互联网资产暴露面现状分析

运营商的业务系统可大致分为内部业务系统和外部业务系统，这两类系统都有暴露在互联网上被黑客攻击的风险，下面针对这两类系统进行安全现状分析。

1、内部业务系统：由内部人员使用，数据敏感性高，常见的内部系统（APP及Web系统等），如B域中的CRM、计费等核心业务系统，M域中的OA、邮件、企业门户等内部办公系统，以及O域中的工单、维护系统等网元运维管理系统等。

2、外部业务系统：可被互联网用户访问，数据敏感性低，常见的外部业务系统如掌厅、网厅等。

互联网暴露面解决方案之“三部曲”

针对于暴露在互联网上的资产，可“分类讨论”对应的安全措施，给与不同资产最大程度的保护。

对于内部业务系统，从运营商自身的安全建设出发，采取收归至内网的策略，建设统一安全接入平台，仅对互联网开放443端口，最大限度收敛暴露面；而对于外部业务系统，由于此类型业务面向互联网用户，故无需收归至内网，应采取集约防护的策略，对互联网资产进行统一监测和防护。

要实现互联网资产暴露面的收敛与集约防护，应从互联网资产的发现与识别、互联网资产暴露面的收敛、互联网资产的集约防护等三方面进行。

1、互联网资产的发现与识别

通过对网站IP、安全防护设备、操作系统版本、服务和端口、子域信息等进行信息收集和扫描，完成目标网站对应的IT资产数据和基线配置的信息的收集过程。

同时可通过本地化方式对内部网络所有资产进行扫描来发现脆弱性风险。

可识别服务器资产开放的风险端口及端口被使用情况（如标准端口跑非标准协议），同时结合深信服十余年的应用识别能力积累，识别因暴露风险应用访问方式（如RDP、SSH、数据库）被非法连入的情况，即使非标准端口亦能识别具体应用。

2、互联网资产暴露面的收敛

对互联网仅发布443端口，对外隐藏APP及Web等各类内部服务器端口，减少暴露面。

不仅仅将内部业务系统从互联网收归至内网（内网≠安全），而且可以实现针对某个业务系统的准入，先认证、再连接，真正实现内部业务系统的安全。

在PC和手机端划分工作域和个人域，在工作空间中运行的应用具备链路安全加密、落地文件加密、网络隔离、剪切板隔离、进程保护、屏幕水印等数据保护功能。

3、互联网资产的集约防护

针对于运营商互联网资产，比如网厅/掌厅等业务系统，可以提供基础网络安全功能，如状态检测、VPN、抗DDoS、NAT等。

同时还可以实现统一的应用安全防护，可以针对一个攻击行为中的各种技术手段进行统一的检测和防护，如应用扫描、漏洞利用、Web入侵、非法访问、蠕虫病毒、带宽滥用、恶意代码等。

“三部曲”方案价值

1、针对于运营商内部业务系统，从“终端-网络-服务器端”三个维度构建立体安全体系，真正实现端到端安全，有效减小互联网暴露面：

2、针对于运营商对外开放网站系统，重点实现互联网系统的安全监测与集约防护：

成功实践案例

助力运营商构建新安全架构

随着运营商业务支撑系统云化与中台改造的加速，运营商的安全建设正从传统的边界防御向云端安全与终端安全延伸，从网络安全向数据安全、应用安全延伸。对此，深信服凭借深耕运营商行业领域多年经验，深度结合行业发展趋势，提出了“可信接入、立体防护、全网感知、集中管控”的安全理念，以助力运营商构建新一代安全架构，为运营商信息化发展保驾护航。