1、 1 xxxx 有限公司 无线网络 安全 风险 评估报告 xxxx 有限公司 二零 一八年八 月 2 1.目标 xxxx 有限公司无线网络 安全检查工作的主要目标是通过自评估工作,发现 本局 信息系统当前面临的主要安全问题,边检查边整改,确保信息网络和重要信息系统的安全。 一 .评估依据、范围和方法 1.1 评估依据 根据 国务院信息化工作办公室关于对国家基础信息网络和重要信息系统开展安全检查的通知(信安通 2006 15 号) 、国家电力监管委员会关于对电力行业有关单位重要信息系统开展安全检查的通知(办信息 200648 号)以及 集团 公司 和 省公司 公司的文件、检查方案要求 , 开展
2、单位 的信息 安全 评估。 1.2 评估范围 本次 无线网络 安全 评估 工作重点 是重要的 业务管理信息系统 和网络系统等, 管理信息系统中业务种类相对较多、网络和业务结构较为复杂,在检查工作中强调对基础 无线网络 信息系统和重点业务系统进行安全性 评估 ,具体包括:基础网络与服务器、 无线路由器、无线AP系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况 评估 。 3 1.3 评估方法 采用自评估方法。 2.重要资产识别 对本司 范围内的重要系统、重要网络设备、重要服务器及其 安全属性受破坏后的影响进行识别,将一旦停止运行影响面大的系统、关键网络节点设备和安全设备
3、、承载敏感数据和业务的服务器进行登记汇总 。 3.安全事件 对本司 半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录,形成本单位的安全事件列表。 4.无线网络 安全检查项目评估 1.评估标准 无线网络 信息安全 组织机构包括 领导机构 、 工作机构 。 岗位要求应包括:专职 网络管理 人员、专职应用 系统管理 人员和专职 系统管理人员; 专责的工作职责与工作范围 应 有制度明确进行界定 ;岗位 实行主、副岗备用制度 。病毒管理包括 计算机病毒防治管理 制度 、定期升4 级的安全策略、病毒预警和报告机制、 病毒扫描策略 ( 1周内至少进行一次扫描 )。 2.现状描述 本司 已成立了
4、 信息安全领导机构 ,但尚未成立 信息安全 工作机构。 配置专职 网络管理 人员, 专责的工作职责与工作范围有明确制度进行界定 。本司使用 360防病毒软件进行病毒防护,病毒预警是通过第三方和网上提供信息来源,每月统计、汇总病毒感染情况并提交局生技部和省公司生技部;每 周进行 二 次 自动 病毒扫描 ;没有制定 计算机病毒防治管理制度 。 3.评估结论 完善 信息安全 组织机构,成立 信息安全 工作机构。 完善病毒预警和报告机制,制定 计算机 病毒防治管理制度 。 5.无线网络 账号与口令管理 1.评估标准 制订了 账号 与 口令管理制度 ; 普通用户账户密码、口令长度要求符合 大于 6字符
5、, 管理员账户密码、口令长度大于 8字符 ; 半年内账户密码、口令 应 变更 并保存 变更 相关记录、 通知、文件,半年内 系统 用5 户身份发生变化后 应 及时对其账户进行变更或注销 。 2.现状描述 本司以 制订 账号 与 口令管理制度 , 普通用户账户密码、口令长度要求 大部分都 符合 大于 6字符 ; 管理员账户密码、口令长度大于 8字符 ,半年内账户密码、口令 有 过变更 ,但没有 变更相关记录、通知、文件;半年内 系统 用户身份发生变化 后 能 及时对其账户进行变更或注销 。 3.评估结论 制订 账号 与 口令管理制度 ,完善 普通用户账户 与 管理员账户密码、口令长度要求 ;对
6、账户密码、口令变更 作 相关记录; 及时对系统用户身份发生变化后对其账户进行变更或注销 。 6.无线 网络与系统安全评估 1.评估标准 无线 局域网核心交换设备 、城 域网核心路由设备 应 采取设备冗余或准备备用设备, 不允许 外联链路 绕过防火墙,具有 当前 准确的 网络拓扑结构图 。 无线 网络设备配置 有 备份 ,网络关键点设备采用双电源,关闭 网络设备 HTTP、 FTP、 TFTP等服务 , SNMP社区串、本地用户口令强健( 8字符,数字、字母混杂)。 6 2.现状描述 无线 局域网核心交换设备准备了备用设备 ,城 域网核心路由设备采取了设备冗余 ;没 有不经过防火墙的外联链路 ,
7、有 当前网络拓扑结构图 。 网络设备配置 没有进行 备份 ,网络关键点设备是双电源,网络设备 关闭了 HTTP、 FTP、 TFTP等服务 , SNMP社区串、本地用户口令没达到要求。 3.评估结论 无线 局域网核心交换设备 、城 域网核心路由设备 按要求 采取设备冗余或准备备用设备,外联链路 没有绕过防火墙,完善 网络拓扑结构图 。 对 网络设备配置 进行 备份 ,完善 SNMP社区串、本地用户口令强健( 8字符,数字、字母混杂)。 7.ip 管理 与 补丁管理 1.评估标准 有 无线 IP地址管理系统, 无线 IP地址 管理有 规划方案和分配策略 , 无线 IP地址分配 有 记录 。 有
8、补丁管理的手段 或补丁 管理制度 ,7 Windows系统主机补丁安装齐全 , 有补丁安装的测试记录 。 2.现状描述 有 IP地址管理系统,正在进行对 IP地址的规划和分配 , IP地址分配 有 记录 。 通过手工 补丁管理手段, 没有制订相应 管理制度 ; Windows系统主机补丁安装 基本 齐全 ,没 有补丁安装的测试记录 3.评估结论 加快进行对 IP地址的规划 和分配 , IP地址分配 有 记录 。 完善 补丁管理的手段, 制订相应 管理制度 ;补缺 Windows系统主机补丁安装 ,补丁安装 前进行 测试记录 。 8.防火墙 1.评估标准 无线 网络中的防火墙位置部署合理 , 防
9、火墙规则配置符合安全要求 , 防火墙规则配置的建立、更改有规范申请、审核、审批流程 , 对防火墙日志进行存储、备份 。 2.现状描述 无线 网络中的防火墙位置部署合理 , 防火墙规则配置符合安全要8 求 , 防火墙规则配置 没有 建立、更改有规范申请、审核、审批流程 ,对防火墙日志 没有 进行存储、备份 。 3.评估结论 网络中的防火墙位置部署合理 , 防火墙规 则配置符合安全要求 ,防火墙规则配置 的 建立、更改 要 有规范申请、审核、审批流程 , 对防火墙日志 应 进行存储、备份 。 9.自评总结 通过对上述的现状分析进行了自评估,总的来看,有了初步的安全基础设施,在管理方面具备了部分制度和策略,安全防护单一,技术上通过多种手段实现了基本的访问控制,但相应的安全策略、安全管理与技术方面的安全防护需要更新以适应要求。 需要对安全措施和管理制度方面进行改善,通过技术和管理两个方面来确保策略的遵守和实现,最终能够将安全风险控制在适当范围之内,保证和促进业务开展。