电信行业网厅安全防护体系建设方案

电信行业网厅安全背景


安全现状

网厅是运营商为客户提供的可在互联网上查询、办理、受理电信相关业务的服务平台,位于互联网与BOSS系统或其它运营商核心网络之间。用户通过登陆网厅可以自助办理各种电信业务,如查询服务、充值缴费、业务办理、积分兑换、网上商城等,并可获知最新动态,投诉或提出建议等。

然而,WEB网站的开放性及WEB代码的特殊性使得WEB系统成为了黑客或恶意程序的攻击目标,受到诸如数据损失,网站篡改等相关安全威胁。

不法分子利用SQL注入、跨站等攻击方式对目标网站进行攻击,达到篡改网页、网页挂马或窃取信息等目的。

网厅已经成为了电信业务系统的重要组成部分,也是电信公司对外宣传的重要窗口。而由于网厅完全基于互联网,而互联网固有的开放性、匿名性、虚拟性在网上交易过程中也日益暴露出越来越多的安全问题,主要表现在电信门户网站和网厅防护能力弱,存在较为严重的漏洞和缺陷,包括:

 ● 由于网站的网页设计缺陷,攻击者可以轻易地利用“注入式”方法侵入网站,并接管网站服务器的某些控制权限。
 ● 黑客利用网站提供给客户的客户端软件捆绑后门、木马、病毒等恶意软件,造成客户财产损失。
 ● 脆弱的网络架构设计,例如将网上交易系统和网站放置在同一网段,或者没有在网上交易前台网页和网上交易后台数据库之间加装数据隔离网关,当网站被攻击后,攻击者便可以长驱直入,直接破坏或盗取网上交易的后台数据。

面对变化多样的WEB应用安全攻击手段,如何加强电信行业网厅的安全防护能力,防止不法分子窃取用户的账号密码,减少网上自助缴费、交易的风险,是当前迫切需要解决的问题。

安全威胁

由各类安全风险所导致的网页篡改风险、网页挂马风险以及网络钓鱼风险十分严重,为目前网厅相关WEB应用系统所面临的三大安全风险。

网页篡改

网页篡改是指在未得到网站管理员授权的情况下,通过采用非法入侵手段,利用网站中可能存在的安全漏洞(一般包括SQL注入、跨站脚本和表单绕过),非法修改网站页面,发表恶意言论或欺骗信息,严重危害网站形象甚至触及国家安全。

2010年,CNCERT监测到境内被篡改网站月度统计情况如图所示。其中,每月被篡改网站数量平均为2904个。



网站挂马

网页挂马,是指攻击者利用目标网站中存在的安全漏洞(一般包括上传漏洞、SQL注入漏洞、跨站脚本漏洞等)嵌套计算机攻击程序,诱骗网站用户进行点击或浏览,致使网站用户计算机自行下载并执行该程序,导致网站用户计算机感染木马程序并被攻击者所控制。网页挂马的影响极其恶劣:不仅严重损害网站的信誉和形象,而且殃及池鱼,令网站的浏览者蒙受损失。

2010年境内挂马网站数量趋势如图所示:



钓鱼网站

网络钓鱼,传统的攻击手法是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。

目前最典型的网络钓鱼攻击手法是利用原有网站存在的安全漏洞(一般包括跨站脚本漏洞,URL重定向漏洞等),构造欺骗信息,引诱网站用户进行点击,从而成功欺骗用户进入到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并获取计算机用户在此网站上输入的个人敏感信息。

2010年CNCERT共接到网页钓鱼事件报告1566件,经归类合并后CNCERT成功处理了631件。在CNCERT接收到的这些网页钓鱼事件中,被仿冒的大都是电子商务网站、金融机构网站、第三方在线支付站点、社区交友网站。

需求分析

由上述可知,随着电信行业网厅业务的快速发展,在为客户带来利益和便利的同时,对应的业务支撑系统越来越庞大,其WEB应用系统面临的威胁越来越严重,各类新型攻击包括注入、跨站、网页挂马、恶意代码等,可以直接使应用系统的可用性、信息内容的正确性、合法性等方面受到威胁,给电信行业门户网站及其他网上业务系统的稳定运行带来巨大威胁。如下图所示为电信行业外网系统所受的威胁示意图。



另外,2010年,据CNCERT最新的跟踪数据统计显示,其处理的安全事件类型主要有网页篡改、网站挂马、钓鱼网站等。

由此可见,单单凭借传统防火墙、IDS、IPS已不能解决目前电信行业网厅的安全问题。一个完整的网络安全保障体系应该是将安全管理和安全技术手段相结合,通过各种安全管理制度、安全管理机构和安全运维制度等方面的建设,并在网络层、主机层、应用层采取各种安全技术手段建立多层保护的深度防御保障体系。

目前,电信行业网厅安全防护体系的具体需求主要表现为以下几个方面

 ● 屏蔽安全隐患

为了防止服务端敏感信息泄露需要通过有效的技术手段对现有网站的敏感信息进行屏蔽,如备份文件的下载、敏感数据库下载,管理后台的外网尝试等,另外要求能屏蔽编写程序过程中遗留下的程序注释,对服务出错信息进行有效屏蔽。

 ● 阻断应用攻击

攻击防护方面要求专业的WEB应用防护设备进行防护,能通过对输入内容的过滤及请求过滤实现对WEB站点的保护。能有效防止跨站脚本攻击、SQL注入等常见攻击。同时还需要有强大的可定制功能,针对电信行业站点的特性进行定制安全策略,从而最大程序防护WEB站点。

 ● 实时攻击监控

能够实时掌握应用系统的攻击情况,第一时间掌握应用系统的安全状况,能够快速地就攻击事件做出针对性的有效应对,确保应用系统的稳定运行。

因此,在电信行业领导层的管理和技术人员的实施下,我方提出安全产品结合安全服务针对电信行业网厅进行安全防护。

建设方案


方案设计原则

 ● 安全可靠性:使用的安全产品能够稳定可靠的系统中运行。
 ● 技术先进性:采用的安全技术必须有足够的先进性。
 ● 技术成熟性:必须是已经经过实际应用的安全技术和产品。
 ● 可管理性:安全产品应该宜于管理,非专业安全技术人员也能在指导下使用。
 ● 可扩展性:在系统升级或扩容时,能保持一定的扩充性能。
 ● 满足国家相关法律法规和国家标准。

安全防护设计

“安恒信息”为电信行业网厅安全防护体系设计的方案示意图如下:



明鉴WEB应用弱点扫描器通过扫描的方式,能有效检测SQL注入攻击、跨站脚本、钓鱼攻击、信息泄漏、恶意编码、表单绕过、缓冲区溢出等。

明御WEB应用防火墙(简称:WAF)是安恒结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成,满足各类法律法规如PCI、等级保护、企业内部控制规范等要求,以国内首创的全透明部署模式全面支持HTTPS,在提供WEB应用实时深度防御的同时实现WEB应用加速及敏感信息泄露防护,为Web应用系统提供全方位的防护解决方案。

网页防篡改系统向网站提供:防攻击、防篡改、文件保护的多重保护,为WEB应用系统提供全方位、多层次、高性能的实时监控和保护。

安全服务内容

安恒信息根据目前甲方实际情况,提供以下服务:



风险评估与脆弱性管理服务

风险评估与脆弱性管理服务有以下三个内容:

WEB应用深度漏洞检测:采用专业安全工具及安全专家人工检测相结合的方式,对WEB应用进行深度风险评估;

WEB应用木马检测:利用安恒专业安全工具检测网页木马;

渗透测试:利用存在的漏洞及黑客攻击技术,实施无害攻击(渗透测试前提前告知用户),它包括黑盒测试和白盒测试两种:

黑盒测试

采用“杭州安恒”自主研发的明鉴WEB应用弱点扫描器对电信行业网厅进行安全安全漏洞检测。作为公安部、浙江省信息安全等级保护专用应用安全测评工具,明鉴WEB应用弱点扫描器能有效检测SQL注入攻击、跨站脚本、钓鱼攻击、信息泄漏、恶意编码、表单绕过、缓冲区溢出等。

白盒测试

采用明鉴WEB应用代码安全检测系统对电信行业网厅WEB应用代码进行弱点最终原因追溯检测。主要通过明鉴WEB应用代码安全检测系统对WEB应用代码进行详细安全检测;作为业界首创的代码检测系统,明鉴WEB应用代码安全检测系统能进行代码级安全检测,发现WEB应用程序中,由于代码错误或设计不严所导致的如SQL注入、跨站脚本以及恶意编码等安全弱点。

安全加固服务

安全加固是指通过一定的技术手段,提高信息系统安全性和抗攻击能力,经过良好配置的系统或设备的抗攻击性有极大的增强。在对系统作相应的安全配置后,结合定期的安全评估和维护服务就使得系统保持在一个较高的安全线之上。

应急响应服务

在发生安全事件后进行7×24小时应急响应,通过远程或现场的方式,为遭受攻击的系统提供查源、止损、恢复等服务。快速协助进行系统恢复,尽可能降低安全事件对系统的正常运营所造成的影响,同时对安全事件进行分析,查找事件原因,对其中存在的安全隐患进行规避。

安全培训服务

通过信息安全培训服务,加强广大员工的信息安全意识,提高客户应对信息安全风险的能力,同时提高系统管理员的安全运维水平,为企业创造一个良好的信息安全氛围。

方案优势

 ● 实现事先扫描+事中防护+事后追溯的全面安全解决方案。
 ● 满足合规性要求(等级保护)。
 ● 公安部、浙江省信息安全等级保护专用应用安全测评工具。
 ● 业界领先的WEB漏洞发现功能,以及独有的取证式、被动扫描和木马检测功能。
 ● 国内首创的全透明部署WAF,全面支持HPPTS和应用加速。

客户收益

信息安全一向是一个发展和交互的过程,并不是按照说明书安装几个安全产品就能解决问题的。它不仅需要合适的安全体系和合理的安全产品组合,还需要根据用户的情况和需求规划、设计和实施一定的安全产品以及其他多种安全服务。

通过以上安全解决方案,可以极大地提高电信行业对网厅的安全预警和安全防护能力,使电信可以及时发现攻击行为和违规操作,能够有效地保护网厅,针对非法访问及恶意攻击进行全方位的保护,并提供WEB访问加速减少服务器的负载,提高响应速度,更好地为客户服务,能够提升电信行业的整体竞争力。

 ● 网厅等级保护预评估概念;
 ● 建立安全可靠的WEB应用服务,改善并提升WEB应用系统抗各类WEB应用攻击的能力;
 ● 在信息安全生命周期的各个阶段内,协助用户完成WEB应用建设成效评估,协助WEB应用安全事故的分析调查与追踪,提升用户各类WEB应用的抗风险能力;
 ● 消除用户网页遭受篡改后的影响,减小网页遭受篡改后的损失。


建设清单



返回列表
杭州安恒信息技术有限公司 版权所有 © 2007-2017    浙ICP备09102757号 | 法律声明 | 隐私保护 |