网络信息安全自评估报告

网络信息安全自评估报告目标公司网络信息安全检查工作的主要目标是通过自评估工作，发现当前面临的主要安全问题，边检查边整改，确保信息网络和重要信息系统的安全。评估依据、范围和方法2.1评估依据根据GB/T18336-2001《信息技术安全技术信息技术安全性评估准则》、ISO17799:2000《基于风险管理的信息安全管理体系》及GA/T378~391-2002计算机信息系统安全等级保护技术要求系列标准开展公司的网络信息安全评估。2.2评估范围具体包括：基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。2.3评估方法采用自评估方式重要资产识别资产定义汇总资产资产的作用和重要性信息财务信息财务信息是公司的核心数据，目前公司的使用的金蝶财务管理系统。原始资料及相关档案通常指第一手资料，如硬件、软件设计文档、数据库设计文档、软件安装介质、使用手册、配置手册、管理制度等等，有些内容丢失会造成泄密及无法恢复的损失。应用软件数据库管理系统数据库管理系统主要采用的是SQLSERVER，部分应用系统采用DB2和ORACLE数据库，来保障系统的正常运行，他们关系到数据的完整性和可用性。办公软件公司采用的钉钉智能移动办公平台，提高工作效率及员工收发信息的保密度。邮件采用腾讯企业邮箱管理系统，保障邮件数据的完整和安全。服务器公司采用的阿里云云服务器为公司提供各种查询、计划等数据服务，提升了运维效率及数据安全。防火墙软件公司采用的深信服的防火墙，实现全程的网络防护，避免受到入侵和攻击。安全检查项目评估4.1岗位职责安全管理人员配置及责任划分不合理，工作职责与工作范围没有明确制度进行界定，工作职责的划分没有体现“分权制衡”的原则，应根据实际情况制定管理制度，配置专责的安全管理人员，明确职责划分。4.2管理制度已经制定了一些安全管理制度，但缺少操作安全管理制度、职责权限划分类管理制度。4.3账号与口令管理制定了账号口令相关的管理制度，普通用户账户密码、口令长度要求符合大于6字符，管理员账户密码、口令长度大于8字符；半年内账户密码、口令变更进行记录并保存，系统用户身份发生变化后及时对其账户进行变更或注销。4.4网络架构局域网核心交换设备、城域网核心路由设备按要求准备备用设备，因特网接入通过防火墙，拥有完善的网络拓扑机构图。4.4IP管理有IP地址管理系统，IP地址管理有规划方案和分配策略，IP地址分配有记录。4.5系统安全配置对操作系统的安全配置进行了严格的设置，删除系统不必要的服务、协议。4.6电子邮件对近三个月的邮件数据进行了备份，有专门针对邮件病毒、垃圾邮件的安全措施，邮件系统管理员账户口令安全强度高。4.7应用系统应用系统的角色、权限分配有记录；用户账户的变更、修改、注销有记录；系统关键功能数据进行长期储存；管理员账户口令定期进行更改。4.8防火墙网络中防火墙位置部署合理，防火墙规则配置符合安全要求，配置的建立、更改有规范的审批流程，对防火墙的日志进行了存储、备份。4.9病毒防治防病毒系统覆盖所有客户端，防病毒客户端管理策略配置合理（自动升级病毒代码、每周扫描），有专责人员负责维护防病毒系统并及时发布病毒通告。4.10存储备份建立了明确、合理的备份策略并严格按照备份策略