運營商網際網路業務暴露面安全

對於乙個士兵來說，最大的夢想就是能上戰場真刀實槍的幹上一戰，同樣對於一名安全人員來說，自己設計、建設的經過層層防護的系統，如果沒有經歷過一次攻擊，不免有點索然無味。在眾多的甲方當中，運營商網際網路業務暴露面每週都會受到來自集團的考核，考核一般通過遠端滲透的方式進行，發現漏洞後，通報扣分，省公司會採取很多措施保證不會被發現漏洞，在運營商駐場的我們，每天都能感受到最直觀的網路攻擊防守之戰。

運營商業務系統有著系統數量多、開發部門複雜等特點，很多開發團隊都是外包實施，局方乙個人可能要對接很多外包團隊，外包團隊新增系統、修改內容等沒有按照流程向局方匯報，導致資產資訊比較混亂，維護資產表是所有安全工作的基礎。

l 規範資產變更流程

資產變更流程是從根源解決資產混亂的途徑，安全部可以記錄業務部門資產變更情況，維護資產表，動態實時更新。

l 建立資產管理平台

在甲方的安全人員都有乙個共識，一項流程如果通過制度推進，會比較麻煩，有些特別複雜及不好監控、考核的工作，通過制度很難推進。如果流程通過線上平台控制，不僅可以減少運營跟進的人工成本，還能使推進工作更加順暢。資產變更工作，安全部與業務部門對接較多，開發團隊有時候一周要對乙個系統進行多次修改，通過建立資產發現平台與需求申請平台、開發管理平台等對接，可以最大限度的減少溝通成本，提公升推進效率。

l 網際網路資產發現

除了上述類似「白盒」的措施之外，還需要在網際網路進行「黑盒」資產發現工作，通過搜尋引擎、威脅情報庫網域名稱反查等方式，發現不在資產列表中的資產，即管理員不通過資產變更流程，新增的資產。通過埠掃瞄的方式，確定目前暴露面目前開放的埠，排查管理員是否有不通過資產變更流程，自己開端口的情況。

安全部門發現的安全漏洞，提交開發修復，記錄複核情況，對漏洞的生命週期跟進，維護漏洞跟蹤表。安全檢測時，為了防止有疏漏，建立漏洞清單checklist，記錄檢測項。

1）測試使用的應用，遷移到內網，不在網際網路暴露。

2）對訪問量較少的應用，建議關閉，訪問量資料可以從waf、防火牆等裝置上獲取。

3）有些**啟用了https後，http**可以繼續訪問，建議關閉http**的訪問。

4）業務系統有關聯或者相似的，通過乙個url訪問主站，其他業務系統通過二級目錄訪問。

l 安全編碼規範

安全部門提供安全編碼規範，開發團隊在開發過程中需要上按照編碼規範要求。在開發階段減少安全隱患。規範需要涵蓋賬號與認證、輸入與輸出驗證、授權管理、資料保護、會話管理、加密管理、日誌管理、異常管理等方面，從業務邏輯建議、**編寫建議、管理規範建議等方面提出安全需求。

l 安全編碼培訓

定期對開發部門進行安全編碼培訓，講解常見應用漏洞產生原理，提公升開發人員安全編碼意識和安全開發水平。

l **審計

系統上線前需要進行**審計，檢測源**安全隱患。

l 規範上線流程

新上線系統、修改後的系統上線前，需要經過安全部門檢測，對發現高危漏洞的系統，修復後複測，保證沒有安全隱患後才允許上線。

l 日常安全檢測

對正在執行的線上系統，每日由滲透測試團隊進行安全檢測，包括web漏洞掃瞄和人工滲透測試等措施，漏洞掃瞄使用多款掃瞄器交叉掃瞄，人工滲透根據制定的漏洞清單checklist檢測，根據檢測結果，建立知識庫，統計出一般掃瞄器能檢測哪些漏洞，哪些漏洞掃瞄器不好發現，如邏輯漏洞、越權漏洞等，只能通過人工滲透方式檢測，保證檢測的廣度和深度，提高檢測效率。

l 安全眾測

針對重要暴露面資產，可以採用眾測的方式，引入網際網路白帽子進行安全眾測。

l 基於區域和時間的訪問控制防護

業務訪問時間控制：分為全天，白天，晚上進行限制。

l 平台檢測

對部署在省公司的監測系統告警日誌，驗證、處置，及時發現安全事件和安全漏洞。

經過上述措施，暴露面被檢測出來漏洞的機率會減少很多，對於運營商這類系統數量龐大的使用者單位，防護不僅需要的是安全技術，還要從流程、體系等方面，多維度的建立防護體系，增**露面的安全性。

運營商網際網路業務暴露面安全

電信運營商網際網路介面安全風險審計

mysql 網際網路 MySQL網際網路業務使用建議

網際網路運營的資料思維

運營商網際網路業務暴露面安全

電信運營商網際網路介面安全風險審計

mysql 網際網路 MySQL網際網路業務使用建議

網際網路運營的資料思維

相關推薦