电力企业信息安全风险评估作业指导书

文件制修订记录

确定信息网络、信息系统存在的安全风险，提高信息系统整体防护水平。

本作业指导书依据《信息安全技术信息安全风险评估规范》GB/T 20984—2007及《信息安全管理实施细则》ISO/IEC 17799编制。

2.0范围

适用于电力企业信息安全风险评估。

3.0评估原则

为保证风险评估结果的科学性、合理性，工作实施中需要遵循以下原则：

3.1标准化原则

认真遵循有关国际／国内和国家电网公司标准，编写评估方案、安排评估流程，严格按照预先定义的实施方案开展工作，确保评估工作过程、操作流程和操作方法的规范性。

3.2完整性原则

为了保证评估取得预期结果，全面反映信息系统安全状态，应确保评估范围的完整、评估内容的全面和评估流程的完整。

3.3最小影响与安全性原则

信息安全风险评估的部分工作内容可能会对信息系统的运行带来影响。因此要充分考虑各种意外因素，根据评估对象的不同特点采取各种安全防范措施，严格控制工作过程中产生的风险，把风险评估对信息系统和业务活动产生的影响降到最低限度。

4.0评估过程及内容

4.1网络构架评估

1）网络拓扑结构的合理性和可扩展性

2）包括局域网核心交换设备、广域网核心路由设备是否采取设备冗余或准备了备用设备，路由链路是否施行冗余方式。

3）网络的边界接入方式，网络管理协议的安全设置、业务系统采用的安全协议，

是否有不经过防火墙的外联链路。

4.2网络设备评估

网络设备评估主要针对核心交换机，核心路由器，接入交换机。

1）网络设备配置食肉进行备份（电子、物理介质）。

2）是否关闭了不必要的HTTP、FTP、TFTP等服务。

3）是否对登录网络设备的用户进行身份鉴别。

4）是否对网络设备的管理员登录地址进行限制。

5）是否开启密码加密机制以console超时机制，以保障访问安全。

6）是否开启或配置安全策略以降低或防止已知的针对网络设备的拒绝服务攻击7）是否使用安全的连接管理方式，如ssh等，代替明文传输的telnet连接管理方式开启路由命令审计配置。

4.3服务器系统

4.3.1补丁管理评估

1）补丁管理补丁管理手段，或管理制度是否齐全。

2）Windows系统主机补丁安装是否齐全(除了Service Pack之外，还包括Hotfixes)。

4.3.2系统安全配置评估

1）重要系统用户最小口令长度是否大于8位，一般系统用户最小口令长度>6位。

2）是否关闭（或删除）系统中不必要的服务。

3）为重要系统的审计功能是否配置相应的审核策略。

4）是否关闭默认共享（C$、D$...）。

5）是否限制建立匿名连接。

6）是否禁用远程注册表访问。

的测试。

4.3.3主机备份评估

重要的系统主机采用双机备份并可进行热切换，或者有故障恢复的措施。

4.4通用应用系统安全评估

主要针对数据库安全配置中间件服务器进行了安全配置评估。

1）是否及时对漏洞进行了修补。

2）是否去除了不需要的服务组件。

3）是否删除不需要的映射。

4.5对针对办公室终端计算机进行了安全配置评估

1）操作系统是否安装最新的安全补丁。

2）系统是否存在弱口令账号，以及系统是否禁用默认Guest帐号和存在多余的账号。

3）共享文件夹访问控制是否不合理。

4）帐户策略配置是否合理。

4.6现有安全措施评估

4.6.1防火墙

1）防火墙的部署应覆盖所有的网络边界。

2）对通过防火墙或其它访问控制设备的网络地址、端口等进行控制。

3）对一些不需要的协议类型进行过滤，如来自Internet的Telnet、FTP等。4）对防火墙日志进行存储、备份。

5）对防火墙的用户进行管理（禁止外部网络登录，限制其它管理方式）。

6）防火墙或其它设备应具备防止已知攻击的能力，如DoS、网络扫描等。

4.6.2网络防毒系统

1）防病毒系统应覆盖所有服务器及客户端

2）对服务器的防病毒客户端管理策略配置是否合理（自动升级病毒代码、每周扫描）

3）有专责人员负责维护防病毒系统，并及时发布病毒通告

4）制定病毒预警和报告机制

5）病毒扫描策略应规定1周内至少进行一次扫描

6）删除病毒前应有备份隔离措施，以便于及时恢复误删除的文件

7）对所有从不可信任网络到公司内的通讯都执行病毒检测（如检测邮件、邮件附件及WEB、FTP 通讯中的病毒）

8）定期进行总结汇报，使主管领导和相关人员及时了解病毒防护状况

9）定期更新入侵检测的规则与升级

5.0组织与分工

5.1 评估单位的职责

1）办理工作票，指定专人配合评估人员工作。

2）配合电科院处理评估过程中出现的紧急情况；

3）负责评估有关的系统操作、监视和必要的系统参数修改。

5.2 电科院的职责

1）负责编写评估方案，负责安全技术交底，并组织实施；

2）负责评估与协调工作；

3）收集评估数据、整理和分析评估结果，编写评估报告；

4）严格落实企业保密制度，保证不向第三方透露任何企业机密。

6.0现场工作安全要求

1）对设备的任何操作需告知设备管理人员，在双方确认操作正确的前提下对设备操作，同时准备好应急预案，防止造成数据或配置丢失。

2）尽量保证少对运行中的设备操作，对网络进行漏洞扫描时间尽量安排在下班和休息的时间。

3）使用任何具有攻击行为的工具时，必须保证不对运行中的设备进行试验，如果必须测试，必须做好数据库或配置文件的备份，同时准备好应急预案。