客戶面臨的風(fēng)險

網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，電信公司作為IT技術(shù)應(yīng)用的領(lǐng)航者，很快建立了某電信網(wǎng)上營業(yè)廳，電信客戶可以通過網(wǎng)上營業(yè)辦理大部分業(yè)務(wù)。目前網(wǎng)上營業(yè)廳品牌專區(qū)、信息傳遞、產(chǎn)品介紹、業(yè)務(wù)辦理、自助服務(wù)、客戶服務(wù)等欄目，用戶可以了解電信相關(guān)產(chǎn)品，了解電信公司近期活動，可以實現(xiàn)話費查詢，套餐辦理，網(wǎng)上投訴等功能，方便用戶便捷地進行電信業(yè)務(wù)的辦理。隨著時間的推移，網(wǎng)上營業(yè)廳已經(jīng)成為了電信業(yè)務(wù)系統(tǒng)的重要組成部分，也是電信公司對外宣傳的重要窗口。如此，系統(tǒng)的穩(wěn)定運行、有效運行成為了系統(tǒng)自身內(nèi)在的基本要求，開展網(wǎng)上營業(yè)廳系統(tǒng)的保障工作有著非常重要的意義。

隨著客戶需求及市場與技術(shù)的成熟，運營商紛紛把網(wǎng)上營業(yè)廳的建設(shè)作為快捷、方便的新型營銷渠道投入運營。網(wǎng)上營業(yè)廳的建設(shè)在給最終用戶帶來便捷（比如：足不出戶就可以隨時隨地查看自己的手機/電話費用清單的同時，也給運營商的支撐系統(tǒng)業(yè)務(wù)數(shù)據(jù)安全帶來了許多風(fēng)險。

同時最新的《網(wǎng)上營業(yè)廳安全防護檢測要求》及《網(wǎng)上營業(yè)廳安全防護要求》中都對網(wǎng)上營業(yè)廳提到相應(yīng)的要求，如《網(wǎng)上營業(yè)廳安全防護檢測要求》中提到了第1級的應(yīng)用安全中已要求網(wǎng)上營業(yè)廳數(shù)據(jù)庫中用戶身份識別是否重復(fù)，身份鑒別信息是否不易被冒用等要求；《網(wǎng)上營業(yè)廳安全防護要求》中提到“在網(wǎng)上營業(yè)廳與互聯(lián)網(wǎng)網(wǎng)絡(luò)之間安裝應(yīng)用層防火墻”。

安恒解決方案

安恒信息在和電信技術(shù)部門探討分析之后，在當前嚴峻的網(wǎng)站安全形勢下，如果單靠傳統(tǒng)的檢查防護手段已經(jīng)達不到保障的效果，在充分了解杭州安恒信息技術(shù)有限公司作為WEB應(yīng)用及數(shù)據(jù)庫安全的領(lǐng)航者基礎(chǔ)上，結(jié)合網(wǎng)上營業(yè)廳的實際需求，隨著業(yè)務(wù)的不斷發(fā)展，應(yīng)用系統(tǒng)也應(yīng)隨之不斷地更新，應(yīng)從安全檢測及防護的要求上為電信提供專業(yè)的應(yīng)用安全檢測平臺及網(wǎng)上營業(yè)廳的應(yīng)用層防護設(shè)備。一方面通過應(yīng)用安全檢測平臺對第三方開發(fā)單位提交的程序進行安全性檢查，檢測系統(tǒng)是否存在應(yīng)用層的安全隱患，如SQL注入、跨站腳本、表單繞過等高危性的漏洞，以保證更新上傳的程序中未包含應(yīng)用層漏洞，減少因存在漏洞而面臨被不法分子利用并進行惡意攻擊和入侵；另一方面通過在網(wǎng)上營業(yè)廳的服務(wù)器前端部署安恒WEB應(yīng)用防火墻實現(xiàn)對網(wǎng)上營業(yè)廳系統(tǒng)的保護，由以往的被動攻擊轉(zhuǎn)換為主動防御，實現(xiàn)對未知及已知的攻擊的有效過濾，有效的實現(xiàn)了對XSS跨站腳本、SQL注入、表單繞過、Cookie注入、惡意文件包含、敏感信息泄露等等攻擊的防范，確保網(wǎng)上營業(yè)廳的穩(wěn)定運行。

客戶收益

項目實施后，可以極大地提高電信信息化部門對于網(wǎng)上營業(yè)廳的安全預(yù)警和安全防護能力，使用戶可以及時發(fā)現(xiàn)攻擊行為和違規(guī)操作，能夠有效地保護網(wǎng)上營業(yè)廳，針對非法訪問及惡意攻擊進行全方位的保護，并提供WEB訪問加速減少服務(wù)器的負載，提高響應(yīng)速度，更好地為客戶服務(wù)，能夠提升電信公司的整體競爭力。