“三部曲”解决运营商互联网资产暴露面挑战
发布时间:2020-07-06 19:26来源: 网络整理《网络安全法》的颁布进一步明确了关键信息基础设施已成为国家安全战略重点,运营商对归属其下的关键信息基础设施具有依法保护的职责。鉴于运营商各省级单位的IT资产数量非常庞大且覆盖范围广泛,面临着来自互联网的各类安全威胁,互联网资产暴露面已成为运营商网络安全精细化管理的一道难题。
互联网资产暴露面现状分析
运营商的业务系统可大致分为内部业务系统和外部业务系统,这两类系统都有暴露在互联网上被黑客攻击的风险,下面针对这两类系统进行安全现状分析。
1、内部业务系统:由内部人员使用,数据敏感性高,常见的内部系统(APP及Web系统等),如B域中的CRM、计费等核心业务系统,M域中的OA、邮件、企业门户等内部办公系统,以及O域中的工单、维护系统等网元运维管理系统等。
随着运营商业务的发展,移动化办公成了必然的需求。目前运营商的许多内部业务系统已发布在互联网上,包括众多内部APP业务系统,存在被黑客扫描、篡改、攻击等各类安全风险,简单的安全设备不能起到有效防护作用。
内部缺乏统一访问控制和权限体系,无法有效保障内部业务系统安全。
随着越来越多的系统开始使用个人移动设备接入访问,终端数据泄密风险日益突出,缺乏有效的终端数据安全保护手段。
2、外部业务系统:可被互联网用户访问,数据敏感性低,常见的外部业务系统如掌厅、网厅等。
存在安全防护能力建设分散、防护效率低下、管理复杂的现象,无法对网站进行持续可用性检测和有效防护。
对SQL注入、跨站脚本、网页篡改、挂马检测等各类攻击无法有效防御,在应用层防御的完整性和深度仍然存在缺陷。
互联网暴露面解决方案之“三部曲”
针对于暴露在互联网上的资产,可“分类讨论”对应的安全措施,给与不同资产最大程度的保护。
对于内部业务系统,从运营商自身的安全建设出发,采取收归至内网的策略,建设统一安全接入平台,仅对互联网开放443端口,最大限度收敛暴露面;而对于外部业务系统,由于此类型业务面向互联网用户,故无需收归至内网,应采取集约防护的策略,对互联网资产进行统一监测和防护。
要实现互联网资产暴露面的收敛与集约防护,应从互联网资产的发现与识别、互联网资产暴露面的收敛、互联网资产的集约防护等三方面进行。
1、互联网资产的发现与识别
通过对网站IP、安全防护设备、操作系统版本、服务和端口、子域信息等进行信息收集和扫描,完成目标网站对应的IT资产数据和基线配置的信息的收集过程。
同时可通过本地化方式对内部网络所有资产进行扫描来发现脆弱性风险。
可识别服务器资产开放的风险端口及端口被使用情况(如标准端口跑非标准协议),同时结合深信服十余年的应用识别能力积累,识别因暴露风险应用访问方式(如RDP、SSH、数据库)被非法连入的情况,即使非标准端口亦能识别具体应用。
2、互联网资产暴露面的收敛
对互联网仅发布443端口,对外隐藏APP及Web等各类内部服务器端口,减少暴露面。
不仅仅将内部业务系统从互联网收归至内网(内网≠安全),而且可以实现针对某个业务系统的准入,先认证、再连接,真正实现内部业务系统的安全。
在PC和手机端划分工作域和个人域,在工作空间中运行的应用具备链路安全加密、落地文件加密、网络隔离、剪切板隔离、进程保护、屏幕水印等数据保护功能。
3、互联网资产的集约防护针对于运营商互联网资产,比如网厅/掌厅等业务系统,可以提供基础网络安全功能,如状态检测、VPN、抗DDoS、NAT等。
同时还可以实现统一的应用安全防护,可以针对一个攻击行为中的各种技术手段进行统一的检测和防护,如应用扫描、漏洞利用、Web入侵、非法访问、蠕虫病毒、带宽滥用、恶意代码等。
“三部曲”方案价值
1、针对于运营商内部业务系统,从“终端-网络-服务器端”三个维度构建立体安全体系,真正实现端到端安全,有效减小互联网暴露面:
终端维度:在移动终端(手机端及PC端等)采用双域隔离技术,具备终端防病毒能力,可实现链路加密、落地文件加密、网络隔离、剪切板隔离、进程保护、屏幕水印等数据保护功能;通过短信认证、硬件特征码认证等多因素认证增强身份认证安全。