陳濤，高鵬，杜雪濤，朱艷云，薛姍

（中國移動通信集團設(shè)計院有限公司, 北京 100080）

1 研究背景

運營商業(yè)務(wù)系統(tǒng)承擔(dān)了許多重要的電信服務(wù)功能，比如即時通信、手機支付、移動商城、營銷管理等，并與計費和網(wǎng)管系統(tǒng)相連接。這些系統(tǒng)往往存儲大量客戶信息和通信詳單等敏感信息，容易成為黑客攻擊的目標(biāo)。黑客通常利用Web系統(tǒng)漏洞、業(yè)務(wù)邏輯漏洞、主機操作系統(tǒng)或第三方軟件漏洞，進入業(yè)務(wù)系統(tǒng)管理后臺，進而控制存儲有客戶信息的數(shù)據(jù)庫，竊取或修改重要數(shù)據(jù)。黑客還可以利用“肉機”作為跳板，向運營商內(nèi)網(wǎng)滲透，進而控制更多的運營商業(yè)務(wù)支撐系統(tǒng)，給運營商帶來巨大危害，也嚴(yán)重威脅著國家的公共通信安全。

隨著新業(yè)務(wù)的開展，這種黑客攻擊行為對運營商業(yè)務(wù)應(yīng)用層的威脅越來越大。Symantec報告指出，目前75%的攻擊都是面向應(yīng)用層的攻擊。業(yè)務(wù)網(wǎng)站篡改與掛馬、跨站攻擊、用戶賬號竊取、網(wǎng)站釣魚等利用業(yè)務(wù)信息系統(tǒng)漏洞實施的網(wǎng)絡(luò)攻擊十分猖獗，因此加強對業(yè)務(wù)系統(tǒng)的安全評估具有重要的意義。本文研究了切實可行、符合移動業(yè)務(wù)特點的運營商自主可控的業(yè)務(wù)信息系統(tǒng)測評方法，對積累電信業(yè)務(wù)系統(tǒng)安全測評經(jīng)驗，開發(fā)新的安全對抗手段都有重要參考價值。

2 運營商面臨的業(yè)務(wù)安全風(fēng)險與評估方法研究現(xiàn)狀

近年來，運營商業(yè)務(wù)系統(tǒng)被黑客入侵的安全事件屢見不鮮。本文研究統(tǒng)計了著名的白帽組織[2]公開的漏洞數(shù)據(jù)庫。如圖1，自2010年7月24日到2012年6月9日近2年的時間里， WOOYUN組織共公開了4 161個業(yè)務(wù)漏洞入侵記錄，其中運營商相關(guān)173起，占比4.2%，其余為國內(nèi)ICP業(yè)務(wù)應(yīng)用系統(tǒng)漏洞。從數(shù)量上講，運營商漏洞入侵事件占比不高，但是從已公開的入侵記錄看，運營商系統(tǒng)相關(guān)的高危漏洞為67個，中危漏洞52個，低危漏洞54個。中高危漏洞占比為69%，說明三分之二以上的入侵事件都能帶來較為嚴(yán)重的業(yè)務(wù)損失，應(yīng)該引起運營商的高度關(guān)注。

圖1 近2年運營商業(yè)務(wù)系統(tǒng)遭入侵統(tǒng)計

從入侵事件暴漏出來的漏洞類型看（見圖2），Web系統(tǒng)漏洞仍然是主要的入侵途徑。其中SQL注入、跨站漏洞、Web服務(wù)器配置漏洞及常見Jboss、FCK上傳漏洞占比較大。值得注意的是業(yè)務(wù)設(shè)計缺陷/邏輯錯誤在所有入侵事件中占有13%的比例，是僅次于Web系統(tǒng)漏洞的入侵手段。這類漏洞多是業(yè)務(wù)系統(tǒng)認(rèn)證邏輯存在問題，可以繞過認(rèn)證手段查詢話費等客戶信息，未經(jīng)授權(quán)定制套餐或是短信發(fā)送功能沒有做訪問限制，可以為黑客利用發(fā)起短信炸彈攻擊。另外，系統(tǒng)服務(wù)器配置不當(dāng)和敏感信息泄露也對運營商有較大的威脅。從公開的入侵記錄看，攻擊者可以利用上述漏洞，獲取重要的運營數(shù)據(jù)、竊取客戶敏感信息，甚至可以進入到管理后臺和運營商業(yè)務(wù)支撐系統(tǒng)、網(wǎng)管系統(tǒng)內(nèi)部，查詢、修改賬務(wù)數(shù)據(jù)、開通業(yè)務(wù)。

廣泛開展業(yè)務(wù)系統(tǒng)安全評估是運營商堵塞系統(tǒng)漏洞，抵抗應(yīng)用層入侵的重要手段。國外關(guān)于網(wǎng)絡(luò)信息安全風(fēng)險評估的研究已有30多年的歷史。美國、加拿大、歐洲等IT產(chǎn)業(yè)發(fā)達的國家和地區(qū)于20世紀(jì)70年代和80年代建立了國家認(rèn)證機構(gòu)和風(fēng)險評估認(rèn)證體系，負(fù)責(zé)研究并開發(fā)相關(guān)的評估標(biāo)準(zhǔn)、評估認(rèn)證方法和評估技術(shù)，并進行基于評估標(biāo)準(zhǔn)的信息安全評估和認(rèn)證工作。目前這些國家網(wǎng)絡(luò)信息系統(tǒng)安全風(fēng)險評估相關(guān)的標(biāo)準(zhǔn)體系、技術(shù)體系、組織架構(gòu)和業(yè)務(wù)體系都已經(jīng)比較成熟，參見文獻[1]～[3]。最近，發(fā)達國家對網(wǎng)絡(luò)信息安全風(fēng)險評估是越來越重視。據(jù)統(tǒng)計，近兩年來在信息安全評估方面的投資占企業(yè)投資的1%～5%，電信和金融行業(yè)則達到3%～5%。社會與企業(yè)高度重視有力推動了信息安全風(fēng)險評估研究和工程實施的進一步發(fā)展。

我國網(wǎng)絡(luò)信息安全風(fēng)險評估的研究是近幾年才起步的，主要工作集中于組織架構(gòu)和業(yè)務(wù)體系的建立，相應(yīng)的標(biāo)準(zhǔn)體系和技術(shù)體系也處于研究階段。2005年以來，我國順應(yīng)信息安全管理的需要，積極參與制定了ISO/IEC 27000安全管理體系，并將該標(biāo)準(zhǔn)體系采納為國家標(biāo)準(zhǔn)。2007年，我國基本完成了重要信息系統(tǒng)和基礎(chǔ)信息網(wǎng)絡(luò)的信息安全等級保護定級工作，制定了一系列等保國家標(biāo)準(zhǔn)。文獻[4]～[9] 描述了通用的安全評估工作實施框架并給出了一般的網(wǎng)絡(luò)安全評估工作指導(dǎo)原則。但是，針對通信行業(yè)特點的大規(guī)模復(fù)雜業(yè)務(wù)信息系統(tǒng)的安全測評尚沒有系統(tǒng)成熟的測評實施方法和測評平臺可以使用。隨著運營商眾多業(yè)務(wù)信息系統(tǒng)的開發(fā)與部署，迫切需要研究和探索相關(guān)的測評方法與實施規(guī)范，研發(fā)集成化的信息安全測評平臺。

3 運營商業(yè)務(wù)安全風(fēng)險評估的方法與流程

3.1 運營商業(yè)務(wù)安全的保障內(nèi)容與目標(biāo)

圖2 運營商入侵漏洞類型分析

運營商的業(yè)務(wù)系統(tǒng)功能各異，具體業(yè)務(wù)信息系統(tǒng)的安全保障和風(fēng)險評估內(nèi)容應(yīng)該根據(jù)業(yè)務(wù)系統(tǒng)的使命、工作原理和流程來制定。一般來說，業(yè)務(wù)信息系統(tǒng)安全應(yīng)以保障關(guān)鍵業(yè)務(wù)流程安全為核心，涵蓋組成對外服務(wù)系統(tǒng)的基礎(chǔ)網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、中間件和必要的第三方軟件、業(yè)務(wù)支撐信息系統(tǒng)和業(yè)務(wù)應(yīng)用平臺安全。此外，業(yè)務(wù)信息安全保障很大程度上有賴于業(yè)務(wù)安全管理制度的完善，有關(guān)資產(chǎn)、人力資源、通信操作、訪問控制、信息系統(tǒng)開發(fā)、安全事件管理的規(guī)范和制度建設(shè)也是重要的業(yè)務(wù)安全風(fēng)險評估內(nèi)容，參見圖3。

圖3 業(yè)務(wù)安全保障與評估內(nèi)容框圖

運營商業(yè)務(wù)安全風(fēng)險評估目標(biāo)就是在運營商業(yè)務(wù)系統(tǒng)規(guī)劃、設(shè)計、實施、運行和廢棄階段，結(jié)合上述業(yè)務(wù)系統(tǒng)需要保障的安全內(nèi)容，通過訪談、遠(yuǎn)程檢查和現(xiàn)場操作等方法，系統(tǒng)地分析運營商業(yè)務(wù)應(yīng)用系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件發(fā)生可能造成的危害，并給出防護對策和整改建議。

3.2 運營商業(yè)務(wù)安全評估方法與實施要求

3.2.1 業(yè)務(wù)安全評估方法概述

運營商業(yè)務(wù)安全評估宜采用業(yè)務(wù)運營單位自評估和專家組檢查評估相結(jié)合的方式，以自評估為主。

每次業(yè)務(wù)安全評估前，在“業(yè)務(wù)安全通用評估規(guī)范”基礎(chǔ)上針對具體業(yè)務(wù)特點，形成運營單位自查安全項目，要求被評估單位詳細(xì)填寫，需要盡量暴露業(yè)務(wù)脆弱點，以便進一步核查風(fēng)險。

專家組的檢查評估可以充分利用訪談、遠(yuǎn)程檢測和現(xiàn)場操作等手段重點挖掘分析自評結(jié)果中暴露的風(fēng)險點，并提出對應(yīng)的整改建議。檢查評估可以采用第三方安全評估機構(gòu)的專業(yè)服務(wù)，但是由于業(yè)務(wù)邏輯評估的專業(yè)性和復(fù)雜性、公司內(nèi)部資料的保密性等特點，建議運營商組織內(nèi)部評估技術(shù)力量實施自主可控的業(yè)務(wù)安全風(fēng)險評估。

3.2.2 業(yè)務(wù)安全評估實施流程

業(yè)務(wù)安全評估流程可以分為準(zhǔn)備階段、風(fēng)險識別階段、風(fēng)險分析階段和風(fēng)險處置階段。各階段實施的重點任務(wù)如下：

(1) 準(zhǔn)備階段：評估人員應(yīng)該在實施評估前，充分調(diào)研待評估的業(yè)務(wù)系統(tǒng)，了解業(yè)務(wù)系統(tǒng)的使命、工作原理和數(shù)據(jù)流程，并依據(jù)通用業(yè)務(wù)評估規(guī)范形成自評估項目與檢查評估實施規(guī)范文檔。評估雙方應(yīng)該在準(zhǔn)備階段明確評估的依據(jù)、評估目的、評估范圍和評估交付物。表1所列資料用于完成評估前的必要準(zhǔn)備工作。

(2) 風(fēng)險識別階段：業(yè)務(wù)系統(tǒng)安全評估中資產(chǎn)識別工作的重要任務(wù)就是確定評估對象中包含哪些信息系統(tǒng)，信息系統(tǒng)處理哪些種類業(yè)務(wù)，每種業(yè)務(wù)包括哪些具體業(yè)務(wù)功能，以及相關(guān)業(yè)務(wù)處理的流程。一般通過文檔調(diào)閱和訪談能確定評估所應(yīng)關(guān)注的關(guān)鍵業(yè)務(wù)系統(tǒng)和流程。這些業(yè)務(wù)系統(tǒng)和處理流程通常與業(yè)務(wù)的計費、認(rèn)證邏輯、客戶信息操作、第三方業(yè)務(wù)內(nèi)容引入、業(yè)務(wù)能力對外開放等環(huán)節(jié)有關(guān)。業(yè)務(wù)系統(tǒng)入侵損害的估計與業(yè)務(wù)系統(tǒng)本身的重要性直接相關(guān)，資產(chǎn)識別中對業(yè)務(wù)信息系統(tǒng)進行分級標(biāo)識是必要的。

表1 業(yè)務(wù)評估資料準(zhǔn)備

表2 運營商業(yè)務(wù)安全常見威脅與脆弱性識別

威脅識別和系統(tǒng)脆弱性識別工作在文獻[6]、[10]、[11]中有詳細(xì)表述，在此不再累述。值得注意的是移動運營商業(yè)務(wù)威脅和脆弱性問題多來自于表2所提到的問題，應(yīng)該加以重點挖掘。

(3) 業(yè)務(wù)風(fēng)險分析階段與風(fēng)險處置階段：該階段的重點工作是在評估雙方充分溝通基礎(chǔ)上，對資產(chǎn)、威脅、脆弱性等評估數(shù)據(jù)進行關(guān)聯(lián)、分析評價，并按照高、中、低風(fēng)險分類給出風(fēng)險分析結(jié)果，對評估中發(fā)現(xiàn)的安全問題給予有針對性的風(fēng)險處置建議。應(yīng)在業(yè)務(wù)評估現(xiàn)場扼要溝通并確定主要評估結(jié)論，評估人員在此基礎(chǔ)上盡快給出詳細(xì)的評估報告和整改建議。

4 滲透測試在業(yè)務(wù)安全評估中的使用

滲透測試（Penetration Test）指安全評估人員模擬黑客所使用的漏洞發(fā)現(xiàn)和攻擊手段，對被評估的業(yè)務(wù)系統(tǒng)及其支撐網(wǎng)絡(luò)的安全性做深入的測試，發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)脆弱性的過程。

在業(yè)務(wù)安全風(fēng)險評估中，滲透測試組織實施及注意事項如下：

(1) 滲透測試的準(zhǔn)備：滲透測試需業(yè)務(wù)運營單位提供評估業(yè)務(wù)系統(tǒng)名單、業(yè)務(wù)基本信息以及訪問IP、URL等信息。為保證滲透測試的安全性，還需要提供網(wǎng)絡(luò)安全負(fù)責(zé)人的聯(lián)絡(luò)方式，一旦滲透測試期間出現(xiàn)異常狀況，可及時進行溝通。

(2) 遠(yuǎn)程測試的實施：業(yè)務(wù)安全檢查的滲透測試與一般安全檢查有所區(qū)別。由于運營商業(yè)務(wù)系統(tǒng)暴露在公網(wǎng)上的訪問點較少，大范圍的漏洞掃描檢查并不適用。在滲透測試信息搜集階段，應(yīng)該注意重點業(yè)務(wù)的Web入口和業(yè)務(wù)管理后臺的發(fā)現(xiàn)與測試。建議對業(yè)務(wù)認(rèn)證流程、查詢流程等關(guān)鍵業(yè)務(wù)流程進行手工檢測。如果業(yè)務(wù)系統(tǒng)有后臺數(shù)據(jù)庫支撐，也可以考慮實施SQL注入測試。另外，跨站和常見中間件上傳漏洞也是中小業(yè)務(wù)系統(tǒng)需要檢測的重點內(nèi)容。

(3) 現(xiàn)場測試的實施：現(xiàn)場滲透測試需要事先了解業(yè)務(wù)運營單位的安全域劃分，網(wǎng)絡(luò)邊界設(shè)備，內(nèi)部主要支撐信息系統(tǒng)和4A等登錄認(rèn)證系統(tǒng)等情況下，要求運營單位協(xié)助接入內(nèi)網(wǎng)實施測試。內(nèi)網(wǎng)測試主要以主機操作系統(tǒng)或安全基線漏洞掃描、常見業(yè)務(wù)中間件，如數(shù)據(jù)庫，Web服務(wù)器常見安全漏洞為主。另外，內(nèi)網(wǎng)系統(tǒng)的口令強度和保密措施也是內(nèi)網(wǎng)測試的重要內(nèi)容。內(nèi)網(wǎng)滲透測試如果能利用上述漏洞控制主機并繞過安全域防護措施進入運營商核心業(yè)務(wù)運營系統(tǒng)，如計費、網(wǎng)管等區(qū)域，則證明業(yè)務(wù)運營單位的網(wǎng)絡(luò)安全存在嚴(yán)重問題，還需要加強防護措施。

（4） 滲透測試結(jié)果的分析與風(fēng)險處置：滲透測試有可能得到很多零散的漏洞發(fā)現(xiàn)，如分布于支撐系統(tǒng)的弱口令、注入或上傳漏洞的報告。評估組應(yīng)在安全漏洞的基礎(chǔ)上，深入分析漏洞反映出的安全防護措施與安全管理制度的不足，并演繹漏洞可以帶來的危害，提出針對性的風(fēng)險處置意見。

（5） 滲透測試實施的其他注意事項：

* 漏洞掃描有可能會造成網(wǎng)絡(luò)流量增大，網(wǎng)絡(luò)擁塞。應(yīng)該事先提交測試策略，業(yè)務(wù)運營支撐單位確認(rèn)掃描對業(yè)務(wù)系統(tǒng)無影響后，才可以實施。

* 選擇不會對系統(tǒng)造成災(zāi)難性影響的測試方法和工具，不采用拒絕服務(wù)、溢出攻擊等方法。

* 提前做好備份或恢復(fù)等準(zhǔn)備工作。

* 滲透測試完成后，清除滲透過程中留下的各種痕跡。

5 總結(jié)和未來工作展望

運營商面臨的網(wǎng)絡(luò)安全威脅從網(wǎng)絡(luò)層逐漸向業(yè)務(wù)應(yīng)用層轉(zhuǎn)移，實施關(guān)鍵業(yè)務(wù)信息系統(tǒng)風(fēng)險評估可以減少入侵風(fēng)險。本文對業(yè)務(wù)安全的評估目標(biāo)、內(nèi)容和實施流程進行了研究，提出了操作性強的業(yè)務(wù)安全評估方法。

業(yè)務(wù)安全評估和保障工作迫切需要研發(fā)相關(guān)的測試平臺和工具，然而開發(fā)兼具通用性和符合業(yè)務(wù)特點的測評工具十分具有挑戰(zhàn)性，需要滿足標(biāo)準(zhǔn)化、高安全性、可配置等要求。此外，針對黑客對業(yè)務(wù)系統(tǒng)的入侵，研究開發(fā)強有力的應(yīng)用層反入侵技術(shù)也是未來研究的重要方向。

[1] ISO/IEC 18028-1-2008, IT網(wǎng)絡(luò)安全. 第1部分:網(wǎng)絡(luò)安全管理[S].

[2] ISO/IEC 15408-2005. IT安全評價準(zhǔn)則[S].

[3] ISO/IEC TR 13335, IT安全管理指南[S].

[4] GB/T20274-2008, 信息系統(tǒng)安全保障評估框架[S].

[5] GB/T 25058-2010，信息系統(tǒng)安全等級保護實施指南[S].

[6] GB/T 20984-2007，信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范[S].

[7] GB/T 18336-2008，信息技術(shù)安全性評估準(zhǔn)則[S].

[8] ISO/IEC 27005， 信息安全風(fēng)險管理[S].

[9] ISO/IEC 27011，電信業(yè)信息安全管理指南[S].

[10] 范紅，馮登國. 信息安全風(fēng)險評估實施教程[M]，北京：清華大學(xué)出版社，2007.

[11] 謝宗曉，郭立生. 信息安全管理體系應(yīng)用手冊[M]. 北京：中國標(biāo)準(zhǔn)出版社，2008.