一、 客户面临的安全挑战
中国移动通信集团浙江有限公司作为浙江省最大的综合信息运营商,在全省拥有11个市分公司和62个县(市)分公司。其提供的语音业务、短信业务、手机银行、手机证券、移动传真、虚拟专网、亲情号码、自由呼、秘书服务、手机上网、移动OICQ、IP电话等业务,与大众生活息息相关,被各个行业、各类用户所广泛使用,并且随着时间的推移,用户对服务的依赖性越来越强。
从市场营销、渠道管理、业务受理、业务开通、帐务结算、经营分析、故障申告、综合查询等各个环节均需要相应的业务系统给予支撑,比如:营业系统、CBOSS系统、BBOSS系统、终端管理系统、统一开通系统、结算系统等,而所有这些业务支撑系统均采用B/S的架构。B/S架构的应用一方面企业客户带来了便利,另一方面使得企业所面临的风险在不断增加,比如网上营业厅,用户通过互联网就可以查询保存在浙江移动内部系统的相关数据、订购浙江移动不断推出的新业务。但是,通过互联网直接访问的运营模式,对浙江移动内部系统的安全将是极大的挑战,主要表现为:
一是随着Web应用程序的增多,这些Web应用程序所带来的安全漏洞越来越多;二是随着互联网技术的发展,被用来进行攻击的黑客工具越来越多、黑客活动越来越猖獗。
二、 安恒解决方案
采用安恒WEB应用弱点扫描软件,建设浙江移动应用安全扫描平台。
安全扫描技术是重要的信息安全技术,与防火墙、入侵检测系统、WEB应用深度防御系统互相配合,能够有效提高网络及应用的安全性。如果说防火墙、网络监控系统等是被动的防御手段,那么安全扫描就是一种主动的防范措施,可以有效避免黑客攻击行为,做到防患于未然。
安恒安全专家团队,通过与浙江移动相关领导的沟通后,一致认为无论是WEB应用的开发人员,还是维护管理人员,由于其缺乏安全经验、安全知识,WEB应用的开发与维护过程中难免存在这样、那样的安全隐患。如何有效地防范安全事件的发生,其中最积极、有效的方法就是:主动防御。即对WEB应用进行全面、综合的风险评估,在此基础上实施有针对性的安全加固。同时考虑到业务发展的持续性、创新性,WEB应用的内容及功能等等会不断的变化,这些变化势必引起相应的WEB应用程序的更新、网络环境的调整,因此,有必要建设一个WEB应用安全扫描平台,将WEB应用弱点扫描、风险评估纳入日常工作流程,定期检查WEB应用本身的安全性及网页上对外链接的可靠性。发现风险应立即采取防范措施,减少因WEB应用风险给浙江移动带来的有形资产、无形资产的损失。
三、 项目实施总结
安恒技术支持部及安全服务团队,历时2个月,与浙江移动各个业务系统的维护管理人员一起,先后对50多个WEB应用系统进行了完整的风险扫描,并依据WEB应用扫描平台自动生成的风险评估报告,结合安恒安全服务团队的实践经验,协助浙江移动应用系统的开发商,对评估过程中发现的安全问题逐个加固。整个项目的实施主要完成了以下几个方面的工作:
- 软件的安装与部署;
- 软件的操作与使用培训;
- 需要评估应用系统的需求调研;
- 应用系统的弱点扫描;
- 风险评估报告的生成;
- 风险评估总结与相关安全知识、安全技术培训;
- 编码规范的制定及安全编码相关技术培训;
值得一提的是,基于WEB应用安全扫描平台所实施的应用安全风险评估工作,没有对浙江移动的业务系统产生任何影响,评估工作可以根据管理人员的需要,任意选择在忙时或非忙时进行,这一点,也从另一方面证明了该WEB应用安全扫描平台可以作为浙江移动安全管理部门的日常安全巡检的有效工具,协助系统维护人员完成周期性的风险评估工作。