首页 >> OWASP 2010 >> 相关技术 >> 正文
 
安恒信息助力移动行业应用安全扫描平台建设
http://www.cww.net.cn   2010年7月26日 08:22    通信世界网    

一、       客户面临的安全挑战

中国移动通信集团浙江有限公司作为浙江省最大的综合信息运营商,在全省拥有11个市分公司和62个县(市)分公司。其提供的语音业务、短信业务、手机银行、手机证券、移动传真、虚拟专网、亲情号码、自由呼、秘书服务、手机上网、移动OICQ、IP电话等业务,与大众生活息息相关,被各个行业、各类用户所广泛使用,并且随着时间的推移,用户对服务的依赖性越来越强。

从市场营销、渠道管理、业务受理、业务开通、帐务结算、经营分析、故障申告、综合查询等各个环节均需要相应的业务系统给予支撑,比如:营业系统、CBOSS系统、BBOSS系统、终端管理系统、统一开通系统、结算系统等,而所有这些业务支撑系统均采用B/S的架构。B/S架构的应用一方面企业客户带来了便利,另一方面使得企业所面临的风险在不断增加,比如网上营业厅,用户通过互联网就可以查询保存在浙江移动内部系统的相关数据、订购浙江移动不断推出的新业务。但是,通过互联网直接访问的运营模式,对浙江移动内部系统的安全将是极大的挑战,主要表现为:

一是随着Web应用程序的增多,这些Web应用程序所带来的安全漏洞越来越多;二是随着互联网技术的发展,被用来进行攻击的黑客工具越来越多、黑客活动越来越猖獗。

二、       安恒解决方案

采用安恒WEB应用弱点扫描软件,建设浙江移动应用安全扫描平台。

安全扫描技术是重要的信息安全技术,与防火墙、入侵检测系统、WEB应用深度防御系统互相配合,能够有效提高网络及应用的安全性。如果说防火墙、网络监控系统等是被动的防御手段,那么安全扫描就是一种主动的防范措施,可以有效避免黑客攻击行为,做到防患于未然。

安恒安全专家团队,通过与浙江移动相关领导的沟通后,一致认为无论是WEB应用的开发人员,还是维护管理人员,由于其缺乏安全经验、安全知识,WEB应用的开发与维护过程中难免存在这样、那样的安全隐患。如何有效地防范安全事件的发生,其中最积极、有效的方法就是:主动防御。即对WEB应用进行全面、综合的风险评估,在此基础上实施有针对性的安全加固。同时考虑到业务发展的持续性、创新性,WEB应用的内容及功能等等会不断的变化,这些变化势必引起相应的WEB应用程序的更新、网络环境的调整,因此,有必要建设一个WEB应用安全扫描平台,将WEB应用弱点扫描、风险评估纳入日常工作流程,定期检查WEB应用本身的安全性及网页上对外链接的可靠性。发现风险应立即采取防范措施,减少因WEB应用风险给浙江移动带来的有形资产、无形资产的损失。

三、       项目实施总结

安恒技术支持部及安全服务团队,历时2个月,与浙江移动各个业务系统的维护管理人员一起,先后对50多个WEB应用系统进行了完整的风险扫描,并依据WEB应用扫描平台自动生成的风险评估报告,结合安恒安全服务团队的实践经验,协助浙江移动应用系统的开发商,对评估过程中发现的安全问题逐个加固。整个项目的实施主要完成了以下几个方面的工作:

[1]  [2]  [3]  
相关新闻
编 辑:高娟    联系电话:010-67110006-853
分享到新浪微博 分享到搜狐微博 分享到网易微博 分享到139说客 分享到校内人人网 分享到开心网 分享到QQ空间 分享到豆瓣 分享到QQ书签       收藏   打印  进入论坛   推荐给朋友
关键字搜索:安恒信息  Web应用安全  Web扫面  
文章评论查看评论()
昵称:  验证码:
 
重要新闻
通信技术
企业黄页
会议活动