电力行业重要信息system.docVIP

电力行业重要信息系统 安全检查工作方案 国家电力监管委员会 二〇〇六年月 目 录 1 1 2 工作组织 1 3 范围与内容 3 4 方法与流程 4 5 工作进度计划 5 6 检查工作风险控制 6 检查表一 规章制度与组织管理 7 检查表二 网络与系统安全 8 检查表三 网络服务与应用系统 9 检查表四 安全技术管理与设备运行状况 10 检查表五 存储备份系统 11 检查表六 介质及物理环境安全 12 检查表七 安全服务状况 13 检查表八 应急处置 14 检查表九 安全事件登记表 15 根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》（信安通［2006］15号）的要求，国家电力监管委员（以下简称电监会）对中国南方电网有限责任公司和各发电企业集团公司开展电力行业重要信息系统安全检查工作。 1 目标 组织图范围与内容 信息安全检查工作主要电力二次系统和管理信息系统，范围如下： 强调对基础信息系统和重点业务系统进行安全性检查，具体包括：基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况。 重点单位对电力二次系统的检查在遵循上面提到的内容外，还要依据《电力二次系统安全防护总体方案》的技术要求，具体包括：网络分区和边界安全、网络和主机设备的配置与管理、现有安全防护措施、二次安全管理。 重点单位 4 方法 安全检查工作中将采取风险评估的基本方法确保检查工作的。工作计划 检查工作计划如下：工作计划与成果 工作阶段 时间安排 工作内容 工作成果 阶段 成立信息安全检查组、专家 电力企业信息安全检查工作方案 各单位工作计划 制定安全检查工作方案 各单位工作计划 实施阶段 各单位检查工作重点单位评估报告 各单位检查报告 各单位整改工作报告 各单位检查结果整理 总结阶段 对各单位检查结果进行汇总、整理，形成本次检查工作的工作报告 信息安全检查工作报告 6 检查工作风险控制检查因此， 检查表一 规章制度与组织管理 检查项目 检查内容 检查 1 组织机构 是否成立了信息安全领导机构、工作机构 2岗位职责 网络管理 是否有专职应用系统管理 是否有专职系统管理 各专责的工作职责与工作范围是否有制度明确进行界定 3病毒管理 是否制定了计算机病毒防治管理制度 是否制定了病毒预警和报告机制 病毒扫描策略是否规定了1周内至少进行一次扫描？ 4运行管理 是否建立信息系统运行管理规程？ 机房管理制度？ 运行值班制度是否规定了普通情况下5＊8小时、关键时期的7＊24小时的现场值班内容？ 是否建立了统计汇报制度 是否建立了运维流程，并按照流程进行操作 是否对值班人员进行了安排？ 5 账号与口令管理 是否制定了账号、口令管理制度？ 普通用户账户密码、口令长度是否要求？ 用户身份发生变化后是否及时对其账户进行了变更或注销？ 网络系统 检查项目 检查内容 检查 1 网络架构 局域网核心交换设备广域网核心路由设备是否采取了设备冗余或准备了备用设备？ 是否有不经过防火墙的外联链路？ 2 网络分区 生产控制系统和管理信息系统之间是否部署了隔离措施 VLAN间的访问控制是否合理？ 3 网络设备 网络设备配置是否进行了备份？（电子、物理介质） 网络关键点设备是否双电源？ 是否关闭了HTTP、FTP、TFTP等服务？ IP地址的规划方案和分配策略 是否有IP地址分配记录？ 补丁管理 是否有补丁管理的手段，或管理制度？ Windows系统主机补丁安装是否齐全？ 是否有补丁安装的测试记录？ 系统安全配置 是否对操作系统的安全配置进行了严格的设置 是否删除了系统中不必要的服务、协议？主机备份 重要的系统主机是否采用了双机备份？ 是否进行过热切换，或者故障恢复的测试？ 网络服务与应用系统 检查项目 检查内容 检查 1 WWW服务 WWW服务用户账户、口令是否健壮？ 外部网站是否有备份，或其他保护措施？ 2 电子邮件服务 是否对近3个月的邮件数据进行了备份？ 是否有专门针对邮件病毒、垃圾邮件的安全措施？ 邮件系统管理员账户/口令是否强健？邮件系统的维护、检查是否有审计记录？ 3 远程拨号访问服务 是否有限制远程拨号访问的管理措施？ 用于业务系统维护的远程拨号访问是否采取了身份验证、访问操作记录等措施？ 4 应用系统 应用系统的角色、权限分配是否有记录？ 用户账户的变更、修改、注