【51CTO.com 綜合消息】一、 客戶面臨的安全挑戰(zhàn)

中國移動通信集團(tuán)浙江有限公司作為浙江省最大的綜合信息運(yùn)營商，在全省擁有11個市分公司和62個縣（市）分公司。其提供的語音業(yè)務(wù)、短信業(yè)務(wù)、手機(jī)銀行、手機(jī)證券、移動傳真、虛擬專網(wǎng)、親情號碼、自由呼、秘書服務(wù)、手機(jī)上網(wǎng)、移動OICQ、IP電話等業(yè)務(wù)，與大眾生活息息相關(guān)，被各個行業(yè)、各類用戶所廣泛使用，并且隨著時間的推移，用戶對服務(wù)的依賴性越來越強(qiáng)。

從市場營銷、渠道管理、業(yè)務(wù)受理、業(yè)務(wù)開通、帳務(wù)結(jié)算、經(jīng)營分析、故障申告、綜合查詢等各個環(huán)節(jié)均需要相應(yīng)的業(yè)務(wù)系統(tǒng)給予支撐，比如：營業(yè)系統(tǒng)、CBOSS系統(tǒng)、BBOSS系統(tǒng)、終端管理系統(tǒng)、統(tǒng)一開通系統(tǒng)、結(jié)算系統(tǒng)等，而所有這些業(yè)務(wù)支撐系統(tǒng)均采用B/S的架構(gòu)。B/S架構(gòu)的應(yīng)用一方面企業(yè)客戶帶來了便利，另一方面使得企業(yè)所面臨的風(fēng)險在不斷增加，比如網(wǎng)上營業(yè)廳，用戶通過互聯(lián)網(wǎng)就可以查詢保存在浙江移動內(nèi)部系統(tǒng)的相關(guān)數(shù)據(jù)、訂購浙江移動不斷推出的新業(yè)務(wù)。但是，通過互聯(lián)網(wǎng)直接訪問的運(yùn)營模式，對浙江移動內(nèi)部系統(tǒng)的安全將是極大的挑戰(zhàn)，主要表現(xiàn)為：

一是隨著Web應(yīng)用程序的增多，這些Web應(yīng)用程序所帶來的安全漏洞越來越多；二是隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，被用來進(jìn)行攻擊的黑客工具越來越多、黑客活動越來越猖獗。

二、 安恒解決方案

采用安恒WEB應(yīng)用弱點(diǎn)掃描軟件，建設(shè)浙江移動應(yīng)用安全掃描平臺。

安全掃描技術(shù)是重要的信息安全技術(shù)，與防火墻、入侵檢測系統(tǒng)、WEB應(yīng)用深度防御系統(tǒng)互相配合，能夠有效提高網(wǎng)絡(luò)及應(yīng)用的安全性。如果說防火墻、網(wǎng)絡(luò)監(jiān)控系統(tǒng)等是被動的防御手段，那么安全掃描就是一種主動的防范措施，可以有效避免黑客攻擊行為，做到防患于未然。

安恒安全專家團(tuán)隊，通過與浙江移動相關(guān)領(lǐng)導(dǎo)的溝通后，一致認(rèn)為無論是WEB應(yīng)用的開發(fā)人員，還是維護(hù)管理人員，由于其缺乏安全經(jīng)驗(yàn)、安全知識，WEB應(yīng)用的開發(fā)與維護(hù)過程中難免存在這樣、那樣的安全隱患。如何有效地防范安全事件的發(fā)生，其中最積極、有效的方法就是：主動防御。即對WEB應(yīng)用進(jìn)行全面、綜合的風(fēng)險評估，在此基礎(chǔ)上實(shí)施有針對性的安全加固。同時考慮到業(yè)務(wù)發(fā)展的持續(xù)性、創(chuàng)新性，WEB應(yīng)用的內(nèi)容及功能等等會不斷的變化，這些變化勢必引起相應(yīng)的WEB應(yīng)用程序的更新、網(wǎng)絡(luò)環(huán)境的調(diào)整，因此，有必要建設(shè)一個WEB應(yīng)用安全掃描平臺，將WEB應(yīng)用弱點(diǎn)掃描、風(fēng)險評估納入日常工作流程，定期檢查WEB應(yīng)用本身的安全性及網(wǎng)頁上對外鏈接的可靠性。發(fā)現(xiàn)風(fēng)險應(yīng)立即采取防范措施，減少因WEB應(yīng)用風(fēng)險給浙江移動帶來的有形資產(chǎn)、無形資產(chǎn)的損失。

三、 項目實(shí)施總結(jié)

安恒技術(shù)支持部及安全服務(wù)團(tuán)隊，歷時2個月，與浙江移動各個業(yè)務(wù)系統(tǒng)的維護(hù)管理人員一起，先后對50多個WEB應(yīng)用系統(tǒng)進(jìn)行了完整的風(fēng)險掃描，并依據(jù)WEB應(yīng)用掃描平臺自動生成的風(fēng)險評估報告，結(jié)合安恒安全服務(wù)團(tuán)隊的實(shí)踐經(jīng)驗(yàn)，協(xié)助浙江移動應(yīng)用系統(tǒng)的開發(fā)商，對評估過程中發(fā)現(xiàn)的安全問題逐個加固。整個項目的實(shí)施主要完成了以下幾個方面的工作：   

◆軟件的安裝與部署；   

◆軟件的操作與使用培訓(xùn)；   

◆需要評估應(yīng)用系統(tǒng)的需求調(diào)研；   

◆應(yīng)用系統(tǒng)的弱點(diǎn)掃描；   

◆風(fēng)險評估報告的生成；   

◆風(fēng)險評估總結(jié)與相關(guān)安全知識、安全技術(shù)培訓(xùn)；   

◆編碼規(guī)范的制定及安全編碼相關(guān)技術(shù)培訓(xùn)；

值得一提的是，基于WEB應(yīng)用安全掃描平臺所實(shí)施的應(yīng)用安全風(fēng)險評估工作，沒有對浙江移動的業(yè)務(wù)系統(tǒng)產(chǎn)生任何影響，評估工作可以根據(jù)管理人員的需要，任意選擇在忙時或非忙時進(jìn)行，這一點(diǎn)，也從另一方面證明了該WEB應(yīng)用安全掃描平臺可以作為浙江移動安全管理部門的日常安全巡檢的有效工具，協(xié)助系統(tǒng)維護(hù)人員完成周期性的風(fēng)險評估工作。  

四、 實(shí)施效果

基于安恒國內(nèi)領(lǐng)先的WEB應(yīng)用弱點(diǎn)掃描軟件，幫助浙江移動業(yè)務(wù)系統(tǒng)安全管理員全面認(rèn)知各個業(yè)務(wù)系統(tǒng)存在的應(yīng)用安全風(fēng)險，最大限度地保證浙江移動業(yè)務(wù)系統(tǒng)的應(yīng)用安全性，從而確保各項業(yè)務(wù)的可持續(xù)性，提升企業(yè)形象。

同時，通過黑客攻擊技術(shù)、安全防范技術(shù)、編碼規(guī)范等多方面的技能培訓(xùn)，使得業(yè)務(wù)系統(tǒng)源代碼的安全性大大提升、維護(hù)人員的安全意識及安全防范能力邁進(jìn)了一步，從技術(shù)和管理兩個層面為浙江移動應(yīng)用安全保駕護(hù)航。