面向電信運營商的系統(tǒng)漏洞分級體系研究

張震 張洪剛

（中國移動通信集團廣東有限公司深圳分公司 深圳 518048）

1 引言

自2009年各運營商重組之后，業(yè)務(wù)競爭不斷加劇，各運營商對業(yè)務(wù)安全和穩(wěn)定運營的要求不斷提高。但是由于運營商的網(wǎng)絡(luò)規(guī)模龐大，系統(tǒng)和業(yè)務(wù)類型復(fù)雜，系統(tǒng)中存在一些具備較高風(fēng)險等級的安全漏洞在所難免，為安全生產(chǎn)埋下了未知的安全隱患[1]。以下為兩個現(xiàn)實案例。

案例1：2009年深圳移動在例行業(yè)務(wù)系統(tǒng)安全漏洞掃描中發(fā)現(xiàn)“手機投注系統(tǒng)”的Windows操作系統(tǒng)中存在一個高危漏洞，如表1所示。

MS08-067漏洞可以偽造的RPC請求，能允許遠程執(zhí)行代碼，導(dǎo)致完全入侵用戶系統(tǒng)，以System權(quán)限執(zhí)行任意指令并獲取數(shù)據(jù)，并獲取對該系統(tǒng)的控制權(quán)，造成系統(tǒng)失竊及系統(tǒng)崩潰等嚴重問題，所幸該漏洞被及時發(fā)現(xiàn)并實施補丁加固，并未造成損害。

表1 “手機投注系統(tǒng)”Windows操作系統(tǒng)存在漏洞

案例2：運營商計費出錯案例：2010年2月，北京聯(lián)通公司某用戶突然欠費682元停機，后經(jīng)調(diào)查是聯(lián)通計費系統(tǒng)存在漏洞，導(dǎo)致計費錯誤，該用戶后通過法律途徑討回經(jīng)濟損失。

從上述案例可以看出，無論是支撐系統(tǒng)還是業(yè)務(wù)系統(tǒng)，漏洞一旦被威脅（內(nèi)外部人員、惡意程序）所利用，將產(chǎn)生嚴重的安全事故，所造成的損失（品牌損失、經(jīng)濟損失等）不可估量，及時發(fā)現(xiàn)漏洞并修復(fù)漏洞對于運營商的基礎(chǔ)安全運維顯得至關(guān)重要。

2 運營商的業(yè)務(wù)系統(tǒng)漏洞現(xiàn)狀

2.1 漏洞的定義

理解漏洞的內(nèi)涵是發(fā)現(xiàn)漏洞并加固漏洞的前提。自計算機系統(tǒng)誕生起，人們對漏洞研究就開始了。Denning在《Cryptograph and Data Security》一文中從訪問控制的角度給出了漏洞的定義。他認為，系統(tǒng)中主體對客體的訪問是通過訪問控制矩陣實現(xiàn)的，這個訪問控制矩陣就是安全策略的具體實現(xiàn)，當(dāng)操作系統(tǒng)的操作和安全策略之間相沖突時，就產(chǎn)生了安全漏洞。從一般意義上理解，漏洞是系統(tǒng)內(nèi)在的脆弱性，或者稱為弱點，其可以被外來威脅所利用，并對主體帶來損失，圖1顯示了威脅、漏洞和風(fēng)險[2]三者的關(guān)系。

圖1 威脅利用漏洞導(dǎo)致風(fēng)險

2.2 漏洞的發(fā)展趨勢

從業(yè)務(wù)系統(tǒng)漏洞的發(fā)展趨勢來看，應(yīng)用層面的漏洞的爆發(fā)數(shù)量將大幅度領(lǐng)先于操作系統(tǒng)層面的漏洞，主要原因如下：

（1）以微軟為代表的操作系統(tǒng)及軟件廠商遵照ISO27000系統(tǒng)安全標準[3]（包括SSE-CMM工程成熟度要求）實施OS軟件開發(fā)，其系統(tǒng)開發(fā)過程不斷完善，系統(tǒng)漏洞大規(guī)模爆發(fā)的可能性不斷減?。?/p>

（2）隨著B/S架構(gòu)應(yīng)用軟件開發(fā)方式的普及，據(jù)統(tǒng)計，基于Web應(yīng)用系統(tǒng)的漏洞在已發(fā)現(xiàn)的漏洞中占據(jù)了80% 以上的比例，如圖2所示。

圖2 網(wǎng)絡(luò)、操作系統(tǒng)、應(yīng)用漏洞數(shù)量Source: SANS.ORG

2.3 業(yè)務(wù)系統(tǒng)漏洞的現(xiàn)狀

業(yè)務(wù)系統(tǒng)漏洞的現(xiàn)狀從以下兩個方面考慮：漏洞分布現(xiàn)狀和漏洞處理現(xiàn)狀。

2.3.1 業(yè)務(wù)系統(tǒng)漏洞的分布現(xiàn)狀

運營商的業(yè)務(wù)系統(tǒng)的漏洞分布狀況和整個安全領(lǐng)域的漏洞分布狀況是一致的，即網(wǎng)絡(luò)、操作系統(tǒng)層面的漏洞占據(jù)比例逐漸降低，而應(yīng)用層面的漏洞所占的比例將逐漸加大。

2.3.2 業(yè)務(wù)系統(tǒng)漏洞的處理現(xiàn)狀

然而就目前運營商對漏洞的重視程度而言，運營商把絕大部分的精力投放在系統(tǒng)和通用軟件層面的漏洞發(fā)現(xiàn)和加固，比如Windows、Solaris等操作系統(tǒng)，以及Oracle數(shù)據(jù)庫、Office辦公軟件等系統(tǒng)軟件級別的漏洞。對于運營商的系統(tǒng)管理員和安全管理員而言，雖然對業(yè)務(wù)系統(tǒng)很了解，但是受限于自身安全技能，很難對業(yè)務(wù)系統(tǒng)的漏洞進行挖掘和處理。

3 運營商的業(yè)務(wù)系統(tǒng)漏洞分級體系

為了更有效地實施漏洞挖掘和漏洞加固，有必要針對運營商的業(yè)務(wù)系統(tǒng)的特點建立漏洞分級體系，該體系涵蓋了當(dāng)前運營商的業(yè)務(wù)系統(tǒng)主流漏洞的類型并具備可擴展性。建立該體系的目的在于指導(dǎo)漏洞安全管理工作更有針對性地實施，并推動漏洞安全管理由系統(tǒng)軟件層向業(yè)務(wù)應(yīng)用層轉(zhuǎn)變。本文從電信運營商的業(yè)務(wù)系統(tǒng)實際情況出發(fā)，建立漏洞三級分級體系。

3.1 操作系統(tǒng)層

運營商部署大量基于Windows、Solaris、UNIX等OS服務(wù)器/終端來承載業(yè)務(wù)，長久以來，這些設(shè)備的操作系統(tǒng)層的漏洞一直是運營商所關(guān)注的重點[4]，而針對操作系統(tǒng)權(quán)限[5]的“爭奪”是重點的重點：

（1）遠程管理權(quán)限漏洞：攻擊者無須一個賬號登錄到本地直接獲得遠程系統(tǒng)的管理員權(quán)限，通常通過攻擊以root身份執(zhí)行的有缺陷的系統(tǒng)守護進程來完成。漏洞的絕大部分來源于緩沖區(qū)溢出，少部分來自守護進程本身的邏輯缺陷。

（2）本地管理員權(quán)限漏洞：攻擊者在已有一個本地賬號能夠登錄到系統(tǒng)的情況下，通過攻擊本地某些有缺陷的SUID程序，競爭條件等手段，得到系統(tǒng)的管理員權(quán)限。

（3）普通用戶訪問權(quán)限漏洞：攻擊者利用服務(wù)器的漏洞，取得系統(tǒng)的普通用戶存取權(quán)限。

（4）信息泄密漏洞：攻擊者可以收集到對于進一步攻擊系統(tǒng)有用的信息。這類漏洞的產(chǎn)生主要是因為系統(tǒng)程序有缺陷，一般是對錯誤的不正確處理。

（5）遠程及本地拒絕服務(wù)：使系統(tǒng)或相關(guān)的應(yīng)用程序崩潰或失去響應(yīng)能力。

操作系統(tǒng)層的軟件漏洞分級體系如圖3所示。

圖3 操作系統(tǒng)層漏洞分級

3.2 應(yīng)用層

由于應(yīng)用層軟件的多樣性和普遍性，使得應(yīng)用層面的漏洞層出不窮。

（1）第三方應(yīng)用程序軟件漏洞：大量的第三方應(yīng)用程序，如數(shù)據(jù)庫軟件領(lǐng)域的Oracle和MYSQL，文檔編輯閱讀領(lǐng)域的Adobe等，是安全漏洞的高發(fā)區(qū)。在2009年由CVE發(fā)布的數(shù)十個“0-day”安全漏洞，包含了Oracle Secure Backup Observiced.exe服務(wù)棧溢出漏洞，Adobe Reader Remote Code Execution 漏洞等。

（2）基于Web2.0的應(yīng)用漏洞：在Web2.0的框架下，Java Applet、ActiveX、Cookie、AJAX等技術(shù)被大量應(yīng)用，當(dāng)用戶使用瀏覽器察看、編輯網(wǎng)絡(luò)內(nèi)容時，采用了這些技術(shù)的應(yīng)用程序會自動下載并在客戶端運行，如果這些程序被惡意使用，便可竊取、改變或者刪除客戶的信息。

應(yīng)用層的軟件漏洞分級體系如圖4所示。

3.3 業(yè)務(wù)層

業(yè)務(wù)層漏洞相對于操作系統(tǒng)的漏洞和通用應(yīng)用層漏洞更為復(fù)雜和隱蔽，且在補丁加固過程中更為謹慎。如何挖掘業(yè)務(wù)層漏洞是今后運營商漏洞安全管理工作的重點和難點。

3.3.1 業(yè)務(wù)邏輯上的漏洞

業(yè)務(wù)邏輯在業(yè)務(wù)的規(guī)劃、設(shè)計階段已經(jīng)制定完畢，在實現(xiàn)階段直接體現(xiàn)在業(yè)務(wù)應(yīng)用的代碼中。如果存在業(yè)務(wù)邏輯上的漏洞，攻擊者可以發(fā)動繞過認證或者計費等的攻擊。

3.3.2 業(yè)務(wù)協(xié)議自身的漏洞

業(yè)務(wù)協(xié)議如GSM協(xié)議、WAP協(xié)議、SIP協(xié)議等，這些標準化的通信協(xié)議或多或少存在與生俱來的漏洞，可以被攻擊者利用，如使用虛假主叫號碼發(fā)送短信等。

3.3.3 業(yè)務(wù)流程上的漏洞

業(yè)務(wù)流程上的漏洞，比如采用類似于基于IP地址認證的比較簡單的鑒權(quán)手段，在流程上為了保證效率而忽視了業(yè)務(wù)的安全性。

業(yè)務(wù)層的軟件漏洞分級體系如圖5所示。

圖4 應(yīng)用層漏洞分級

圖5 業(yè)務(wù)層漏洞分級

4 總結(jié)

在“全業(yè)務(wù)”運營時代，運營商對于網(wǎng)絡(luò)的穩(wěn)定和業(yè)務(wù)的可持續(xù)性提出了越來越高的要求，業(yè)務(wù)系統(tǒng)的漏洞是安全部門和外來威脅博弈的關(guān)鍵。本文從運營商安全管理的角度，建立了運營商的業(yè)務(wù)系統(tǒng)的漏洞分級體系，該體系涵蓋了從操作系統(tǒng)層、通用應(yīng)用層和業(yè)務(wù)層的漏洞分級，并具備可擴展性。從漏洞發(fā)展的趨勢來看，應(yīng)用層和業(yè)務(wù)層漏洞的數(shù)量將遠超過操作系統(tǒng)層數(shù)量，且前者的危害性、破壞性更大。本文所提出的漏洞分級體系有助于運營商對業(yè)務(wù)系統(tǒng)的漏洞進行分級，分類，區(qū)別處理，在操作系統(tǒng)漏洞的挖掘和加固基礎(chǔ)上，不斷重視應(yīng)用漏洞，尤其是業(yè)務(wù)漏洞的挖掘和安全加固。

[1] Harrs S著，張輝譯. CISSP Certification ALL-in-One. 北京：清華大學(xué)出版社

[2] Jaquith A, 李冬冬譯. Security Metrics: Replacing Fear, Uncertainty,and Doubt. 北京：電子工業(yè)出版社

[3] 孫強，陳偉，王東紅. 信息安全管理－全球最佳實務(wù)與實施指南，北京：清華大學(xué)出版社，2004

[4] GB17859. 計算機信息系統(tǒng)安全保護等級劃分準則. 1999

[5] NIST SP 800-55 Security Metrics Guide for Information Technology Systems, NIST, 2003