陳濤，高鵬，杜雪濤，朱艷云，薛姍

（中國移動(dòng)通信集團(tuán)設(shè)計(jì)院有限公司, 北京 100080）

1 研究背景

運(yùn)營商業(yè)務(wù)系統(tǒng)承擔(dān)了許多重要的電信服務(wù)功能，比如即時(shí)通信、手機(jī)支付、移動(dòng)商城、營銷管理等，并與計(jì)費(fèi)和網(wǎng)管系統(tǒng)相連接。這些系統(tǒng)往往存儲(chǔ)大量客戶信息和通信詳單等敏感信息，容易成為黑客攻擊的目標(biāo)。黑客通常利用Web系統(tǒng)漏洞、業(yè)務(wù)邏輯漏洞、主機(jī)操作系統(tǒng)或第三方軟件漏洞，進(jìn)入業(yè)務(wù)系統(tǒng)管理后臺(tái)，進(jìn)而控制存儲(chǔ)有客戶信息的數(shù)據(jù)庫，竊取或修改重要數(shù)據(jù)。黑客還可以利用“肉機(jī)”作為跳板，向運(yùn)營商內(nèi)網(wǎng)滲透，進(jìn)而控制更多的運(yùn)營商業(yè)務(wù)支撐系統(tǒng)，給運(yùn)營商帶來巨大危害，也嚴(yán)重威脅著國家的公共通信安全。

隨著新業(yè)務(wù)的開展，這種黑客攻擊行為對(duì)運(yùn)營商業(yè)務(wù)應(yīng)用層的威脅越來越大。Symantec報(bào)告指出，目前75%的攻擊都是面向應(yīng)用層的攻擊。業(yè)務(wù)網(wǎng)站篡改與掛馬、跨站攻擊、用戶賬號(hào)竊取、網(wǎng)站釣魚等利用業(yè)務(wù)信息系統(tǒng)漏洞實(shí)施的網(wǎng)絡(luò)攻擊十分猖獗，因此加強(qiáng)對(duì)業(yè)務(wù)系統(tǒng)的安全評(píng)估具有重要的意義。本文研究了切實(shí)可行、符合移動(dòng)業(yè)務(wù)特點(diǎn)的運(yùn)營商自主可控的業(yè)務(wù)信息系統(tǒng)測評(píng)方法，對(duì)積累電信業(yè)務(wù)系統(tǒng)安全測評(píng)經(jīng)驗(yàn)，開發(fā)新的安全對(duì)抗手段都有重要參考價(jià)值。

2 運(yùn)營商面臨的業(yè)務(wù)安全風(fēng)險(xiǎn)與評(píng)估方法研究現(xiàn)狀

近年來，運(yùn)營商業(yè)務(wù)系統(tǒng)被黑客入侵的安全事件屢見不鮮。本文研究統(tǒng)計(jì)了著名的白帽組織[2]公開的漏洞數(shù)據(jù)庫。如圖1，自2010年7月24日到2012年6月9日近2年的時(shí)間里， WOOYUN組織共公開了4 161個(gè)業(yè)務(wù)漏洞入侵記錄，其中運(yùn)營商相關(guān)173起，占比4.2%，其余為國內(nèi)ICP業(yè)務(wù)應(yīng)用系統(tǒng)漏洞。從數(shù)量上講，運(yùn)營商漏洞入侵事件占比不高，但是從已公開的入侵記錄看，運(yùn)營商系統(tǒng)相關(guān)的高危漏洞為67個(gè)，中危漏洞52個(gè)，低危漏洞54個(gè)。中高危漏洞占比為69%，說明三分之二以上的入侵事件都能帶來較為嚴(yán)重的業(yè)務(wù)損失，應(yīng)該引起運(yùn)營商的高度關(guān)注。

圖1 近2年運(yùn)營商業(yè)務(wù)系統(tǒng)遭入侵統(tǒng)計(jì)

從入侵事件暴漏出來的漏洞類型看（見圖2），Web系統(tǒng)漏洞仍然是主要的入侵途徑。其中SQL注入、跨站漏洞、Web服務(wù)器配置漏洞及常見Jboss、FCK上傳漏洞占比較大。值得注意的是業(yè)務(wù)設(shè)計(jì)缺陷/邏輯錯(cuò)誤在所有入侵事件中占有13%的比例，是僅次于Web系統(tǒng)漏洞的入侵手段。這類漏洞多是業(yè)務(wù)系統(tǒng)認(rèn)證邏輯存在問題，可以繞過認(rèn)證手段查詢?cè)捹M(fèi)等客戶信息，未經(jīng)授權(quán)定制套餐或是短信發(fā)送功能沒有做訪問限制，可以為黑客利用發(fā)起短信炸彈攻擊。另外，系統(tǒng)服務(wù)器配置不當(dāng)和敏感信息泄露也對(duì)運(yùn)營商有較大的威脅。從公開的入侵記錄看，攻擊者可以利用上述漏洞，獲取重要的運(yùn)營數(shù)據(jù)、竊取客戶敏感信息，甚至可以進(jìn)入到管理后臺(tái)和運(yùn)營商業(yè)務(wù)支撐系統(tǒng)、網(wǎng)管系統(tǒng)內(nèi)部，查詢、修改賬務(wù)數(shù)據(jù)、開通業(yè)務(wù)。

廣泛開展業(yè)務(wù)系統(tǒng)安全評(píng)估是運(yùn)營商堵塞系統(tǒng)漏洞，抵抗應(yīng)用層入侵的重要手段。國外關(guān)于網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估的研究已有30多年的歷史。美國、加拿大、歐洲等IT產(chǎn)業(yè)發(fā)達(dá)的國家和地區(qū)于20世紀(jì)70年代和80年代建立了國家認(rèn)證機(jī)構(gòu)和風(fēng)險(xiǎn)評(píng)估認(rèn)證體系，負(fù)責(zé)研究并開發(fā)相關(guān)的評(píng)估標(biāo)準(zhǔn)、評(píng)估認(rèn)證方法和評(píng)估技術(shù)，并進(jìn)行基于評(píng)估標(biāo)準(zhǔn)的信息安全評(píng)估和認(rèn)證工作。目前這些國家網(wǎng)絡(luò)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估相關(guān)的標(biāo)準(zhǔn)體系、技術(shù)體系、組織架構(gòu)和業(yè)務(wù)體系都已經(jīng)比較成熟，參見文獻(xiàn)[1]～[3]。最近，發(fā)達(dá)國家對(duì)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估是越來越重視。據(jù)統(tǒng)計(jì)，近兩年來在信息安全評(píng)估方面的投資占企業(yè)投資的1%～5%，電信和金融行業(yè)則達(dá)到3%～5%。社會(huì)與企業(yè)高度重視有力推動(dòng)了信息安全風(fēng)險(xiǎn)評(píng)估研究和工程實(shí)施的進(jìn)一步發(fā)展。

我國網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估的研究是近幾年才起步的，主要工作集中于組織架構(gòu)和業(yè)務(wù)體系的建立，相應(yīng)的標(biāo)準(zhǔn)體系和技術(shù)體系也處于研究階段。2005年以來，我國順應(yīng)信息安全管理的需要，積極參與制定了ISO/IEC 27000安全管理體系，并將該標(biāo)準(zhǔn)體系采納為國家標(biāo)準(zhǔn)。2007年，我國基本完成了重要信息系統(tǒng)和基礎(chǔ)信息網(wǎng)絡(luò)的信息安全等級(jí)保護(hù)定級(jí)工作，制定了一系列等保國家標(biāo)準(zhǔn)。文獻(xiàn)[4]～[9] 描述了通用的安全評(píng)估工作實(shí)施框架并給出了一般的網(wǎng)絡(luò)安全評(píng)估工作指導(dǎo)原則。但是，針對(duì)通信行業(yè)特點(diǎn)的大規(guī)模復(fù)雜業(yè)務(wù)信息系統(tǒng)的安全測評(píng)尚沒有系統(tǒng)成熟的測評(píng)實(shí)施方法和測評(píng)平臺(tái)可以使用。隨著運(yùn)營商眾多業(yè)務(wù)信息系統(tǒng)的開發(fā)與部署，迫切需要研究和探索相關(guān)的測評(píng)方法與實(shí)施規(guī)范，研發(fā)集成化的信息安全測評(píng)平臺(tái)。

3 運(yùn)營商業(yè)務(wù)安全風(fēng)險(xiǎn)評(píng)估的方法與流程

3.1 運(yùn)營商業(yè)務(wù)安全的保障內(nèi)容與目標(biāo)

圖2 運(yùn)營商入侵漏洞類型分析

運(yùn)營商的業(yè)務(wù)系統(tǒng)功能各異，具體業(yè)務(wù)信息系統(tǒng)的安全保障和風(fēng)險(xiǎn)評(píng)估內(nèi)容應(yīng)該根據(jù)業(yè)務(wù)系統(tǒng)的使命、工作原理和流程來制定。一般來說，業(yè)務(wù)信息系統(tǒng)安全應(yīng)以保障關(guān)鍵業(yè)務(wù)流程安全為核心，涵蓋組成對(duì)外服務(wù)系統(tǒng)的基礎(chǔ)網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、中間件和必要的第三方軟件、業(yè)務(wù)支撐信息系統(tǒng)和業(yè)務(wù)應(yīng)用平臺(tái)安全。此外，業(yè)務(wù)信息安全保障很大程度上有賴于業(yè)務(wù)安全管理制度的完善，有關(guān)資產(chǎn)、人力資源、通信操作、訪問控制、信息系統(tǒng)開發(fā)、安全事件管理的規(guī)范和制度建設(shè)也是重要的業(yè)務(wù)安全風(fēng)險(xiǎn)評(píng)估內(nèi)容，參見圖3。

圖3 業(yè)務(wù)安全保障與評(píng)估內(nèi)容框圖

運(yùn)營商業(yè)務(wù)安全風(fēng)險(xiǎn)評(píng)估目標(biāo)就是在運(yùn)營商業(yè)務(wù)系統(tǒng)規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)行和廢棄階段，結(jié)合上述業(yè)務(wù)系統(tǒng)需要保障的安全內(nèi)容，通過訪談、遠(yuǎn)程檢查和現(xiàn)場操作等方法，系統(tǒng)地分析運(yùn)營商業(yè)務(wù)應(yīng)用系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件發(fā)生可能造成的危害，并給出防護(hù)對(duì)策和整改建議。

3.2 運(yùn)營商業(yè)務(wù)安全評(píng)估方法與實(shí)施要求

3.2.1 業(yè)務(wù)安全評(píng)估方法概述

運(yùn)營商業(yè)務(wù)安全評(píng)估宜采用業(yè)務(wù)運(yùn)營單位自評(píng)估和專家組檢查評(píng)估相結(jié)合的方式，以自評(píng)估為主。

每次業(yè)務(wù)安全評(píng)估前，在“業(yè)務(wù)安全通用評(píng)估規(guī)范”基礎(chǔ)上針對(duì)具體業(yè)務(wù)特點(diǎn)，形成運(yùn)營單位自查安全項(xiàng)目，要求被評(píng)估單位詳細(xì)填寫，需要盡量暴露業(yè)務(wù)脆弱點(diǎn)，以便進(jìn)一步核查風(fēng)險(xiǎn)。

專家組的檢查評(píng)估可以充分利用訪談、遠(yuǎn)程檢測和現(xiàn)場操作等手段重點(diǎn)挖掘分析自評(píng)結(jié)果中暴露的風(fēng)險(xiǎn)點(diǎn)，并提出對(duì)應(yīng)的整改建議。檢查評(píng)估可以采用第三方安全評(píng)估機(jī)構(gòu)的專業(yè)服務(wù)，但是由于業(yè)務(wù)邏輯評(píng)估的專業(yè)性和復(fù)雜性、公司內(nèi)部資料的保密性等特點(diǎn)，建議運(yùn)營商組織內(nèi)部評(píng)估技術(shù)力量實(shí)施自主可控的業(yè)務(wù)安全風(fēng)險(xiǎn)評(píng)估。

3.2.2 業(yè)務(wù)安全評(píng)估實(shí)施流程

業(yè)務(wù)安全評(píng)估流程可以分為準(zhǔn)備階段、風(fēng)險(xiǎn)識(shí)別階段、風(fēng)險(xiǎn)分析階段和風(fēng)險(xiǎn)處置階段。各階段實(shí)施的重點(diǎn)任務(wù)如下：

(1) 準(zhǔn)備階段：評(píng)估人員應(yīng)該在實(shí)施評(píng)估前，充分調(diào)研待評(píng)估的業(yè)務(wù)系統(tǒng)，了解業(yè)務(wù)系統(tǒng)的使命、工作原理和數(shù)據(jù)流程，并依據(jù)通用業(yè)務(wù)評(píng)估規(guī)范形成自評(píng)估項(xiàng)目與檢查評(píng)估實(shí)施規(guī)范文檔。評(píng)估雙方應(yīng)該在準(zhǔn)備階段明確評(píng)估的依據(jù)、評(píng)估目的、評(píng)估范圍和評(píng)估交付物。表1所列資料用于完成評(píng)估前的必要準(zhǔn)備工作。

(2) 風(fēng)險(xiǎn)識(shí)別階段：業(yè)務(wù)系統(tǒng)安全評(píng)估中資產(chǎn)識(shí)別工作的重要任務(wù)就是確定評(píng)估對(duì)象中包含哪些信息系統(tǒng)，信息系統(tǒng)處理哪些種類業(yè)務(wù)，每種業(yè)務(wù)包括哪些具體業(yè)務(wù)功能，以及相關(guān)業(yè)務(wù)處理的流程。一般通過文檔調(diào)閱和訪談能確定評(píng)估所應(yīng)關(guān)注的關(guān)鍵業(yè)務(wù)系統(tǒng)和流程。這些業(yè)務(wù)系統(tǒng)和處理流程通常與業(yè)務(wù)的計(jì)費(fèi)、認(rèn)證邏輯、客戶信息操作、第三方業(yè)務(wù)內(nèi)容引入、業(yè)務(wù)能力對(duì)外開放等環(huán)節(jié)有關(guān)。業(yè)務(wù)系統(tǒng)入侵損害的估計(jì)與業(yè)務(wù)系統(tǒng)本身的重要性直接相關(guān)，資產(chǎn)識(shí)別中對(duì)業(yè)務(wù)信息系統(tǒng)進(jìn)行分級(jí)標(biāo)識(shí)是必要的。

表1 業(yè)務(wù)評(píng)估資料準(zhǔn)備

表2 運(yùn)營商業(yè)務(wù)安全常見威脅與脆弱性識(shí)別

威脅識(shí)別和系統(tǒng)脆弱性識(shí)別工作在文獻(xiàn)[6]、[10]、[11]中有詳細(xì)表述，在此不再累述。值得注意的是移動(dòng)運(yùn)營商業(yè)務(wù)威脅和脆弱性問題多來自于表2所提到的問題，應(yīng)該加以重點(diǎn)挖掘。

(3) 業(yè)務(wù)風(fēng)險(xiǎn)分析階段與風(fēng)險(xiǎn)處置階段：該階段的重點(diǎn)工作是在評(píng)估雙方充分溝通基礎(chǔ)上，對(duì)資產(chǎn)、威脅、脆弱性等評(píng)估數(shù)據(jù)進(jìn)行關(guān)聯(lián)、分析評(píng)價(jià)，并按照高、中、低風(fēng)險(xiǎn)分類給出風(fēng)險(xiǎn)分析結(jié)果，對(duì)評(píng)估中發(fā)現(xiàn)的安全問題給予有針對(duì)性的風(fēng)險(xiǎn)處置建議。應(yīng)在業(yè)務(wù)評(píng)估現(xiàn)場扼要溝通并確定主要評(píng)估結(jié)論，評(píng)估人員在此基礎(chǔ)上盡快給出詳細(xì)的評(píng)估報(bào)告和整改建議。

4 滲透測試在業(yè)務(wù)安全評(píng)估中的使用

滲透測試（Penetration Test）指安全評(píng)估人員模擬黑客所使用的漏洞發(fā)現(xiàn)和攻擊手段，對(duì)被評(píng)估的業(yè)務(wù)系統(tǒng)及其支撐網(wǎng)絡(luò)的安全性做深入的測試，發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)脆弱性的過程。

在業(yè)務(wù)安全風(fēng)險(xiǎn)評(píng)估中，滲透測試組織實(shí)施及注意事項(xiàng)如下：

(1) 滲透測試的準(zhǔn)備：滲透測試需業(yè)務(wù)運(yùn)營單位提供評(píng)估業(yè)務(wù)系統(tǒng)名單、業(yè)務(wù)基本信息以及訪問IP、URL等信息。為保證滲透測試的安全性，還需要提供網(wǎng)絡(luò)安全負(fù)責(zé)人的聯(lián)絡(luò)方式，一旦滲透測試期間出現(xiàn)異常狀況，可及時(shí)進(jìn)行溝通。

(2) 遠(yuǎn)程測試的實(shí)施：業(yè)務(wù)安全檢查的滲透測試與一般安全檢查有所區(qū)別。由于運(yùn)營商業(yè)務(wù)系統(tǒng)暴露在公網(wǎng)上的訪問點(diǎn)較少，大范圍的漏洞掃描檢查并不適用。在滲透測試信息搜集階段，應(yīng)該注意重點(diǎn)業(yè)務(wù)的Web入口和業(yè)務(wù)管理后臺(tái)的發(fā)現(xiàn)與測試。建議對(duì)業(yè)務(wù)認(rèn)證流程、查詢流程等關(guān)鍵業(yè)務(wù)流程進(jìn)行手工檢測。如果業(yè)務(wù)系統(tǒng)有后臺(tái)數(shù)據(jù)庫支撐，也可以考慮實(shí)施SQL注入測試。另外，跨站和常見中間件上傳漏洞也是中小業(yè)務(wù)系統(tǒng)需要檢測的重點(diǎn)內(nèi)容。

(3) 現(xiàn)場測試的實(shí)施：現(xiàn)場滲透測試需要事先了解業(yè)務(wù)運(yùn)營單位的安全域劃分，網(wǎng)絡(luò)邊界設(shè)備，內(nèi)部主要支撐信息系統(tǒng)和4A等登錄認(rèn)證系統(tǒng)等情況下，要求運(yùn)營單位協(xié)助接入內(nèi)網(wǎng)實(shí)施測試。內(nèi)網(wǎng)測試主要以主機(jī)操作系統(tǒng)或安全基線漏洞掃描、常見業(yè)務(wù)中間件，如數(shù)據(jù)庫，Web服務(wù)器常見安全漏洞為主。另外，內(nèi)網(wǎng)系統(tǒng)的口令強(qiáng)度和保密措施也是內(nèi)網(wǎng)測試的重要內(nèi)容。內(nèi)網(wǎng)滲透測試如果能利用上述漏洞控制主機(jī)并繞過安全域防護(hù)措施進(jìn)入運(yùn)營商核心業(yè)務(wù)運(yùn)營系統(tǒng)，如計(jì)費(fèi)、網(wǎng)管等區(qū)域，則證明業(yè)務(wù)運(yùn)營單位的網(wǎng)絡(luò)安全存在嚴(yán)重問題，還需要加強(qiáng)防護(hù)措施。

（4） 滲透測試結(jié)果的分析與風(fēng)險(xiǎn)處置：滲透測試有可能得到很多零散的漏洞發(fā)現(xiàn)，如分布于支撐系統(tǒng)的弱口令、注入或上傳漏洞的報(bào)告。評(píng)估組應(yīng)在安全漏洞的基礎(chǔ)上，深入分析漏洞反映出的安全防護(hù)措施與安全管理制度的不足，并演繹漏洞可以帶來的危害，提出針對(duì)性的風(fēng)險(xiǎn)處置意見。

（5） 滲透測試實(shí)施的其他注意事項(xiàng)：

* 漏洞掃描有可能會(huì)造成網(wǎng)絡(luò)流量增大，網(wǎng)絡(luò)擁塞。應(yīng)該事先提交測試策略，業(yè)務(wù)運(yùn)營支撐單位確認(rèn)掃描對(duì)業(yè)務(wù)系統(tǒng)無影響后，才可以實(shí)施。

* 選擇不會(huì)對(duì)系統(tǒng)造成災(zāi)難性影響的測試方法和工具，不采用拒絕服務(wù)、溢出攻擊等方法。

* 提前做好備份或恢復(fù)等準(zhǔn)備工作。

* 滲透測試完成后，清除滲透過程中留下的各種痕跡。

5 總結(jié)和未來工作展望

運(yùn)營商面臨的網(wǎng)絡(luò)安全威脅從網(wǎng)絡(luò)層逐漸向業(yè)務(wù)應(yīng)用層轉(zhuǎn)移，實(shí)施關(guān)鍵業(yè)務(wù)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估可以減少入侵風(fēng)險(xiǎn)。本文對(duì)業(yè)務(wù)安全的評(píng)估目標(biāo)、內(nèi)容和實(shí)施流程進(jìn)行了研究，提出了操作性強(qiáng)的業(yè)務(wù)安全評(píng)估方法。

業(yè)務(wù)安全評(píng)估和保障工作迫切需要研發(fā)相關(guān)的測試平臺(tái)和工具，然而開發(fā)兼具通用性和符合業(yè)務(wù)特點(diǎn)的測評(píng)工具十分具有挑戰(zhàn)性，需要滿足標(biāo)準(zhǔn)化、高安全性、可配置等要求。此外，針對(duì)黑客對(duì)業(yè)務(wù)系統(tǒng)的入侵，研究開發(fā)強(qiáng)有力的應(yīng)用層反入侵技術(shù)也是未來研究的重要方向。

[1] ISO/IEC 18028-1-2008, IT網(wǎng)絡(luò)安全. 第1部分:網(wǎng)絡(luò)安全管理[S].

[2] ISO/IEC 15408-2005. IT安全評(píng)價(jià)準(zhǔn)則[S].

[3] ISO/IEC TR 13335, IT安全管理指南[S].

[4] GB/T20274-2008, 信息系統(tǒng)安全保障評(píng)估框架[S].

[5] GB/T 25058-2010，信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南[S].

[6] GB/T 20984-2007，信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范[S].

[7] GB/T 18336-2008，信息技術(shù)安全性評(píng)估準(zhǔn)則[S].

[8] ISO/IEC 27005， 信息安全風(fēng)險(xiǎn)管理[S].

[9] ISO/IEC 27011，電信業(yè)信息安全管理指南[S].

[10] 范紅，馮登國. 信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施教程[M]，北京：清華大學(xué)出版社，2007.

[11] 謝宗曉，郭立生. 信息安全管理體系應(yīng)用手冊(cè)[M]. 北京：中國標(biāo)準(zhǔn)出版社，2008.