有提供互聯(lián)網(wǎng) 電子郵件服務(wù) 。 核記錄） 外部網(wǎng)站是否有備份，或其他保護(hù)措施？ 統(tǒng)一由省公司提供對(duì)外 WEB 服務(wù)， 有保護(hù)措施 。評(píng)估 的內(nèi)容和結(jié)果詳見下表： . 網(wǎng)絡(luò)服務(wù) 檢查項(xiàng)目 檢查內(nèi)容 檢查說明及存在問題 1 WWW 服務(wù) WWW服務(wù)用戶賬戶、口令是否健壯？（查看登錄） 統(tǒng)一由省公司提供對(duì)外 WEB 服務(wù)。 單位 業(yè)務(wù)應(yīng)用軟件的評(píng)估主要考慮其現(xiàn)有的安全功能方面內(nèi)容，比如身份認(rèn)證、訪問控制、安全審計(jì)、備份 與應(yīng)急恢復(fù)等。 . 應(yīng)用安全 單位 的應(yīng)用層面包括常見應(yīng)用軟件和業(yè)務(wù)應(yīng)用軟件兩大類。 根據(jù) 集團(tuán) 和省公司的要求，在本次自評(píng)估工作中我們嚴(yán)格根據(jù) 《 省公司 公司信息安全檢查工作方案 》 要求的進(jìn)行系統(tǒng)安全的自評(píng)估。而終端設(shè)備受系統(tǒng)升級(jí)和管理等問題，導(dǎo)致還是 存在 著非常 多的 高風(fēng)險(xiǎn) 漏洞 。因此，整個(gè)局域網(wǎng)范圍內(nèi)的主機(jī)和終端均不存在太多嚴(yán)重的高風(fēng)險(xiǎn)漏洞。 供電信〔 2021〕 20 號(hào) 《關(guān)于印發(fā)《 省公司 公司 單位 辦公用便攜式計(jì)算機(jī)及存儲(chǔ)介質(zhì)安全管理規(guī)定（試行）》的通知》 U盤、移動(dòng)硬盤等存儲(chǔ)介質(zhì)是否有資產(chǎn)記錄和責(zé)任人 沒有詳細(xì)的領(lǐng)用記錄和責(zé)任人記錄； 磁盤、光盤等存儲(chǔ)介質(zhì)是否有專人保管？ 有配備專人保管 筆記本 使用是否有明確的管理制度？ 供電信〔 2021〕 20 號(hào) 《關(guān)于印發(fā)《 省公司 公司 單位 辦公用便攜式計(jì)算機(jī)及存儲(chǔ)介質(zhì)安全管理規(guī)定（試行）》的通知》 . 網(wǎng)絡(luò)安全 根據(jù) 集團(tuán) 和省公司的要求，在本次自評(píng)估工作中我們嚴(yán)格根據(jù) 《 省公司 公司信息安全檢查工作方案 》 要求的進(jìn)行網(wǎng)絡(luò)安全的自評(píng)估。 根據(jù) 集團(tuán) 和省公司的要求，在本次自評(píng)估工作中我們嚴(yán)格根據(jù) 《 省公司 公司信息安全檢查工作方案 》 要求的進(jìn)行物理安全 的自評(píng)估。 由 于 單位 網(wǎng)絡(luò)系統(tǒng)管理人員 人員職責(zé)明確 ，平時(shí)進(jìn)出機(jī)房?jī)H限于 管理員，因此 機(jī)房物理安全 的某些人員控制 方面 還 比較不錯(cuò)， 現(xiàn)有的一些管理措施包括 機(jī)房有嚴(yán)格進(jìn)出 控制 、 重大變更配置均有記錄、 機(jī)房有 UPS 電源、有效的防火、防水、 防雷、降溫等措施。 半年內(nèi) 系統(tǒng) 用戶身份發(fā)生變化后是否及時(shí)對(duì)其賬戶進(jìn)行了變更或注銷？（查看系統(tǒng) 用戶身份發(fā)生變化后 有 及時(shí)對(duì)其賬戶進(jìn)行變更或注銷 ， 但沒有做記錄。 普通用戶賬戶密碼、口令長(zhǎng)度要求是否大于 6字符？管理員賬戶密碼、口令長(zhǎng)度是否大于 8 字符？ 在《 單位 帳號(hào)口令管理制度》中作了嚴(yán)格規(guī)定。 平時(shí) 沒有值班人員，關(guān)鍵時(shí)候或節(jié)假日有值班人員。 是否對(duì)值班人員進(jìn)行了安排？近 3 個(gè)月值班 針對(duì)日常、節(jié)假日、突發(fā)情況等類型，都對(duì)值班人員進(jìn)行了安排。 是否建立了統(tǒng)計(jì)匯報(bào)制度 每月底統(tǒng)計(jì)匯總?cè)貐^(qū)信息系統(tǒng)運(yùn)行月報(bào)，上報(bào)給局生產(chǎn)例會(huì)。 是否建立了缺陷管理制度 有 對(duì)網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)系統(tǒng)、服務(wù)器進(jìn)行定期巡 檢 ， 發(fā)現(xiàn)缺陷并進(jìn)行整改，有 3 個(gè)月內(nèi)的記錄 。有 近 3 個(gè)月的機(jī)房進(jìn)出情況記錄 。 重要操作是否實(shí)行工作票制度？ 供電信〔 2021〕 21 號(hào)《關(guān)于修定相關(guān)信息系統(tǒng)管 理制度的通知》 之《 省公司 單位 信息網(wǎng)絡(luò)入網(wǎng)工作票》文件規(guī)定了 重要操作實(shí)行工作票制度 。 病毒掃描策略是否規(guī)定了 1周內(nèi)至少進(jìn)行一次掃描？ 在 防 病毒管理平臺(tái)上已經(jīng)配置了每周的病毒掃描策略。 而且 在病毒管理平臺(tái)上已經(jīng)配置了定期升級(jí)的安全策略。 3 病毒管理 是否制定了計(jì)算機(jī)病毒防治管理制度 已 制定 《 單位 計(jì)算機(jī)病毒防范管理制度 》 。 《 單位 信息部崗位職責(zé) 》 有明確界定 。 是否有專職 系統(tǒng)管理 人員 配備了 1 名 專職 系統(tǒng)管理 員 。評(píng)估的內(nèi)容和結(jié)果詳見下表： 檢查項(xiàng)目 檢查內(nèi)容 檢查說明及存在問題 1 組織機(jī)構(gòu) 是否成立了信息安全領(lǐng)導(dǎo)機(jī)構(gòu)、工作機(jī)構(gòu)？ 成立了 信息化工作領(lǐng)導(dǎo)小組 （ 供電信［ 2021］ 4 號(hào)《關(guān)于成立 **集團(tuán) 供電分公司信息化工作領(lǐng)導(dǎo)小組的通知》 ）， 而