信息安全评估报告(xx公司三级等保)

信息安全评估报告(管理数据信息系统)二零二二年四月目标

xx有限公司安全检查工作的主要目标是通过自评估工作，发现本司信息系统当前面临的主要安全问题，边检查边整改，确保信息网络和重要信息系统的安全。评估依据、范围和方法评估依据根据国家信息安全监管部门要求依据国家信息安全保护条例及相关制度规定，开展xx有限公司安全评估。评估范围本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等，管理信息系统中业务种类相对较多、网络和业务结构较为复杂，在检查工作中强调对基础信息系统和重点业务系统进行安全性评估，具体包括：、数据信息系统，网络，数据备份方案等关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。评估方法采用自评估方法。重要资产识别对本司范围内的重要系统、重要网络设备、重要数据信息及其安全属性受破坏后的影响进行识别，将一旦停止运行影响面大的系统、关键数据信息、承载敏感数据和业务的服务器进行安全评估。安全事件对本司一年内发生的较大的、或者发生次数较多的信息安全事件进行汇总评估。安全检查项目评估数据信息管理组织评估组织机构评估标准数据信息安全组织机构包括领导机构、工作机构。现状描述本司已成立了数据信息安全领导机构，但尚未成立数据信息安全工作机构。评估结论完善数据信息安全组织机构，成立数据信息安全工作机构。岗位职责评估标准岗位要求应包括：专职数据信息管理人员（DBA）、专职应用系统管理人员和专职系统管理人员（运维工程师）；专责的工作职责与工作范围应有制度明确进行界定；岗位实行主、副岗备用制度。现状描述我司没有配置专职网络管理人员、专职应用系统管理人员和专职系统管理人员，都是兼责；专责的工作职责与工作范围没有明确制度进行界定，岗位没有实行主、副岗备用制度。评估结论本司已有专职数据信息管理员（DBA）、应用系统管理员和系统管理员（运维工程师），配置专职管理人员；专责的工作职责与工作范围有明确制度进行界定，并根据实际情况制定管理制度；岗位有实行主、副岗备用制度。数据信息管理评估标准数据信息管理包括数据信息权限管理制度、定期备份的安全策略，数据备份失败预警和报告机制、定时备份策略（每天执行至少一次备份）。现状描述本司使用oss+定时任务进行数据备份策略，没有定期从数据库服务器备份并执行安全监测策略；每月统计、汇总数据备份情况并提交公司技术部；每星期进行三次自动备份。评估结论完善备份策略精确到以天为单位，完善监测预警和报告机制，制定每日进行一次备份。运行管理评估标准运行管理应制定数据信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度并实行工作票制度；制定权限分配管理制度并上报，对生产执行操作做好记录。现状描述没有建立相应数据信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度，没有实行工作票制度；制定权限分配管理制度并上报，对生产执行操作做好记录评估结论结合本局具体情况，制订运行管理应制定数据信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度并实行工作票制度；制定权限分配管理制度并上报，对生产执行操作做好记录账号与口令管理评估标准制订了账号与口令管理制度；普通用户账户密码、口令长度要求符合大于12字符，管理员账户密码、口令长度大于12字符；半年内账户密码、口令应变更并保存变更相关记录、通知、文件，半年内系统用户身份发生变化后应及时对其账户进行变更或注销。现状描述没有制订账号与口令管理制度，普通用户账户密码、口令长度要求大部分都不符合大于12字符；管理员账户密码、口令长度大于12字符，半年内账户密码、口令有过变更，但没有变更相关记录、通知、文件；半年内系统用户身份发生变化后能及时对其账户进行变更或注销。评估结论制订账号与口令管理制度，完善普通用户账户与管理员账户密码、口令长度要求；对账户密码、口令变更作相关记录；及时对系统用户身份发生变化后对其账户进行变更或注销。网络与系统安全评估网络架构评估标准核心云交换设备、核心云路由设备应采取设备冗余或准备备用设备，不允许外联链路绕过防火墙，具有当前准确的网络拓扑结构图。现状描述核心云交换设备未准备备用设备，核心云路由设备未采取设备冗余；没有不经过防火墙的外联链路，有当前网络拓扑结构图。评估结论核心云交换设备、核心云路由设备按要求采取设备冗余或准备备用设备，外联链路必须经过防火墙过滤，完善网络拓扑结构图。数据库分区评估标准生产控制系统和管理数据库系统之间进行分库分表，不同账号访问控制设置合理。现状描述生产控制系统和管理数据库系统之间没有进行分库分表，不同账号访问控制设置混乱。评估结论生产控制系统和管理数据库系统之间进行分库分表，不同账号访问控制设置合理。数据库表结构评估标准数据库表结构有备份，关键库做完备。现状描述数据库表结构没有备份，部分库未做完备。评估结论数据库表结构有备份，关键库做完备。访问控制管理评估标准有vpn接入，所有地址均需要通过接入vpn才可访问，vpn密钥验证有备份。现状描述没有对访问控制管理系统，使用简单密码验证访问，密码过于单一。评估结论有vpn接入，所有地址均需要通过接入vpn才可访问，vpn密钥验证有备份。补丁管理评估标准有补丁管理的手段或补丁管理制度，linux，Windows系统补丁安装齐全，有补丁安装的测试记录。现状描述通过手工补丁管理手段，没有制订相应管理制度；linux，windows补丁安装基本齐全，没有补丁安装的测试记录。评估结论完善补丁管理的手段，制订相应管理制度；补缺linux，Windows系统主机补丁安装，补丁安装前进行测试记录。系统安全配置评估标准对操作系统的安全配置进行严格的设置，删除系统不必要的服务、协议。现状描述没有对操作系统的安全配置进行严格的设置，部分系统删除不必要的服务、协议。评估结论对操作系统的安全配置进行严格的设置，删除系统不必要的服务、协议。应用主机评估标准重要的应用主机采用集群化双机工作，并进行集群化故障恢复的测试。现状描述重要的应用主机采用了单点，未进行过热切换或者故障恢复的测试。评估结论重要的应用主机采用集群化双机工作，并进行集群化故障恢复的测试。网络服务与应用系统评估WWW服务器评估标准WWW服务用户账户、口令应健壮（查看登录），信息发布进行了分级审核，外部网站有备份或其他保护措施。现状描述没有WWW服务。评估结论考虑按上述标准建设WWW服务并设置web应用防火墙。安全技术管理与设备运行状况评估防火墙评估标准网络中的防火墙位置部署合理，防火墙规则配置符合安全要求，防火墙规则配置的建立、更改有规范申请、审核、审批流程，对防火墙日志进行存储、备份。现状描述网络中的防火墙位置部署合理，防火墙规则配置符合安全要求，防火墙规则配置没有建立、更改有规范申请、审核、审批流程，对防火墙日志没有进行存储、备份。评估结论网络中的防火墙位置部署合理，防火墙规则配置符合安全要求，防火墙规则配置的建立、更改要有规范申请、审核、审批流程，对防火墙日志应进行存储、备份。防病毒系统评估标准防病毒系统覆盖所有服务器及客户端（覆盖率至少应大于95％），对服务器的防病毒客户端管理策略配置合理（自动升级病毒代码、每周扫描），有专责人员负责维护防病毒系统并及时发布病毒通告。现状描述防病毒系统覆盖所有客户端（覆盖率大于95％），服务器端除了OA服务器有防病毒系统外其余没有；有兼责人员负责维护防病毒系统，但基本没有发布病毒通告。评估结论防病毒系统覆盖所有客户端（覆盖率大于95％），服务器端除了OA服务器有防病毒系统外其余没有，考虑以后实施；考虑配置专责人员负责维护防病毒系统，并及时发布病毒通告。入侵检测系统评估标准入侵检测系统部署合理、覆盖主要网络边界与主要服务器，定期对审计信息进行分析，定期更新入侵检测的规则与升级。现状描述没有部署入侵检测系统。评估结论按上述部署、配置入侵检测系统。安全技术管理评估标准部署身份认证系统、安全管理平台（jumpserver堡垒机，监控告警系统），采用漏洞扫描系统，重要系统一年内进行信息安全风险评估，部署针对安全设备的日志服务器。现状描述没有部署身份认证系统、安全管理平台，没有漏洞扫描系统，重要系统没有进行信息安全风险评估，没有部署针对安全设备的日志服务器。评估结论按标准部署身份认证系统、安全管理平台（jumpserver堡垒机，监控告警系统）、针对安全设备的日志服务器，采用漏洞扫描系统，重要系统一年进行一次信息安全风险评估。存储备份系统评估备份策略评估标准建立明确、合理的备份策略，严格按照备份策略对系统数据进行备份（查看备份策略文件、查看备份记录或查看备份工具配置）。现状描述建立了明确、合理的备份策略并严格按照备份策略对系统数据进行备份。评估结论建立明确、合理的备份策略，严格按照备份策略对系统数据进行备份。恢复预案评估标准建立明确的恢复预案（查看文件），定期进行恢复演练。现状描述没有建立明确的恢复预案，也没有定期进行恢复演练。评估结论建立明确的恢复预案并定期进行恢复演练。备份介质管理评估标准建立介质管理制度和废弃介质处理制度，储存介质存放在安全环境，有严格的介质存取控制，有专人对存储介质进行定期检查。现状描述没有建立介质的管理制度和废弃介质的处理制度，储存介质存放在安全环境，没有严格的介质存取控制，没有对存储介质进行定期检查。评估结论建立介质管理制度和废弃介质处理制度，储存介质存放在安全环境，严格介质存取控制，对存储介质进行定期检查。介质及物理环境安全评估云平台安全防护评估标准云平台账号控制严格、监控与实时监测报警系统。现状描述云平台账号较多、监控系统，报警系统。评估结论云平台账号控制严格、监控与实时监测报警系统。应急处置评估应急预案评估标准重要系统有完善的、可操作的应急预案，对应急预案进行定期演练。现状描述重要系统没有完善的、可操作的应急预案。评估结论制订重要系统完善的、可操作的应急预案并对应急预案进行定期演练。通报机制评估标准按照公司的要求建立及时的信息安全信息通报机制。现状描述没有按照公司的要求建立及时的信息安全信息通报机制。评估结论按照公司的要求建立及