本文講的是電信運營商網際網路介面安全風險審計,近年,電信運營商不斷地推出新業務、新技術、新產品,各種網路裝置、伺服器、資料庫、應用系統和安全裝置等元件為實現相應功能越來越多地堆疊在網際網路介面。如果,介面是連線網際網路的大門,那麼,大門口堆疊的這些元件是否存在疏忽防範的潛在風險?在這些業務、技術、產品新舊更換階段,大門是否存在交接的安全空隙?大門越多,風險越大,甚至對網際網路開啟了多少大門都成了運營商需要關注的安全問題。
「十八大」網路與資訊保安保障專項行動以及工信部第三方檢測發現了網際網路介面諸多安全風險問題,如「**第三方元件存在漏洞,可被用來上傳木馬」、「部分聯網伺服器的高危漏洞未能及時安裝補丁」、「網際網路裝置弱口令問題依然嚴重」、「開啟不必要的服務埠」、「緩衝區溢位等應用層漏洞未修補」等等。
隨著網際網路介面安全性日益公升溫,網際網路介面安全風險審計順理成章地受到運營商高度青睞。本文將從審計和風險評估的角度來討論網際網路介面安全風險風險審計的技術框架、流程以及具體實施步驟,分析產生安全風險的原因以及安全風險審計的價值。
一、網際網路介面安全風險審計技術框架
網際網路介面安全風險審計就是在乙個特定的網路環境下,針對網際網路提供訪問的業務系統、網路元件實施安全風險審計。它與常規的安全風險評估、web安全風險評估、應用**審計、滲透測試的著眼點不同,涵蓋了上述傳統風險評估技術,側重於it審計的管理實踐。
下圖為網際網路介面安全風險審計技術框架:
張宇
運營商網際網路業務暴露面安全
對於乙個士兵來說,最大的夢想就是能上戰場真刀實槍的幹上一戰,同樣對於一名安全人員來說,自己設計 建設的經過層層防護的系統,如果沒有經歷過一次攻擊,不免有點索然無味。在眾多的甲方當中,運營商網際網路業務暴露面每週都會受到來自集團的考核,考核一般通過遠端滲透的方式進行,發現漏洞後,通報扣分,省公司會採取...
網際網路介面安全程式設計
1 使用者資訊脫敏,包括但不限於密碼 姓名 郵箱 位址 證件號等,必須加密後落庫。方式a md5 salt。md5準確說不是加密,只是資訊摘要,容易受到彩虹表攻擊,這裡一定要加salt使用。方式b 對稱加密。2 防串改。採用https協議。在http的基礎上加上了ssl,如果要破解,要破ca證書 拿...
網際網路開發 HTTP介面安全設計
作為http介面的服務端,要能控制你本身自有資料的讀寫許可權。如果任何客戶端在任何時間都能讀寫你的資料,那麼使用者資料很容易被修改。這就好比沒加使用者登入就可以訪問和讀寫所有的系統資料。根本沒有安全性可言了。方案1 加密時間戳 可變的加密串 進行安全控制 原始請求 安全控制後的請求 tamp 543...