【正文】 O13335 是信息安全管理方面的規(guī)范，這個標(biāo)準(zhǔn)的主要目的就是要給出如何有效地實施 IT 安全管理的建議和指南。 7. 其他相關(guān)標(biāo)準(zhǔn) 在具體的安全風(fēng)險評估操作及安全體系建設(shè)方面， 還將參考一些國際和國內(nèi)的技術(shù)標(biāo)準(zhǔn)，如《 AS/NZS 4360: 1999 風(fēng)險管理標(biāo)準(zhǔn)》、 GAO/AIMD0033《信息安全風(fēng)險評估》、加拿大《威脅和風(fēng)險評估工作指南》 、 美國信息安全保障框架 IATF 等，以此更加規(guī)范安全評估及體系建設(shè)的具體技術(shù)細(xì)節(jié)。 . 物理 層 自 評估 物理 層 自 評估主要是通過 局信息網(wǎng) 機(jī)房內(nèi)部安全防護(hù) 、機(jī)房供 電 以及 環(huán)境防護(hù) 的安全性進(jìn)行評估。 . 系統(tǒng) 層自 評估 系統(tǒng)層 自 評估主要是通過 手動 檢查 、安全技術(shù)審計 等方式對 局信息網(wǎng)中的小型機(jī)以及 Windows PC 服務(wù)器 等應(yīng)用服務(wù)器的 操作系統(tǒng)進(jìn)行安全性 自 評估工作 。 . 管理層 自 評估 管理層 自 評估主要是通過管理 體系 審核、管理問卷調(diào)查 等方式對業(yè)務(wù)系統(tǒng) 信息 安全 管理的 建設(shè) 和執(zhí)行情況進(jìn)行評估 ，并 分析當(dāng)前現(xiàn)狀和 《 省公司 公司信息安全檢查工作方案 》 、 ISO17799 等國家及行業(yè)安全目標(biāo)之間的差距 。 . 安全評估方式 . 管理 體系 審 計 通過對 局 現(xiàn)有 的 安全管理體系進(jìn)行審核，了解現(xiàn)有管理 體系 與 ISO27001《 **省 **集團(tuán) 有限公司計算機(jī)信息系統(tǒng)安全策略規(guī)劃書 》 、 《 省公司 公司 信息安全檢查工作方案 》 等相關(guān)國家和行業(yè) 標(biāo)準(zhǔn)的符合情況。檢查內(nèi)容主要包括： ? 分析當(dāng)前 頒布的所有的管理體系 文檔的內(nèi)容是否全面； ? 檢查當(dāng)前頒布的安全體系 是否符合標(biāo)準(zhǔn)； ? 檢查當(dāng)前頒布的各類 體系 文檔的格式是否合理； ? 檢查當(dāng)前頒布的安全體系 是否在持續(xù)改進(jìn)。不同的網(wǎng)絡(luò)需要不同的策略，它必須能回答整個網(wǎng)絡(luò)中與安全相關(guān)的所有問題，例如，如何 實現(xiàn)防病毒管理 ？如何控制遠(yuǎn)程用戶訪問的安全性等等。策略一旦制訂，應(yīng)當(dāng)作為整個網(wǎng)絡(luò)安全行為的準(zhǔn)則。 ? 安全策略是否 符合 《 省公司 公司信息安全檢查工作方案 》 的要求 . 網(wǎng)絡(luò)架構(gòu)分析 網(wǎng)絡(luò)架構(gòu)分析是通過對 局管理信息網(wǎng) 內(nèi)信息系統(tǒng)的網(wǎng)絡(luò)拓?fù)浼熬W(wǎng)絡(luò)層面細(xì)節(jié)架構(gòu)的評估，主要從以下幾個方面進(jìn)行分析： ? 網(wǎng)絡(luò)建設(shè)的規(guī)范性：網(wǎng)絡(luò)安全規(guī)劃、設(shè)備命名規(guī)范性、網(wǎng)絡(luò)架構(gòu)安全性； ? 網(wǎng)絡(luò)的可靠性：網(wǎng)絡(luò)設(shè)備和鏈路冗余、設(shè)備選型及可擴(kuò)展性； ? 網(wǎng)絡(luò)邊界安全：網(wǎng)絡(luò)設(shè)備的 ACL、防火墻、隔離網(wǎng)閘、物理隔離、 VLAN（二層 ACL）等； ? 網(wǎng)絡(luò)協(xié)議分析：路由、交換、組播 、 IGMP、 CGMP 等協(xié)議； ? 網(wǎng)絡(luò)通信 安全：通信監(jiān)控、通信加密、 VPN 分析等； ? 設(shè)備自身安全： SNMP、口令、設(shè)備版本、系統(tǒng)漏洞、服務(wù)、端口等； ? 網(wǎng)絡(luò)安全管理：網(wǎng)管系統(tǒng)、客戶端遠(yuǎn)程登陸協(xié)議、日志審計、設(shè)備身份驗證等。在本次手動檢查主要以下面的 物理、 網(wǎng)絡(luò)、系統(tǒng) 以及應(yīng)用四 個層次進(jìn)行自評估工作。 3．系統(tǒng)層安全：該層的安全問題來自網(wǎng)絡(luò)運(yùn)行的操作系統(tǒng)： UNIX 系列、Windows 系列以及專用操作系統(tǒng)等。 4．應(yīng)用層安全：該層的安全考慮網(wǎng)絡(luò)對用戶提供服務(wù)所采用的應(yīng)用軟件和數(shù)據(jù)的安全性，包括：數(shù)據(jù)庫軟件、 OAK 系統(tǒng)、 營銷 系統(tǒng)、交換與路由系統(tǒng)、防火墻 、 業(yè)務(wù)應(yīng)用軟件以及其它網(wǎng)絡(luò)服務(wù)系統(tǒng)等。安全技術(shù) 體 系的審計包括現(xiàn)有的 物理安全、 網(wǎng)絡(luò) 安全、 系統(tǒng) 安全以及 應(yīng)用安全等 。在一個全面的風(fēng)險評估中，風(fēng)險的所有重要因素都緊緊圍繞著資產(chǎn) 為中心，威脅、脆弱性以及風(fēng)險都是針對資產(chǎn)而客觀存在的。這些安全事件一旦發(fā)生，將對資產(chǎn)甚至是整個系統(tǒng)都將造成一定的影響。 . 網(wǎng)絡(luò) 結(jié)構(gòu) 圖 1 單位 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖 單位 目前是各地分支機(jī)構(gòu)的用戶通過 100M 的 ATM 網(wǎng)絡(luò)與核心交換機(jī)相連，通信中心用戶、物流中心用戶、配電用戶、輸變電用戶以及公司樓層用戶則通過局域網(wǎng)交換機(jī)與核心交換機(jī)相連，服務(wù)器群被分配 在同一個 VLAN 中。目前該系統(tǒng)已經(jīng)覆蓋了本部及 單位 。 ? 配網(wǎng) GIS 系統(tǒng) 配網(wǎng) GIS 系統(tǒng)，主要實現(xiàn)圖數(shù)建模、設(shè)備臺帳、運(yùn)行管理、電網(wǎng)分析等。 . 資產(chǎn)清單 4. 安全威脅現(xiàn)狀與分析 . 概述 威脅是指可能對資產(chǎn)或組織造成損害事故的潛在原因。威脅可能源于對系統(tǒng)直接或間接的攻擊，例如：信息泄露、篡改、刪除等，破壞了信息的機(jī)密性、完整性或可用性。一般來說，威脅總是要利用系統(tǒng)、應(yīng)用或服務(wù)的弱點才可能成功地對資產(chǎn)造成傷害。 . 安全威脅分析 根據(jù) 局 的具體系統(tǒng)情況，結(jié)合歷年來在信息安全方面發(fā)生過的事件記錄及對系統(tǒng)管理員關(guān)于威脅發(fā)生可能性和發(fā)展趨勢的 交流 ， 局信息網(wǎng) 主要面臨 著如下 15 種安全威脅。下面分別對這些威脅及其可能發(fā)生的各種情形進(jìn)行簡單描述： . 安全 事件 列表 下面的表格是 局 近半年內(nèi)發(fā)生的較大的、或者發(fā)生次數(shù)較多的信息安全事件形成 的安全事件列表： 編號 安全事件 事件情況簡單說明（） 發(fā)生日期 后果 處理措施 1 網(wǎng)絡(luò)故障 電 信光纜中 租用電信通道的 通過協(xié)調(diào)電信公司威脅主體 威脅 簡稱 威脅描述 系統(tǒng)合法用戶 （包括系統(tǒng)管理員和其他授權(quán)用戶） 操作錯誤 合法用戶工作失誤 或疏忽的可能性 濫用授權(quán) 合法用戶利用自己的權(quán)限故意或非故意破壞系統(tǒng)的可能性 行為 抵賴 合法用戶對自己操作行為否認(rèn)的可能性 系統(tǒng)非法用戶 （包括權(quán)限較低用戶和外部攻擊者） 身份假冒 非法用戶冒充合法用戶進(jìn)行操作的可能性 密碼分析 非法用戶對系統(tǒng)密碼分析的可能性 利用 漏洞 非法用戶利用系統(tǒng)漏洞侵入系統(tǒng)的可能性 拒絕服務(wù) 非法用戶利用拒絕服務(wù)手段攻擊系統(tǒng)的可能性 惡意代碼 病毒、特洛伊木馬、蠕蟲、邏輯炸彈等感染的可能性 竊聽數(shù)據(jù) 非法用戶通過竊聽等手段盜取重要數(shù)據(jù)的可能性 物理 破壞 非法用戶利用各種手段對資產(chǎn)物理破壞的可能性 社會 工程 非法用戶利用社交等手段獲取重要信息的可能性 系統(tǒng)組件 意外 故障 系統(tǒng)的 硬件、軟件 發(fā)生意外故障的可能性 通信中斷 數(shù)據(jù)通信傳輸過程中發(fā)生意外中斷的可能性 物理環(huán)境 電源中斷 電源發(fā)生中斷的可能性 災(zāi)難 火災(zāi)、水災(zāi)、鼠害、地震等發(fā)生的可能性 斷，并時斷時續(xù)。 得以修復(fù)。 用電營銷客戶端要轉(zhuǎn)登陸到 4 號服務(wù)器處理業(yè)務(wù)，不影響正常工作。處理后系統(tǒng)恢復(fù)正常使用。這些表現(xiàn)出來的各種安全薄弱環(huán)節(jié)自身并不會造成什么危害，它們只有 在被各種安全威脅利用 后才可能造成相應(yīng)的危害。需要注意的是不正確的、起不到應(yīng)有作用的或沒有正確實施的安全保護(hù)措施本身就可能是一個安全薄弱環(huán)節(jié)。 系統(tǒng)的脆弱性狀況是 單位 整體信息系統(tǒng)基本安全狀況的直接反應(yīng)， 也是安全現(xiàn)狀分析的重要 數(shù)據(jù)來源。目前 局初步建立 并推行 以 ISO 27001 以及 ISO 17799 為基礎(chǔ)的信息安全管理體系， 以實現(xiàn)對 信息系統(tǒng)安全工作組織結(jié)構(gòu)和崗位職責(zé)的劃分，確定安全管理制度的分類和內(nèi)容形式，形成以策略為指導(dǎo)、以安全制度為形式、按照對各種角色進(jìn)行安全管理的安全體系架構(gòu) 。 根據(jù) 集團(tuán) 和省公司的要求，在本次自評估工作中我們嚴(yán)格根據(jù) 《 省公司 公司信息安全檢查工作方案 》 要求的進(jìn)行 管理安全的自 評估。 是否有專職應(yīng)用 系統(tǒng)管理人員 由于信息部崗位配置不足，存在兼職的應(yīng)用系統(tǒng)管理 人員。 各專責(zé)的工作職責(zé)與工作范圍是否有制度明確進(jìn)行界定 。 是否實行主、副崗備用制度 由于信息部崗位配置不足，沒有 實行主、副崗備用制度 。 是否制定了定期升級的安全策略 在 《 單位 計算 機(jī)病毒防范管理制度 》 中有具體的 規(guī)定。 是否制定了病毒預(yù)警和報告機(jī)制 病毒報告機(jī)制在 《 單位 安全事件應(yīng)急處理預(yù)案》 中體現(xiàn)。 4 運(yùn)行管理 是否建立 了 信息系統(tǒng)運(yùn)行管理規(guī)程？ 按照省公司頒布的《 管理信息系統(tǒng)建設(shè)與運(yùn)行維護(hù)管理導(dǎo)則 》， 每一個信息系統(tǒng)都制定了運(yùn)行管理規(guī)程 。 機(jī)房出入管理制度是否上墻？近 3個月的機(jī)房進(jìn)出情況是否有記錄？ 供電信〔 2021〕 21 號《關(guān)于修定相關(guān)信息系統(tǒng)管理制度的通知》 》之《 省公司 單位 計算機(jī)專業(yè)機(jī)房工作需知》 文件規(guī)定 機(jī) 房管理制度 必須 上墻 。 運(yùn)行值班制度是否規(guī)定了普通情況下 5＊ 8 小時、關(guān)鍵時期的 7＊ 24 小時的現(xiàn)場值班內(nèi)容 《機(jī)房運(yùn)行值班制度》 有規(guī)定 。 但未 制定 相關(guān)的 缺陷管理制度。 是否建立了運(yùn)維流程，并按照流程進(jìn)行操作 建立了運(yùn)維流程，有 3 個月內(nèi)的運(yùn)維情況記錄。有 近 3 個月詳實值班記錄內(nèi)容 。 5 賬號與口令管理 是否制定了賬號、口令管理制度？ 已 制定 《 單位 帳號口令管理制度 》。 半年內(nèi)賬戶密碼、口令是否進(jìn)行過變更？（查看變更相關(guān)記錄、通知、文件） 除系統(tǒng)管理帳戶外， 大部分普通 賬戶密碼、口令 半年內(nèi)未 進(jìn)行過變更 。 相關(guān)記錄） . 物理安全 本次 自評估主要對 機(jī)房環(huán)境以及設(shè)備維護(hù)方面的 安全性 進(jìn)行調(diào)查 。 而在介質(zhì)管理方面嚴(yán)格遵循 《關(guān)于印發(fā)《 省公司 公司 單位 辦公用便攜式計算機(jī)及存儲介質(zhì)安全管理規(guī)定（試行）》的通知》，但對于 U 盤 和移動硬盤 管理方面缺乏詳細(xì)的領(lǐng)用記錄和責(zé)任人記錄 。評估的內(nèi)容和結(jié)果詳見下表： 檢查項目 檢查內(nèi)容 檢查說明及存在問題 1 機(jī)房內(nèi)部安全防護(hù) 主機(jī)房是否安裝了門禁、監(jiān)控與報警系統(tǒng)