第一篇：××單位信息安全整改報告

××單位 信息安全整改報告

(管理信息系統)

××單位 二零一一年九月

概述

根據國務院信息化工作辦公室《關于對國家基礎信息網絡和重要信息系統開展安全檢查的通知》（信安通［2006］15號）、國家電力監管委員會《關于對電力行業有關單位重要信息系統開展安全檢查的通知》（辦信息[2006]48號）以及集團公司和省公司公司的文件要求,進行××單位的信息安全整改工作。目標

根據安全檢查報告中的整改措施，積極實施整改，力爭將檢查中發現的安全隱患快速、高效的解決。

××單位信息安全檢查工作的主要目標是通過自評估工作，發現本局信息系統當前面臨的主要安全問題，邊檢查邊整改，確保本局信息網絡和重要信息系統的安全。

本次安全檢查工作將完成以下任務：

1）完成相關單位典型系統的信息安全風險評估工作。通過檢查掌握當前本局信息系統面臨的主要安全問題，并在對檢查結果進行分析判斷的基礎上提出整改措施；

2）進行本局范圍內信息安全大檢查，對相關單位的基礎網絡和重要信息系統進行安全性自查，并將相關數據進行匯總分析，統計重大和典型信息安全事件，及時發現和查找基礎網絡和重要信息系統存在的安全隱患，邊檢查邊整改，確保本局基礎網絡和重要信息系統安全、可靠運行。安全整改措施

3.1 關于規章制度與組織管理的整改

1、完善信息安全組織機構，成立信息安全工作機構。整改措施：

2、明確專兼職管理人員配置，根據實際情況制定專責的工作職責與工作范圍，崗位設置主、副崗備用制度。

整改措施：

3、完善病毒預警和報告機制，制定計算機病毒防治管理制度。整改措施：

4、制訂信息系統運行管理規程、缺陷管理制度、統計匯報制度、運維流程、運行值班制度，實行工作票制度，記錄機房進出情況。

整改措施：

5、制訂賬號與口令管理制度，完善普通用戶賬戶與管理員賬戶密碼、口令長度要求；對賬戶密碼、口令變更作相關記錄；及時對系統用戶身份發生變化后對其賬戶進行變更或注銷。

整改措施：

3.2 關于網絡與系統安全的整改

1、生產控制系統和管理信息系統之間進行分區。整改措施：

2、建立IP地址管理系統，加快進行對IP地址的規劃和分配。整改措施：

3、完善補丁管理手段，制訂相應管理制度；補缺Windows系統主機補丁安裝，補丁安裝前進行測試記錄。

整改措施：

4、對操作系統的安全配置進行嚴格的設置，刪除系統不必要的服務、協議。整改措施：

3.3 關于網絡服務與應用系統的整改

1、按標準建設WWW服務。整改措施：

2、解決OA系統趨勢防病毒軟件系統問題，對郵件系統的維護、檢查審計進行記錄。

整改措施：

3、遠程撥號訪問設置按上述標準執行。整改措施：

4、記錄完善系統的角色、權限分配并記錄；記錄半年內用戶賬戶的變更、修改、注銷；關鍵應用系統的數據功能操作進行審計；制定針對關鍵應用系統的應急預案；關鍵應用系統管理員賬戶、用戶賬戶口令定期進行變更；新系統上線前應嚴格按照相關標準進行安全性測試。

整改措施：

3.4 關于安全技術管理與設備運行狀況的整改

1、防火墻規則配置的建立、更改要有規范申請、審核、審批流程，對防火墻日志應進行存儲、備份。

整改措施：

2、實施服務器端防病毒系統，配置專責人員負責維護防病毒系統并及時發布病毒通告。整改措施：

3、按標準部署、配置入侵檢測系統。整改措施：

4、按標準部署身份認證系統、安全管理平臺、針對安全設備的日志服務器，采用漏洞掃描系統，重要系統將一年進行一次信息安全風險評估。

整改措施：

3.5 關于存儲備份系統的整改

1、完善備份策略，嚴格按照備份策略對系統數據進行備份。整改措施：

2、建立介質管理制度和廢棄介質處理制度，專人對存儲介質進行定期檢查。整改措施：

3.6 關于介質及物理環境安全的整改

1、主機房安裝門禁、監控與報警系統。整改措施：

2、補全機房配線圖，定期對UPS的運行狀況進行檢測和記錄。整改措施：

3、采用氣體防火措施。整改措施：

4、制訂筆記本使用管理制度。整改措施：

3.7 關于應急處置的整改

1、制訂重要系統完善的、可操作的應急預案并對應急預案進行定期演練。整改措施：

2、按照集團公司的要求建立及時的信息安全信息通報機制。整改措施：

3、建立良好的故障通訊聯動機制，進行聯合防護。整改措施： 整改結論

第二篇：××單位信息安全檢查報告

××單位 信息安全檢查報告

(管理信息系統)

××單位 二零一一年九月 概述

根據國務院信息化工作辦公室《關于對國家基礎信息網絡和重要信息系統開展安全檢查的通知》（信安通［2006］15號）、國家電力監管委員會《關于對電力行業有關單位重要信息系統開展安全檢查的通知》（辦信息[2006]48號）以及集團公司和省公司公司的文件、檢查方案要求,進行××單位的信息安全檢查工作。目標

通過進行本局信息安全大檢查，及時發現和查找基礎網絡和重要信息系統存在的安全隱患，邊檢查邊整改，確保基礎網絡和重要信息系統安全、可靠運行,掌握當前信息系統面臨的主要安全問題，并在對檢查結果進行分析判斷的基礎上提出整改措施。檢查內容

3.1 重要資產識別檢查

本局資產的統計資產清單(見附表1)，通過對重要系統、重要網絡設備、重要服務器及其安全屬性受破壞后的影響進行識別，將一旦停止運行影響面大的系統、關鍵網絡節點設備和安全設備、承載敏感數據和業務的服務器進行匯總，構成重要資產清單(見附表2)。

3.2 安全事件檢查

對本局半年內發生的較大的、或者發生次數較多的信息安全事件進行匯總記錄安全事件清單列表(見附表3)。

3.3 安全缺陷檢查

根據下發的安全缺陷檢查列表進行安全檢查，檢查結果見附表4。綜合分析

根據對重要資產、安全事件、安全缺陷檢查情況，對信息安全狀況進行統計分析和判斷，明確各種安全事件產生的原因，提出針對性的整改措施。

4.1 重要資產識別分析

根據重要系統、重要網絡設備、重要服務器及其安全屬性受破壞后的影響進行識別，將一旦停止運行影響面大的系統、關鍵網絡節點設備和安全設備、承載敏感數據和業務的服務器進行登記匯總，構成重要資產有：二臺城域網核心交換機（華為S8512交換機），二臺局域網核心交換機（Cisco 6505交換機），Cisco 2600路由器，Cisco PIX525防火墻，八臺數據庫服務器（OA系統2臺、營銷系統2臺、大客戶系統2臺、客戶服務系統1臺、財務系統1臺）。

4.2 安全事件分析

2006年近半年沒有大的信息安全事件發生，主要是感染病毒，使個人電腦運行速度變慢,影響客戶端正常使用。

從檢查情況來看，計算機病毒是本局目前信息網絡安全面臨的首要威脅。應著重加強以下幾方面工作：

1、加強信息網絡安全教育和培訓，增強用戶安全防范意識。組織信息安全管理員不同層次的安全培訓，開展廣泛的、經常性的信息網絡安全知識和相關法律法規知識的宣傳教育。

2、開展面信息安全預警通報工作。建立信息網絡安全預警和通報平臺，及時向用戶信息安全預警信息。

3、加快推進信息安全等級保護工作，建立健全信息安全防范體系。

4.3 安全缺陷檢查分析

4.3.1 規章制度與組織管理分析

規章制度與組織管理總分100分，自評分為34分，得分率34%。得分主要是組織機構、崗位職責、病毒管理，賬號與口令管理等方面，但都還需完善；運行管理方面沒有制訂信息系統運行管理規程、缺陷管理制度、統計匯報制度、運維流程、值班制度、沒有實行工作票制度，共分50分，檢查得分4分，只占8%。

需要整改有如下幾方面：

1、完善信息安全組織機構，成立信息安全工作機構。

2、明確專兼職管理人員配置，根據實際情況制定專責的工作職責與工作范圍，崗位設置主、副崗備用制度。

3、完善病毒預警和報告機制，制定計算機病毒防治管理制度。

4、制訂信息系統運行管理規程、缺陷管理制度、統計匯報制度、運維流程、運行值班制度，實行工作票制度，記錄機房進出情況。

5、制訂賬號與口令管理制度，完善普通用戶賬戶與管理員賬戶密碼、口令長度要求；對賬戶密碼、口令變更作相關記錄；及時對系統用戶身份發生變化后對其賬戶進行變更或注銷。

4.3.2 關鍵設備和服務采購情況分析

4.3.3 網絡與系統安全分析

網絡與系統安全總分100分，自評分為73分，得分率73%。網絡架構、網絡設備、IP管理、主機備份得分較高；網絡分區、補丁管理、系統安全配置得分低。需要整改有如下幾方面：

1、生產控制系統和管理信息系統之間進行分區。

2、建立IP地址管理系統，加快進行對IP地址的規劃和分配。

3、完善補丁管理手段，制訂相應管理制度；補缺Windows系統主機補丁安裝，補丁安裝前進行測試記錄。

4、對操作系統的安全配置進行嚴格的設置，刪除系統不必要的服務、協議。

4.3.4 網絡服務與應用系統分析

網絡服務與應用系統總分100分，自評分為20分，得分率20%。沒有WWW服務，遠程撥號訪問沒有相應管理措施，OA系統郵件數據進行一星期備份，郵件系統的維護、檢查沒有審計記錄；營銷系統的角色、權限分配有記錄，其余系統沒有；用戶賬戶的變更、修改、注銷沒有記錄；關鍵應用系統的數據功能操作沒有進行審計；沒有針對關鍵應用系統的應急預案；關鍵應用系統管理員賬戶、用戶賬戶口令有定期進行變更；有些新系統上線前沒有進行過安全性測試。需要整改有如下幾方面：

1、按標準建設WWW服務。

2、解決OA系統趨勢防病毒軟件系統問題，對郵件系統的維護、檢查審計進行記錄。

3、遠程撥號訪問設置按上述標準執行。

4、記錄完善系統的角色、權限分配并記錄；記錄半年內用戶賬戶的變更、修改、注銷；關鍵應用系統的數據功能操作進行審計；制定針對關鍵應用系統的應急預案；關鍵應用系統管理員賬戶、用戶賬戶口令定期進行變更；新系統上線前應嚴格按照相關標準進行安全性測試。

4.3.5 安全技術管理與設備運行狀況分析

安全技術管理與設備運行狀況總分90分，自評分為26分，得分率29%。網絡中的防火墻位置部署合理，防火墻規則配置符合安全要求，防火墻規則配置沒有建立、更改有規范申請、審核、審批流程，沒有對防火墻日志沒有進行存儲、備份。防病毒系統覆蓋所有客戶端（覆蓋率大于90％），服務器端除了OA服務器有防病毒系統外其余沒有；有兼責人員負責維護防病毒系統，但基本沒有發布病毒通告。沒有部署身份認證系統、安全管理平臺，沒有漏洞掃描系統。

需要整改有如下幾方面：

1、防火墻規則配置的建立、更改要有規范申請、審核、審批流程，對防火墻日志應進行存儲、備份。

2、實施服務器端防病毒系統，配置專責人員負責維護防病毒系統并及時發布病毒通告。

3、按標準部署、配置入侵檢測系統。

4、按標準部署身份認證系統、安全管理平臺、針對安全設備的日志服務器，采用漏洞掃描系統，重要系統將一年進行一次信息安全風險評估。

4.3.6 存儲備份系統分析

存儲備份系統總分50分，自評分為16分，得分率32%。有備份策略并嚴格按照備份策略對系統數據進行備份，沒有建立明確的恢復預案，也沒有定期進行恢復演練，沒有建立介質的管理制度和廢棄介質的處理制度，儲存介質存放在安全環境，沒有嚴格的介質存取控制，沒有對存儲介質進行定期檢查。

需要整改有如下幾方面：

1、完善備份策略，嚴格按照備份策略對系統數據進行備份。

2、建立介質管理制度和廢棄介質處理制度，專人對存儲介質進行定期檢查。

4.3.7 介質及物理環境安全分析

介質及物理環境安全總分70分，自評分為37分，得分率53%。主機房沒有安裝門禁、監控系統，有消防報警系統。沒有機房配線圖，機房供電系統將動力、照明用電與計算機系統供電線路是分開的，機房沒有配備應急照明裝置，有定期對UPS的運行狀況進行檢測但沒有檢測記錄，有手提干粉滅火器，沒有采用氣體防火措施，空調系統定期進行檢查，機房溫度控制在攝氏26度以下，有相應的介質管理規定，U盤、移動硬盤等存儲介質有資產記錄和責任人，磁盤、光盤等存儲介質有專人保管，筆記本使用沒有明確的管理制度。

需要整改有如下幾方面：

1、主機房安裝門禁、監控與報警系統。

2、補全機房配線圖，定期對UPS的運行狀況進行檢測和記錄。

3、采用氣體防火措施。

4、制訂筆記本使用管理制度。

4.3.8 應急處置分析

應急處置分30分，自評分為5分，得分率17%。重要系統沒有完善的、可操作的應急預案，按照集團公司的要求建立及時的信息安全信息通報機制，沒有建立故障通訊聯動機制，沒有建立信息網故障搶修機制。

需要整改有如下幾方面：

1、制訂重要系統完善的、可操作的應急預案并對應急預案進行定期演練。

2、按照集團公司的要求建立及時的信息安全信息通報機制。

3、建立良好的故障通訊聯動機制，進行聯合防護。檢查結論

根據檢查結果來看，安全缺陷檢查列表檢查總分540分，自評分為221分，得分率39%。安全管理方面基礎低，需要加強各種信息制度建立，安全組織結構和責任分工要進一步明確，安全策略進一步細化。在安全技術方面來看，加強必要的安全技術建設如補丁管理、入侵檢測等的實施，在安全體系建設過程中，需要綜合考慮安全要素，既要建立起指導安全工作的安全管理模型，又要建立起完善的技術體系架構，同時為了確保安全運營，還需要建立起信息安全運行維護體系。

第三篇：信息安全檢查整改報告

XX市工商行政管理局關于2012年

信息安全檢查整改報告

市公安局：

４月１８日貴單位對我局進行信息安全等級保護工作進行監督檢查后，按照《中華人民共和國計算機信息系統安全保護條例》，我局對照相關文件要求，針對本單位安全檢查工作情況認真組織開展了自查整改。現將自查整改情況報告如下：

一、信息安全狀況總體評價

我局在督察檢查結果的基礎上，認真進行整改，信息安全工作與上一相比信息安全工作取得了新的進展，一是在制度上更加健全；二是在人員落實上更加明確；三是在保密意識有所提高；四是未出現任何信息安全事故。

二、2012年信息安全主要工作情況

（一）信息安全組織管理

成立了信息系統安全工作領導小組。明確了信息系統安全工作的責任領導和具體管護人員。按照信息安全工作要求上制定了信息安全工作計劃或工作方案。建立了信息安全責任制。按責任規定:信息安全工作領導小組對信息安全負首責，主管領導負總責，具體管理人負主責，并在單位組織開展信息安全教育培訓。

（二）日常信息安全管理 嚴格落實崗位責任制和保密責任制，建立資產管理制度并認真落實，資產臺賬清晰、賬物相符；安裝必要的辦公軟件和應用軟件，不安裝與工作無關的軟件；定期維護計算機。辦公用計算機、公文處理軟件、信息安全設備、服務器、網絡設備等使用產品，特別是本新采購辦公用計算機、公文處理軟件、信息安全設備滿足安全可控要求。重點檢查信息安全防護設施建設、運行、維護、檢查及管理等費用納入部門預算。

（三）信息安全防護管理 1．網絡邊界防護管理。

關閉不必要的應用、服務、端口；定期更新賬戶口令；定期清理病毒木馬，使用技術工具定期進行漏洞掃描、病毒木馬檢測。有效配置設備安全策略；使用安全設備防病毒、防火墻、入侵檢測。2．門戶網站安全管理。

管理系統管理賬戶和口令，清理無關賬戶，防止出現空口令、弱口令和默認口令；關閉不必要的端口，停止不必要的服務和應用，刪除不必要的鏈接和插件；刪除臨時文件，防止敏感信息泄露；建立信息發布審核制度；使用技術工具定期進行漏洞掃描、木馬檢測。3.電子郵箱安全管理。

不允許非本部門人員特別是無關人員使用郵箱；使用技術措施控制和管理口令，口令強度符合要求、定期更新。4．移動存儲設備安全管理。

采取集中安全管理措施；配備必要的電子消磁或銷毀設備；非法使用非涉密信息系統和涉密信息系統。

（四）信息安全應急管理

制定信息安全應急預案并進行演練培訓。明確了應急技術支援隊伍。重要數據和重要信息系統備份。上及本未發生信息安全事件。

（五）信息安全教育培訓

開展信息安全和保密形勢教育及警示教育，領導干部和機關工作人員積極參加信息安全基本技能培訓。

三、自查中發現的不足和整改意見

根據監督檢查中的具體要求，在自查整改過程中發現了一些不足，同時結合我局實際，今后要在以下幾個方面進行整改。

（一）培訓教育時間不夠。

因單位業務工作量大，專業性強，需要學習的內容廣泛，在信息安全培訓教育上安排的時間仍顯不足，一些專業技術問題還不夠清楚。下一步，將更加有效地安排工作學習時間。

（二）信息系統安全工作的水平還有待提高。

對信息安全的管護水平還不夠高，提高安全工作的現代化水平，有利于我們進一步加強對計算機信息系統安全的防范和保密工作。設備維護、更新及時。要加大對線路、系統等的及時維護和保養，同時，針對信息技術的飛快發展的特點，要加大更新力度。

（三）經費不足。

因工作經費緊張，投入不足，下一步將合理安排，加大工作經費投入。

四、整改后取得的成效

我局領導高度重視，把信息安全檢查工作列入了重要議事日程，并及時成立了信息安全工作領導小組，明確了檢查責任人，組織制定了檢查工作計劃和檢查方案，對檢查工作進行了安排部署，確保了檢查工作的順利進行。針對自查和抽查中發現的問題進行了整改，我們安排了更多的有效時間去學習相關的信息安全知識，加強信息安全教育培訓，以增強信息技術人員安全防范意識和應對能力；同時，加大對線路、系統等的及時維護和保養，密切監測，隨時隨地解決可能發生的信息系統安全事故；針對信息技術飛快發展的特點，做到更新及時，對重要文件、信息資源做到及時備份，數據恢復，并加大了信息安全系統維護的經費投入。

整改之后我局信息系統得到了更好的維護，嚴格按照上級部門的要求，積極完善各項安全制度、充分加強信息化安全工作人員教育培訓、全面落實安全防范措施、全力保障信息安全工作經費，信息安全風險得到有效降低，應急處置能力得到切實提高，保證了我局信息系統持續安全穩定運行。

二○一二年五月三日

第四篇：××單位信息安全評估報告

××單位 信息安全評估報告

(管理信息系統)

××單位 二零一一年九月

1 目標

××單位信息安全檢查工作的主要目標是通過自評估工作，發現本局信息系統當前面臨的主要安全問題，邊檢查邊整改，確保信息網絡和重要信息系統的安全。評估依據、范圍和方法

2.1 評估依據

根據國務院信息化工作辦公室《關于對國家基礎信息網絡和重要信息系統開展安全檢查的通知》（信安通［2006］15號）、國家電力監管委員會《關于對電力行業有關單位重要信息系統開展安全檢查的通知》（辦信息[2006]48號）以及集團公司和省公司公司的文件、檢查方案要求, 開展××單位的信息安全評估。

2.2 評估范圍

本次信息安全評估工作重點是重要的業務管理信息系統和網絡系統等，管理信息系統中業務種類相對較多、網絡和業務結構較為復雜，在檢查工作中強調對基礎信息系統和重點業務系統進行安全性評估，具體包括：基礎網絡與服務器、關鍵業務系統、現有安全防護措施、信息安全管理的組織與策略、信息系統安全運行和維護情況評估。

2.3 評估方法

采用自評估方法。重要資產識別

對本局范圍內的重要系統、重要網絡設備、重要服務器及其安全屬性受破壞后的影響進行識別，將一旦停止運行影響面大的系統、關鍵網絡節點設備和安全設備、承載敏感數據和業務的服務器進行登記匯總，形成重要資產清單。資產清單見附表1。

安全事件

對本局半年內發生的較大的、或者發生次數較多的信息安全事件進行匯總記錄，形成本單位的安全事件列表。安全事件列表見附表2。安全檢查項目評估

5.1 規章制度與組織管理評估 5.1.1 組織機構

5.1.1.1 評估標準

信息安全組織機構包括領導機構、工作機構。

5.1.1.2 現狀描述

本局已成立了信息安全領導機構，但尚未成立信息安全工作機構。

5.1.1.3 評估結論

完善信息安全組織機構，成立信息安全工作機構。

5.1.2 崗位職責

5.1.2.1 評估標準

崗位要求應包括：專職網絡管理人員、專職應用系統管理人員和專職系統管理人員；專責的工作職責與工作范圍應有制度明確進行界定；崗位實行主、副崗備用制度。

5.1.2.2 現狀描述

我局沒有配置專職網絡管理人員、專職應用系統管理人員和專職系統管理人員，都是兼責；專責的工作職責與工作范圍沒有明確制度進行界定，崗位沒有實行主、副崗備用制度。

5.1.2.3 評估結論

本局已有兼職網絡管理員、應用系統管理員和系統管理員，在條件許可下，配置專職管理人員；專責的工作職責與工作范圍沒有明確制度進行界定，根據實際情況制定管理制度；崗位沒有實行主、副崗備用制度，在條件許可下，落實主、副崗備用制度。

5.1.3 病毒管理

5.1.3.1 評估標準

病毒管理包括計算機病毒防治管理制度、定期升級的安全策略、病毒預警和報告機制、病毒掃描策略（1周內至少進行一次掃描）。

5.1.3.2 現狀描述

本局使用Symantec防病毒軟件進行病毒防護，定期從省公司病毒庫服務器下載、升級安全策略；病毒預警是通過第三方和網上提供信息來源，每月統計、匯總病毒感染情況并提交局生技部和省公司生技部；每周進行二次自動病毒掃描；沒有制定計算機病毒防治管理制度。

5.1.3.3 評估結論

完善病毒預警和報告機制，制定計算機病毒防治管理制度。

5.1.4 運行管理

5.1.4.1 評估標準

運行管理應制定信息系統運行管理規程、缺陷管理制度、統計匯報制度、運 維流程、值班制度并實行工作票制度；制定機房出入管理制度并上墻，對進出機房情況記錄。

5.1.4.2 現狀描述

沒有建立相應信息系統運行管理規程、缺陷管理制度、統計匯報制度、運維流程、值班制度，沒有實行工作票制度；機房出入管理制度上墻，但沒有機房進出情況記錄。

5.1.4.3 評估結論

結合本局具體情況，制訂信息系統運行管理規程、缺陷管理制度、統計匯報制度、運維流程、值班制度，實行工作票制度；機房出入管理制度上墻，記錄機房進出情況。

5.1.5 賬號與口令管理

5.1.5.1 評估標準

制訂了賬號與口令管理制度；普通用戶賬戶密碼、口令長度要求符合大于6字符，管理員賬戶密碼、口令長度大于8字符；半年內賬戶密碼、口令應變更并保存變更相關記錄、通知、文件，半年內系統用戶身份發生變化后應及時對其賬戶進行變更或注銷。

5.1.5.2 現狀描述

沒有制訂賬號與口令管理制度，普通用戶賬戶密碼、口令長度要求大部分都不符合大于6字符；管理員賬戶密碼、口令長度大于8字符，半年內賬戶密碼、口令有過變更，但沒有變更相關記錄、通知、文件；半年內系統用戶身份發生變化后能及時對其賬戶進行變更或注銷。

5.1.5.3 評估結論

制訂賬號與口令管理制度，完善普通用戶賬戶與管理員賬戶密碼、口令長度要求；對賬戶密碼、口令變更作相關記錄；及時對系統用戶身份發生變化后對其賬戶進行變更或注銷。

5.2 網絡與系統安全評估 5.2.1 網絡架構

5.2.1.1 評估標準

局域網核心交換設備、城域網核心路由設備應采取設備冗余或準備備用設備，不允許外聯鏈路繞過防火墻，具有當前準確的網絡拓撲結構圖。

5.2.1.2 現狀描述

局域網核心交換設備準備了備用設備，城域網核心路由設備采取了設備冗余；沒有不經過防火墻的外聯鏈路，有當前網絡拓撲結構圖。

5.2.1.3 評估結論

局域網核心交換設備、城域網核心路由設備按要求采取設備冗余或準備備用設備，外聯鏈路沒有繞過防火墻，完善網絡拓撲結構圖。

5.2.2 網絡分區

5.2.2.1 評估標準

生產控制系統和管理信息系統之間進行分區，VLAN間的訪問控制設置合理。

5.2.2.2 現狀描述

生產控制系統和管理信息系統之間沒有進行分區，VLAN間的訪問控制設置合理。

5.2.2.3 評估結論

對生產控制系統和管理信息系統之間進行分區，VLAN間的訪問控制設置合理。5.2.3 網絡設備

5.2.3.1 評估標準

網絡設備配置有備份，網絡關鍵點設備采用雙電源，關閉網絡設備HTTP、FTP、TFTP等服務，SNMP社區串、本地用戶口令強?。?8字符，數字、字母混雜）。

5.2.3.2 現狀描述

網絡設備配置沒有進行備份，網絡關鍵點設備是雙電源，網絡設備關閉了HTTP、FTP、TFTP等服務，SNMP社區串、本地用戶口令沒達到要求。

5.2.3.3 評估結論

對網絡設備配置進行備份，完善SNMP社區串、本地用戶口令強?。?8字符，數字、字母混雜）。

5.2.4 IP管理

5.2.4.1 評估標準

有IP地址管理系統，IP地址管理有規劃方案和分配策略，IP地址分配有記錄。

5.2.4.2 現狀描述

沒有IP地址管理系統，正在進行對IP地址的規劃和分配，IP地址分配有記錄。

5.2.4.3 評估結論

建立IP地址管理系統，加快進行對IP地址的規劃和分配，IP地址分配有記錄。

5.2.5 補丁管理

5.2.5.1 評估標準

有補丁管理的手段或補丁管理制度，Windows系統主機補丁安裝齊全，有補丁安裝的測試記錄。

5.2.5.2 現狀描述

通過手工補丁管理手段，沒有制訂相應管理制度；Windows系統主機補丁安裝基本齊全，沒有補丁安裝的測試記錄。

5.2.5.3 評估結論

完善補丁管理的手段，制訂相應管理制度；補缺Windows系統主機補丁安裝，補丁安裝前進行測試記錄。

5.2.6 系統安全配置

5.2.6.1 評估標準

對操作系統的安全配置進行嚴格的設置，刪除系統不必要的服務、協議。

5.2.6.2 現狀描述

沒有對操作系統的安全配置進行嚴格的設置，部分系統刪除不必要的服務、協議。

5.2.6.3 評估結論

對操作系統的安全配置進行嚴格的設置，刪除系統不必要的服務、協議。

5.2.7 主機備份

5.2.7.1 評估標準

重要的系統主機采用雙機備份并進行熱切換或者故障恢復的測試。

5.2.7.2 現狀描述

重要的系統主機采用了雙機備份，進行過熱切換或者故障恢復的測試。

5.2.7.3 評估結論

重要的系統主機采用了雙機備份，進行熱切換或者故障恢復的測試。

5.3 網絡服務與應用系統評估 5.3.1 WWW服務器

5.3.1.1 評估標準

WWW服務用戶賬戶、口令應健壯（查看登錄），信息發布進行了分級審核，外部網站有備份或其他保護措施。

5.3.1.2 現狀描述

沒有WWW服務。

5.3.1.3 評估結論

考慮按上述標準建設WWW服務。

5.3.2 電子郵件服務器

5.3.2.1 評估標準

對近三個月的郵件數據進行備份，有專門針對郵件病毒、垃圾郵件的安全措施，郵件系統管理員賬戶/口令應強健，郵件系統的維護、檢查應有審計記錄。

5.3.2.2 現狀描述

OA系統郵件數據進行一星期備份，有專門針對郵件病毒、垃圾郵件的趨勢防病毒軟件系統，但該軟件存在問題比較多，郵件系統管理員賬戶/口令設置合理，郵件系統的維護、檢查沒有審計記錄。

5.3.2.3 評估結論

對OA系統郵件數據進行三個月備份，關注解決趨勢防病毒軟件系統問題；郵件系統管理員賬戶/口令設置合理，對郵件系統的維護、檢查審計進行記錄。

5.3.3 遠程撥號訪問

5.3.3.1 評估標準

有限制遠程撥號訪問的管理措施，用于業務系統維護的遠程撥號訪問采取身份驗證、訪問操作記錄等措施。

5.3.3.2 現狀描述

沒有遠程撥號訪問。

5.3.3.3 評估結論

遠程撥號訪問設置按上述標準執行。

5.3.4 應用系統

5.3.4.1 評估標準

應用系統的角色、權限分配有記錄；用戶賬戶的變更、修改、注銷有記錄（半年記錄情況）；關鍵應用系統的數據功能操作進行審計并進行長期存儲；對關鍵應用系統有應急預案；關鍵應用系統管理員賬戶、用戶賬戶口令定期進行變更；新系統上線前進行安全性測試。

5.3.4.2 現狀描述

營銷系統的角色、權限分配有記錄，其余系統沒有；用戶賬戶的變更、修改、注銷沒有記錄；關鍵應用系統的數據功能操作沒有進行審計；沒有針對關鍵應用系統的應急預案；關鍵應用系統管理員賬戶、用戶賬戶口令有定期進行變更；有些新系統上線前沒有進行過安全性測試。

5.3.4.3 評估結論

完善系統的角色、權限分配有記錄；記錄用戶賬戶的變更、修改、注銷（半年記錄情況）；關鍵應用系統的數據功能操作進行審計；制定針對關鍵應用系統的應急預案；關鍵應用系統管理員賬戶、用戶賬戶口令定期進行變更；新系統上線前應嚴格按照相關標準進行安全性測試。

5.4 安全技術管理與設備運行狀況評估 5.4.1 防火墻

5.4.1.1 評估標準

網絡中的防火墻位置部署合理，防火墻規則配置符合安全要求，防火墻規則配置的建立、更改有規范申請、審核、審批流程，對防火墻日志進行存儲、備份。

5.4.1.2 現狀描述

網絡中的防火墻位置部署合理，防火墻規則配置符合安全要求，防火墻規則配置沒有建立、更改有規范申請、審核、審批流程，對防火墻日志沒有進行存儲、備份。5.4.1.3 評估結論

網絡中的防火墻位置部署合理，防火墻規則配置符合安全要求，防火墻規則配置的建立、更改要有規范申請、審核、審批流程，對防火墻日志應進行存儲、備份。

5.4.2 防病毒系統

5.4.2.1 評估標準

防病毒系統覆蓋所有服務器及客戶端（覆蓋率至少應大于90％），對服務器的防病毒客戶端管理策略配置合理（自動升級病毒代碼、每周掃描），有專責人員負責維護防病毒系統并及時發布病毒通告。

5.4.2.2 現狀描述

防病毒系統覆蓋所有客戶端（覆蓋率大于90％），服務器端除了OA服務器有防病毒系統外其余沒有；有兼責人員負責維護防病毒系統，但基本沒有發布病毒通告。

5.4.2.3 評估結論

防病毒系統覆蓋所有客戶端（覆蓋率大于90％），服務器端除了OA服務器有防病毒系統外其余沒有，考慮以后實施；考慮配置專責人員負責維護防病毒系統，并及時發布病毒通告。

5.4.3 入侵檢測系統

5.4.3.1 評估標準

入侵檢測系統部署合理、覆蓋主要網絡邊界與主要服務器，定期對審計信息進行分析，定期更新入侵檢測的規則與升級。

5.4.3.2 現狀描述

沒有部署入侵檢測系統。5.4.3.3 評估結論

按上述部署、配置入侵檢測系統。

5.4.4 安全技術管理

5.4.4.1 評估標準

部署身份認證系統、安全管理平臺，采用漏洞掃描系統，重要系統一年內進行信息安全風險評估，部署針對安全設備的日志服務器。

5.4.4.2 現狀描述

沒有部署身份認證系統、安全管理平臺，沒有漏洞掃描系統，重要系統沒有進行信息安全風險評估，沒有部署針對安全設備的日志服務器。

5.4.4.3 評估結論

按標準部署身份認證系統、安全管理平臺、針對安全設備的日志服務器，采用漏洞掃描系統，重要系統一年進行一次信息安全風險評估。

5.5 存儲備份系統評估 5.5.1 備份策略

5.5.1.1 評估標準

建立明確、合理的備份策略，嚴格按照備份策略對系統數據進行備份（查看備份策略文件、查看備份記錄或查看備份工具配置）。

5.5.1.2 現狀描述

建立了明確、合理的備份策略并嚴格按照備份策略對系統數據進行備份。

5.5.1.3 評估結論

建立明確、合理的備份策略，嚴格按照備份策略對系統數據進行備份。

5.5.2 恢復預案

5.5.2.1 評估標準

建立明確的恢復預案（查看文件），定期進行恢復演練。

5.5.2.2 現狀描述

沒有建立明確的恢復預案，也沒有定期進行恢復演練。

5.5.2.3 評估結論

建立明確的恢復預案并定期進行恢復演練。

5.5.3 備份介質管理

5.5.3.1 評估標準

建立介質管理制度和廢棄介質處理制度，儲存介質存放在安全環境，有嚴格的介質存取控制，有專人對存儲介質進行定期檢查。

5.5.3.2 現狀描述

沒有建立介質的管理制度和廢棄介質的處理制度，儲存介質存放在安全環境，沒有嚴格的介質存取控制，沒有對存儲介質進行定期檢查。

5.5.3.3 評估結論

建立介質管理制度和廢棄介質處理制度，儲存介質存放在安全環境，嚴格介質存取控制，對存儲介質進行定期檢查。5.6 介質及物理環境安全評估 5.6.1 機房內部安全防護

5.6.1.1 評估標準

主機房安裝門禁、監控與報警系統。

5.6.1.2 現狀描述

主機房沒有安裝門禁、監控系統，有消防報警系統。

5.6.1.3 評估結論

主機房安裝門禁、監控與報警系統。

5.6.2 機房供、配電

5.6.2.1 評估標準

有詳細的機房配線圖，機房供電系統將動力、照明用電與計算機系統供電線路分開，機房配備應急照明裝置，定期對UPS的運行狀況進行檢測（查看半年內檢測記錄）。

5.6.2.2 現狀描述

沒有詳細的機房配線圖，機房供電系統將動力、照明用電與計算機系統供電線路是分開的，機房沒有配備應急照明裝置，有定期對UPS的運行狀況進行檢測但沒有檢測記錄。

5.6.2.3 評估結論

補全機房配線圖，機房供電系統將動力、照明用電與計算機系統供電線路分開，機房配備應急照明裝置，定期對UPS的運行狀況進行檢測和記錄。

5.6.3 機房環境防護

5.6.3.1 評估標準

采用氣體防火措施，空調系統定期進行檢查，機房溫度控制在攝氏26度以下。

5.6.3.2 現狀描述

有手提干粉滅火器，沒有采用氣體防火措施，空調系統定期進行檢查，機房溫度控制在攝氏26度以下。

5.6.3.3 評估結論

采用氣體防火措施，空調系統定期進行檢查，機房溫度控制在攝氏26度以下。

5.6.4 介質管理

5.6.4.1 評估標準

有介質管理規定，U盤、移動硬盤等存儲介質有資產記錄和責任人，磁盤、光盤等存儲介質有專人保管，筆記本使用有明確的管理制度。

5.6.4.2 現狀描述

有相應的介質管理規定，U盤、移動硬盤等存儲介質有資產記錄和責任人，磁盤、光盤等存儲介質有專人保管，筆記本使用沒有明確的管理制度。

5.6.4.3 評估結論

有相應的介質管理規定，U盤、移動硬盤等存儲介質有資產記錄和責任人，磁盤、光盤等存儲介質有專人保管，制訂筆記本使用管理制度。

5.7 應急處置評估 5.7.1 應急預案

5.7.1.1 評估標準

重要系統有完善的、可操作的應急預案，對應急預案進行定期演練。

5.7.1.2 現狀描述

重要系統沒有完善的、可操作的應急預案。

5.7.1.3 評估結論

制訂重要系統完善的、可操作的應急預案并對應急預案進行定期演練。

5.7.2 通報機制

5.7.2.1 評估標準

按照集團公司的要求建立及時的信息安全信息通報機制。

5.7.2.2 現狀描述

沒有按照集團公司的要求建立及時的信息安全信息通報機制。

5.7.2.3 評估結論

按照集團公司的要求建立及時的信息安全信息通報機制。

5.7.3 故障聯動機制

5.7.3.1 評估標準

建立良好的故障通訊聯動機制，進行聯合防護。

5.7.3.2 現狀描述

沒有建立故障通訊聯動機制。

5.7.3.3 評估結論

建立良好的故障通訊聯動機制，進行聯合防護。

5.7.4 故障搶修機制

5.7.4.1 評估標準

建立完善的信息網故障搶修機制，應急資源到位。

5.7.4.2 現狀描述

沒有建立完善的信息網故障搶修機制。

5.7.4.3 評估結論

建立完善的信息網故障搶修機制，應急資源到位。自評總結

通過對上述的現狀分析進行了自評估，總的來看，有了初步的安全基礎設施，在管理方面具備了部分制度和策略，安全防護單一，技術上通過多種手段實現了基本的訪問控制，但相應的安全策略、安全管理與技術方面的安全防護需要更新以適應要求。需要對安全措施和管理制度方面進行改善，通過技術和管理兩個方面來確保策略的遵守和實現，最終能夠將安全風險控制在適當范圍之內，保證和促進業務開展。

第五篇：網絡信息安全保密工作整改報告

xx縣教體局網絡信息安全保密工作

整 改 報 告

自XX 縣信息化領導小組對我局進行安全檢查以來，我局對 網絡信息安全保密工作高度重視，主管局長XX 同志于9 月13 日 組織了“加強網絡信息安全保密工作”專題會，會上我們認真分 析了檢查小組的指導意見以及在自查中發現的一些管理上的細 節問題；在此基礎上制定了網絡信息安全保密工作整改方案：

一、以“方城縣教育系統網絡文明公約”普及為契機，在全縣教 育系統進行網絡信息安全保密工作的強化宣傳教育。

通過強化宣傳教育，使教育系統內人人都能認識到網絡信息 安全保密工作的重要性，以自覺帶自律，從自身的細節處做起，每個人都是一個安全點，點點相邊形成安全面。從而強化網絡信 息安全保密工作。

二、對入網單位的自查要制度化。

在自查過程中，對部分單位線路架設不規范；五防措施不到 位要求其限期整改的，在整改后進行復查。

成立網絡信息安全工作檢查小組，在復查的基礎上，對所有 入網單位進行不定期、不定時、不定點的突擊抽查。以敦促各網 絡接入單位對網絡信息安全保密工作管理常規化、制度化。

三、對文印室等重要信息點完善管理

針對文印室數據交換時暴露出的移動介質管理不到位的問 題，我們認真分析現況。制訂管理方案，并由局辦公室專門下發 通知，“通知”要求各科室指定辦公用的移動存儲設備，并登記 造冊，各科室在進行數據交換時不使用指定設備以外的設備，在 進行數據交換前進行相關的安全掃描。

架設物理隔離區的安全掃描機，安裝相關安全軟件并定期更 新，對進入文印室的移動存儲設備進行病毒、木馬等相關安全掃 描，確認安全后再進入文印室等重要信息管理區；從而確保重要 信息區的信息安全。

XX 縣教體局

2011 年9 月19 日