安恒信息助力運(yùn)營商WEB應(yīng)用全面安全

1 安全背景與現(xiàn)狀

在國內(nèi)，據(jù)國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心的統(tǒng)計(jì)數(shù)據(jù)顯示，2010年一季度中國的互聯(lián)網(wǎng)安全狀況仍不容樂觀，各種網(wǎng)絡(luò)安全事件與去年同期相比都有明顯增加、被植入木馬的主機(jī)數(shù)量大幅攀升。攻擊者的目標(biāo)明確、趨利化特點(diǎn)明顯，針對不同網(wǎng)站所采用的攻擊手段不同，對于政府類或安全管理相關(guān)網(wǎng)站，攻擊者主要采用篡改網(wǎng)頁、放置惡意代碼等攻擊形式，干擾正常業(yè)務(wù)的開展（如利用網(wǎng)絡(luò)釣魚和網(wǎng)址嫁接等對金融機(jī)構(gòu)、網(wǎng)上交易等站點(diǎn)進(jìn)行網(wǎng)絡(luò)仿冒）、蓄意破壞政府或企業(yè)形象，嚴(yán)重的導(dǎo)致網(wǎng)站被迫停止服務(wù)。

Internet發(fā)展到今天，基于WEB和數(shù)據(jù)庫架構(gòu)的應(yīng)用系統(tǒng)已經(jīng)逐漸成為主流，廣泛應(yīng)用于企業(yè)內(nèi)部和外部的業(yè)務(wù)系統(tǒng)中。在網(wǎng)絡(luò)高速公路不斷拓展、電子政務(wù)、電子商務(wù)和各種基于WEB應(yīng)用的業(yè)務(wù)模式不斷成熟的今天，卻有報(bào)道稱全球電子商務(wù)的發(fā)展正在下滑。究其原因，根源在于近兩年關(guān)于網(wǎng)絡(luò)釣魚、SQL注入、木馬和跨站腳本等攻擊事件帶來的嚴(yán)重后果，影響了人們對WEB應(yīng)用的信心。根據(jù)Gartner的報(bào)告，目前網(wǎng)絡(luò)中常見的攻擊已經(jīng)由傳統(tǒng)的系統(tǒng)漏洞攻擊逐漸發(fā)展演變?yōu)閷��?yīng)用自身弱點(diǎn)的攻擊，其中最常見的攻擊技術(shù)就是針對WEB應(yīng)用的SQL注入和跨站攻擊。

中國移動(dòng)通信集團(tuán)公司某省公司作為某省最大的綜合信息運(yùn)營商，某省移動(dòng)不僅為客戶提供語音業(yè)務(wù)、短信業(yè)務(wù)、手機(jī)銀行、手機(jī)證券、移動(dòng)傳真、虛擬專網(wǎng)、自由呼、秘書服務(wù)、手機(jī)上網(wǎng)、移動(dòng)QQ、IP電話等業(yè)務(wù)，與大眾生活息息相關(guān)，被各個(gè)行業(yè)、各類用戶所廣泛使用，并且隨著時(shí)間的推移，用戶對服務(wù)的依賴性越來越強(qiáng)。而且隨著3G的推出，向社會(huì)推出更多貼身的服務(wù)。

2 安全需求分析

移動(dòng)公司從市場營銷、渠道管理、業(yè)務(wù)受理、業(yè)務(wù)開通、帳務(wù)結(jié)算、經(jīng)營分析、故障申告、綜合查詢等各個(gè)環(huán)節(jié)均需要相應(yīng)的業(yè)務(wù)系統(tǒng)給予支撐，比如：營業(yè)系統(tǒng)、CBOSS系統(tǒng)、BBOSS系統(tǒng)、終端管理系統(tǒng)、統(tǒng)一開通系統(tǒng)、結(jié)算系統(tǒng)等，而所有這些業(yè)務(wù)支撐系統(tǒng)均采用B/S架構(gòu)設(shè)計(jì)。B/S架構(gòu)的應(yīng)用一方面企業(yè)客戶帶來了便利，另一方面使得企業(yè)所面臨的風(fēng)險(xiǎn)在不斷增加，比如網(wǎng)上營業(yè)廳、用戶通過互聯(lián)網(wǎng)就可以查詢可在在某省移動(dòng)內(nèi)部系統(tǒng)的相關(guān)數(shù)據(jù)、訂購某省移動(dòng)不斷推出的新業(yè)務(wù)。但是，通過互聯(lián)網(wǎng)直接訪問的運(yùn)營模式，對某省移動(dòng)內(nèi)部系統(tǒng)的安全將是極大的挑戰(zhàn)，主要表現(xiàn)為：

一是隨著WEB應(yīng)用程序的增多，這些WEB應(yīng)用程序所帶來的安全漏洞越來越多；二是隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，被用戶進(jìn)行攻擊的黑客工具越來越多，黑客活動(dòng)越來越猖獗。

3 方案設(shè)計(jì)依據(jù)

ISO/IEC 17799

BS7799

ISO13335

ISO27001

GB17859—1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則

《信息安全等級(jí)保護(hù)管理辦法》

《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)范》（公安部令第82號(hào)）

OWASP組織相關(guān)建議標(biāo)準(zhǔn)

GAO/AIMD-00-33《信息安全風(fēng)險(xiǎn)評(píng)估》

ISO15408（CC）

GB/T17859

4 解決方案介紹

采用安恒明鑒WEB應(yīng)用弱點(diǎn)掃描器建設(shè)某省移動(dòng)的應(yīng)用安全掃描平臺(tái)。

安全掃描技術(shù)是重要的信息安全技術(shù)，與防火墻、入侵檢測系統(tǒng)、WEB應(yīng)用防火墻互相配合，能夠有效提高網(wǎng)絡(luò)及應(yīng)用的安全性。如果說防火墻、網(wǎng)絡(luò)監(jiān)控系統(tǒng)是被動(dòng)的防御手段，那么安全掃描技術(shù)就是一種主動(dòng)的防范措施，可以有效避免黑客攻擊行為，做到防患于未燃。

我們認(rèn)為無論是WEB應(yīng)用的開發(fā)人員，還是維護(hù)管理人員，由于其缺乏安全經(jīng)驗(yàn)、安全知識(shí)，WEB應(yīng)用的開發(fā)與維護(hù)過程中難免存在著這樣、或那樣的安全隱患。如何有效地防范安全事件的發(fā)生，其中最積極、有效的方法就是：主動(dòng)防御。即對WEB應(yīng)用進(jìn)行全面、綜合的風(fēng)險(xiǎn)評(píng)估，在此基礎(chǔ)上實(shí)施有針對性的安全加固。同時(shí)考慮到業(yè)務(wù)發(fā)展的持續(xù)性、創(chuàng)新性，WEB應(yīng)用的內(nèi)容及功能等等不斷的變化，這些變化勢必引起相應(yīng)的WEB應(yīng)用程序的更新、網(wǎng)絡(luò)環(huán)境的調(diào)整，因此，有必要建設(shè)一個(gè)WEB應(yīng)用弱點(diǎn)掃描平臺(tái)，將WEB應(yīng)用弱點(diǎn)掃描、風(fēng)險(xiǎn)評(píng)估納入日常工作流程，定期檢查WEB應(yīng)用本身的安全性和網(wǎng)頁上鏈接的可靠性。發(fā)現(xiàn)風(fēng)險(xiǎn)應(yīng)立即采取防范措施，減少因WEB應(yīng)用風(fēng)險(xiǎn)給某省移動(dòng)帶來的有形資產(chǎn)、無形資產(chǎn)的損失。

5 客戶收益

基于安恒國內(nèi)領(lǐng)先的WEB應(yīng)用弱點(diǎn)掃描軟件，幫助某省移動(dòng)業(yè)務(wù)系統(tǒng)安全管理員全面認(rèn)識(shí)各個(gè)業(yè)務(wù)系統(tǒng)存在的應(yīng)用安全風(fēng)險(xiǎn)，最大限度地保證某省移動(dòng)業(yè)務(wù)系統(tǒng)的應(yīng)用安全性，從而確保各項(xiàng)業(yè)務(wù)的可持續(xù)性，提升企業(yè)形象。

同時(shí)，通過WEB應(yīng)用安全基礎(chǔ)、WEB應(yīng)用攻擊技術(shù)（SQL注入攻擊、跨站攻擊、自動(dòng)化攻擊）、核心防御技術(shù)、漏洞發(fā)現(xiàn)、常見漏洞分析、服務(wù)器攻擊詳解等方面的技能培訓(xùn)，使得業(yè)務(wù)系統(tǒng)源代碼的安全性大大提升、維護(hù)人員的安全意識(shí)及安全防范能力邁進(jìn)了一步，從技術(shù)和管理兩個(gè)層面為某省移動(dòng)應(yīng)用安全保駕護(hù)航。