北京某运营商信息安全评估项目案例

前言

  随着北京某运行商自身信息化水平的不断提升，其对业务支撑平台的安全性能要求也越来越高。虽然该运营商在一定程度上较好地实现了技术风险的准入控制，但现阶段的信息安全总体水平仍不能完全满足应用安全标准和最佳实践的要求,为了巩固信息安全建设已有成效，进一步提升信息安全技术保障水平，落实信息安全体系规划，同时也为满足外部监管、合规和审计的要求，急需对其在线应用系统进行安全评估，使安全技术与运维相结合，进一步加强安全技术风险管控，保障信息业务的平稳运转，因此，该运营商启动了本次安全评估项目。

信息安全评估对象

   本次安全评估工作主要通过人员访谈、设备和系统调查、实地检查等方式对物理环境、主机系统、应用系统、数据系统、网络系统，进行全面、系统的安全风险评估。
                

  

        

安全评估实施过程

   根据等级保护标准，通过实地调研和考察，对物理环境安全进行检查，得出物理安全评估结果。
   通过工具软件扫描与人工检测的方式，对服务器、数据库、网络设备等进行主机安全检查，检查的范围包括主机安全漏洞、主机配置不安全项等。
   分析整体的网络架构，从网络可靠性、网络边界安全、网络通信安全这几方面对整体网络安全进行评估。
      

 

项目实施成果

    通过对北京某运营商的服务器、网络设备、应用系统进行全面、系统的安全评估工作，总计发现问题如下：

• 管理安全问题：10余项
• 物理环境安全问题：20余项
• 网络安全问题：40余项
• 应用系统安全问题：20余项
• 主机安全漏洞：高中风险漏洞总计800余项，安全配置不符合项2000余项。

    

 总体评价

   通过本次安全评估服务，帮助北京某运营商更加清晰的了解自己平台系统存在的安全问题，助其进一步完善和增强了业务系统和设备的安全性，提高系统抵御安全风险和黑客入侵的能力。
   当然，该运营商对本次安全评估服务结果感到十分满意，并作出承诺，后面继续合作。