编辑: 戴静菡 | 2019-07-16 |
6 页 通鼎互联信息股份有限公司审核案例 撰写者:李治纲 【案例摘要】 办公、生产信息化和智能化程度越高的企业,其对信息安全、网络安全需 求和期望越高,存在信息安全风险也越多,需要加以控制.
一、案例背景介绍 推荐机构:方圆标志认证集团有限公司 案例类型:管理体系认证 认证类型:信息安全管理体系 受审核方名称: 通鼎互联信息股份有限公司 审核依据: GB/T22080-2016 ISO/IEC 27001:2013 审核时间:
2018 年7月4~6 日 审核范围: 位于江苏省苏州市吴江区震泽镇八都经济开发区小平大道
8 号的 办公楼、电缆车间、数据缆车间、光缆一部 3#车间、光缆二部车间、光缆四部 车间、光纤三期车间、射频电缆车间、电力电缆车间、仓库的通鼎互联信息股份 有限公司的光纤、市内通信电缆、局用同轴电缆、通信电源阻燃耐火软电缆、数 字通信用水平对绞电缆和 XDSL 传输引入电缆的生产;
通信光缆、射频及泄漏同 轴电缆的设计和生产相关的信息安全管理活动.信息安全适用性声明:B/0. 审核组长:李治纲 审核组员:吴荣华、石小平、朱亚军
二、受审核方基本情况 受审核方为一家主要从事光纤光缆、通信电缆、铁路信号电缆、城市轨道交 通电缆、RF 电缆、特种光电缆、光器件仪器仪表、机电通信设备、线缆及配套 产品的研发、生产、销售和工程服务的企业.2010 年10 月21 日,在深交所成 功上市(股票代码:002491) .2017 年开始对公司进行智能化制造改造,对相关 车间进行网络化、自动化、智能化改造,为了加强信息安全管理,使用体系化思 路管理信息安全,为此企业
2017 年按 ISO/IEC 27001:2013 标准建立信息安全 第2页,共
6 页 管理体系,不但加固了本身信息安全这个 堤坝 ,还倡导本行业各类企业使用 ISO/IEC 27001:2013 管理企业各类信息资产.
三、主要审核发现、沟通过程 名称解释: ? SQL 注入攻击(SQL Injection) :简称注入攻击、SQL 注入,被广泛 用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞. 在设计程序,忽略了对输入字符串中夹带的 SQL 指令的检查,被数据库误 认为是正常的 SQL 指令而运行,从而使数据库受到攻击,可能导致数据被 窃取、更改、删除,以及进一步导致网站被嵌入恶意代码、被植入后门程 序等危害. ? 静态 NAT(网络地址转换) :指将内部网络的私有 IP 地址转换为公有 IP 地址,IP 地址对是一对一的,是一成不变的,某个私有 IP 地址只转换 为某个公有 IP 地址.借助于静态转换,可以实现外部网络对内部网络中某 些特定设备(如服务器)的访问. ? Telnet: 是一种明码通信协议是TCP/IP协议族中的一员, 是Internet 远程登录服务的标准协议和主要方式.它为用户提供了在本地计算机上完 成远程主机 (或远端设备) 工作的能力. 在终端使用者的电脑上使用 Telnet 程序,用它连接到服务器(或远端设备) .终端使用者可以在 telnet 程序 中输入命令,这些命令会在服务器(或远端设备)上运行,就像直接在服 务器(或远端设备)的控制台上输入一样.可以在本地就能控制服务器. ? SHH:是一种加密通信协议是 TCP/IP 协议族中的一员,建立在应用 层基础上的安全协议,功能与 Telnet 一致. ? 弱口令(weak password) :没有严格和准确的定义,通常认为容易 被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱 口令.