DOITAPP
DOIT数据智能产业媒体与服务平台
立即打开
DOITAPP
DOIT数据智能产业媒体与服务平台
立即打开

三部曲”解决运营商互联网资产暴露面挑战

《网络安全法》的颁布进一步明确了关键信息基础设施已成为国家安全战略重点,运营商对归属其下的关键信息基础设施具有依法保护的职责。鉴于运营商各省级单位的IT资产数量非常庞大且覆盖范围广泛,面临着来自互联网的各类安全威胁,互联网资产暴露面已成为运营商网络安全精细化管理的一道难题。

互联网资产暴露面现状分析

运营商的业务系统可大致分为内部业务系统和外部业务系统,这两类系统都有暴露在互联网上被黑客攻击的风险,下面针对这两类系统进行安全现状分析。

1内部业务系统:由内部人员使用,数据敏感性高,常见的内部系统(APP及Web系统等),如B域中的CRM、计费等核心业务系统,M域中的OA、邮件、企业门户等内部办公系统,以及O域中的工单、维护系统等网元运维管理系统等。

随着运营商业务的发展,移动化办公成了必然的需求。目前运营商的许多内部业务系统已发布在互联网上,包括众多内部APP业务系统,存在被黑客扫描、篡改、攻击等各类安全风险,简单的安全设备不能起到有效防护作用。

内部缺乏统一访问控制和权限体系,无法有效保障内部业务系统安全。

随着越来越多的系统开始使用个人移动设备接入访问,终端数据泄密风险日益突出,缺乏有效的终端数据安全保护手段。

2外部业务系统:可被互联网用户访问,数据敏感性低,常见的外部业务系统如掌厅、网厅等。

存在安全防护能力建设分散、防护效率低下、管理复杂的现象,无法对网站进行持续可用性检测和有效防护。

对SQL注入、跨站脚本、网页篡改、挂马检测等各类攻击无法有效防御,在应用层防御的完整性和深度仍然存在缺陷。

互联网暴露面解决方案之“三部曲”

针对于暴露在互联网上的资产,可“分类讨论”对应的安全措施,给与不同资产最大程度的保护。

对于内部业务系统,从运营商自身的安全建设出发,采取收归至内网的策略,建设统一安全接入平台,仅对互联网开放443端口,最大限度收敛暴露面;而对于外部业务系统,由于此类型业务面向互联网用户,故无需收归至内网,应采取集约防护的策略,对互联网资产进行统一监测和防护。

要实现互联网资产暴露面的收敛与集约防护,应从互联网资产的发现与识别、互联网资产暴露面的收敛、互联网资产的集约防护等三方面进行。

1互联网资产的发现与识别

通过对网站IP、安全防护设备、操作系统版本、服务和端口、子域信息等进行信息收集和扫描,完成目标网站对应的IT资产数据和基线配置的信息的收集过程。

同时可通过本地化方式对内部网络所有资产进行扫描来发现脆弱性风险。

可识别服务器资产开放的风险端口及端口被使用情况(如标准端口跑非标准协议),同时结合深信服十余年的应用识别能力积累,识别因暴露风险应用访问方式(如RDP、SSH、数据库)被非法连入的情况,即使非标准端口亦能识别具体应用。

2互联网资产暴露面的收敛

对互联网仅发布443端口,对外隐藏APP及Web等各类内部服务器端口,减少暴露面。

不仅仅将内部业务系统从互联网收归至内网(内网≠安全),而且可以实现针对某个业务系统的准入,先认证、再连接,真正实现内部业务系统的安全。

在PC和手机端划分工作域和个人域,在工作空间中运行的应用具备链路安全加密、落地文件加密、网络隔离、剪切板隔离、进程保护、屏幕水印等数据保护功能。

3互联网资产的集约防护针对于运营商互联网资产,比如网厅/掌厅等业务系统,可以提供基础网络安全功能,如状态检测、VPN、抗DDoS、NAT等。

同时还可以实现统一的应用安全防护,可以针对一个攻击行为中的各种技术手段进行统一的检测和防护,如应用扫描、漏洞利用、Web入侵、非法访问、蠕虫病毒、带宽滥用、恶意代码等。

三部曲”方案价值

1针对于运营商内部业务系统,从“终端-网络-服务器端”三个维度构建立体安全体系,真正实现端到端安全,有效减小互联网暴露面:

终端维度:在移动终端(手机端及PC端等)采用双域隔离技术,具备终端防病毒能力,可实现链路加密、落地文件加密、网络隔离、剪切板隔离、进程保护、屏幕水印等数据保护功能;通过短信认证、硬件特征码认证等多因素认证增强身份认证安全。

网络维度:数据在传输过程中使用强加密算法进行加密,防止数据被黑客监听、篡改;基于流量可识别服务器资产开放的风险端口及端口被使用情况。

服务器端维度:对互联网仅发布443端口,对外隐藏内部服务器端口,将应用服务器收归至内网,系统信息和漏洞被隐藏,有效降低恶意攻击和入侵的安全风险;通过零信任架构方案实现权限最小化,有效减少暴露面。

2针对于运营商对外开放网站系统,重点实现互联网系统的安全监测与集约防护:

安全监测:对互联网网站进行持续可用性和安全性监测;

集约防护:构建互联网资产统一防护平台,对互联网众多业务系统进行集约防护,有效感知资产脆弱性并及时告警。

成功实践案例

某省移动:针对于内部办公类APP,通过建设统一安全接入平台实现对外隐藏APP服务器端口,减少暴露面,采用终端双域隔离,仅允许工作域内的APP连入内网,支持2.5万终端用户安全接入。

某省电信:构建互联网暴露面统一防护平台,实现互联网200+个业务系统的统一安全防护;针对PC端及移动端移动办公需求,建设统一安全接入平台,实现链路加密,对互联网仅发布443端口,缩减风险敞口,支持2万+用户同时在线。

某省电信:针对于内部办公和生产类APP,建设统一安全接入平台,涵盖30多个原生APP及H5、小程序等内部应用,有效收敛暴露面,实现终端安全检测与入网控制,通过终端沙箱有效防止数据泄露,具备PC端及移动端2万+接入能力。
 

助力运营商构建新安全架构

随着运营商业务支撑系统云化与中台改造的加速,运营商的安全建设正从传统的边界防御向云端安全与终端安全延伸,从网络安全向数据安全、应用安全延伸。对此,深信服凭借深耕运营商行业领域多年经验,深度结合行业发展趋势,提出了“可信接入、立体防护、全网感知、集中管控”的安全理念,以助力运营商构建新一代安全架构,为运营商信息化发展保驾护航。

未经允许不得转载:DOIT » 三部曲”解决运营商互联网资产暴露面挑战