火力发电发电厂安全性评价B.doc

· 203 ·序号评 价 项 目标准分查评方法评分标准及办法备 注2.7网络安全800新增内容2.7.1基础管理1602.7.1.1组织与岗位职责201）具备完整安全管理体系，配备专业岗位人员和各层次兼职岗位人员10相关文件及记录体系不完整扣 1-5 分；未配备专业岗位人员扣 3 分，体系内人员不完整酌情扣 1-2 分2）明确界定体系内各专责人员的工作职责与工作范围10相关文件无工作职责与工作范围扣 5 分，工作职责与工作范围不完整酌情扣 1-5 分2.7.1.2网络管理制度201）制定了局域网、广域网运行管理标准、运行规程10书面文件无明确标准扣 5 分，标准不全扣 1～5 分，无运行规程扣 5 分，规程不全扣 1～5 分· 204 ·序号评 价 项 目标准分查评方法评分标准及办法备 注2）组织贯彻执行上级有关网络系统的指示、规定、标准，有具体实施细则5相关文件及记录指示、规定、标准不全扣3 分无实施细则扣 2 分3）对本单位因网络设备损坏等突发事件制定相关应急措施5相关文件及记录无相关措施文档不得分，措施不全扣 1-5 分2.7.1.3系统管理制度401）制定防火墙规则配置的设置建立、更改制度，制定更改流程5查看相关制度检查规章制度，如无制度扣 3 分，无更改流程扣 2 分2）建立主机、网络、数据库、应用系统安全管理制度，及移动介质（如 U 盘、光盘）使用管理制度10查看相关制度缺少一项管理制度，扣 1分3）建立服务器、存储、备份系统具体管理制度和运行规程10书面文件每少一项扣 3 分4）服务器的补丁管理制度5检查相关文档无制度不得分5）建立数据库系统的管理制度和运行规程为5书面文件每少一项扣 2 分；未建立· 205 ·序号评 价 项 目标准分查评方法评分标准及办法备 注确保其有效版本，应建立标准的更新制度和记录标准更新制度或半年内未进行更新的项目扣 1 分6）建立防病毒系统，并规定防病毒预警机制及处置预案5检查文件和系统设置无防病毒系统扣 4 分，无方案扣 1 分2.7.1.4计算机使用管理规定201）实施上网行为管理系统并制定上网行为管理制度或规范5检查文件和系统设置无管理制度或规范，扣 2分，无上网行为管理系统，扣 3 分2）办公自动化、内外网站、邮件管理及使用制度10查看相关制度每少一项扣 3 分3）制定计算机使用制度（口令、机器名、补丁、防病毒、个人防火墙等）5查看相关制度无制度不得分，每少一项扣 2 分2.7.1.5信息机房制度201）机房的管理制度（包括机房准入准出制度、机房内相关操作制度）10查看相关制度缺一项扣 5 分· 206 ·序号评 价 项 目标准分查评方法评分标准及办法备 注2）机房维护手册（应用系统、网络系统主机、存储系统）10检查文件缺一项扣 3 分2.7.1.6其它管理制度401）建立各应用系统的管理制度和运行规程10查看相关制度制度及规程不全酌情扣分2）制订了安全系统的运行管理规程10检查相关规程无运行管理规程不得分；规程不完善酌情扣 5 分3）建立了桌面用户管理系统并覆盖了全部用户5检查系统未建立桌面用户管理系统不得分，未覆盖全部用户酌情扣分4）信息系统安全应急预案管理制度10查看相关制度无制度不得分，不完善酌情扣分5）数据存储、备份管理制度5查看相关制度无制度不得分，不完善酌情扣分· 207 ·序号评 价 项 目标准分查评方法评分标准及办法备 注2.7.2技术管理4502.7.2.1技术管理通用要求601）建立设备台帐，包括：型号、主要参数、制造厂家、出厂日期、投运日期等20查阅书面台帐或电子文档无台帐扣 20 分，不全面扣 5-10 分2）关键设备采用冗余配置（设备本身及电源）10检查关键设备不符合扣 5-10 分3）对设备配置进行备份（电子、物理介质）10检查备份设备缺一项扣 5 分4）设备名称应具有合理的命名体系和名称标识10检查管理记录无命名体系扣 5 分，标识不清晰酌情扣分5）存档资料统一编号分类管理，有电子文档便于查询5存档记录每无一项分类资料扣 3 分，每无一项电子文档扣 2 分6）系统及设备口令采取强密码，重要设备及系统口令定期更换5抽查设备未采取强密码扣 3 分，重要设备及系统口令未定期更换扣 2 分· 208 ·序号评 价 项 目标准分查评方法评分标准及办法备 注2.7.2.2网络系统901）网络拓扑结构的合理性和可扩展性10查阅网络拓朴图、专责人查问无网络拓朴图扣 5 分，结构不合理扣 1-5 分2）不应有不经过防火墙的外联链路10查阅设备连接情况、网络拓朴图不符合要求不得分3）在相关网络的隔离点，设立合理的访问控制10查阅设备配置、记录文档无访问控制扣 5 分，访问控制不合理扣 1-5 分4）按照方便管理和控制的原则为各子网、网段分配地址段5检查网络配置无网段、子网分配扣 5 分5）VLAN 间访问控制的合理性5检查网络配置访问控制策略不合理扣 5分6）IP 地址的规划方案、分配策略、分配记录进行统一管理10检查管理文档或记录没有相关文档扣 5 分，记录不全酌情扣分7）有专业的网络管理系统10检查系统无专业的网络管理系统，不得分· 209 ·序号评 价 项 目标准分查评方法评分标准及办法备 注8）重要网段应采取网络层地址与数据链路层地址绑定措施，防止地址欺骗10检查设备配置、登记记录无地址绑定扣 10 分9）网络的物理隔离20a）根据规范在安全区之间安置物理单向隔离装置10实地检查设备需安装位置无物理单向隔离设备扣 10 分b）物理单向隔离装置是否经过国家指定部门检测认证5检查设备型号设备无认证不得分c）安全区边界拓扑结构是否合理5查阅网络拓朴图、专责人查问拓扑图不合理扣 5 分2.7.2.3安全系统601）防火墙的部署应覆盖所有的网络边界，对所有通过防火墙或其它访问控制设备的网络地址、端口等进行控制10检查网络拓扑图和防火墙配置检查网络拓扑和防火墙配置，发现一个未覆盖出口扣5 分，如未做控制则不得分2）防火墙应具备防止已知攻击的能力10查看配置如无相关能力，则不得分· 210 ·序号评 价 项 目标准分查评方法评分标准及办法备 注3）对防火墙的用户进行管理（禁止从外部网络登录，限制其它管理方式）10查看防火墙策略如未做配置，则不得分4）采用“默认关闭，按需开启”的策略10检查防火墙策略如不符合，则不得分5）为了便于防火墙的控制，应对各个系统、软件所使用的端口进行登记10检查记录文档无登记文档扣 10 分6）重要的信息系统建立了身份识别和认证系统10检查系统设置无身份识别和认证系统，不得分2.7.2.4防病毒系统（防垃圾邮件）201）防病毒系统应覆盖所有服务器及客户端5抽查部分服务器和客户端检查覆盖范围，低于 80%不得分，高于 80%酌情给分2）病毒扫描策略应规定 1 周内至少进行一次扫描5检查扫描策略如无此策略，则记为 0 分如扫描时间长于 2 个星期，则扣 2 分，长于一个月扣 3分· 211 ·序号评 价 项 目标准分查评方法评分标准及办法备 注3）检查客户端病毒码版本5查看病毒码版本如客户端最新病毒码更新不足 90%，则扣 5 分4）对服务器的防病毒客户端管理策略配置是否合理（自动升级病毒代码、定期扫描）5检查相关配置如未设置策略，则不得分如配置策略不全，则扣 1-5分2.7.2.5漏洞扫描系统201）定期或不定期的对网络和服务器进行安全扫描10询问负责人员1 个月未进行过扫描，扣 5分，3 个月以上未进行过扫描，扣 10 分2）对发现漏洞的网络或服务器及时更新加固，并做好备份和记录10查看记录发现漏洞不更新超过一个月，扣 5 分，若无记录，扣10 分2.7.2.6安全链路（Vpn）201）重要系统的数据传输应通过安全链路（专线、加密 Vpn）10询问负责人员非安全链路不得分· 212 ·序号评 价 项 目标准分查评方法评分标准及办法备 注2）对通过广域网、VPN 传输的敏感信息实施加密传输10检查系统设置无加密措施不得分2.7.2.7服务器系统401）重要系统服务器与网络、存储的接口采用双链路连接方式10设备配置或目测主机与网络非双链路连接方式扣 5 分，主机与存储非双链路连接方式扣 5 分2）重要系统服务器、存储、备份系统的可靠性应不低于 99.99%，平均故障间隔时间（MBFT）为 100000 小时以上5技术文件每一项不符合要求扣 2 分，每一项部分不符合要求扣 1分3）重要系统服务器采用双机集群方式，本机磁盘为 RAID 方式5设备配置或目测非双机集群方式扣 3 分，本机磁盘非 RAID 方式扣 2分4）磁盘、电源等设备支持热插拔5设备配置或目测每一项不符合要求扣 2 分，每一项部分符合要求扣 1 分· 213 ·序号评 价 项 目标准分查评方法评分标准及办法备 注5）重要系统服务器、存储、备份系统应具有详实可行的应急预案（含事故处理流程）10书面文件每无一项应急预案扣 5 分，部分符合要求扣 2 分6）对服务器进行地址绑定5检查系统配置未进行地址绑定扣 3 分，地址未与 IP 地址绑定扣 2分2.7.2.8存储与备份系统301）重要系统服务器应有系统备份，并定期进行有效性验证；备份系统应具备备份策略管理制度和策略更新记录10书面文件无主机及 PC 服务器系统的备份扣 3 分，未定期进行有效性验证扣 3 分；无备份系统的备份策略管理制度扣 3 分，策略更新后无记录扣 2 分2）备份介质的容量及可用性检查10检查系统容量不足扣 5 分，备份内容不可用扣 5 分3）具有灾备的手段及方式10检查系统酌情扣分2.7.2.9应用系统80· 214 ·序号评 价 项 目标准分查评方法评分标准及办法备 注1）系统软件（操作系统、数据库、中间件）30a）建立了数据库的定期版本号检查工作制度，有定期检查和补丁情况的记录10书面文件、查看实际版本号无定期检查工作制度扣 5分，无检查记录酌情扣 1-5分b）建立了数据库系统的用户管理制度，有用户和帐户维护记录10检查账户和记录无制度扣 5 分，无用户和帐户维护记录扣 5 分，记录不全酌情扣分c）建立了数据库系统的强制设置密码制度（包含密码复杂度要求），按照制度要求更换密码5检查密码策略无制度扣 3 分，未按制度及时更换密码酌情扣 1-2 分d）操作系统软件补丁更新5检查系统依据补丁更新情况酌情扣分2）应用软件50a）建立了应用软件的定期版本检查、软件变更登记制度，有版本号和变更登记记录5书面文件、查看实际版本号无定期检查工作制度扣 3分，无版本号和变更登记记录酌情扣 1-2 分· 215 ·序号评 价 项 目标准分查评方法评分标准及办法备 注b）建立应用系统的用户管理制度，有用户和帐户维护记录5检查账户和记录无制度不得分，无用户和帐户维护记录扣 2 分c）建立了应用系统的强制设置密码制度（包含密码复杂度要求），按照制度要求更换密码5检查密码策略无制度不得分，未按制度及时更换密码酌情扣 2 分d）建立了应用系统的角色、权限分配管理制度，实现权限分离（如将管理与审计的权限分配给不同的应用系统用户）10检查记录信息无制度不得分；如未进行分离或记录缺失扣 5 分e）应用系统应具有详实可行的应急预案（含事故处理流程）10书面文件每无一项应急预案扣 2 分，部分符合要求扣 5 分f）定期对应用系统进行分析评估，提出系统维护计划10文档记录没有记录不得分，内容不详实扣 5～10 分g）实时维护用户帐户，检查口令，对新用户进行培训5文档记录没有记录不得分，内容不详实扣 5～10 分2.7.2.10信息机房30· 216 ·序号评 价 项 目标准分查评方法评分标准及办法备 注1）机房设置位置合理，远离噪音、粉尘、电磁干扰5目测不符合要求不得分2）机房设备布置合理、UPS 电源符合标准5目测、现场勘查酌情扣分3）机房安装防静电地板，全部设备均应接地，接地电阻小于标准值5现场勘查未接地不得分，接地电阻大于标。