网络安全 频道

电信运营商互联网接口安全风险审计

  二、 互联网接口安全风险审计流程

  互联网接口安全风险审计流程是:从业务应用、公网IP地址两条审计流程同步进行,完成其完整性校验,生成业务视图、业务列表、自有公网IP列表,然后,对业务系统和自有公网IP实施风险评估,对其产生的风险进行原因追溯,形成问题汇总与改进建议,做到防微杜渐(如下图所示)。

电信运营商互联网接口安全风险审计

  三、 互联网接口安全风险审计具体步骤

  根据互联网接口安全风险审计流程图,将互联网接口安全风险审计的具体步骤分为四个阶段(如图所示),包括:互联网接口现状梳理阶段、安全测试阶段、原因与追溯阶段、汇总与改进建议阶段。

电信运营商互联网接口安全风险审计

  1、 互联网接口现状梳理

  互联网接口现状梳理包括两个方面:公网IP梳理和业务系统梳理。

  从公网IP梳理开始

  如果要对运营商互联网接口安全现状进行梳理,首当其冲的就是对公有IP地址进行梳理,但是运营商公有IP成千上万,如何在浩瀚的公有IP中寻找公司自有的、有评估价值的公有IP地址就成了工作的重点和难点。

  各运营商均有《公有IP地址管理办法》,它规定,各省市网络管理部门应该对其负责的公网IP地址进行管理,包括将公有IP分成网络部分公有IP地址和客户部分公有IP地址两种,但是,各省市运营商又是否能按照集团公司的公网IP管理办法严格执行呢?

  因此,在安全风险审计调查中,首先,访谈省市运营商负责公网IP地址管理与分配部门的负责人;如网络部们负责人,调研公网IP的维护状况,包括公网IP分配情况、在用、预留等信息;获取公司公网IP备案清单文档;其次,在后续的业务系统梳理过程中,汇总各业务系统资产清单中的公网IP地址;最后,将上述两个结果进行对比分析,保障对公司互联网接口公网IP审计的完整性。

  业务系统梳理

  首先,通过访谈互联网接口相关负责人,获取互联网接口拓扑结构图、整理互联网接口相关的网络组件配置文件,如:核心交换机、出口路由器等配置文件。

  接下来,对配置文件进行整理与分析,检查核心互联接口设备每个端口的配置状况,包括端口开启状态、端口配置信息如:连接系统、公网IP等等;根据端口信息整理互联网核心网络设备接口对应业务系统梳理总表。

  与此同时,根据梳理业务系统梳理总表,逐步访谈业务系统相关的负责人,获取其业务系统的拓扑图、资产清单、安全日志文件等信息,为业务系统视图的绘制、公网IP地址梳理和安全测试提供资料。

  然后,将端口梳理出的业务系统与前期调研所获得的相关业务系统资料进行对比分析,保障业务系统安全风险审计的完整性。

  最后,将整理出的互联接口相关业务系统按照不同的区域,如:内部办公区、远程接入维护区、互联网业务接入区、合作伙伴区和门户网站区分层次,体现数据流动的方式绘制运营商省市公司互联网接口相关业务系统视图,如下图所示。

电信运营商互联网接口安全风险审计

0
相关文章