客戶面臨的風險

網絡技術的不斷發展，電信公司作為IT技術應用的領航者，很快建立了某電信網上營業廳，電信客戶可以通過網上營業辦理大部分業務。目前網上營業廳品牌專區、信息傳遞、產品介紹、業務辦理、自助服務、客戶服務等欄目，用戶可以了解電信相關產品，了解電信公司近期活動，可以實現話費查詢，套餐辦理，網上投訴等功能，方便用戶便捷地進行電信業務的辦理。隨著時間的推移，網上營業廳已經成為了電信業務系統的重要組成部分，也是電信公司對外宣傳的重要窗口。如此，系統的穩定運行、有效運行成為了系統自身內在的基本要求，開展網上營業廳系統的保障工作有著非常重要的意義。

隨著客戶需求及市場與技術的成熟，運營商紛紛把網上營業廳的建設作為快捷、方便的新型營銷渠道投入運營。網上營業廳的建設在給最終用戶帶來便捷（比如：足不出戶就可以隨時隨地查看自己的手機/電話費用清單的同時，也給運營商的支撐系統業務數據安全帶來了許多風險。

同時最新的《網上營業廳安全防護檢測要求》及《網上營業廳安全防護要求》中都對網上營業廳提到相應的要求，如《網上營業廳安全防護檢測要求》中提到了第1級的應用安全中已要求網上營業廳數據庫中用戶身份識別是否重復，身份鑒別信息是否不易被冒用等要求；《網上營業廳安全防護要求》中提到“在網上營業廳與互聯網網絡之間安裝應用層防火墻”。

安恒解決方案

安恒信息在和電信技術部門探討分析之后，在當前嚴峻的網站安全形勢下，如果單靠傳統的檢查防護手段已經達不到保障的效果，在充分了解杭州安恒信息技術有限公司作為WEB應用及數據庫安全的領航者基礎上，結合網上營業廳的實際需求，隨著業務的不斷發展，應用系統也應隨之不斷地更新，應從安全檢測及防護的要求上為電信提供專業的應用安全檢測平臺及網上營業廳的應用層防護設備。一方面通過應用安全檢測平臺對第三方開發單位提交的程序進行安全性檢查，檢測系統是否存在應用層的安全隱患，如SQL注入、跨站腳本、表單繞過等高危性的漏洞，以保證更新上傳的程序中未包含應用層漏洞，減少因存在漏洞而面臨被不法分子利用并進行惡意攻擊和入侵；另一方面通過在網上營業廳的服務器前端部署安恒WEB應用防火墻實現對網上營業廳系統的保護，由以往的被動攻擊轉換為主動防御，實現對未知及已知的攻擊的有效過濾，有效的實現了對XSS跨站腳本、SQL注入、表單繞過、Cookie注入、惡意文件包含、敏感信息泄露等等攻擊的防范，確保網上營業廳的穩定運行。

客戶收益

項目實施后，可以極大地提高電信信息化部門對于網上營業廳的安全預警和安全防護能力，使用戶可以及時發現攻擊行為和違規操作，能夠有效地保護網上營業廳，針對非法訪問及惡意攻擊進行全方位的保護，并提供WEB訪問加速減少服務器的負載，提高響應速度，更好地為客戶服務，能夠提升電信公司的整體競爭力。