【51CTO.com 综合消息】一、客户面临的安全挑衅
中国移动通信团体浙江有限公司作为浙江省最大的综合信息运营商,在全省拥有11个市分公司和62个县(市)分公司。其供给的语音业务、短信业务、手机银行、手机证券、移动传真、虚拟专网、亲情号码、自由呼、秘书服务、手机上网、移动OICQ、IP电话等业务,与大众生活息息相干,被各个行业、各类用户所广泛应用,并且随着时间的推移,用户对服务的依附性越来越强。
从市场营销、渠道管理、业务受理、业务开通、帐务结算、经营分析、故障申告、综合查询等各个环节均需要相应的业务系统给予支撑,比如:营业系统、CBOSS系统、BBOSS系统、终端管理系统、统一开通系统、结算系统等,而所有这些业务支撑系统均采用B/S的架构。B/S架构的利用一方面企业客户带来了方便,另一方面使得企业所面临的风险在不断增加,比如网上营业厅,用户通过互联网就可以查询保存在浙江移动内部系统的相干数据、订购浙江移动不断推出的新业务。但是,通过互联网直接访问的运营模式,对浙江移动内部系统的安全将是极大的挑衅,重要表现为:
一是随着Web利用程序的增多,这些Web利用程序所带来的安全漏洞越来越多;二是随着互联网技巧的发展,被用来进行攻击的黑客工具越来越多、黑客运动越来越猖狂。
二、安恒解决计划
采用安恒WEB利用弱点扫描软件,建设浙江移动利用安全扫描平台。
安全扫描技巧是重要的信息安全技巧,与防火墙、入侵检测系统、WEB利用深度防御系统互相配合,能够有效进步网络及利用的安全性。如果说防火墙、网络监控系统等是被动的防御手段,那么安全扫描就是一种主动的防备措施,可以有效避免黑客攻击行动,做到防患于未然。
安恒安全专家团队,通过与浙江移动相干领导的沟通后,一致认为无论是WEB利用的开发人员,还是保护管理人员,由于其缺乏安全经验、安全知识,WEB利用的开发与保护过程中难免存在这样、那样的安全隐患。如何有效地防备安全事件的产生,其中最积极、有效的方法就是:主动防御。即对WEB利用进行全面、综合的风险评估,在此基础上实行有针对性的安全加固。同时考虑到业务发展的持续性、创新性,WEB利用的内容及功效等等会不断的变更,这些变更势必引起相应的WEB利用程序的更新、网络环境的调剂,因此,有必要建设一个WEB利用安全扫描平台,将WEB利用弱点扫描、风险评估纳入日常工作流程,定期检查WEB利用本身的安全性及网页上对外链接的可靠性。发明风险应立即采用防备措施,减少因WEB利用风险给浙江移动带来的有形资产、无形资产的丧失。
三、项目实行总结
安恒技巧支撑部及安全服务团队,历时2个月,与浙江移动各个业务系统的保护管理人员一起,先后对50多个WEB利用系统进行了完整的风险扫描,并根据WEB利用扫描平台主动生成的风险评估报告,联合安恒安全服务团队的实践经验,协助浙江移动利用系统的开发商,对评估过程中发明的安全问题逐个加固。全部项目标实行重要完成了以下几个方面的工作:
◆软件的安装与安排;
◆软件的操作与应用培训;
◆需要评估利用系统的需求调研;
◆利用系统的弱点扫描;
◆风险评估报告的生成;
◆风险评估总结与相干安全知识、安全技巧培训;
◆编码规范的制定及安全编码相干技巧培训;
值得一提的是,基于WEB利用安全扫描平台所实行的利用安全风险评估工作,没有对浙江移动的业务系统产生任何影响,评估工作可以根据管理人员的需要,任意选择在忙时或非忙时进行,这一点,也从另一方面证明了该WEB利用安全扫描平台可以作为浙江移动安全管理部门的日常安全巡检的有效工具,协助系统保护人员完成周期性的风险评估工作。
