前言

  隨著北京某運行商自身信息化水平的不斷提升，其對業(yè)務支撐平臺的安全性能要求也越來越高。雖然該運營商在一定程度上較好地實現(xiàn)了技術(shù)風險的準入控制，但現(xiàn)階段的信息安全總體水平仍不能完全滿足應用安全標準和最佳實踐的要求,為了鞏固信息安全建設已有成效，進一步提升信息安全技術(shù)保障水平，落實信息安全體系規(guī)劃，同時也為滿足外部監(jiān)管、合規(guī)和審計的要求，急需對其在線應用系統(tǒng)進行安全評估，使安全技術(shù)與運維相結(jié)合，進一步加強安全技術(shù)風險管控，保障信息業(yè)務的平穩(wěn)運轉(zhuǎn)，因此，該運營商啟動了本次安全評估項目。

信息安全評估對象

   本次安全評估工作主要通過人員訪談、設備和系統(tǒng)調(diào)查、實地檢查等方式對物理環(huán)境、主機系統(tǒng)、應用系統(tǒng)、數(shù)據(jù)系統(tǒng)、網(wǎng)絡系統(tǒng)，進行全面、系統(tǒng)的安全風險評估。
                

  

        

安全評估實施過程

   根據(jù)等級保護標準，通過實地調(diào)研和考察，對物理環(huán)境安全進行檢查，得出物理安全評估結(jié)果。
   通過工具軟件掃描與人工檢測的方式，對服務器、數(shù)據(jù)庫、網(wǎng)絡設備等進行主機安全檢查，檢查的范圍包括主機安全漏洞、主機配置不安全項等。
   分析整體的網(wǎng)絡架構(gòu)，從網(wǎng)絡可靠性、網(wǎng)絡邊界安全、網(wǎng)絡通信安全這幾方面對整體網(wǎng)絡安全進行評估。
      

 

項目實施成果

    通過對北京某運營商的服務器、網(wǎng)絡設備、應用系統(tǒng)進行全面、系統(tǒng)的安全評估工作，總計發(fā)現(xiàn)問題如下：

• 管理安全問題：10余項
• 物理環(huán)境安全問題：20余項
• 網(wǎng)絡安全問題：40余項
• 應用系統(tǒng)安全問題：20余項
• 主機安全漏洞：高中風險漏洞總計800余項，安全配置不符合項2000余項。

    

 總體評價

   通過本次安全評估服務，幫助北京某運營商更加清晰的了解自己平臺系統(tǒng)存在的安全問題，助其進一步完善和增強了業(yè)務系統(tǒng)和設備的安全性，提高系統(tǒng)抵御安全風險和黑客入侵的能力。
   當然，該運營商對本次安全評估服務結(jié)果感到十分滿意，并作出承諾，后面繼續(xù)合作。