安恒信息助力運營商WEB應用全面安全

1 安全背景與現(xiàn)狀

在國內(nèi)，據(jù)國家計算機網(wǎng)絡應急技術(shù)處理協(xié)調(diào)中心的統(tǒng)計數(shù)據(jù)顯示，2010年一季度中國的互聯(lián)網(wǎng)安全狀況仍不容樂觀，各種網(wǎng)絡安全事件與去年同期相比都有明顯增加、被植入木馬的主機數(shù)量大幅攀升。攻擊者的目標明確、趨利化特點明顯，針對不同網(wǎng)站所采用的攻擊手段不同，對于政府類或安全管理相關(guān)網(wǎng)站，攻擊者主要采用篡改網(wǎng)頁、放置惡意代碼等攻擊形式，干擾正常業(yè)務的開展（如利用網(wǎng)絡釣魚和網(wǎng)址嫁接等對金融機構(gòu)、網(wǎng)上交易等站點進行網(wǎng)絡仿冒）、蓄意破壞政府或企業(yè)形象，嚴重的導致網(wǎng)站被迫停止服務。

Internet發(fā)展到今天，基于WEB和數(shù)據(jù)庫架構(gòu)的應用系統(tǒng)已經(jīng)逐漸成為主流，廣泛應用于企業(yè)內(nèi)部和外部的業(yè)務系統(tǒng)中。在網(wǎng)絡高速公路不斷拓展、電子政務、電子商務和各種基于WEB應用的業(yè)務模式不斷成熟的今天，卻有報道稱全球電子商務的發(fā)展正在下滑。究其原因，根源在于近兩年關(guān)于網(wǎng)絡釣魚、SQL注入、木馬和跨站腳本等攻擊事件帶來的嚴重后果，影響了人們對WEB應用的信心。根據(jù)Gartner的報告，目前網(wǎng)絡中常見的攻擊已經(jīng)由傳統(tǒng)的系統(tǒng)漏洞攻擊逐漸發(fā)展演變?yōu)閷�應用自身弱點的攻擊，其中最常見的攻擊技術(shù)就是針對WEB應用的SQL注入和跨站攻擊。

中國移動通信集團公司某省公司作為某省最大的綜合信息運營商，某省移動不僅為客戶提供語音業(yè)務、短信業(yè)務、手機銀行、手機證券、移動傳真、虛擬專網(wǎng)、自由呼、秘書服務、手機上網(wǎng)、移動QQ、IP電話等業(yè)務，與大眾生活息息相關(guān)，被各個行業(yè)、各類用戶所廣泛使用，并且隨著時間的推移，用戶對服務的依賴性越來越強。而且隨著3G的推出，向社會推出更多貼身的服務。

2 安全需求分析

移動公司從市場營銷、渠道管理、業(yè)務受理、業(yè)務開通、帳務結(jié)算、經(jīng)營分析、故障申告、綜合查詢等各個環(huán)節(jié)均需要相應的業(yè)務系統(tǒng)給予支撐，比如：營業(yè)系統(tǒng)、CBOSS系統(tǒng)、BBOSS系統(tǒng)、終端管理系統(tǒng)、統(tǒng)一開通系統(tǒng)、結(jié)算系統(tǒng)等，而所有這些業(yè)務支撐系統(tǒng)均采用B/S架構(gòu)設(shè)計。B/S架構(gòu)的應用一方面企業(yè)客戶帶來了便利，另一方面使得企業(yè)所面臨的風險在不斷增加，比如網(wǎng)上營業(yè)廳、用戶通過互聯(lián)網(wǎng)就可以查詢可在在某省移動內(nèi)部系統(tǒng)的相關(guān)數(shù)據(jù)、訂購某省移動不斷推出的新業(yè)務。但是，通過互聯(lián)網(wǎng)直接訪問的運營模式，對某省移動內(nèi)部系統(tǒng)的安全將是極大的挑戰(zhàn)，主要表現(xiàn)為：

一是隨著WEB應用程序的增多，這些WEB應用程序所帶來的安全漏洞越來越多；二是隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，被用戶進行攻擊的黑客工具越來越多，黑客活動越來越猖獗。

3 方案設(shè)計依據(jù)

ISO/IEC 17799

BS7799

ISO13335

ISO27001

GB17859—1999計算機信息系統(tǒng)安全保護等級劃分準則

《信息安全等級保護管理辦法》

《互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)范》（公安部令第82號）

OWASP組織相關(guān)建議標準

GAO/AIMD-00-33《信息安全風險評估》

ISO15408（CC）

GB/T17859

4 解決方案介紹

采用安恒明鑒WEB應用弱點掃描器建設(shè)某省移動的應用安全掃描平臺。

安全掃描技術(shù)是重要的信息安全技術(shù)，與防火墻、入侵檢測系統(tǒng)、WEB應用防火墻互相配合，能夠有效提高網(wǎng)絡及應用的安全性。如果說防火墻、網(wǎng)絡監(jiān)控系統(tǒng)是被動的防御手段，那么安全掃描技術(shù)就是一種主動的防范措施，可以有效避免黑客攻擊行為，做到防患于未燃。

我們認為無論是WEB應用的開發(fā)人員，還是維護管理人員，由于其缺乏安全經(jīng)驗、安全知識，WEB應用的開發(fā)與維護過程中難免存在著這樣、或那樣的安全隱患。如何有效地防范安全事件的發(fā)生，其中最積極、有效的方法就是：主動防御。即對WEB應用進行全面、綜合的風險評估，在此基礎(chǔ)上實施有針對性的安全加固。同時考慮到業(yè)務發(fā)展的持續(xù)性、創(chuàng)新性，WEB應用的內(nèi)容及功能等等不斷的變化，這些變化勢必引起相應的WEB應用程序的更新、網(wǎng)絡環(huán)境的調(diào)整，因此，有必要建設(shè)一個WEB應用弱點掃描平臺，將WEB應用弱點掃描、風險評估納入日常工作流程，定期檢查WEB應用本身的安全性和網(wǎng)頁上鏈接的可靠性。發(fā)現(xiàn)風險應立即采取防范措施，減少因WEB應用風險給某省移動帶來的有形資產(chǎn)、無形資產(chǎn)的損失。

5 客戶收益

基于安恒國內(nèi)領(lǐng)先的WEB應用弱點掃描軟件，幫助某省移動業(yè)務系統(tǒng)安全管理員全面認識各個業(yè)務系統(tǒng)存在的應用安全風險，最大限度地保證某省移動業(yè)務系統(tǒng)的應用安全性，從而確保各項業(yè)務的可持續(xù)性，提升企業(yè)形象。

同時，通過WEB應用安全基礎(chǔ)、WEB應用攻擊技術(shù)（SQL注入攻擊、跨站攻擊、自動化攻擊）、核心防御技術(shù)、漏洞發(fā)現(xiàn)、常見漏洞分析、服務器攻擊詳解等方面的技能培訓，使得業(yè)務系統(tǒng)源代碼的安全性大大提升、維護人員的安全意識及安全防范能力邁進了一步，從技術(shù)和管理兩個層面為某省移動應用安全保駕護航。