【51CTO.com 綜合消息】一、 客戶面臨的安全挑戰(zhàn)

中國(guó)移動(dòng)通信集團(tuán)浙江有限公司作為浙江省最大的綜合信息運(yùn)營(yíng)商，在全省擁有11個(gè)市分公司和62個(gè)縣（市）分公司。其提供的語(yǔ)音業(yè)務(wù)、短信業(yè)務(wù)、手機(jī)銀行、手機(jī)證券、移動(dòng)傳真、虛擬專網(wǎng)、親情號(hào)碼、自由呼、秘書服務(wù)、手機(jī)上網(wǎng)、移動(dòng)OICQ、IP電話等業(yè)務(wù)，與大眾生活息息相關(guān)，被各個(gè)行業(yè)、各類用戶所廣泛使用，并且隨著時(shí)間的推移，用戶對(duì)服務(wù)的依賴性越來(lái)越強(qiáng)。

從市場(chǎng)營(yíng)銷、渠道管理、業(yè)務(wù)受理、業(yè)務(wù)開通、帳務(wù)結(jié)算、經(jīng)營(yíng)分析、故障申告、綜合查詢等各個(gè)環(huán)節(jié)均需要相應(yīng)的業(yè)務(wù)系統(tǒng)給予支撐，比如：營(yíng)業(yè)系統(tǒng)、CBOSS系統(tǒng)、BBOSS系統(tǒng)、終端管理系統(tǒng)、統(tǒng)一開通系統(tǒng)、結(jié)算系統(tǒng)等，而所有這些業(yè)務(wù)支撐系統(tǒng)均采用B/S的架構(gòu)。B/S架構(gòu)的應(yīng)用一方面企業(yè)客戶帶來(lái)了便利，另一方面使得企業(yè)所面臨的風(fēng)險(xiǎn)在不斷增加，比如網(wǎng)上營(yíng)業(yè)廳，用戶通過(guò)互聯(lián)網(wǎng)就可以查詢保存在浙江移動(dòng)內(nèi)部系統(tǒng)的相關(guān)數(shù)據(jù)、訂購(gòu)浙江移動(dòng)不斷推出的新業(yè)務(wù)。但是，通過(guò)互聯(lián)網(wǎng)直接訪問的運(yùn)營(yíng)模式，對(duì)浙江移動(dòng)內(nèi)部系統(tǒng)的安全將是極大的挑戰(zhàn)，主要表現(xiàn)為：

一是隨著Web應(yīng)用程序的增多，這些Web應(yīng)用程序所帶來(lái)的安全漏洞越來(lái)越多；二是隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，被用來(lái)進(jìn)行攻擊的黑客工具越來(lái)越多、黑客活動(dòng)越來(lái)越猖獗。

二、 安恒解決方案

采用安恒WEB應(yīng)用弱點(diǎn)掃描軟件，建設(shè)浙江移動(dòng)應(yīng)用安全掃描平臺(tái)。

安全掃描技術(shù)是重要的信息安全技術(shù)，與防火墻、入侵檢測(cè)系統(tǒng)、WEB應(yīng)用深度防御系統(tǒng)互相配合，能夠有效提高網(wǎng)絡(luò)及應(yīng)用的安全性。如果說(shuō)防火墻、網(wǎng)絡(luò)監(jiān)控系統(tǒng)等是被動(dòng)的防御手段，那么安全掃描就是一種主動(dòng)的防范措施，可以有效避免黑客攻擊行為，做到防患于未然。

安恒安全專家團(tuán)隊(duì)，通過(guò)與浙江移動(dòng)相關(guān)領(lǐng)導(dǎo)的溝通后，一致認(rèn)為無(wú)論是WEB應(yīng)用的開發(fā)人員，還是維護(hù)管理人員，由于其缺乏安全經(jīng)驗(yàn)、安全知識(shí)，WEB應(yīng)用的開發(fā)與維護(hù)過(guò)程中難免存在這樣、那樣的安全隱患。如何有效地防范安全事件的發(fā)生，其中最積極、有效的方法就是：主動(dòng)防御。即對(duì)WEB應(yīng)用進(jìn)行全面、綜合的風(fēng)險(xiǎn)評(píng)估，在此基礎(chǔ)上實(shí)施有針對(duì)性的安全加固。同時(shí)考慮到業(yè)務(wù)發(fā)展的持續(xù)性、創(chuàng)新性，WEB應(yīng)用的內(nèi)容及功能等等會(huì)不斷的變化，這些變化勢(shì)必引起相應(yīng)的WEB應(yīng)用程序的更新、網(wǎng)絡(luò)環(huán)境的調(diào)整，因此，有必要建設(shè)一個(gè)WEB應(yīng)用安全掃描平臺(tái)，將WEB應(yīng)用弱點(diǎn)掃描、風(fēng)險(xiǎn)評(píng)估納入日常工作流程，定期檢查WEB應(yīng)用本身的安全性及網(wǎng)頁(yè)上對(duì)外鏈接的可靠性。發(fā)現(xiàn)風(fēng)險(xiǎn)應(yīng)立即采取防范措施，減少因WEB應(yīng)用風(fēng)險(xiǎn)給浙江移動(dòng)帶來(lái)的有形資產(chǎn)、無(wú)形資產(chǎn)的損失。

三、 項(xiàng)目實(shí)施總結(jié)

安恒技術(shù)支持部及安全服務(wù)團(tuán)隊(duì)，歷時(shí)2個(gè)月，與浙江移動(dòng)各個(gè)業(yè)務(wù)系統(tǒng)的維護(hù)管理人員一起，先后對(duì)50多個(gè)WEB應(yīng)用系統(tǒng)進(jìn)行了完整的風(fēng)險(xiǎn)掃描，并依據(jù)WEB應(yīng)用掃描平臺(tái)自動(dòng)生成的風(fēng)險(xiǎn)評(píng)估報(bào)告，結(jié)合安恒安全服務(wù)團(tuán)隊(duì)的實(shí)踐經(jīng)驗(yàn)，協(xié)助浙江移動(dòng)應(yīng)用系統(tǒng)的開發(fā)商，對(duì)評(píng)估過(guò)程中發(fā)現(xiàn)的安全問題逐個(gè)加固。整個(gè)項(xiàng)目的實(shí)施主要完成了以下幾個(gè)方面的工作：   

◆軟件的安裝與部署；   

◆軟件的操作與使用培訓(xùn)；   

◆需要評(píng)估應(yīng)用系統(tǒng)的需求調(diào)研；   

◆應(yīng)用系統(tǒng)的弱點(diǎn)掃描；   

◆風(fēng)險(xiǎn)評(píng)估報(bào)告的生成；   

◆風(fēng)險(xiǎn)評(píng)估總結(jié)與相關(guān)安全知識(shí)、安全技術(shù)培訓(xùn)；   

◆編碼規(guī)范的制定及安全編碼相關(guān)技術(shù)培訓(xùn)；

值得一提的是，基于WEB應(yīng)用安全掃描平臺(tái)所實(shí)施的應(yīng)用安全風(fēng)險(xiǎn)評(píng)估工作，沒有對(duì)浙江移動(dòng)的業(yè)務(wù)系統(tǒng)產(chǎn)生任何影響，評(píng)估工作可以根據(jù)管理人員的需要，任意選擇在忙時(shí)或非忙時(shí)進(jìn)行，這一點(diǎn)，也從另一方面證明了該WEB應(yīng)用安全掃描平臺(tái)可以作為浙江移動(dòng)安全管理部門的日常安全巡檢的有效工具，協(xié)助系統(tǒng)維護(hù)人員完成周期性的風(fēng)險(xiǎn)評(píng)估工作。  

四、 實(shí)施效果

基于安恒國(guó)內(nèi)領(lǐng)先的WEB應(yīng)用弱點(diǎn)掃描軟件，幫助浙江移動(dòng)業(yè)務(wù)系統(tǒng)安全管理員全面認(rèn)知各個(gè)業(yè)務(wù)系統(tǒng)存在的應(yīng)用安全風(fēng)險(xiǎn)，最大限度地保證浙江移動(dòng)業(yè)務(wù)系統(tǒng)的應(yīng)用安全性，從而確保各項(xiàng)業(yè)務(wù)的可持續(xù)性，提升企業(yè)形象。

同時(shí)，通過(guò)黑客攻擊技術(shù)、安全防范技術(shù)、編碼規(guī)范等多方面的技能培訓(xùn)，使得業(yè)務(wù)系統(tǒng)源代碼的安全性大大提升、維護(hù)人員的安全意識(shí)及安全防范能力邁進(jìn)了一步，從技術(shù)和管理兩個(gè)層面為浙江移動(dòng)應(yīng)用安全保駕護(hù)航。