国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

移動安全 安全管理 應(yīng)用案例 網(wǎng)絡(luò)威脅 系統(tǒng)安全 應(yīng)用安全 數(shù)據(jù)安全 云安全
當(dāng)前位置: 主頁 > 信息安全 > 移動安全 >

運(yùn)營商的信息安全審計(jì)之路(一):慧眼審計(jì)觀察室

時間:2013-03-11 15:12來源: 點(diǎn)擊:
由于運(yùn)營商內(nèi)部第三方主機(jī)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)和維護(hù)人員眾多,對各系統(tǒng)的訪問控制、權(quán)限分配、口令等管理比較分散,都是由各自的運(yùn)維人員進(jìn)行管理,存在比較大的安全隱患,容易發(fā)生
Tags運(yùn)營商(4)慧眼(2)  

風(fēng)險的浮出

由于運(yùn)營商內(nèi)部第三方主機(jī)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)和維護(hù)人員眾多,對各系統(tǒng)的訪問控制、權(quán)限分配、口令等管理比較分散,都是由各自的運(yùn)維人員進(jìn)行管理,存在比較大的安全隱患容易發(fā)生誤操作、惡意操作,同時對人員的運(yùn)維操作不能實(shí)時監(jiān)控審計(jì),無法監(jiān)測、阻斷高危風(fēng)險的操作。

曾為某移動運(yùn)營商進(jìn)行設(shè)備安裝工作的工程師王強(qiáng)(備注,“本文人物均為化名”)利用他為用戶做技術(shù)支持時使用的密碼(此密碼自王強(qiáng)離開后一直沒有更改),輕松進(jìn)入了用戶的。從而通過修改用戶系統(tǒng)的輕松獲得了14000個充值卡密碼并獲得380萬元的利潤。對該運(yùn)營商造成了巨大的經(jīng)濟(jì)損失,并嚴(yán)重?fù)p害企業(yè)形象。

龐大系統(tǒng)背后的困惑

隨著運(yùn)營商業(yè)務(wù)的不斷發(fā)展,網(wǎng)絡(luò)規(guī)模日益擴(kuò)大,重要應(yīng)用及服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備日益增多,其業(yè)務(wù)支撐系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)也變得越來越復(fù)雜,并且隨著3G業(yè)務(wù)的不斷開展,運(yùn)營商面臨著各種業(yè)務(wù)系統(tǒng)和數(shù)據(jù)量激增帶來的企業(yè)內(nèi)部管理問題。

運(yùn)營商內(nèi)部運(yùn)行著眾多應(yīng)用系統(tǒng)(包括BSS、經(jīng)營分析、結(jié)算、OCS和網(wǎng)管系統(tǒng)等)的同時,后臺也部署了大量的數(shù)據(jù)庫系統(tǒng),如何對內(nèi)網(wǎng)不同用戶操作各類數(shù)據(jù)庫的行為過程進(jìn)行有效的監(jiān)管;如何應(yīng)對眾多數(shù)據(jù)庫自身安全策略的漏洞;如何及時的對內(nèi)部違規(guī)操作進(jìn)行記錄和報警;如何對多種數(shù)據(jù)庫日常維護(hù)、升級時的操作審計(jì)、如何在業(yè)務(wù)發(fā)生故障時迅速找出源頭等問題都是運(yùn)營商重點(diǎn)需要解決的問題。

²  數(shù)據(jù)庫賬戶和權(quán)限的濫用

²  數(shù)據(jù)庫自身日志審計(jì)的缺陷

²  數(shù)據(jù)庫與業(yè)務(wù)系統(tǒng)無法關(guān)聯(lián)分析

²  數(shù)據(jù)庫自身存在問題

²  系統(tǒng)的運(yùn)維工作存在隱患

 

行業(yè)標(biāo)準(zhǔn)的陸續(xù)推進(jìn)

2006電信運(yùn)營商啟動了電信網(wǎng)和的網(wǎng)絡(luò)安全防護(hù)的系列標(biāo)準(zhǔn)制定工作,并從2008年開始陸續(xù)頒布了關(guān)于電信網(wǎng)和互聯(lián)網(wǎng)的安全防護(hù)方面的系列行業(yè)標(biāo)準(zhǔn),于2008114日一次性發(fā)布了該系列的32項(xiàng)標(biāo)準(zhǔn)。

該系列標(biāo)準(zhǔn)參照我國關(guān)于方面的國家標(biāo)準(zhǔn)要求,以指導(dǎo)安全防護(hù)工作為目的,結(jié)合電信網(wǎng)全程全網(wǎng)、網(wǎng)絡(luò)分層的特點(diǎn)。其安全防護(hù)范圍包括基礎(chǔ)網(wǎng)絡(luò)、業(yè)務(wù)單元和控制單元、非核心生產(chǎn)單元、互聯(lián)網(wǎng)的其它網(wǎng)絡(luò)或信息系統(tǒng)等四大部分。該系列標(biāo)準(zhǔn)對電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系各部分內(nèi)容及其關(guān)系、安全等級劃分和定級方法安全等級保護(hù)實(shí)施過程中的基本原則,風(fēng)險評估的要素及實(shí)施流程、工作形式、遵循的原則、災(zāi)難備份及恢復(fù)工作的目標(biāo)和原則等做出了具體規(guī)定。

同時在《CTG-MBOSS 安全規(guī)范總冊》、《企業(yè)內(nèi)部控制規(guī)范----基本規(guī)范的內(nèi)部審計(jì)機(jī)制》以及《電信網(wǎng)與互聯(lián)網(wǎng)安全等級保護(hù)實(shí)施指南》、《移動通信網(wǎng)安全防護(hù)要求》的相關(guān)要求中,其安全審計(jì)環(huán)節(jié)是必不可少的一項(xiàng)。

 

------分隔線----------------------------

推薦內(nèi)容