PDF《通鼎互联信息股份有限公司审核案例》

2018 年7月4~6 日上午受方圆标志认证集团有限公司的委托李治纲、 吴荣华、 石小平、朱亚军等

4 人,对通鼎互联信息股份有限公司进行信息安全管理体系初 审(二阶段)现场审核,审核组组长编制审核计划,确定审核主要审核企业信息 第3页,共

6 页 化部、设备部、综合部、人力资源部、财务部、商务部、市场经营部、供应链管 理部、质量管理部、生产经营部、后勤保障部、海外及企业业务部、电缆车间、 数据缆车间、光缆一部 3#车间、光缆二部车间、光缆四部车间、光纤三期车间、 射频电缆车间、 电力电缆车间, 以及相应的资产识别、 风险评估和风险控制措施. 现场审核,审核组现场取证发现: 第一:用于该公司对外宣传的网站(http://www.tongdinggroup.com/) 主机及数据库存放公司内网 WEB 服务器中,通过在防火墙中 NAT 方式映射到 外网,而此主机与内网的其它网络及服务器没有进行任何隔离措施. 开具不符合原因:通过 NAT 方式进行映射,貌似可以在不对外公开 WEB 网服务器信息的前提下,提供外网网站访问,但NAT 的同时也向全世界公开 了公司共有 IP 地址,黑客可以扫描漏洞方式进行网络攻击.同时,外网蠕 虫病毒、木马病毒、勒索病毒可以通过 WEB 服务器作为跳板传染到内网中其 他服务器和设备中,极易造成网络故障、信息外泄等信息安全风险.故开具 一份不符合报告 不符合:GB/T22080-2016 ISO/IEC27001:2013 A.13.1.3 组织应在网络中 隔离信息服务、用户及信息系统. 第二:受审核方网络层级比较多,有多个路由器、防火墙、交换机等网 络设备,对这些设备访问、控制是通过 Telnet 进行远程操作的,但Telnet 是明码协议. 开具不符合原因:由于受审核方内部办公网、生产网没有物理隔离,只 要在相关网段的计算机中安装一个网络监听工具,就可以截获网络所有明码 通信内容,通过分析和整理,完全可以获取登录设备的账号和密码,这类软 件如 Wireshark.故开具一份不符合报告. 不符合:GB/T22080-2016 ISO/IEC27001:2013 A.13.2.3 应适当保护包含 在电子消息发送中的信息. 第三:北京百卓网络技术有限公司

2018 年5月份对公司网络中运行设 备、软件系统中存在的问题进行漏洞扫描,发现

20 项目安全隐患(含技术 脆弱性) ,如SQL 注入、弱口令、海康威视权限认证等漏洞,但没有形成对

20 项安全隐患(风险)的正式处置措施,以及后续整改的证据. 第4页,共

6 页 开具不符合原因:既然第三方检测公司对网络中的设备及软件开具 病情 诊断报告,且大部分是常见信息安全漏洞或风险,如不加以应对受审核 方极易出现大规模病毒爆发情况,严重影响日常办公和生产,且受审核方信 息主管部门和相关领导对这份检测报告,在意识根本不重视,总以为不会发 生检测报告提示到信息安全风险.故开具一份不符合报告. 不符合:GB/T22080-2016 ISO/IEC27001:2013 A.12.6.1 应及时获取在用 的信息系统的技术方面的脆弱性信息,评价组织对这些脆弱性的暴露状况并 采取适当的措施来应对相关风险. 经与受审核方确认了上述三项目不符合,为一般不符合报告,给30 天 整改,需要采取纠正和纠正措施,审核组采取异地验证方式.

一、 不符合报告整改和验证 受审核方对不符合报告采取纠正和纠正措施进行整改,分别是: 第一份: 原因分析:未意识到存在风险,只是想便于日常维护和管理,且早期未 购买云服务,故网站一直放于本局域网内,通过端口映射方式来提供. 纠正:购买阿里云服务,编制 迁移 方案,按方案把网站迁移至阿里 云服务器中,与公司公网 IP 隔离. 纠正措施:对标准要求、迁移技术、域名指向设置和网页绑定技术等进 行了培训,提高信息安全管理意思和技术能力. 验证:提供