一、行业背景
电信行业作为国内信息产业的主体,其网络及信息安全关系到国家的基础设施安全,一旦电信网络设备和服务被黑客入侵,在对网络自主运行的控制权造成巨大威胁的同时,会使得客户在重要和关键应用场合没有信心,损失业务,甚至造成灾难性后果。因此电信行业对于信息系统安全性的认识相应比较早和比较成熟。在传统安全体系的构建方面,电信行业一直走在其他行业的前列。
然而,作为客户导向型的企业,业务系统对电信行业自身发展至关重要,而业务应用的安全涉及很多方面。应用系统是动态的、不断变化的,应用的安全性也是动态的。比如新增了一个新的应用程序,肯定会出现新的安全漏洞,必须在安全策略上做一些调整,不断完善。
目前电信行业常见的应用业务除WEB、DNS、MAIL等网络应用外,一般还会涉及到网络的汇接、网络管理、业务管理等,所以需要包括用户管理、网络计费、用户认证等方面。这些特殊的应用都可能存在安全问题,如应用编程时的安全考虑不周所导致的、等,这些都需要提供相应的安全手段来进行防护。
电信部门网络结构一般分为两个部分:内部办公营业部分(内网)和外部网络服务部分(外网),两个部分(内外网)之间通常以隔离卡等设备进行物理隔离,以保证内部业务系统的安全性。
外网部分主要负责两方面的工作,首先是电信部门自己的门户网站系统,提供Internet业务受理等服务。其次,就是为广大企事业单位提供网站托管服务,包括主机托管和空间租用两种形式。以下是电信部门较典型的网络结构图:
二、解决方案
自2009年以来,艾普优一直积极参与移动、联通等电信运营商的WEB应用安全防护体系的建设工作。相继在移动、联通实施了一系列WEB应用安全项目,北方网站保护系统因其极高的可靠性、优秀的稳定性、优异的性能受到广大电信行业用户的一致好评。
- 国内电信运营商门户网站均为动态网站,访问量大、影响广泛,因此除了保护网页文件之外,还需要对注入式攻击和跨站攻击进行有效的防御。
- 网上营业厅是最主要的电子商务应用,因此其安全要求也是所有应用中最高的,在防篡改之外,还需要对注入式攻击、跨站攻击、Cookies泄露、非法执行脚本或系统命令等各种WEB应用层攻击进行有效的防御。
- 电信企业一般还有彩铃、短信、GIS等各种WEB服务,这些服务也需要对各种WEB应用层攻击进行有效防御。
因此,艾普优推荐采用北方网站保护系统确保这些应用的安全。
|
