【51CTO.com 综合消息】1 安全背景与现状
在国内,据国家计算机网络应急技术处理协调中心的统计数据显示,2010年一季度中国的互联网安全状况仍不容乐观,各种网络安全事件与去年同期相比都有明显增加、被植入木马的主机数量大幅攀升。攻击者的目标明确、趋利化特点明显,针对不同网站所采用的攻击手段不同,对于政府类或安全管理相关网站,攻击者主要采用篡改网页、放置恶意代码等攻击形式,干扰正常业务的开展(如利用网络钓鱼和网址嫁接等对金融机构、网上交易等站点进行网络仿冒)、蓄意破坏政府或企业形象,严重的导致网站被迫停止服务。
Internet发展到今天,基于WEB和数据库架构的应用系统已经逐渐成为主流,广泛应用于企业内部和外部的业务系统中。在网络高速公路不断拓展、电子政务、电子商务和各种基于WEB应用的业务模式不断成熟的今天,却有报道称全球电子商务的发展正在下滑。究其原因,根源在于近两年关于网络钓鱼、SQL注入、木马和跨站脚本等攻击事件带来的严重后果,影响了人们对WEB应用的信心。根据Gartner的报告,目前网络中常见的攻击已经由传统的系统漏洞攻击逐渐发展演变为对应用自身弱点的攻击,其中最常见的攻击技术就是针对WEB应用的SQL注入和跨站攻击。
中国移动通信集团公司某省公司作为某省最大的综合信息运营商,某省移动不仅为客户提供语音业务、短信业务、手机银行、手机证券、移动传真、虚拟专网、自由呼、秘书服务、手机上网、移动QQ、IP电话等业务,与大众生活息息相关,被各个行业、各类用户所广泛使用,并且随着时间的推移,用户对服务的依赖性越来越强。而且随着3G的推出,向社会推出更多贴身的服务。
2 安全需求分析
移动公司从市场营销、渠道管理、业务受理、业务开通、帐务结算、经营分析、故障申告、综合查询等各个环节均需要相应的业务系统给予支撑,比如:营业系统、CBOSS系统、BBOSS系统、终端管理系统、统一开通系统、结算系统等,而所有这些业务支撑系统均采用B/S架构设计。B/S架构的应用一方面企业客户带来了便利,另一方面使得企业所面临的风险在不断增加,比如网上营业厅、用户通过互联网就可以查询可在在某省移动内部系统的相关数据、订购某省移动不断推出的新业务。但是,通过互联网直接访问的运营模式,对某省移动内部系统的安全将是极大的挑战,主要表现为:
一是随着WEB应用程序的增多,这些WEB应用程序所带来的安全漏洞越来越多;二是随着互联网技术的发展,被用户进行攻击的黑客工具越来越多,黑客活动越来越猖獗。
3 方案设计依据
◆ISO/IEC 17799
◆BS7799
◆ISO13335
◆ISO27001
◆GB17859—1999计算机信息系统安全保护等级划分准则
◆《信息安全等级保护管理办法》
◆《互联网安全保护技术措施规范》(公安部令第82号)
◆OWASP组织相关建议标准
◆GAO/AIMD-00-33《信息安全风险评估》
◆ISO15408(CC)
◆GB/T17859
4 解决方案介绍
采用安恒明鉴WEB应用弱点扫描器建设某省移动的应用安全扫描平台。
安全扫描技术是重要的信息安全技术,与防火墙、入侵检测系统、WEB应用防火墙互相配合,能够有效提高网络及应用的安全性。如果说防火墙、网络监控系统是被动的防御手段,那么安全扫描技术就是一种主动的防范措施,可以有效避免黑客攻击行为,做到防患于未燃。
我们认为无论是WEB应用的开发人员,还是维护管理人员,由于其缺乏安全经验、安全知识,WEB应用的开发与维护过程中难免存在着这样、或那样的安全隐患。如何有效地防范安全事件的发生,其中最积极、有效的方法就是:主动防御。即对WEB应用进行全面、综合的风险评估,在此基础上实施有针对性的安全加固。同时考虑到业务发展的持续性、创新性,WEB应用的内容及功能等等不断的变化,这些变化势必引起相应的WEB应用程序的更新、网络环境的调整,因此,有必要建设一个WEB应用弱点扫描平台,将WEB应用弱点扫描、风险评估纳入日常工作流程,定期检查WEB应用本身的安全性和网页上链接的可靠性。发现风险应立即采取防范措施,减少因WEB应用风险给某省移动带来的有形资产、无形资产的损失。
5 客户收益
基于安恒国内领先的WEB应用弱点扫描软件,帮助某省移动业务系统安全管理员全面认识各个业务系统存在的应用安全风险,最大限度地保证某省移动业务系统的应用安全性,从而确保各项业务的可持续性,提升企业形象。
同时,通过WEB应用安全基础、WEB应用攻击技术(SQL注入攻击、跨站攻击、自动化攻击)、核心防御技术、漏洞发现、常见漏洞分析、服务器攻击详解等方面的技能培训,使得业务系统源代码的安全性大大提升、维护人员的安全意识及安全防范能力迈进了一步,从技术和管理两个层面为某省移动应用安全保驾护航。