观安-安全服务重点案例讲解-20170218

金融业
评估：海南银行综合业务系统风险评估服务项目
项目名称海南银行综合业务系统风险评估服务项目
项目实行时间
项目介绍项目亮点2015年 7月至 2015年 11月
依据银监会印发的《银行业金融机构重要信息系统投产及改正管理方法》要求，为知足海南银行综合业务系统投产报备需求，进行重要信息系统投产的风险评估工作。

海南银行综合业务系统业务功能有以下构成：中心业务、柜眼前端、卡系统（银行卡模块）、财务总账、信贷业务、支付结算、公司总线（ ESB）、渠道整合平台、电子银行、 ATM 等。

对海南银行综合业务系统进行全面的信息风险评估，认清
系统所面对的威迫，充足辨别有关风险，正确评估现有安全应付
举措的有效性。

针对风险评估结果，促使整顿和复查。

1、网银应用安全评估
2、经过网银业务营运申报
评估：兴业银行风险评估和规划项目
项目名称兴业银行风险评估和规划项目
项目实行时间2016 年 10 月-2017 年 4 月
采纳了访谈、工具检查、网上问卷等多种形式，以业
务安全发展需要为出发点，完好的辨别与剖析兴业银
行各层次（安全管理、安全技术）的有关风险，选择
有代表性的分公司、分前进行安全风险评估
项目介绍梳理信息安全工作脉络，成立有关逻辑安全组织架
构，进而定义了完好的信息安全工作路线图
设计了合适的安全组织架构
成立了完好的信息安全策略系统框架
达成将来 3 年信息安全整体规划
全面信息安全现状风险评估和规划，支持将来上业务的发展
需要
项目亮点定义信息安全管理组织构造和职责，各级组织分工更加明确
达成信息安全策略系统框架规划，形成整体的、完好的信息
安全管理策略系统
浸透 &App检测：中信证券风险评估项目
项目名称中信证券风险评估项目
项目实行时间2015 年 10 月至 2016 年 4 月
1、针对中心应用系统：集中交易系统、网上交易系统、呼喊
中心、公司门户网站、清理系统，经过浸透测试和中心代码
审计的方法达成评估，供给安全建议；
项目介绍指导安全开发进行整顿；
依据整顿结果进行安全复查；
2、依据 APP 上线和版本改正需要，达成安卓和IOS 的安全
检测，包含数据传输、考证、数据考证等方面的安全测试；
黑盒和白盒测试方法相联合；
项目亮点
针对新技术研究安全检查方法，形成中信证券安全检查要求
运维 &应急响应：太平洋保险安全破绽检测服务项目
项目名称
项目实行时间太平洋保险安全破绽检测服务项目2015 年 10 月至 2016 年 4 月
项目介绍采纳自动化扫描工具，对上线前、运转中的应用系统进行安全破绽扫描。

及时更新自动化工具的破绽库，按期进行更新扫描策略，针对特别的网络环境定制扫描策略。

对扫描的结果进行人工复查和人工确立，对的确存在的破绽进行详尽的剖析、评估，依据团队的破绽办理经验出具详尽的破绽危害说明和破绽解决方案。

对自动化平台检测的破绽进行考证。

每个月检测客户供给的基础手工检测要求中的基础检测项
目及对民众开放的互联网应用进行安全破绽。

每个月三次依据各应用更新状况进行增量全破绽手工检
测。

对发现破绽进行剖析与评估，给出破绽危害说明和修复
方案。

供给给急响应技术服务，在中心业务系统出现安全事故
时进行检查、克制和迅速办理，辅助客户尽可能最短时
间内办理和恢复故障。

1、及时和周期性相联合的工具扫描和人工测试，辅助 CPIC 连
续的降低技术风险，保障业务系统的安全运转
项目亮点
2、依靠工具迅速达成安全破绽辨别、发现，促使 CPIC 有关人
员管理和技术水平的提高
挪动通讯行业
运维：上海挪动安全驻场服务项目
项目名称
项目实施时间
项目介绍上海挪动安全驻场服务项目
2016 年 1 月-2016 年 7 月
主要负责应用系统浸透测试和代码审计工作 ,并进行破绽追踪、复查并供给修复建议，按期进行安全培训供给代码开发人员开发规范和安全意识。

项目实行主要达成工作：
1.代码审计：共达成 30 个应用系统的代码审计工作；
2.浸透测试：共达成 45 个应用系统的代码审计工作；
3.安全检查工作：达成公司和工信部信息安全检查保障工作。

4.已达成系统的连续整顿追踪与部分系统破绽复查，共复查 1254 个破绽，已整顿 709 个破绽。

项目亮点代码审计成就综述
共对电渠、中心、一级、二级、其余系统 5 个级别合计 11，498，
924 行代码睁开了安全审计工作，合计发现破绽共 496 个，此中高危161 个、中危 245 个、低危 90 个。

浸透测试成就综述
共对电渠、中心、一级、二级、三级、其余系统6 个级别合计45 系统睁开了浸透测试工作，合计发现破绽共758 个，此中高危290 个、中危 311 个、低危 157 个。

整顿成就综述
对目前已经达成的浸透测试与代码审计的系统进行连续的破绽跟
踪复查，共复查 69 个系统，共复查破绽1254 处，已修复 709 处。

整体整顿比率为 56%。

在长久连续的破绽追踪，各测试系统安全评分均有提高，特别电子
渠道系统在长久的测试追踪查核状况下提高显然，在公司和工信部
信息安全检查中获得优秀成绩。

联合平时工作问题，优化目前应用
安全工单流程，利用 BOMC 和 SMP 平台成立各安全破绽会合平台，
采集破绽数据便于后期大数据剖析利用。

运维 &等保测评：河南挪动2015 年外面安全查核项目
项目名称河南挪动 2015 年外面安全查核保障项目项目实行时间2015 年 12 月-2016-3 月
项目介绍项目亮点业务支撑系统、门户、网厅等系统定级存案梳理报备服务
1.梳理门户网站、网上营业厅、业务支撑系统信息财产现状。

检查门户网站、网上营业厅、业务支撑系统存案信息表，联合目前中心现状更新存案信息表。

更新门户网站、网上营业厅、业务支撑系统定级存案报告。

依照通管局 2015 年的安全要求，对门户网站、网上营业厅、业务支撑系统进行安全评估。

2.梳理外面安全查核和检查要求，拟订安全保障计划
梳理两部委安全检查要求、通讯管理局安全检查要求、公司公司安全检查要求。

拟订全面的外面安全保障计划。

3.依照外面安全查核要求睁开全面安全保障
依照已拟订的外面安全检查方案睁开全面安全检查。

对已
发现安全问题进行追踪复测实现安全风险的管控。

业务支
撑系统、门户、网厅等系统的全面安全评估一次。

4.辅助
配合达成外面安全检查
配合中心准备外面安全检查所需资料。

配合中心达成外面安全保障。

配合达成中心所发现安全问题的整顿、复测及整顿报告的编制。

1、业务支撑系统、门户、网厅等系统定级存案梳理报备服务
2、梳理外面安全查核和检查要求，拟订安全保障计划
3、依照外面安全查核要求睁开全面安全保障
4、辅助配合达成外面安全检查
代码审计：贵州挪动2016 年业务支撑系统部应用系统代码审计技术服务项目
贵州挪动2016 年业务支撑系统部应用系统代码审计技术服务项
项目名称
目
项目实行时间2016年 5月至 2016年 11 月
对贵州挪动业支要点中心系统（网厅、门户、掌厅、Boss/CRM、项目介绍经分、 4A、SMP、BOMC 等）存量代码以及新上线代码进行代
码审计，并为审计出的风险点给出专业的安全整顿建议。

1、关连人交流。

代码审计波及到友商的机密信息——源代码，因
些，项目难点在于友商可否很好配合。

在项目实行时，项目组一
是经过项目倡始人协调友商，；二是项目团队与友商增强交流，的
确帮助友商解决安全问题；三是项目团队依靠外面检查等时机，
踊跃开辟，在检查时期多渠道尽可能多的获取项目所需的资料。

2、成本控制。

我司在贵州挪动业支有多个安全服务项目，经过多
项目的综合规划，代码审计项目的成就能够在其余项目复用，其
项目亮点
他项目的成就也能与代码审计复用，进而对整个贵州的项目集的
实行成本能够很好控制。

3、实行方法。

与我们实行的业安全运维服务联合睁开项目，经过
安全服务项目睁开黑盒安全测试发现的问题，促使代码审计破绽
的发现；同时经过代码审计白盒安全审计的结果，帮助安全服务
项目更好进行浸透测试。

这样的实行方法能更全面更正确的为客
户供给安全建议。

制造业
浸透测试：捷豹路虎安全服务项目
项目名称
项目实行时间捷豹路虎安全服务项目2016 年 6 月—2016 年10 月
项目介绍经过模拟黑客的攻击方法，测试捷豹路虎公司24 个本地应用系统的安全性，能否易于遭到黑客攻击。

评估其安全防备水平，量化安全风险，为安全改造供给技术依照
浸透测试过程包含以下方面：
1)依据不一样应用服务架构安全进行评估，应用服务
安全现状调研
2)应用服务基础安全准备与检查
3)要依据不一样的应用服务架构进行不一样的浸透测
试
4)对敏感信息排查，主要获取敏感信息
5)交互数据剖析，对交互式数据进行包剖析，以剖
析可能存在的业务逻辑破绽
项目亮点
6)对某类文件采纳反汇编办理，进行汇编代码剖析
7)手动剖析，以发现一些使用自动化扫描工具没法
发现的破绽
8)工具剖析
9)浸透测试报告剖析
10)破绽追踪记录、破绽修复建议
11)整个浸透测试时期，成立周期项目安全管控体
制，项目生命周期有效管理。

1、达成临港公司信息安全全面评估
2、明确目前安全需求，并辅助拟订将来发展规划
政府行业
评估：临港公司信息安全风险评估服务
项目名称临港公司信息安全风险评估服务
项目实行时间2014 年 10 月—2015 年 4 月
经过对现有安全管理制度和现有管理破绽进行剖析，
发现管理层安全单薄点；
对重要的服务器、数据库、安全设施、网络设施进行
项目介绍安全评估，明确目前 IT 系统破绽，同时对重要业务
应用进行应用系统浸透测试。

辨别安全破绽；
依据风险评估结果，联合临港公司实质，汇总得出信息安全需求，并辅助临港公司拟订安全规划，供给相关专业建议；
项目亮点1、达成临港公司信息安全全面评估
2、明确目前安全需求，并辅助拟订将来发展规划
浸透测试：工信部年度安全服务
项目名称工信部年度安全服务
项目实行时间2015 年 6 月-2016 年 10 月
项目介绍
依据工信部检查要求，对指定的应用系统进行安全渗
透测试和全面检查，检查项包含：应用层、平台层，
内容包含：弱口令、配置破绽、身份认证、业务逻辑
等方面。

达成结果统计和评分
及时获取国家层面对信息安全的要求；
项目亮点掌握国家层面安全检查标准、方法
推动信息安全破绽辨别、改良。

运维： 2010 年广州亚运会电子政务网信息安全保障SOC项目
项目名称2010 年广州亚运会电子政务网信息安全SOC 项目
项目实行时间2010 年 1 月-2010 年 12 月
在试点的 3 个单位的基础上增添到51 个单位的日记采
集点，总合财产达到 11 种种类， 192 台设施， 3000
EPS。

设计实行点对点的SSL 加密传输体制，并经过 CA 安全
认证登录方式，保障 SOC 平台安全。

达成对设施的运转状况、安全隐患或攻击行为的及时
项目介绍项目亮点
剖析和及时告警。

设计实行了营运报告自动生成下载功能，方便及时下
载查察报告，实现了应急管理平台的接口功能。

装备了一线监控、二线剖析响应、安全专家小组剖
析告警和重要安全事件应急办理，并在亚运时期推
行7*24 小时告警。

采集安全事件的对象种类包含华为互换机、cisco 天融
信防火墙、绿盟 IDS IPS、F5 负载平衡设施、正 / 反
向物理隔绝设施、应用 /中间件服务器、数据库服务
器。

1、圆满达成亚运时期的信息安全保障任务，获取亚组委通讯
保障小组和客户高度认同
2、增添监控范围，帮助客户及时认识全市网络完好状
况，提高了整体安全防备水平
3、经过各种培训，帮助客户整体提高了必定的技术水平易
管理水平
帮助客户提高全市各单位提高网络信息安全防备意识，逐渐完美信息安全管理制度
电力行业
运维：智能电网安全服务项目
项目名称
项目实行时间项目介绍
项目亮点智能电网安全服务项目
2012 年 7 月—2012 年 9 月
对照国家等级保护有关要求检查新疆电力公司的安全状况，此中管理要求测评包含：安全管理制度、安全管
理机构、人员安全管理、系统建设管理、系统运维管理；技术要求测评包含：物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复。

依据检查结果并提出的确可行的整顿建议。

经过整顿达到等级保护的要求，出具信息系统存案所需的测评报告
1、依据等级保护要求进行检查并提出整顿建议
2、达成系统存案所需的测评报告
评估：国家电网新疆电力公司等保测评
项目名称
项目实行时间项目介绍
项目亮点国家电网新疆电力公司等保测评
2012年7 月
—2012 年 9 月
对照国家等级保护有关要求检查新疆电力公司的安全状况，此中管理要求测评包含：安全管理制度、安全管
理机构、人员安全管理、系统建设管理、系统运维管理；技术要求测评包含：物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复。

依据检查结果并提出的确可行的整顿建议。

经过整顿达到等级保护的要求，出具信息系统存案所需的测评报告
1、依据等级保护要求进行检查并提出整顿建议
2、达成系统存案所需的测评报告
咨询项目
咨询：浙江挪动2015-2016 年度信息安全现状评估及意识宣贯技术服务
项目名称浙江挪动 2015-2016 年度信息安全现状评估及意识宣贯技术服务
项目实行时间2015-12-10 — 2017-2-20
在合同范围内达成绘制网络拓扑总图，绘制各安全域拓扑详
项目介绍图，调研安全域各界限网络安全设施状况，分域梳理业务系
统状况，梳理安全平台状况，重要业务系统安全评估，要点
敏感数据部署流向图，安全手段优化报告
1. 达成制度规范现状评估
采集梳理国际国内安全管理标准、法律法例共 26 个，工信部安全管理制度 13 个，公司安全管理制度 88 个，省公司安全管理制度 35 个，参照国际标准 ISO27001、信息安全等级保护、工信部要求、公司要求，依据浙江挪动的实质状况，优化、归并、定义出浙江挪动安全 8 个域，并依据8 个域进行制度梳理，将原有 35 个制度优化为 20 个，控制点从 174 个增添到 253 个，提交《安全管理制度梳理表》。

辅助编写并公布《中国挪动浙江公司信息安全责任管理方法(2016 年订正）》。

2. 网络与系统安全现状评估
达成全网总图（包含中心层，汇聚层，接入层）绘制，达成
网管 DCN 域内总图以及接入域详尽拓扑绘制，对应的安全设备清单也所有采集完成，业支方面互联网接入详尽拓扑以及
安全设施清单采集已所有达成，共包含中心子域192 台安全
项目亮点设施，接入子域 194 台安全设施。

统计出 OSS 域中存在安全
域为 54 个，OSS 域中安全域对应的应用系统已所有达成调研
工作， BSS，MSS 域中已达成 42 个应用对应的有关安全域；
针对 BSS、MSS、OSS 进行应用系统梳理工作，统计出网管
中心应用系统总量 191 个、互客中心应用系统总量67 个，信
息技术部的应用系统总量 643 个，对各应用系统睁开详尽的
采集调研，主要包含系统名称、 URL 、业务功能、敏感数据、
用户规模等重要信息；
梳理目前共 23 个安全平台，采集有关技术说明书及方案，包
含 O 域 9 个， B 域 5 个， M 域 9 个平台。

合计统计出一级功
能 76 个，二级功能 333 个。

依据公司要求进行对标，剖析平台
合规、适应新业务的不足项，并提交《安全平台梳理功能
表》
3. 安全意识教育宣贯
《安全视窗》一共三期，每期包含公司简讯、业界动向、安
全预警、安全贴士、经验分享等内容。

咨询：中信证券ISO27001:2013 系统认证咨询项目
项目名称中信证券ISO27001:2013 系统认证咨询项目
项目实行时间2016 年5 月— 2016 年12 月
1、信息安全风险评估
达成年度信息安全管理系统风险评估，对目前信息安全策略
系统所定义各项控制举措在公司内的履行合规状况进行评
估，建议经过策略系统文件生成控制矩阵，并鉴于控制矩阵
所列条目进行评估
2、策略系统订正
联合信息安全风险评估结果、新的安全管理需乞降新的组织
构造调整，对信息安全策略系统进行订正、增补，更新信息
安全管理控制矩阵、检查矩阵、职责矩阵、查核矩阵、以及
对应详细岗位角色的信息安全工作履行计划，下发要点岗位
信息安全工作计划。

3、年度要点信息安全管控工作落实
针对评估所确立的需优先处理的风险，将对应的控制举措、
工作内容和有关策略系统文件加以明确立义，将工作步骤嵌
入到已有工作流程或定义新的流程，并将有关职责明确立义
到详细人员，明确胸怀和查核方法，同时对信息安全管理系
统的落地推动向管理层进行宣贯，对履行层进行培训，推动
信息安全管理系统的运转。

要点信息安全工作包含：
项目介绍
应用、系统、终端等的弱口令整顿；
年度应用系统帐号权限梳理；
下发年度要点岗位信息安全工作履行计划；
互联网安全加固系列工作；
要点系统、圈定的敏感信息的安全加固工作；
信息安全策略平台研究实现等；
安全规划；
4、 ISO27001 管理系统认证指导
达成ISO/IEC 27001:2005 版->ISO/IEC 27001:2013 版的认证
转版和后续监察审查认证指导工作，达成GB/T 22080-
2008/ISO/IEC 27001:2005 版的监察审查认证指导和后
续认证转版指导工作。

5、信息安全管控工作驻场服务
辅助达成公安部要求的等保测评信息上报及信息系统整顿；
辅助达成各种信息安全检查资料的连续保护，接受安全看管
机构的检查，并帮助采集整理各样检查资料；
辅助达成信息安全各种培训，包含安全意识培训、安全技术
培训、安全产品培训等；
按期进行安全配置基线检查、系统破绽扫描，并推动系统加固整顿；
负责防病毒系统、入侵检测系统的平时监控及问题发现。

项目亮点进一步提高信息安全管控能力，帮助信息安全管理室成立后续 3 年信息安全工作计划，圈定信息安全管理系统落地的重点工作。

与中信证券信息安全管理室共同拟订安全工作思路，达成年度信息安全管理系统落地与ISO27001 年监审查指导工作。

经过安全工具的综合剖析、提高以信息安全事件监控与响应为中心的信息安全营运能力。

即优化平时安全营运，实现运营过程的闭环，保证所发现的各种安全问题获取及时的发现和合适的处理。

咨询：安吉星ISO27001系统认证项目
项目名称安吉星 ISO27001 系统认证项目
项目实行时间2016 年 5 月— 2016 年 12 月
本项目一共四个阶段：
1．风险评估阶段：对安吉星内部的财产进行分类与辨别；对
物理环境（机房）进行安全评估；安全管理系统进行差距分
析；对安吉星内部的网络架构进行安全评估；对IT 设施进行
抽样的安全评估；对 FSP、APP Mobile 、Dealer APP 进行渗项目介绍透测试）；对风险评估中调研的问题进行追踪改良。

2．安全管理系统设计与推行：编制安全管理系统文件，设计
安全系统框架；
3.安全系统试运转：系统试运转，并对安吉星进行内审与管
理评审，辅助内审不切合项的改正。

4.认证阶段：辅助配合外面机构的正式审查与整顿
主要达成工作概括：
风险评估阶段：达成财产采集及赋值，访谈达成23 人，并形
成安全管理差距剖析报告，达成主机安全评估、 FSP 及 Mobile
APP(Android 、 IOS）的安全评估、网络安全评估。

出具风险
项目亮点
评估报告，并对安吉星 26 个高中危的风险进行风险整顿。

系统
建设阶段：编制一二级制度文件共 13 份；指导编制三四级文
件共 74 份；指导系统制度公布。

系统试运转阶段：并策划了9 场针对各小组与部门的系统推
广培训会议。

对安吉星进行内审，并出具不切合项内审整顿
报告，对安吉星的系统建设进行管理评审。

系统认证阶段：并辅助外审的不切合项整顿，辅助客户迅速
获取证书。

项目成就概括：
因安吉星是中外合资公司，故项目的产出物大多数都是中英
文的产出物。

增添了项目达成的难度，但都准时达成结项。

并获取客户的认同。

安吉星物理环境域的与ISO27001 系统对标下来差距比较大，
经过项目的风险评估对办公机房及中心的托管GM 的机房进行
风险评估和建议整顿，物理环境整顿成效显然。

对其重要的 FSP、 APP Mobile 、 Dealer APP 进行浸透测
试，并测试出高危的破绽，辅助其整顿，防止使用安吉星客户
敏感信息泄漏。

咨询：鉴于 ISO27001 国际标准的南方电网信息安全管理系统应用研究项目
鉴于 ISO27001 国际标准的南方电网信息安全管理系统应用
项目名称
研究项目
项目实行时间2009 年 9 月—2010 年 1 月
安全系统调研及剖析：在已有技术评估的基础上，达
成贵州电网信息安全系统调研及综合剖析。

探究和形成 ISO27001 电力信息安全系统建设的方
法：经过该项目的研究与实行，商讨 ISO27001 在电力
信息安全中的实践方法，提出合用于南方电网的信息
安全管理系统，形成电力信息安全系统建设和国际标
准联合的可借鉴的事例。

信息安全管理系统建设：依据ISO27001 安全管理系
统规范对贵州电网目前的信息安全管理制度、规范、项目介绍应急系统等内容的完好性、规范性和可操作性进行管
理对标，查找差距和存在问题并达成相应的改良。

并
制定电网主流设施安全基线标准，同时达成一体化的
安全运转看管方法。

信息安全技术系统建设：全面剖析贵州电网信息安全
技术防备架构，依据现状状况提出3-5 年内信息安全
最优散布实行方案。

以贵州电网为基础，
设计南方电网信息安全防备方案，并梳理南方电网十
大信息安全风险。

项目亮点1、探究和形成 ISO27001 电力行业信息安全系统建设的思路
和方法
2、规划贵州电网信息安全管理和技术系统及3-5 年建设方
案
3、详尽设计贵州电网信息安全策略和南方主流设施安全
基线标准
咨询： AdmasterISO27001 认证咨询项目
项目名称
项目实行时间项目介绍
项目亮点AdmasterISO27001 认证咨询项目
2016 年 5 月— 2016 年 11 月
将 Admaster 现有的规章制度进行梳理和剖析，找出其与ISO27001信息安全管理系统的差距，并提出解决建议；
辨别 Admaster 的所有信息财产，包含实物、软件、数据、服务、人员财产；
对 Admaster 中心应用系统进行应用安全评估，找出其存在的安全风险并提出解决建议；
对 Admaster 现有服务器、数据库、安全设施、网络设施进行抽样安全评估，发现其存在的安全风险并提出解决建议；
对 Admaster 的网络架构进行评估，发现其存在的安全风险并提出解决建议；
达成 Admaster 信息安全管理系统设计和建设，最后在2016 年经过 ISO27001认证。

1、依据 ISO27001：2013 要求进行差距剖析
2、依据差距 , 整理风险 , 达成风险处理以及系统设计和建
设
3、经过 ISO27001认证
咨询：支付宝信息安全规划项目
项目名称
项目实行时间项目介绍支付宝信息安全规划项目
2006年9 月
—2007 年 9 月
本次项目目标分为两个主要目标，一个是合规（切合国际和国家的安全标准和要求），一个是合用 (切合支付宝自己的需乞降现状要求，规划的方案和标准关于支付宝拥有可。