【51CTO.com 綜合消息】一、 客戶面臨的安全挑戰

中國移動通信集團浙江有限公司作為浙江省最大的綜合信息運營商，在全省擁有11個市分公司和62個縣（市）分公司。其提供的語音業務、短信業務、手機銀行、手機證券、移動傳真、虛擬專網、親情號碼、自由呼、秘書服務、手機上網、移動OICQ、IP電話等業務，與大眾生活息息相關，被各個行業、各類用戶所廣泛使用，并且隨著時間的推移，用戶對服務的依賴性越來越強。

從市場營銷、渠道管理、業務受理、業務開通、帳務結算、經營分析、故障申告、綜合查詢等各個環節均需要相應的業務系統給予支撐，比如：營業系統、CBOSS系統、BBOSS系統、終端管理系統、統一開通系統、結算系統等，而所有這些業務支撐系統均采用B/S的架構。B/S架構的應用一方面企業客戶帶來了便利，另一方面使得企業所面臨的風險在不斷增加，比如網上營業廳，用戶通過互聯網就可以查詢保存在浙江移動內部系統的相關數據、訂購浙江移動不斷推出的新業務。但是，通過互聯網直接訪問的運營模式，對浙江移動內部系統的安全將是極大的挑戰，主要表現為：

一是隨著Web應用程序的增多，這些Web應用程序所帶來的安全漏洞越來越多；二是隨著互聯網技術的發展，被用來進行攻擊的黑客工具越來越多、黑客活動越來越猖獗。

二、 安恒解決方案

采用安恒WEB應用弱點掃描軟件，建設浙江移動應用安全掃描平臺。

安全掃描技術是重要的信息安全技術，與防火墻、入侵檢測系統、WEB應用深度防御系統互相配合，能夠有效提高網絡及應用的安全性。如果說防火墻、網絡監控系統等是被動的防御手段，那么安全掃描就是一種主動的防范措施，可以有效避免黑客攻擊行為，做到防患于未然。

安恒安全專家團隊，通過與浙江移動相關領導的溝通后，一致認為無論是WEB應用的開發人員，還是維護管理人員，由于其缺乏安全經驗、安全知識，WEB應用的開發與維護過程中難免存在這樣、那樣的安全隱患。如何有效地防范安全事件的發生，其中最積極、有效的方法就是：主動防御。即對WEB應用進行全面、綜合的風險評估，在此基礎上實施有針對性的安全加固。同時考慮到業務發展的持續性、創新性，WEB應用的內容及功能等等會不斷的變化，這些變化勢必引起相應的WEB應用程序的更新、網絡環境的調整，因此，有必要建設一個WEB應用安全掃描平臺，將WEB應用弱點掃描、風險評估納入日常工作流程，定期檢查WEB應用本身的安全性及網頁上對外鏈接的可靠性。發現風險應立即采取防范措施，減少因WEB應用風險給浙江移動帶來的有形資產、無形資產的損失。

三、 項目實施總結

安恒技術支持部及安全服務團隊，歷時2個月，與浙江移動各個業務系統的維護管理人員一起，先后對50多個WEB應用系統進行了完整的風險掃描，并依據WEB應用掃描平臺自動生成的風險評估報告，結合安恒安全服務團隊的實踐經驗，協助浙江移動應用系統的開發商，對評估過程中發現的安全問題逐個加固。整個項目的實施主要完成了以下幾個方面的工作：   

◆軟件的安裝與部署；   

◆軟件的操作與使用培訓；   

◆需要評估應用系統的需求調研；   

◆應用系統的弱點掃描；   

◆風險評估報告的生成；   

◆風險評估總結與相關安全知識、安全技術培訓；   

◆編碼規范的制定及安全編碼相關技術培訓；

值得一提的是，基于WEB應用安全掃描平臺所實施的應用安全風險評估工作，沒有對浙江移動的業務系統產生任何影響，評估工作可以根據管理人員的需要，任意選擇在忙時或非忙時進行，這一點，也從另一方面證明了該WEB應用安全掃描平臺可以作為浙江移動安全管理部門的日常安全巡檢的有效工具，協助系統維護人員完成周期性的風險評估工作。  

四、 實施效果

基于安恒國內領先的WEB應用弱點掃描軟件，幫助浙江移動業務系統安全管理員全面認知各個業務系統存在的應用安全風險，最大限度地保證浙江移動業務系統的應用安全性，從而確保各項業務的可持續性，提升企業形象。

同時，通過黑客攻擊技術、安全防范技術、編碼規范等多方面的技能培訓，使得業務系統源代碼的安全性大大提升、維護人員的安全意識及安全防范能力邁進了一步，從技術和管理兩個層面為浙江移動應用安全保駕護航。