本文讲的是
电信运营商互联网接口安全风险审计,
近年,电信运营商不断地推出新业务、新技术、新产品,各种网络设备、服务器、数据库、应用系统和安全设备等组件为实现相应功能越来越多地堆叠在互联网接口。如果,接口是连接互联网的大门,那么,大门口堆叠的这些组件是否存在疏忽防范的潜在风险?在这些业务、技术、产品新旧更换阶段,大门是否存在交接的安全空隙?大门越多,风险越大,甚至对互联网开启了多少大门都成了运营商需要关注的安全问题。
“十八大”网络与信息安全保障专项行动以及工信部第三方检测发现了互联网接口诸多安全风险问题,如“网站第三方组件存在漏洞,可被用来上传木马”、“部分联网服务器的高危漏洞未能及时安装补丁”、“互联网设备弱口令问题依然严重”、“开启不必要的服务端口”、“缓冲区溢出等应用层漏洞未修补”等等。
随着互联网接口安全性日益升温,互联网接口安全风险审计顺理成章地受到运营商高度青睐。本文将从审计和风险评估的角度来讨论互联网接口安全风险风险审计的技术框架、流程以及具体实施步骤,分析产生安全风险的原因以及安全风险审计的价值。
一、互联网接口安全风险审计技术框架
互联网接口安全风险审计就是在一个特定的网络环境下,针对互联网提供访问的业务系统、网络组件实施安全风险审计。它与常规的安全风险评估、Web安全风险评估、应用代码审计、渗透测试的着眼点不同,涵盖了上述传统风险评估技术,侧重于IT审计的管理实践。
下图为互联网接口安全风险审计技术框架:
作者:
张宇
来源:it168网站
原文标题:电信运营商互联网接口安全风险审计
