安恒信息为运营商业务信息化保驾护航

互联网 | 编辑: 杨朝栋 2010-04-24 00:00:00转载-投稿

随着我国国民经济和社会信息化的快速发展,信息通信网络已成为国家关键基础设施,其全局性和战略性地位日益突出。但随着地下黑客组织呈现经济化、产业化发展趋势,以及网络IP化、全业务运营时代的到来,安全形势异常严峻。

针对信息通信网络安全存在的问题和挑战,工信部发布了《通信网络安全防护管理办法》,以进一步提高我国通信网络安全保障整体水平,增强信息安全事件预防保护能力,最大限度地减少重大信息安全事件发生,使我国网络基础设施安全防护进入了新的阶段。在这样的背景下,人民邮电出版社信通传媒于2010年4月22日举办“通信网络与信息安全高层论坛”,在工业和信息化部通信保障局、互联网安全中心、中国电信、中国移动、中国联通等单位的指导和支持下,邀请政府主管领导、运营商领导、安全企业专家领导等各方面权威人士,进行深入研讨和交流。在本次大会上,根据企业在2009年所作的工作和取得的成绩,还评选出2010年“通信安全卫士奖”,并进行现场颁奖。

安恒信息CEO范渊作为嘉宾就应用安全的整体形式以及运营商面临的威胁做了精彩演讲,技术研发出身的范渊对应用安全、数据库安全有着非常资深的经验,同时作为国际知名安全组织OWASP中国分会副会长的他一直致力于该方面的研究,为推动Web应用安全默默地做出了很多努力。

针对现阶段运营商所面临的诸多安全问题,范渊指出:“目前,运营商都以全业务为发展目标,安全形势的焦点已经从之前的网络安全老三样到应用安全和全业务安全发展,而做好这项工作的实质就是运营商应具有良好的业务支撑环境及安全意识。”

同时,对于运营商自身存在的安全问题范渊做出以下几点总结:

1.对外服务的系统直接面临着安全隐患

诸如网上营业厅等对外直接面对客户服务的业务系统,随时都面临着恶意攻击的嗅探和破坏尝试。然而现有的安全环境无法实现全方位的保护,针对WEB应用层的攻击没有很好的手段实现防护,并未部署真正针对WEB应用攻击的防御设备。

2.与互联网存在多个出口

随着业务和管理发展的需要,各支撑系统(网管系统、业务支撑系统、企业信息化系统)与互联网的互联需求越来越多,各类支撑系统通常都存在互联网接口,各接口都采用了一些安全防护措施,但这样独立设置安全防护系统存在投资大、漏洞多、安全策略不统一,安全建设投入和管理成本越来越高的问题。

3.数据库操作无有效地监控措施

针对业务支撑系统中涉及敏感数据的访问,如读取、更新、删除等操作无法实现有效地审计;数据库帐户操作过程是否存在违规、恶意操作,没有合规的监控手段;客户端工具众多,没有很好地规范措施。

4.远程维护存在安全隐患

支撑网中存在大量的远程维护需求,核心设备一般由运维人员远端登录维护,遇到出现问题的紧急情况会提供网络通道由厂商技术人员远程登录解决。远程维护的接入控制通常没有进行统一,存在多个远程维护的接口,维护的方式也多种多样。一旦被恶意使用者通过弱口令、控制终端入侵等方式,远程登录到支撑网中,将给支撑网网络造成不可估量的损失和极其严重的后果。

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑