应对信息泄露 电信行业对web应用的安全加固

  【天极网网络频道】电信行业，以中国移动通信集团为例，各移动子公司覆盖中国各省及直辖市，客户面极广，相应通过网络的便捷服务越来越到位，也随着网络的普及，通过手机的应用更是五花八门，品类繁多。诸如此的应用数不尽数，从网上营业厅、资费查询、手机视频、手机支付以及手机证券、彩铃与3G等等，应用越是多样化，信息越是集中化，由此也带来了多样化应用下安全威胁的压力。

  对于移动公司的管理团队来说，WEB交易系统或者各种斥资发展的各种业务运行支持系统已经成为商务活动和政务活动的关键网络应用。网络渗透者和攻击者通过web访问使用各种攻击各移动公司在线交易系统，发送无用的访问和攻击、蠕虫、木马、脚本注入、跨站、转储的交易及发布应用系统，企图攻击移动资源，盗窃移动公司客户信息，增加了信息泄漏的风险。

  防御web攻击和保障客户访问在线WEB系统的安全性变得比以往更为重要

  电信行业指导与规范书中也明确了web安全应用的防护的现状，要求保持web业务的完整性、增强访问的安全性、降低信息泄漏的风险，并定期进行代码审核，同时也建议部署web应用防火墙。

  在外部的威胁与内在的防护驱动下，移动各公司也纷纷采取必要的方法进行安全加固，其中最重要的一项措施就是部署Web应用安全防火墙。

  随着安全趋势的发展与深化，网络层的安全威胁已逐步转向应用层，于是在安全行业耕耘十多年之久的飞塔公司也相应推出WAF(web 应用层防火墙)Fortiweb，成为业界为数不多可以实现旁路防护的WAF应用安全产品。

  下面就以飞塔Fortiweb部署的移动行业案例，查看几项主要应用威胁的防护设置：

  1. 移动义务代码加固，可对受保护的站点进行url级别的保护。

  2. 针对业务的DDOS攻击，Fortiweb可以针对指定网页的访问频率，超过阀值将被阻止，有效防止渗透者对网上营业厅关键业务的暴力破解。

  3. 保护移动网站资源，防止网站被恶意抓取。规范移动交易平台。

  4. 保持移动业务的高可用性。

  4. 加密移动交易数据 SSL流量安全加密。

  5. 周期性代码评估以及审核，出色的HTTP会话连接能力。

  除了抵御各种web攻击，客户关心的SQL注入，跨站脚本，转储的攻击必须阻挡并生成详尽日志。能够根据客户需求，定制个性化访问策略，避免渗透者对跳过规范进行无序访问。