PDF《通鼎互联信息股份有限公司审核案例》

1 份纠正和预防措施处理单,

1 份培训记录表,

1 份网站迁 移整改方案,提供迁移前后对比截图,

1 份网站迁移实施记录(含网站在云 服务中正常运行截图、防火墙端口映射关闭截图等) ,经异地书面和在线测 试验证,基本接受. 第二份: 原因分析:近期需要对可登录 IP 范围和网络进行比较频繁调试,为了调 试方便打开 Telnet. 纠正:关闭 Telnet 协议,使用 SSH2 加密协议进行网络调试. 纠正措施:对标准要求,Telnet、SSH 比较,为什么对交换机和防火墙进 行操作时应使用加密协议等进行培训,达到预期目标.同时举一反三发现 SNMP 第5页,共

6 页 协议通信字符串为 Public 属性,有网络结构外泄的风险,培训后修改此属性. 验证:提供

1 份纠正和预防措施处理单,1 份培训记录表,1 份Telnet 关 闭截图,1 份SSH2 协议启动截图,2 份通过 SSH2 操作远程设备的截图.经异地 书面验证,基本接受. 第三份: 原因分析:意思不强,未对

20 项安全隐患做整改方案,也未保留整改相 关证据. 纠正:对20 项安全隐患编制整改方案,按整改进行整改,保留相关证据. 纠正措施:对标准要求,常见漏洞简介与处置,SQL 注入危害,WEB 中其 他漏洞, WSUS (微软公司提供的网络化的补丁分发方案) 设置与使用等进行培训, 使参会人员提高奥信息安全意识,知道相关漏洞的危害性,并统一补丁升级技术 手段(WSUS) . 验证:提供

1 份纠正和预防措施处理单,2 份培训记录表,1 份整改方案,

1 份整改过程记录(如系统升级、安装网站安全防御狗、关闭 U8 系统 WebDav 扩 展服务、关闭 oracle 数据库监听服务等) .经异地书面验证,基本接受.

四、受审核组织主要的改进方法及其成效 通过上述三份不符合报告内容,我们看到部分企业负责人对信息安全不重 视、无所谓,只知道企业要实现信息化,为此投入大笔资金,但信息化后的信息 安全风险往往不特别关注,除非发生一次重大信息安全事件后,才后悔.通过对 不符合整改,看似给受审核方没有带来什么现实经济效益,但消除或降低受审核 方存在信息安全风险,是无形的,是管控信息风险效益. 同时,企业信息主管部门通过对不符合报告整改,提高相........