| 出版日期:2004-08-30 总期号:1343 本年期号:64 |
|
 |
查漏洞 降风险
—亿阳信通安全评估助海南电信防患于未然 随着电信业务发展和企业信息化建设的深入,海南省电信公司建成了覆盖全省的网络支撑平台,在上面运行着综合业务支撑系统、计费系统、各类网管系统和办公自动化系统等种类繁多、用户数量很大的各类应用。 随着网络增大和软硬件增多,海南电信也碰到了很多同其他企业相类似的麻烦:内部网络存在多个Internet出口,攻击威胁越来越严重;没有漏洞扫描机制;防病毒系统不全面;缺乏安全监控体系和应急响应机制等各种问题。单纯购买安全产品已经无法解决整个网络存在的复杂问题,而且对安全风险缺乏认识也使得企业领导在决策过程中,觉得心中没底。为此,他们特别邀请了在国内安全领域领先的亿阳信通对整个系统进行评估。 海南电信有些核心系统的安全直接影响着其日常运营,建立企业内部网络的安全体系已迫在眉睫。鉴于这种情况,亿阳遵照国际网络安全管理标准,采用科学有效的模型和方法对海南省电信公司所辖的信息资产,包括网络系统、主机系统、业务系统、相关的安全措施以及安全管理策略与制度进行了较为全面的安全评估。除了从总体上评估信息资产所面临的风险程度,亿阳还对指定的网络、系统和安全策略进行全面的测评。 在涉及到抽样评估时,综合考虑到业务代表性、操作系统、典型应用业务几方面因素,亿阳信通采用了安全需求调研、资产赋值、白客渗透测试、安全审计、安全策略评估、顾问访谈等形式,选取DCN网枢纽楼中心节点、综合业务支撑系统等具有代表性的评估对象进行了深度测评,另外还选择了信息港总部机关等作为综合性的使用单位,进行了全面测评。 整个安全评估过程,分为安全需求分析、评估范围确定、信息资产识别与赋值、网络架构评估等子过程,在每个阶段,亿阳信通都提供了相应的工作报告。最终得到了信息资产、安全策略、系统漏洞等数据,综合这些数据,同步建设成完整的海南电信公司网络安全信息数据库。 经过亿阳信通安全评估专家和海南电信安全评估小组的共同努力,海南电信网络安全评估项目圆满成功。该项目最终实现了三大目标:一、从技术角度上,掌握了网络中现存的系统漏洞、网络风险等问题,而且从管理角度上分析了安全管理制度、安全响应机制、业务流程安全漏洞、人员安全意识等问题;二、从技术和管理两方面提出了可操作的解决方案,并建立了网络安全信息数据库,提高了海南省电信公司的网络安全管理水平;三、为海南电信公司的网络安全建设,提供了最翔实、最基本的重要资料,为海南电信的长远安全建设做出了重要贡献。 |
||||||||||||||||||||||||
