【51CTO.com 綜合消息】1 安全背景與現狀

在國內，據國家計算機網絡應急技術處理協調中心的統計數據顯示，2010年一季度中國的互聯網安全狀況仍不容樂觀，各種網絡安全事件與去年同期相比都有明顯增加、被植入木馬的主機數量大幅攀升。攻擊者的目標明確、趨利化特點明顯，針對不同網站所采用的攻擊手段不同，對于政府類或安全管理相關網站，攻擊者主要采用篡改網頁、放置惡意代碼等攻擊形式，干擾正常業務的開展（如利用網絡釣魚和網址嫁接等對金融機構、網上交易等站點進行網絡仿冒）、蓄意破壞政府或企業形象，嚴重的導致網站被迫停止服務。

Internet發展到今天，基于WEB和數據庫架構的應用系統已經逐漸成為主流，廣泛應用于企業內部和外部的業務系統中。在網絡高速公路不斷拓展、電子政務、電子商務和各種基于WEB應用的業務模式不斷成熟的今天，卻有報道稱全球電子商務的發展正在下滑。究其原因，根源在于近兩年關于網絡釣魚、SQL注入、木馬和跨站腳本等攻擊事件帶來的嚴重后果，影響了人們對WEB應用的信心。根據Gartner的報告，目前網絡中常見的攻擊已經由傳統的系統漏洞攻擊逐漸發展演變為對應用自身弱點的攻擊，其中最常見的攻擊技術就是針對WEB應用的SQL注入和跨站攻擊。

中國移動通信集團公司某省公司作為某省最大的綜合信息運營商，某省移動不僅為客戶提供語音業務、短信業務、手機銀行、手機證券、移動傳真、虛擬專網、自由呼、秘書服務、手機上網、移動QQ、IP電話等業務，與大眾生活息息相關，被各個行業、各類用戶所廣泛使用，并且隨著時間的推移，用戶對服務的依賴性越來越強。而且隨著3G的推出，向社會推出更多貼身的服務。

2 安全需求分析

移動公司從市場營銷、渠道管理、業務受理、業務開通、帳務結算、經營分析、故障申告、綜合查詢等各個環節均需要相應的業務系統給予支撐，比如：營業系統、CBOSS系統、BBOSS系統、終端管理系統、統一開通系統、結算系統等，而所有這些業務支撐系統均采用B/S架構設計。B/S架構的應用一方面企業客戶帶來了便利，另一方面使得企業所面臨的風險在不斷增加，比如網上營業廳、用戶通過互聯網就可以查詢可在在某省移動內部系統的相關數據、訂購某省移動不斷推出的新業務。但是，通過互聯網直接訪問的運營模式，對某省移動內部系統的安全將是極大的挑戰，主要表現為：

一是隨著WEB應用程序的增多，這些WEB應用程序所帶來的安全漏洞越來越多；二是隨著互聯網技術的發展，被用戶進行攻擊的黑客工具越來越多，黑客活動越來越猖獗。

3 方案設計依據  

◆ISO/IEC 17799  

◆BS7799 

◆ISO13335 

◆ISO27001 

◆GB17859—1999計算機信息系統安全保護等級劃分準則 

◆《信息安全等級保護管理辦法》 

◆《互聯網安全保護技術措施規范》（公安部令第82號） 

◆OWASP組織相關建議標準 

◆GAO/AIMD-00-33《信息安全風險評估》 

◆ISO15408（CC） 

◆GB/T17859

4 解決方案介紹

采用安恒明鑒WEB應用弱點掃描器建設某省移動的應用安全掃描平臺。

安全掃描技術是重要的信息安全技術，與防火墻、入侵檢測系統、WEB應用防火墻互相配合，能夠有效提高網絡及應用的安全性。如果說防火墻、網絡監控系統是被動的防御手段，那么安全掃描技術就是一種主動的防范措施，可以有效避免黑客攻擊行為，做到防患于未燃。

我們認為無論是WEB應用的開發人員，還是維護管理人員，由于其缺乏安全經驗、安全知識，WEB應用的開發與維護過程中難免存在著這樣、或那樣的安全隱患。如何有效地防范安全事件的發生，其中最積極、有效的方法就是：主動防御。即對WEB應用進行全面、綜合的風險評估，在此基礎上實施有針對性的安全加固。同時考慮到業務發展的持續性、創新性，WEB應用的內容及功能等等不斷的變化，這些變化勢必引起相應的WEB應用程序的更新、網絡環境的調整，因此，有必要建設一個WEB應用弱點掃描平臺，將WEB應用弱點掃描、風險評估納入日常工作流程，定期檢查WEB應用本身的安全性和網頁上鏈接的可靠性。發現風險應立即采取防范措施，減少因WEB應用風險給某省移動帶來的有形資產、無形資產的損失。  

5 客戶收益

基于安恒國內領先的WEB應用弱點掃描軟件，幫助某省移動業務系統安全管理員全面認識各個業務系統存在的應用安全風險，最大限度地保證某省移動業務系統的應用安全性，從而確保各項業務的可持續性，提升企業形象。

同時，通過WEB應用安全基礎、WEB應用攻擊技術（SQL注入攻擊、跨站攻擊、自動化攻擊）、核心防御技術、漏洞發現、常見漏洞分析、服務器攻擊詳解等方面的技能培訓，使得業務系統源代碼的安全性大大提升、維護人員的安全意識及安全防范能力邁進了一步，從技術和管理兩個層面為某省移動應用安全保駕護航。