引論:我們?yōu)槟砹?篇論通信企業(yè)信息安全范文,供您借鑒以豐富您的創(chuàng)作。它們是您寫作時的寶貴資源,期望它們能夠激發(fā)您的創(chuàng)作靈感,讓您的文章更具深度。
論通信企業(yè)信息安全:綠色通信網(wǎng)絡(luò)助力電力企業(yè)信息安全
摘 要:隨著信息化建設(shè)的深入,通信網(wǎng)絡(luò)已經(jīng)成為一大主流信息傳遞媒介,成為電力企業(yè)實現(xiàn)信息互動的一大全新方式,所以對于電力企業(yè)來講,通信網(wǎng)絡(luò)具有重要價值,推動其是一種時代趨勢,但在發(fā)展過程中,如何實現(xiàn)綠色通信,確保企業(yè)信息的安全性,是未來通信網(wǎng)絡(luò)建設(shè)的一大重點。
關(guān)鍵詞:綠色;通信網(wǎng)絡(luò);電力企業(yè);信息安全
中圖分類號:TN915.08
2014年的通信行業(yè)將仍延續(xù)之前的光明景氣,但行業(yè)整體的利潤規(guī)模縮小,可見利潤的上升空間較大。眼下,4G牌照的發(fā)放正是得益于產(chǎn)業(yè)鏈發(fā)展如日中天的東風(fēng)和政策性支持的充分肯定,使2013年的通信行業(yè)出現(xiàn)了新的經(jīng)濟增長點。基于此,可以預(yù)想,未來的通信行業(yè)及其相關(guān)行業(yè)的發(fā)展勢頭將一片大好。
1 通信網(wǎng)絡(luò)與信息安全的關(guān)系
通信網(wǎng)絡(luò)是國家信息安全建設(shè)的重要內(nèi)容,所以電力企業(yè)信息安全與之有著密切聯(lián)系。通信網(wǎng)絡(luò)安全,就是將數(shù)據(jù)和信息被攻占的可能性降至低,這些信息時電力企業(yè)的經(jīng)濟命脈,若是出現(xiàn)安全問題,將帶來不可估量的經(jīng)濟損失。而通信網(wǎng)絡(luò)在電力信息化建設(shè)過程中扮演著三大角色:不同性質(zhì)計算機應(yīng)用系統(tǒng)的信息網(wǎng)絡(luò)公共平臺的提供者;通信技術(shù)資源的開發(fā)、維護和管理者;與業(yè)務(wù)管理相關(guān)的計算機應(yīng)用系統(tǒng)的開發(fā)、建設(shè)和使用者。
電力企業(yè)的正常運行和經(jīng)營管理都離不開通信網(wǎng)絡(luò)系統(tǒng),它不僅承載企業(yè)內(nèi)部的電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng),而且承載著網(wǎng)絡(luò)的互聯(lián)網(wǎng)連接,確保其安全性是電力企業(yè)信息安全建設(shè)的重中之重,電力企業(yè)信息安全性在很大程度上決定著電力生產(chǎn)控制系統(tǒng)的安全性。所以,電力企業(yè)要加強綠色通信網(wǎng)絡(luò)體系的構(gòu)建,做好等級保護、風(fēng)險評估以及安全備份等工作,提高通信網(wǎng)絡(luò)安全的應(yīng)急能力和風(fēng)險規(guī)避能力,提高通信網(wǎng)絡(luò)安全的管理水平,為電力企業(yè)的可持續(xù)發(fā)展奠定堅實技術(shù)基礎(chǔ)。
2 構(gòu)建綠色通信網(wǎng)絡(luò)的必要性
目前,大部分企業(yè)依然采用普通網(wǎng)絡(luò)進行信息互動,盡管也具有一定的安全性,但信息被盜的安全問題卻時有發(fā)生,之所以會出現(xiàn)這種現(xiàn)象,主要是由于:計算機應(yīng)用系統(tǒng)自身的開放性、互動性和共享性;新型計算機病毒的不斷出現(xiàn)與傳播;商用軟件源代碼的公開化問題;上述這三大方面對電力企業(yè)的信息安全造成了巨大威脅,所以必須要加以重視。電力企業(yè)必須通過構(gòu)建綠色通信網(wǎng)絡(luò)系統(tǒng),將信息安全風(fēng)險降至低,為了實現(xiàn)這一目標(biāo),首先要做好構(gòu)建完善安全機制和不斷加強技術(shù)創(chuàng)新。
首先,構(gòu)建立體化、層次化的安全管控體系。電力企業(yè)要想提高通信網(wǎng)絡(luò)的技術(shù)安全水平,就要加強現(xiàn)有資源的優(yōu)化整合,提高通信網(wǎng)絡(luò)系統(tǒng)的自修復(fù)能力、應(yīng)急能力和安全備份能力,具體來講,就是要提高通信網(wǎng)絡(luò)系統(tǒng)在安全漏洞自發(fā)現(xiàn)與修復(fù)、全程事件監(jiān)控和分析、網(wǎng)絡(luò)安全態(tài)勢的綜合分析、網(wǎng)絡(luò)安全的高效管理以及安全配置的集中管控等方面的水平。由于所涉及反面比較廣泛,所以要構(gòu)建與之相應(yīng)的安全技術(shù)體系。
其次,加強IP承載網(wǎng)的安全優(yōu)化設(shè)計,利用安全管理中心來提高綠色通信網(wǎng)絡(luò)系統(tǒng)的安全性。加強對普通計算機應(yīng)用系統(tǒng)的管控,并在實際管理和使用過程中,加強對相關(guān)技術(shù)人員的安全教育,提高他們的保密意識和技術(shù)能力,盡量將安全風(fēng)險降至可控制范圍內(nèi)的低。在管理方面,要加強長效的安全管理機制的構(gòu)建,確保網(wǎng)絡(luò)管理人員及時到位,構(gòu)建完善的安全評估和應(yīng)急體制,等等。特別需要提出的是,為了提高系統(tǒng)應(yīng)急能力,必須要構(gòu)建完善的安全應(yīng)急處理協(xié)調(diào)機制,加強應(yīng)急預(yù)案體系和應(yīng)急指揮體系的構(gòu)建,加強應(yīng)急隊伍和技術(shù)保障建設(shè)。要做好基礎(chǔ)信息網(wǎng)絡(luò)建設(shè)、重要信息安全備份和安全應(yīng)急處理工作,一旦出現(xiàn)安全故障,要確保在最短時間內(nèi)加以解決,將風(fēng)險和損失降至低。
3 規(guī)劃綠色通信網(wǎng)絡(luò)的四步驟
規(guī)劃綠色通信網(wǎng)絡(luò)系統(tǒng)是電力企業(yè)信息建設(shè)的重要前提和基礎(chǔ)保障,具有非常重要的現(xiàn)實意義。為為了實現(xiàn)這一目標(biāo),不僅需要嚴(yán)格遵守電力系統(tǒng)的相關(guān)規(guī)定,而且還要嚴(yán)格遵循相關(guān)的技術(shù)標(biāo)準(zhǔn),所以,要想實現(xiàn)綠色通信網(wǎng)絡(luò)的科學(xué)規(guī)劃,需要立足于傳送網(wǎng)絡(luò)層和業(yè)務(wù)網(wǎng)絡(luò)層,加強所用設(shè)備的檢查、巡視與監(jiān)控,確保信息系統(tǒng)安全穩(wěn)定運行,強化信息通訊安全保障,主要做好以下幾個方面的工作才可以:
3.1 做好業(yè)務(wù)網(wǎng)絡(luò)規(guī)劃。具體來講,就是對提供不同業(yè)務(wù)的網(wǎng)絡(luò)加以科學(xué)規(guī)劃,包括數(shù)據(jù)網(wǎng)、移動通信網(wǎng)和計算機網(wǎng)等核心業(yè)務(wù)網(wǎng)絡(luò)。業(yè)務(wù)網(wǎng)絡(luò)規(guī)劃在綠色通信網(wǎng)絡(luò)系統(tǒng)構(gòu)建中具有重要作用,是電力企業(yè)實現(xiàn)信息化的關(guān)鍵環(huán)節(jié)。電力企業(yè)要在既有業(yè)務(wù)網(wǎng)絡(luò)的基礎(chǔ)上加強安全建設(shè),靈活利用各種手段加強對安全技術(shù)人員和管理人員的業(yè)務(wù)培訓(xùn),提高電力企業(yè)業(yè)務(wù)系統(tǒng)的技術(shù)能力和安全意識,確保各大業(yè)務(wù)系統(tǒng)的正常運作。
3.2 做好傳送網(wǎng)絡(luò)規(guī)劃。具體來講,就是構(gòu)建完善的業(yè)務(wù)技術(shù)支撐體系,對交換機、無線網(wǎng)絡(luò)、移動網(wǎng)絡(luò)和服務(wù)器等進行規(guī)劃。目前,國家對信息安全問題日益重視,而電力企業(yè)信息系統(tǒng)的安全建設(shè)也開始提上日程,如何加強傳輸網(wǎng)絡(luò)層的規(guī)范化和標(biāo)準(zhǔn)化,已經(jīng)成為通信領(lǐng)域的一大課題。根據(jù)通信網(wǎng)絡(luò)系統(tǒng)對信息傳輸安全性、保密性和規(guī)范性的要求,電力企業(yè)要實現(xiàn)對信息傳輸?shù)膶崟r監(jiān)控,強化網(wǎng)絡(luò)管理人員的保密意識,避免管理人員將重要信息外泄的非法操作現(xiàn)象出現(xiàn),確保信息傳輸?shù)陌踩浴?
3.3 做好安全保障規(guī)劃。具體來講,就是通過成立專門的組織機構(gòu),明確各科室信息人員及時處理設(shè)備故障的工作,及時處理信息通信出現(xiàn)的突發(fā)事件。堅持“誰主管誰負(fù)責(zé),誰運行誰負(fù)責(zé),誰使用誰負(fù)責(zé)”的原則,完善各項防護措施,加強運行管理,開展防病毒、防攻擊、防破壞等安全防范工作;開展多方位的通信網(wǎng)絡(luò)隱患排查和治理工作,做好基礎(chǔ)設(shè)備防火、防盜及電源檢查與保障工作;建立特巡機制,重點監(jiān)控網(wǎng)絡(luò)設(shè)備、重要應(yīng)用系統(tǒng)與數(shù)據(jù)庫等;加強網(wǎng)絡(luò)通道保障機制,對值班人員提出密切監(jiān)控的嚴(yán)要求,發(fā)現(xiàn)問題及時解決,保障通信網(wǎng)絡(luò)安全。
3.4 做好基礎(chǔ)設(shè)施規(guī)劃。具體來講,就是對計算機、服務(wù)器等硬件設(shè)施的規(guī)劃,這些硬件設(shè)施是確保通信網(wǎng)絡(luò)系統(tǒng)正常運作的前提。在信息系統(tǒng)中,服務(wù)器承載量非常大,在信息傳輸過程中數(shù)據(jù)的處理工作量也急劇增長,只有實現(xiàn)對路由器的實時監(jiān)控,定期檢查路由器故障,加強基礎(chǔ)設(shè)施建設(shè)力度,才能確保其企業(yè)通信網(wǎng)絡(luò)系統(tǒng)的安全運作。此外,為了構(gòu)建長效綠色通信網(wǎng)絡(luò)系統(tǒng),還要對網(wǎng)絡(luò)安全預(yù)防、網(wǎng)絡(luò)綜合化等因素加以考慮,在做好信息傳送網(wǎng)絡(luò)層和業(yè)務(wù)網(wǎng)絡(luò)層規(guī)劃基礎(chǔ)上,積極采取有效的安全預(yù)防措施,以便盡快實現(xiàn)綠色通信網(wǎng)絡(luò)系統(tǒng)構(gòu)建的信息化建設(shè)目標(biāo),實現(xiàn)電力企業(yè)的可持續(xù)發(fā)展。
4 結(jié)語
現(xiàn)代通信網(wǎng)絡(luò)日益呈現(xiàn)多元化發(fā)展,數(shù)字化、寬帶化和智能化已經(jīng)成為必然趨勢,做好網(wǎng)絡(luò)規(guī)劃和綠色通信網(wǎng)絡(luò)系統(tǒng)構(gòu)建,不僅可以確保電力企業(yè)的信息安全,而且還可以創(chuàng)造良好的社會效益和經(jīng)濟效益。所以,電力企業(yè)必須加強對綠色通信網(wǎng)絡(luò)系統(tǒng)的構(gòu)建,提高企業(yè)信息技術(shù)創(chuàng)新能力和信息安全管理能力,將企業(yè)的信息安全風(fēng)險降至低,提高電力企業(yè)通信網(wǎng)絡(luò)系統(tǒng)的安全防護能力和安全管理水平。
論通信企業(yè)信息安全:信息通信綜合智能柜在企業(yè)信息安全中的優(yōu)勢
摘 要:企業(yè)的通信與信息作為不可缺少的兩大部分,強調(diào)高效率的同時,其安全性更是不容忽視,信息通信綜合智能柜作為新時代下的企業(yè)選擇,具有供電性提高、柜內(nèi)信息可視化實時監(jiān)測、并可進行視頻功能實時監(jiān)控、配置門池報警功能實現(xiàn)有效防操作、智能控制柜內(nèi)多項環(huán)境信息、防盜系統(tǒng)升級等諸多優(yōu)勢,為企業(yè)的信息安全添加了一把牢固的安全鎖。
關(guān)鍵詞:信息通信綜合智能柜;功能模塊;顯著優(yōu)勢
信息科技的發(fā)展為人類帶來無限機遇的同時,隱患也隨之而來,且諸多企業(yè)的通信與信息機房共用,對固有的信息與通信設(shè)備,原有的普通柜子不能實時監(jiān)測柜內(nèi)狀況,亦不能監(jiān)控溫度。因此本次研究內(nèi)容包括以實現(xiàn)有軌平臺操作為目標(biāo)的柜內(nèi)視頻監(jiān)控、帶有自動微電子空調(diào)與新風(fēng)系統(tǒng),當(dāng)柜內(nèi)空調(diào)停止運行時,自動啟動新風(fēng)系統(tǒng)、對柜內(nèi)電源進行電壓、電流、負(fù)載等的智能控制、防止非法入侵的智能門禁控制等。
1 信息通信綜合智能柜的功能
通過智能軟件實現(xiàn)視頻監(jiān)控、環(huán)境溫濕度采集、報警信號接入、空調(diào)、門禁等電控設(shè)備,可以順利實現(xiàn)視頻、智能識別和監(jiān)視目標(biāo)的行為分析功能。
針對信息通信綜合智能柜,擬通過對柜內(nèi)的部分開關(guān)進行改造,以滿足信息、通信自動化的要求,提高了供電性;實現(xiàn)柜內(nèi)信息可視化實時監(jiān)測;并可進行視頻功能實時視頻、監(jiān)控;配置門池報警功能實現(xiàn)有效防盜;柜內(nèi)小空調(diào)內(nèi)置環(huán)境監(jiān)測模塊柜體易維護、易操作;柜內(nèi)環(huán)境恒溫設(shè)計有效提高柜內(nèi)設(shè)備使用壽命。
2 信息通信綜合智能柜的優(yōu)勢
2.1 正確的故障判斷與信息采集
信息通信綜合智能柜對于故障判斷和信息的采集具有十分敏銳的優(yōu)勢,究其原因,在于其具備以下優(yōu)勢。
首先,信息通信綜合智能柜可通過系統(tǒng)平臺及柜內(nèi)開關(guān)控制,實現(xiàn)柜內(nèi)視頻監(jiān)控有軌平臺操作。相較于硬盤的錄像技術(shù),該智能柜采用了視頻組態(tài)的新技術(shù),各個通道的圖像能夠以控件的形式插入隨意的某個界面,這項技術(shù)對于大型的監(jiān)控系統(tǒng)來說,最終是以電子地圖的形式來加以呈現(xiàn),能夠方便工作人員對柜內(nèi)的數(shù)據(jù)與圖像進行集中管理。此外,新技術(shù)將閉路監(jiān)控與動力環(huán)境監(jiān)控合二為一,因此圖像和動力環(huán)境的聯(lián)動控制也能夠順利實現(xiàn)。
其次,信息通信綜合智能柜可通過在柜內(nèi)內(nèi)置環(huán)境檢測模塊來實現(xiàn)柜內(nèi)電源智能控制,有效檢測系統(tǒng)的短路故障,可采集柜內(nèi)的電壓、電流等變量、環(huán)境溫濕度、報警信號接入、空調(diào)、門禁柜內(nèi)環(huán)境信息等,實現(xiàn)故障自管理功能,包括電壓、電流、溫度、風(fēng)機、模塊、高低溫功能,同時檢測模塊將環(huán)境數(shù)據(jù)上傳至中心站,供監(jiān)控用,使工作人員的效率得以提高。
第三,信息通信綜合智能柜可通過軟、硬件的結(jié)合實現(xiàn)柜內(nèi)新風(fēng)系統(tǒng),當(dāng)柜內(nèi)空調(diào)出現(xiàn)故障時,柜內(nèi)自動啟動新風(fēng)系統(tǒng),以保障柜內(nèi)設(shè)備正常運行,更進一步保障了柜內(nèi)設(shè)備的正常運行,提高了柜內(nèi)的使用壽命。
第四,信息通信綜合智能柜可通過在屏柜內(nèi)置直流驅(qū)動精密半導(dǎo)體空調(diào),實現(xiàn)柜內(nèi)自動微電子空調(diào)控制,自動實現(xiàn)柜內(nèi)的溫濕度調(diào)節(jié)和微電子空調(diào)控制,保障柜內(nèi)環(huán)境恒溫恒濕,減少了柜內(nèi)故障。
,信息通信綜合智能柜通過對柜門改造,實現(xiàn)柜門聯(lián)動門池報警功能,進行有效防盜。
2.2 環(huán)境檢測模塊
屏柜內(nèi)置直流驅(qū)動精密半導(dǎo)體空調(diào),可自動實現(xiàn)柜內(nèi)的溫濕度調(diào)節(jié),保障柜內(nèi)環(huán)境恒溫恒濕。環(huán)境檢測模塊集成于半導(dǎo)體空調(diào),實現(xiàn)了故障自管理功能,包括風(fēng)機、模塊、高低溫功能,同時檢測模塊將環(huán)境數(shù)據(jù)上傳至中心站,供監(jiān)控用。
信息通信綜合智能柜提供標(biāo)準(zhǔn)RS232和RS485接口,可直接連接串口設(shè)備;提供功能強大的中心管理軟件,方便設(shè)備管理;具有短信與撥號兩種工作模式,使用更加方便,靈活;系統(tǒng)配置和維護接口,支持串口軟件升級和遠程維護;可擴展視頻數(shù)據(jù)提供了簡便的檢測FTU通訊口和數(shù)據(jù)檢測環(huán)境數(shù)據(jù)。
3 信息通信綜合智能柜的供電配件
信息通信綜合智能柜采用質(zhì)量的電源配件,支撐上述諸多優(yōu)勢的長時間耗電,使其順利完成通信與信息功能。
3.1 充電式模塊電源
該電源具有體積小,轉(zhuǎn)換效率高,性能穩(wěn)定,原副邊隔離,隔離強度高的優(yōu)點。本產(chǎn)品電網(wǎng)適應(yīng)能力強,220V標(biāo)稱輸入,可在較寬輸入電壓范圍內(nèi)工作。另外,本產(chǎn)品具有智能充電功能,可對外接的24V電池充電,在交流斷電時電池可不間斷的對負(fù)載供電,顯示電源狀態(tài),具有防止電池過放電的保護功能;也具備電池活化功能,手動或通過外部信號自動對電池進行活化維護。
3.2 蓄電池
根據(jù)浙電生字[2012]20號文 浙江省電力公司配電自動化終端技術(shù)規(guī)范(試行)推薦,本項目選用蓄電池型號為日本湯淺電池 NP7-12,參考重量約2.55kg,使用壽命約為5年。耐過充電性好,25攝氏度,充電狀態(tài)的電池0.1CA充電48小時,容量維持率在95%以上。耐大電流性好,充電狀態(tài)的電池2CA放電5分鐘或10CA放電5秒鐘。機柜內(nèi)部外部可以實現(xiàn)密封,達到IP56以上,確保機柜內(nèi)部電子設(shè)備得到完好保護,具有故障自檢測自管理功能,低壓、過壓保護功能。通過PWM調(diào)制控制,內(nèi)部溫度可以達到±0.5℃控制精度。半導(dǎo)體制冷器不含運動部件,沒有壓縮機和制冷劑,環(huán)保、高效、COP效率(制熱能效比)可以達到0.8。
4 結(jié)語
綜上所述,在研究信息通信綜合智能柜的過程中,部門人員始終以提高通信運維的效率和水平為目標(biāo),擬通過對柜內(nèi)的部分開關(guān)進行改造,以滿足信息、通信自動化的要求,提高供電性;實現(xiàn)柜內(nèi)信息可視化實時監(jiān)測,并可進行視頻功能實時監(jiān)控;配置門池報警功能實現(xiàn)有效防操作,柜內(nèi)小空調(diào)內(nèi)置環(huán)境監(jiān)測模塊,柜內(nèi)環(huán)境恒溫設(shè)計有效提高柜內(nèi)設(shè)備使用壽命,雙網(wǎng)絡(luò)切換平臺功能的增設(shè)更是大大增加了其功能性。
論通信企業(yè)信息安全:論通信企業(yè)信息安全審計
一、信息安全管理審計
1獲取并查看公司在業(yè)務(wù)導(dǎo)向的風(fēng)險評估、信息安全規(guī)劃和預(yù)算方面的制度和文件。2訪談公司領(lǐng)導(dǎo),了解風(fēng)險評估、信息安全規(guī)劃和預(yù)算方面的執(zhí)行情況,檢查管理層是否對信息安全規(guī)劃執(zhí)行情況進行定期審閱,并取得相關(guān)證明材料。風(fēng)險3:員工未簽署保密協(xié)議,無法在信息安全方面對員工要求和考核的風(fēng)險。審計方法:1獲取并查看公司在員工保密方面的制度和措施。2訪談公司管理層并了解是否與員工簽訂保密條款,獲取并查看公司在安全意識教育方面的計劃、執(zhí)行情況,并取得相關(guān)證明資料。3檢查離職員工系統(tǒng)賬號的清理情況。
二、數(shù)據(jù)泄露保護審計
風(fēng)險1:CRM、計費、經(jīng)營分析、網(wǎng)上營業(yè)廳等應(yīng)用系統(tǒng)在開發(fā)環(huán)境、測試環(huán)境、生產(chǎn)環(huán)境方面的控制風(fēng)險。具體包括:外包人員在不受限或未授權(quán)的狀態(tài)下訪問生產(chǎn)測試環(huán)境,進行數(shù)據(jù)修改或拷貝;測試環(huán)境、生產(chǎn)環(huán)境信息保護不足,增加了數(shù)據(jù)泄漏的風(fēng)險等。審計方法:1獲取并查看開發(fā)上線流程授權(quán)管理制度和流程;查看公司在應(yīng)用系統(tǒng)開發(fā)環(huán)境、測試環(huán)境、生產(chǎn)環(huán)境方面的管理制度;訪談系統(tǒng)管理員,了解服務(wù)器功能和工作流程。2訪談開發(fā)環(huán)境、測試環(huán)境、生產(chǎn)環(huán)境負(fù)責(zé)人,了解對用戶授權(quán)、密碼策略、日志的管理情況;查看是否包含對開發(fā)人員權(quán)限管理的控制、開發(fā)上線流程所涉及服務(wù)器的現(xiàn)有賬號的授權(quán)審批、密碼策略、日志(登錄日志、操作日志的管理情況;如開發(fā)人員中包括外包人員,須特別標(biāo)出并查看;了解日志審閱情況,并獲取相關(guān)證明資料。3訪談測試環(huán)境、生產(chǎn)環(huán)境應(yīng)用負(fù)責(zé)人,獲取并查看公司的數(shù)據(jù)安全性分級標(biāo)準(zhǔn)、了解數(shù)據(jù)導(dǎo)出和查詢功能授權(quán)標(biāo)準(zhǔn);了解數(shù)據(jù)導(dǎo)出和查詢功能是否有安全風(fēng)險評估、上線前是否有功能測試、上線后權(quán)限授予審批情況,并取得相關(guān)資料;風(fēng)險2:業(yè)務(wù)支撐系統(tǒng)的測試數(shù)據(jù)庫、生產(chǎn)數(shù)據(jù)庫方面的控制風(fēng)險。具體包括:環(huán)境保護不足,存在數(shù)據(jù)庫環(huán)境未授權(quán)修改、數(shù)據(jù)泄露、數(shù)據(jù)庫停機的風(fēng)險;關(guān)鍵業(yè)務(wù)數(shù)據(jù)未加密存儲,存在數(shù)據(jù)泄露的風(fēng)險;操作系統(tǒng)和數(shù)據(jù)庫有漏洞,存在數(shù)據(jù)泄露和停止服務(wù)的風(fēng)險等。審計方法:1獲取并查看測試數(shù)據(jù)庫、生產(chǎn)數(shù)據(jù)庫管理制度;訪談數(shù)據(jù)庫管理員,了解數(shù)據(jù)庫的用戶訪問控制、密碼策略、數(shù)據(jù)庫日志(登錄日志、操作日志審閱情況;了解數(shù)據(jù)庫用戶密碼的保存方式是否為明文、是否已修改默認(rèn)密碼。2獲取并查看公司對業(yè)務(wù)數(shù)據(jù)加密的管理規(guī)定和要求;訪談應(yīng)用管理員,了解業(yè)務(wù)數(shù)據(jù)加密情況,并獲取相關(guān)證明資料;3獲取并查看公司在安全性掃描方面的管理制度;訪談相關(guān)人員,了解安全性掃描執(zhí)行情況;通過掃描生產(chǎn)環(huán)境、開發(fā)環(huán)境和測試環(huán)境操作系統(tǒng)和數(shù)據(jù)庫的方式,測試生產(chǎn)環(huán)境、開發(fā)環(huán)境和測試環(huán)境的操作系統(tǒng)和數(shù)據(jù)庫是否存在漏洞;訪談相關(guān)人員,確認(rèn)未打補丁的漏洞的合理性;風(fēng)險3:網(wǎng)絡(luò)架構(gòu)及防火墻設(shè)置不當(dāng)?shù)确矫娴目刂骑L(fēng)險。包括:網(wǎng)絡(luò)保護和劃分不當(dāng),存在計算機環(huán)境被攻擊的風(fēng)險;防火墻控制不當(dāng),存在未授權(quán)訪問、關(guān)鍵設(shè)備保護不當(dāng)?shù)娘L(fēng)險;服務(wù)器間傳輸未加密,存在數(shù)據(jù)泄露的風(fēng)險等。審計方法:1獲取并查看公司網(wǎng)絡(luò)管理制度流程、網(wǎng)絡(luò)拓?fù)鋱D;訪談網(wǎng)絡(luò)管理員,了解生產(chǎn)服務(wù)器是否在獨立網(wǎng)段,此網(wǎng)段是否存在非生產(chǎn)服務(wù)器;了解外包人員所在網(wǎng)段是否為獨立網(wǎng)段。2獲取并查看公司防火墻管理制度流程,獲取生產(chǎn)服務(wù)器所在網(wǎng)段防火墻訪問控制列表;通過在非生產(chǎn)網(wǎng)段個人計算機掃描生產(chǎn)網(wǎng)段IP地址的方式,測試生產(chǎn)網(wǎng)段向非生產(chǎn)網(wǎng)段開放了那些IP地址和端口,確認(rèn)已開放IP地址和端口的合理性。3獲取并查看公司對應(yīng)用服務(wù)器與數(shù)據(jù)庫服務(wù)器間加密傳輸?shù)墓芾硪?guī)定和要求;了解應(yīng)用服務(wù)器與數(shù)據(jù)庫服務(wù)器間傳輸是否加密,并獲取相關(guān)證明資料。
三、IP外包管理審計
風(fēng)險1:軟件開發(fā)上線流程風(fēng)險。檢查是否存在不規(guī)范的軟件開發(fā)和上線流程,是否存在代碼被惡意更改的風(fēng)險。審計方法:1獲取并查看軟件開發(fā)和上線相關(guān)制度流程。2對軟件開發(fā)和上線流程進行穿行測試,了解軟件開發(fā)和上線流程中現(xiàn)有賬號是否經(jīng)過授權(quán)審批(如:源代碼服務(wù)器、編譯服務(wù)器、版本服務(wù)器等環(huán)境中的賬號是否經(jīng)過授權(quán)審批,并獲取相關(guān)證明資料。風(fēng)險2:應(yīng)用系統(tǒng)源代碼審閱風(fēng)險,檢查源代碼中是否插入了惡意代碼等。審計方法:1獲取并查看公司對源代碼安全性的審閱制度,如:源代碼安全標(biāo)準(zhǔn),審閱內(nèi)容、頻度、人員、范圍等。2訪談相關(guān)負(fù)責(zé)人,了解源代碼審閱情況,并獲取相關(guān)資料。風(fēng)險3:數(shù)據(jù)脫敏處理風(fēng)險,主要是客戶信息通過測試數(shù)據(jù)泄露的風(fēng)險。審計方法:1獲取并查看公司在非生產(chǎn)環(huán)境敏感信息清理方面的制度、敏感信息的定義。2對數(shù)據(jù)脫敏情況進行穿行測試,實地查看非生產(chǎn)環(huán)境的應(yīng)用系統(tǒng),檢查非生產(chǎn)環(huán)境是否存在未脫敏信息,尤其需要驗證高保密性信息,如黨政軍客戶信息等。
四、信息系統(tǒng)監(jiān)控審計風(fēng)險
1:應(yīng)用系統(tǒng)、操作系統(tǒng)和數(shù)據(jù)庫監(jiān)控、網(wǎng)絡(luò)監(jiān)控等方面的風(fēng)險。包括缺少應(yīng)用和用戶行為監(jiān)控,無法對用戶的惡意行為進行有效監(jiān)控的風(fēng)險;缺乏服務(wù)器和數(shù)據(jù)庫監(jiān)控,無法及時發(fā)現(xiàn)服務(wù)器和數(shù)據(jù)庫的安全故障,存在數(shù)據(jù)泄露和業(yè)務(wù)系統(tǒng)停止服務(wù)的風(fēng)險;缺乏網(wǎng)絡(luò)監(jiān)控,無法及時發(fā)現(xiàn)潛在或?qū)嶋H存在的惡意入侵或網(wǎng)絡(luò)攻擊,存在數(shù)據(jù)泄露風(fēng)險。審計方法:1獲取并查看公司對用戶行為監(jiān)控、設(shè)備監(jiān)控、網(wǎng)絡(luò)監(jiān)控等方面的制度;訪談監(jiān)控管理員,了解監(jiān)控執(zhí)行情況、監(jiān)控日志定期審閱情況;訪談網(wǎng)絡(luò)管理員,了解網(wǎng)絡(luò)檢測設(shè)備的使用。2訪談應(yīng)用系統(tǒng)管理員,了解應(yīng)用系統(tǒng)日志(登錄日志、操作日志審閱情況;訪談設(shè)備管理員,了解操作系統(tǒng)和數(shù)據(jù)庫日志(登錄日志、操作日志的審閱情況;訪談網(wǎng)絡(luò)管理員,了解對網(wǎng)絡(luò)操作日志的審閱情況。除以上常見風(fēng)險點外,還可以關(guān)注未加密的個人計算機、未加密的移動存儲介質(zhì)等,這些都可能存在數(shù)據(jù)泄露的風(fēng)險。還可以對IT外包合同進行檢查,防范外包人員在服務(wù)過程中,發(fā)生損害企業(yè)信息安全的行為。
本文作者:范長安工作單位:中國電信陜西公司
