【51CTO.com 綜合消息】一、客戶面臨的安全挑釁

中國(guó)移動(dòng)通信團(tuán)體浙江有限公司作為浙江省最大的綜合信息運(yùn)營(yíng)商，在全省擁有11個(gè)市分公司和62個(gè)縣（市）分公司。其供給的語(yǔ)音業(yè)務(wù)、短信業(yè)務(wù)、手機(jī)銀行、手機(jī)證券、移動(dòng)傳真、虛擬專網(wǎng)、親情號(hào)碼、自由呼、秘書服務(wù)、手機(jī)上網(wǎng)、移動(dòng)OICQ、IP電話等業(yè)務(wù)，與大眾生活息息相干，被各個(gè)行業(yè)、各類用戶所廣泛應(yīng)用，并且隨著時(shí)間的推移，用戶對(duì)服務(wù)的依附性越來越強(qiáng)。

從市場(chǎng)營(yíng)銷、渠道管理、業(yè)務(wù)受理、業(yè)務(wù)開通、帳務(wù)結(jié)算、經(jīng)營(yíng)分析、故障申告、綜合查詢等各個(gè)環(huán)節(jié)均需要相應(yīng)的業(yè)務(wù)系統(tǒng)給予支撐，比如：營(yíng)業(yè)系統(tǒng)、CBOSS系統(tǒng)、BBOSS系統(tǒng)、終端管理系統(tǒng)、統(tǒng)一開通系統(tǒng)、結(jié)算系統(tǒng)等，而所有這些業(yè)務(wù)支撐系統(tǒng)均采用B/S的架構(gòu)。B/S架構(gòu)的利用一方面企業(yè)客戶帶來了方便，另一方面使得企業(yè)所面臨的風(fēng)險(xiǎn)在不斷增加，比如網(wǎng)上營(yíng)業(yè)廳，用戶通過互聯(lián)網(wǎng)就可以查詢保存在浙江移動(dòng)內(nèi)部系統(tǒng)的相干數(shù)據(jù)、訂購(gòu)浙江移動(dòng)不斷推出的新業(yè)務(wù)。但是，通過互聯(lián)網(wǎng)直接訪問的運(yùn)營(yíng)模式，對(duì)浙江移動(dòng)內(nèi)部系統(tǒng)的安全將是極大的挑釁，重要表現(xiàn)為：

一是隨著Web利用程序的增多，這些Web利用程序所帶來的安全漏洞越來越多；二是隨著互聯(lián)網(wǎng)技巧的發(fā)展，被用來進(jìn)行攻擊的黑客工具越來越多、黑客運(yùn)動(dòng)越來越猖狂。

二、安恒解決計(jì)劃

采用安恒WEB利用弱點(diǎn)掃描軟件，建設(shè)浙江移動(dòng)利用安全掃描平臺(tái)。

安全掃描技巧是重要的信息安全技巧，與防火墻、入侵檢測(cè)系統(tǒng)、WEB利用深度防御系統(tǒng)互相配合，能夠有效進(jìn)步網(wǎng)絡(luò)及利用的安全性。如果說防火墻、網(wǎng)絡(luò)監(jiān)控系統(tǒng)等是被動(dòng)的防御手段，那么安全掃描就是一種主動(dòng)的防備措施，可以有效避免黑客攻擊行動(dòng)，做到防患于未然。

安恒安全專家團(tuán)隊(duì)，通過與浙江移動(dòng)相干領(lǐng)導(dǎo)的溝通后，一致認(rèn)為無論是WEB利用的開發(fā)人員，還是保護(hù)管理人員，由于其缺乏安全經(jīng)驗(yàn)、安全知識(shí)，WEB利用的開發(fā)與保護(hù)過程中難免存在這樣、那樣的安全隱患。如何有效地防備安全事件的產(chǎn)生，其中最積極、有效的方法就是：主動(dòng)防御。即對(duì)WEB利用進(jìn)行全面、綜合的風(fēng)險(xiǎn)評(píng)估，在此基礎(chǔ)上實(shí)行有針對(duì)性的安全加固。同時(shí)考慮到業(yè)務(wù)發(fā)展的持續(xù)性、創(chuàng)新性，WEB利用的內(nèi)容及功效等等會(huì)不斷的變更，這些變更勢(shì)必引起相應(yīng)的WEB利用程序的更新、網(wǎng)絡(luò)環(huán)境的調(diào)劑，因此，有必要建設(shè)一個(gè)WEB利用安全掃描平臺(tái)，將WEB利用弱點(diǎn)掃描、風(fēng)險(xiǎn)評(píng)估納入日常工作流程，定期檢查WEB利用本身的安全性及網(wǎng)頁(yè)上對(duì)外鏈接的可靠性。發(fā)明風(fēng)險(xiǎn)應(yīng)立即采用防備措施，減少因WEB利用風(fēng)險(xiǎn)給浙江移動(dòng)帶來的有形資產(chǎn)、無形資產(chǎn)的喪失。

三、項(xiàng)目實(shí)行總結(jié)

安恒技巧支撐部及安全服務(wù)團(tuán)隊(duì)，歷時(shí)2個(gè)月，與浙江移動(dòng)各個(gè)業(yè)務(wù)系統(tǒng)的保護(hù)管理人員一起，先后對(duì)50多個(gè)WEB利用系統(tǒng)進(jìn)行了完整的風(fēng)險(xiǎn)掃描，并根據(jù)WEB利用掃描平臺(tái)主動(dòng)生成的風(fēng)險(xiǎn)評(píng)估報(bào)告，聯(lián)合安恒安全服務(wù)團(tuán)隊(duì)的實(shí)踐經(jīng)驗(yàn)，協(xié)助浙江移動(dòng)利用系統(tǒng)的開發(fā)商，對(duì)評(píng)估過程中發(fā)明的安全問題逐個(gè)加固。全部項(xiàng)目標(biāo)實(shí)行重要完成了以下幾個(gè)方面的工作：

◆軟件的安裝與安排；

◆軟件的操作與應(yīng)用培訓(xùn)；

◆需要評(píng)估利用系統(tǒng)的需求調(diào)研；

◆利用系統(tǒng)的弱點(diǎn)掃描；

◆風(fēng)險(xiǎn)評(píng)估報(bào)告的生成；

◆風(fēng)險(xiǎn)評(píng)估總結(jié)與相干安全知識(shí)、安全技巧培訓(xùn)；

◆編碼規(guī)范的制定及安全編碼相干技巧培訓(xùn)；

值得一提的是，基于WEB利用安全掃描平臺(tái)所實(shí)行的利用安全風(fēng)險(xiǎn)評(píng)估工作，沒有對(duì)浙江移動(dòng)的業(yè)務(wù)系統(tǒng)產(chǎn)生任何影響，評(píng)估工作可以根據(jù)管理人員的需要，任意選擇在忙時(shí)或非忙時(shí)進(jìn)行，這一點(diǎn)，也從另一方面證明了該WEB利用安全掃描平臺(tái)可以作為浙江移動(dòng)安全管理部門的日常安全巡檢的有效工具，協(xié)助系統(tǒng)保護(hù)人員完成周期性的風(fēng)險(xiǎn)評(píng)估工作。