杭州安恒总裁范渊表示,运营商纷纷把全业务作为发展战略,安全形势的焦点已经从之前的网络安全老三样到应用安全和全业务安全发展,而做好这项工作的实质就是运营商应具有良好的业务支撑环境及安全意识。
近几年,随着互联网快速发展,人们对于网络的使用产生极大的依赖性。如今,Web业平台已经在电子商务、企业信息化中得到了广泛应用,很多企业都将应用假设在Web平台上,这给网络安全带了极大的威胁。
而作为一家信息安全厂商,杭州安恒信息技术有限公司(以下简称“安恒”)从2007年初将Web安全概念引入中国。经过短短三年的发展,现在安恒已经是成为业界公认的在Web安全和数据化安全的领导者,先后成为2008年北京奥组委、2009年国庆60周年工信部安全中心大检查和公安部安全大检查以及2010年世博会安全产品服务的提供商。
杭州安恒总裁范渊
安恒公司总裁总裁范渊对通信世界网表示,“在本次世博会中,安恒公司为上海移动的世博项目提供了全系列的应用安全解决方案,包括实际网站和3G网站的维护。同时,安恒还为部分政府项目提供评估服务及产品解决方案。”在近日召开的“通信网络与信息安全高层论坛”上,凭借优异的表现,安恒摘取了“通信安全卫士奖”的桂冠。
当然,这些成绩与荣誉的取得与安恒在安全领域的认识、坚持与创新是分不开的。据范渊介绍,国内的2007年安恒开始宣传Web安全,当时国内很多企业和用户都很难理解,而ISA美国已经公认Web安全是第一大威胁。经过奥运安保及国庆60周年安保的考研,如今Web安全的重要已经无需强调。对此,范渊认为,国内对Web安全有一个认识周期是正常的。
也正是这段时间差,成就了安恒。
对于目前运营商和企业在安全方面的认知,范渊认为,运营商在整个信息安全领域走得比较靠前,例如4A(账号管理、认证、授权、审计)解决方案的提出,包括整个内部安全的管理规范等等。但去年6月份运营商启动的网上营业厅的大检查的结果却表明,运营商的网络安全现在正面临比较严重的威胁。
范渊强调:“随着全业务以及3G不断的发展,对运营商来说,安全形势的焦点已经从之前的网络安全老三样到应用安全和全业务安全发展,而做好这项工作的实质就是运营商应具有良好的业务支撑环境及安全意识。”
同时,对于运营商自身存在的安全问题范渊做出以下几点总结:
1.对外服务的系统直接面临着安全隐患
诸如网上营业厅等对外直接面对客户服务的业务系统,随时都面临着恶意攻击的嗅探和破坏尝试。然而现有的安全环境无法实现全方位的保护,针对WEB应用层的攻击没有很好的手段实现防护,并未部署真正针对WEB应用攻击的防御设备。
2.与互联网存在多个出口
随着业务和管理发展的需要,各支撑系统(网管系统、业务支撑系统、企业信息化系统)与互联网的互联需求越来越多,各类支撑系统通常都存在互联网接口,各接口都采用了一些安全防护措施,但这样独立设置安全防护系统存在投资大、漏洞多、安全策略不统一,安全建设投入和管理成本越来越高的问题。
3.数据库操作无有效地监控措施
针对业务支撑系统中涉及敏感数据的访问,如读取、更新、删除等操作无法实现有效地审计;数据库帐户操作过程是否存在违规、恶意操作,没有合规的监控手段;客户端工具众多,没有很好地规范措施。
4.远程维护存在安全隐患
支撑网中存在大量的远程维护需求,核心设备一般由运维人员远端登录维护,遇到出现问题的紧急情况会提供网络通道由厂商技术人员远程登录解决。远程维护的接入控制通常没有进行统一,存在多个远程维护的接口,维护的方式也多种多样。一旦被恶意使用者通过弱口令、控制终端入侵等方式,远程登录到支撑网中,将给支撑网网络造成不可估量的损失和极其严重的后果。
范渊认为,“世界上没有一个绝对的安全。但是我们至少可以保证我们可以把风险控制到最低,这个我想也是,我们始终就是作为安全领域内所坚持的一个观点。”
对于公司未来发展规划,范渊信心满满。他指出,安恒作为一个专业的安全厂商也是希望能够在一个领域里能够精益求精,为用户创造更大的价值。“我们希望不仅是为电信内部,也是电信大客户一起来提供整体的服务。”
