“三部曲”解决运营商互联网资产暴露面挑战？

《网络安全法》的发布进一步明确了重要信息基础设施成为国家安全战略的重点，运营商对下列重要信息基础设施有依法保护的责任。由于运营商各省级机构的IT资产数量非常庞大，垄断范围广，面对来自互联网的各种安全威胁，互联网资产的暴露已成为运营商网络安全精细化管理的难题。

网络资产暴露现状分析

运营商的业务系统大致可以分为内部业务系统和外部业务系统，这两种系统都有暴露在网络上被黑客攻击的风险，以下对这两种系统进行安全现状分析。

1、内部业务系统:内部人员使用，数据敏感性高，常见的内部系统(APP和网络系统等)，如b域的CRM、收费等核心业务系统、m域的OA、邮件、企业门户等内部办公系统、o域的工作单、维护系统等随着运营商业务的发展，移动办公室成为必然需求。目前，运营商的许多内部业务系统已经发布在互联网上，包括许多内部应用业务系统，存在被黑客扫描、篡改、攻击等安全风险，简单的安全设备不能起到有效的防护作用。

内部缺乏统一的访问控制和权限体系，无法有效保障内部业务体系的安全。随着越来越多的系统开始使用个人移动设备访问，终端数据泄漏风险越来越突出，缺乏有效的终端数据安全保护手段。

2、外部业务系统:可访问互联网用户，数据敏感性低，常见的外部业务系统如大厅、网厅等。

安全防护能力建设分散，防护效率低，管理复杂，无法对网站进行持续可用性检测和有效防护。

SQL注入、跨站脚本、网页篡改、挂马检查等各种攻击无法有效防御，应用层防御的完整性和深度仍存在缺陷。

网络暴露解决方案的三部曲

对于网络暴露的资产，可以分类讨论相应的安全措施，最大限度地保护不同的资产。

对于内部业务系统，从运营商自身的安全建设出发，采用收入内部网络的战略，建设统一的安全访问平台，只对网络开放443端口，最大限度地收敛暴露的外部业务系统，由于该类型的业务面向网络用户，因此不需要收入内部网络

要实现网络资产暴露面的收敛和集约保护，必须从网络资产的发现和识别、网络资产暴露面的收敛、网络资产的集约保护等三个方面进行。

1、网络资产的发现和识别

通过收集和扫描网站IP、安全防护设备、操作系统版本、服务和端口、子域信息等，完成对应目标网站的IT资产数据和基础配置的信息收集过程。

同时，可以通过当地化扫描内部网络的所有资产，发现脆弱的风险。

可以识别服务器资产开放的风险端口和端口的使用状况(例如标准端口在非标准协议中行驶)的同时，结合十几年的应用识别能力积累，识别因暴露风险的应用访问方式(例如RDP、SSH、数据库)被非法连接的情况，非标准端口也可以识别具体的应用。

2、网络资产暴露面的收敛

网络只发布443个端口，对外隐藏APP和网络等各种内部服务器端口，减少暴露面。

不仅可以将内部业务系统从互联网收集到内部网络(内部网络ne安全)，还可以实现对某个业务系统的准入，认证、连接，实现内部业务系统的安全。

在PC和手机方面划分工作区域和个人区域，在工作空间运行的应用具有链路安全加密、落地文件加密、网络隔离、剪板隔离、工艺保护、屏幕水印等数据保护功能。

3、网络资产的集约防护可以为运营商的网络资产，如网络大厅/大厅等业务系统提供基本的网络安全功能，如状态检查、VPN、DDOS、NAT等。

同时可实现统一应用安全防护，可统一检查和防护攻击行为中的各种技术手段，如扫描、漏洞利用、网络入侵、非法访问、蠕虫病毒、带宽滥用、恶意代码等。

三部曲方案价值

1、对于运营商内部业务系统，从终端-网络-服务器终端的三个维度构建立体安全系统，真正实现终端安全，有效减少网络暴露:

终端维度:移动终端(手机终端和PC终端等)采用双域隔离技术，具有终端病毒防护能力，可以实现链路加密、落地文件加密、网络隔离、剪板隔离、过程保护、屏幕水印等数据保护功能

网络维度:数据在传输过程中使用强加密算法加密，以防止数据被黑客监听、篡改为基础的流量识别服务器资产开放的风险端口和端口的使用状况。

服务器方面的维度:对互联网只发布443个端口，对外隐藏内部服务器端口，将应用服务器收回内部网络，隐藏系统信息和漏洞，有效降低恶意攻击和入侵的安全风险

2、运营商对外开放网站系统，重点实现网络系统安全监测和集约保护:

安全监测:对网站进行持续可用性和安全监测

集约保护:构建网络资产统一保护平台，集约保护网络许多业务系统

成功实践案例

某省移动:对于内部办公类APP，通过建设统一的安全访问平台，对外隐藏APP服务器端口，减少暴露面，采用终端双域隔离，只允许工作区域内的APP访问内部网络，支持2.5万终端用户的安全访问

某省电信:构建网络暴露面统一保护平台，实现网络200个业务系统统统一安全保护的PC方面和移动方面的移动办公需求，建立统一安全访问平台，实现链路加密，网络只发布443个端口

某省电信:针对于内部办公和生产类APP,建设统一安全接入平台,涵盖30多个原生APP及H5、小程序等内部应用,有效收敛暴露面,实现终端安全检测与入网控制,通过终端沙箱有效防止数据泄露,具备PC端及移动端2万 接入能力。

助力运营商构建新安全架构

随着运营商业务支撑系统云化与中台改造的加速,运营商的安全建设正从传统的边界防御向云端安全与终端安全延伸,从网络安全向数据安全、应用安全延伸。与此相对，深刻相信深耕经营者行业领域多年的经验，深入结合行业发展趋势，提出了可靠的访问、立体防护、全网感知、集中管理的安全理念，帮助经营者构开发者_开发问答筑下一代安全结构，保护经营者信息化的发展。