2016 年（第五届）电力安全与信息技术研讨会 116 服务器、 Linux 系统服务器以及部分业务系统客户端 （Windows 统）进行了主机安全配置审计，并对审计 服务器网段及抽选业务系统客户端网进行了主机安 全漏洞扫描。 2.1.3 基础信息审计 基础信息系统评估是通过安全漏洞扫描、主机 安全审计等方式，对评估范围的主机操作系统及其 上运行的数据库/Web 应用等系统软件的脆弱性进行 发现的过程。 基础信息系统是我单位信息发布和数据共享的 平台，其是否安全、稳定和可靠，直接影响着企业 信息公告、数据流转，对企业正常的管理、运营工 作有着直接或间接的影响。 本次评估对 Web 应用、SQLServer 数据库和 IIS 应用进行了全配置审计。 2.1.4 业务及应用系统评估 业务系统评估是通过运行环境检查评估、系统 通讯关系评估、系统深度评估等多种方式，对桌面 终端管理系统、营销系统的脆弱性进行发现的过程。 对桌面终端管理系统、营销系统进行了安全平 估。采用了运行环境检查评估、系统通讯关系评估、 系统深度评估等多种方式行。同时还对业务系统涉 及到的 Oracle 数据库、SQLServer 数据库、IIS 和 中间件的应用进行了安全配置审计。 2.1.5 现有安全措施评估 现有安全措施评估包括对现有安全设备的人工 评审和现有安全措施效果分析。 通过对现有安全设备的检查，评估其自身是否 存在安全隐患； 通过对现有安全措施效果的分析，判别已部署 的和已经规划的安全防护措施是否合理，以及这些 安全措施的使用是否达到了部署的目的，能否真实 地降低了系统的脆弱性，抵御了威胁，为今后安全 改进提供依据和参考。 我单位现有安全措施评估共涉及防病毒系统、 内外网接入认证系统、防火墙和 VPN 等四方面的内 容。 2.1.6 安全管理评估 安全管理评估是参照 ISO17799/BS7799 信息安 全管理标准，通过管理审计和访谈的方式，了解我 单位计算机信息系统的安全管理现状及存在的弱 点，为风险评估提供基础数据。评估内容包括以下 十个部分：安全策略、安全组织、资产的分类与控 制、人员安全、物理和环境安全、通信和操作管理、 访问控制、系统开发与维护、业务连续性、符合性， 主要以人员访谈和管理制度文档审核两种形式进 行。 2.1.7 终端主机安全评估 终端主机安全评估是通过人工查看和工具检查 的方式，对我单位信息系统中的 PC 终端进行随机抽 检，检查其是否有驻留木马、蠕虫、病毒和恶意软 件等情况，以了解信息系统中 PC 终端的整体安全情 况。 PC 终端是日常办公、业务应用的基础设备，因 使用者技术水平和安全意识的差别，安全状况也不 尽相同。本次评估对 20 台 PC 终端进行了人工审计， 主要抽取专业科室如财务、人事、企划等部门。PC 终端主机的安全评估主要针对 PC 终端的 Windows 操 作系统进行。 2.1.8 渗透检测 在本次评估中，分别对我单位的内部网站、班 组管理、营销等基础信息服务和业务应用系统进行 了安全性渗透测试。对随机抽选的终端主机是否有 驻留木马、蠕虫、恶意软件等情况进行的检查，主 要通过人工查看和工具检查两种方式来进行。 2.2 信息系统存在的脆弱性 通过安全评估，发现在基础网络、基础信息、 业务系统、现有安全措施等方面均存在一些脆弱性， 具体数量如下表所示：