IT系统及业务应用安全.pdf

Corporate Technology IT系统/应用/业务安全 西门子（中国）研究院信息安全部 2009 Copyright Siemens AG 2008. All rights reserved. 目录 一 互联网系统及业务现状 二 IT基础设施安全 三 用及Web安全 四 业务逻辑及流程安全 五 成功案例 for internal use only Page 2 2008 Hu Jian Jun Corporate Technology / CT ITS 运营商应用系统安全 用系统存在的安全问题 [2006/09]某运营商网站被黑事件：北京时间 9月11日某运营商网站被黑客入侵，首页被替换 目前互联网上的应用系统多数采购自第三方，在 部署之前往往只执行了功能测试，没有进行全面 标准的安全评估，部署时也往往没有进行安全加 固，导致各个应用系统安全水平不一，容易遭受 黑客攻击。因此有必要对已部署的应用系统进行 安全测评，并依据测评结果进行安全加固。对将 要上线的应用系统进行统一的准入测评，并提供 应用系统的安全整改建议 应用层安全（web，ERP） 操作系统及中间键层安全（OS，DB，Web Server ） for internal use only Page 3 2008 Hu Jian Jun Corporate Technology / CT ITS 网络层安全 运营商Web应用漏洞案例 （小灵通悦铃业务） 用户可以篡改交易请求中的歌曲铃声价格，可以免费申请歌曲铃声， 甚至可以将价格篡改为负数，达到充值效果 不但可以免费， 还能冲值？ for internal use only Page 4 2008 Hu Jian Jun Corporate Technology / CT ITS 运营商Web应用漏洞案例 （彩铃悦铃业务） 运营商悦铃Web应用存在安全漏洞，黑客可以利用此漏洞得到后台管理员帐号口令 并登陆管理后台； for internal use only Page 5 2008 Hu Jian Jun Corporate Technology / CT ITS 运营商Web应