××单位安全评估报告

2.3. 安全评估方式

2.3.1. 管理体系审计

通过对××局现有的安全管理体系进行审核，了解现有管理体系与ISO27001《**省**集团有限公司计算机信息系统安全策略规划书》、《省公司公司信息安全检查工作方案》等相关国家和行业标准的符合情况。安全管理体系的审计包括现有的安全管理管理规范、策略文档、制度文档、流程文档。检查内容主要包括：

? 分析当前颁布的所有的管理体系文档的内容是否全面； ? 检查当前颁布的安全体系是否符合标准； ? 检查当前颁布的各类体系文档的格式是否合理； ? 检查当前颁布的安全体系是否在持续改进。

? 检查当前颁布的安全体系内容是否符合《省公司公司信息安全检查工作方

案》的要求

2.3.2. 安全策略评估

安全策略是对整个网络在安全控制、安全管理、安全使用等最全面、最详细的策略性描述，它是整个网络安全的依据。不同的网络需要不同的策略，它必须能回答整个网络中与安全相关的所有问题，例如，如何实现防病毒管理？如何控制远程用户访问的安全性等等。对这些问题做出详细回答，并确定相应的防护手段和实施办法，就是针对整个网络的一份完整的安全策略。策略一旦制订，应当作为整个网络安全行为的准则。

这一步工作，就是从整体网络安全的角度对现有的网络安全策略进行全局性的评估，它也包含了技术和管理方面的内容，具体包括：

? 安全策略是否全面覆盖了整体网络在各方各面的安全性描述； ? 在安全策略中描述的安全控制、管理和使用措施是否正确和有效； ? 安全策略中的每一项内容是否都得到确认和具体落实。

? 安全策略是否符合《省公司公司信息安全检查工作方案》的要求

2.3.3. 网络架构分析

网络架构分析是通过对××局管理信息网内信息系统的网络拓扑及网络层面细节架构的评估，主要从以下几个方面进行分析：

? 网络建设的规范性：网络安全规划、设备命名规范性、网络架构安全性； ? 网络的可靠性：网络设备和链路冗余、设备选型及可扩展性； ? 网络边界安全：网络设备的ACL、防火墙、隔离网闸、物理隔离、VLAN（二层ACL）等；

? 网络协议分析：路由、交换、组播 、IGMP、CGMP等协议；

? 网络通信安全：通信监控、通信加密、VPN分析等；

? 设备自身安全：SNMP、口令、设备版本、系统漏洞、服务、端口等； ? 网络安全管理：网管系统、客户端远程登陆协议、日志审计、设备身份验证等。

2.3.4. 手动检查

手动检查是自评估工作最重要的手段之一，通过自我内部评估来查找网络结构、网络设备、操作系统、核心应用等安全对象目标存在的脆弱性和威胁性，以及由此归并分析得出相应的安全风险。在本次手动检查主要以下面的物理、网络、系统以及应用四个层次进行自评估工作。

1．物理层安全：该层的安全问题主要指物理环境的安全性，包括物理安全区域划分、物理安全边界、机房安全、设备安全等

2．网络层安全：该层的安全问题主要指网络信息的安全性，包括网络层身份认证，网络资源的访问控制，数据传输的保密与完整性、远程接入、域名系统、路由系统的安全，入侵检测的手段等。

3．系统层安全：该层的安全问题来自网络运行的操作系统：UNIX系列、Windows系列以及专用操作系统等。安全性问题表现在两方面：一是操作系统本身的不安全因素，主要包括身份认证、访问控制、系统漏洞等；二是操作系统的安全配置存在问题。

4．应用层安全：该层的安全考虑网络对用户提供服务所采用的应用软件和数据的安全性，包括：数据库软件、OAK系统、营销系统、交换与路由系统、防火墙、业务应用软件以及其它网络服务系统等。

2.3.5. 安全技术审计

通过对××局现有的安全技术体系进行审核，了解现有的技术体系与ISO17799、《**省**集团有限公司计算机信息系统安全策略规划书》、《省公司公司信息安全检查工作方案》等相关国家和行业标准的符合情况。安全技术体系的审计包括现有的物理安全、网络安全、系统安全以及应用安全等。

3. 信息资产识别

3.1. 概述

资产是风险评估的最终评估对象。在一个全面的风险评估中，风险的所有重要因素都紧紧围绕着资产为中心，威胁、脆弱性以及风险都是针对资产而客观存在的。威胁利用资产自身的脆弱性使得安全事件的发生成为可能，从而形成了风险。这些安全事件一旦发生，将对资产甚至是整个系统都将造成一定的影响。因此资产的评估是风险评估的一个重要的步骤，它被确定和估价的准确性将影响着后面所有因素的评估。

3.2. 网络结构

图1 ××单位网络拓扑结构图

××单位目前是各地分支机构的用户通过100M的ATM网络与核心交换机相连，通信中心用户、物流中心用户、配电用户、输变电用户以及公司楼层用户则通过局域网交换机与核心交换机相连，服务器群被分配在同一个VLAN中。

3.3. 应用系统

? OA办公自动化系统

OAK具有公文管理、档案管理、个人事务等功能。目前该系统已经覆盖了本部及单位。

? 营销管理系统

提供业扩报装、电能计量、电量电费、WEB查询等，使用部门包括配电营业部、客服中心等；

? 生产管理系统