萬(wàn)偉雄

【摘要】本文介紹了彩信業(yè)務(wù)系統(tǒng)的功能特點(diǎn)，重點(diǎn)通過(guò)分析彩信系統(tǒng)可能存在的網(wǎng)絡(luò)安全和業(yè)務(wù)安全，提出風(fēng)險(xiǎn)防范，確保彩信業(yè)務(wù)健康穩(wěn)定發(fā)展。

【關(guān)鍵詞】彩信系統(tǒng)網(wǎng)絡(luò)安全業(yè)務(wù)安全

一、彩信系統(tǒng)介紹

短消息業(yè)務(wù)SMS（Short Message Service）已經(jīng)成為最成功的無(wú)線(xiàn)數(shù)據(jù)業(yè)務(wù)之一。但隨著時(shí)間的推移和技術(shù)的進(jìn)步，人們不再滿(mǎn)足于單純的文本信息，轉(zhuǎn)而追求豐富多彩的多媒體體驗(yàn)。多媒體消息業(yè)務(wù)MMS（Multimedia Messaging Service）作為SMS和增強(qiáng)型消息業(yè)務(wù)EMS（Enhanced Message Service）的演進(jìn)，為消息類(lèi)通信服務(wù)產(chǎn)品增添了“色彩”。

彩信業(yè)務(wù)系統(tǒng)，為個(gè)人多媒體移動(dòng)通信服務(wù)提供完整的端到端解決方案，并可以作為多種移動(dòng)應(yīng)用和業(yè)務(wù)的通用平臺(tái)。使用彩信業(yè)務(wù)，用戶(hù)可以將格式豐富的信息內(nèi)容，通過(guò)多種方式與他人或增值業(yè)務(wù)提供商進(jìn)行交流。

從通信內(nèi)容上講，彩信業(yè)務(wù)實(shí)現(xiàn)了內(nèi)容的多樣性，包括文本、圖片、語(yǔ)音、圖像以及這些類(lèi)型的各種組合。

從通信方式上講，MMS業(yè)務(wù)涵蓋了終端到終端、終端到郵件、郵件到終端、終端到應(yīng)用和應(yīng)用到終端等多種通信方式。

彩信系統(tǒng)其功能是負(fù)責(zé)彩信收發(fā)和存儲(chǔ)，其主要功能如下：

（1）對(duì)多媒體消息MM（Multimedia Message）進(jìn)行存儲(chǔ)和處理，包括消息的提交、接收、地址解析、通知、消息下發(fā)和報(bào)告（包括遞送報(bào)告、閱讀報(bào)告）。

（2）負(fù)責(zé)MM在不同MMSC之間的傳遞。

（3）產(chǎn)生CDR（Call Detail Record）話(huà)單，用于計(jì)費(fèi)。

二、彩信系統(tǒng)網(wǎng)絡(luò)安全分析

2.1彩信系統(tǒng)在網(wǎng)絡(luò)中的位置

彩信系統(tǒng)是獨(dú)立于移動(dòng)通信網(wǎng)絡(luò)的一個(gè)業(yè)務(wù)處理系統(tǒng)，主要實(shí)現(xiàn)彩信的提交、存儲(chǔ)和轉(zhuǎn)發(fā)等功能，可適用于GPRS、WCDMA、CDMA2000 1X等網(wǎng)絡(luò)。具體在網(wǎng)絡(luò)中的位置如圖1。

2.2彩信系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析

由于彩信中心與多種外部網(wǎng)元系統(tǒng)（WAP、SMSC、OSS、VASP等）之間均有消息交互，其對(duì)外接口在互聯(lián)網(wǎng)都是開(kāi)放的，雖然現(xiàn)有的彩信系統(tǒng)都有架設(shè)防火墻，但對(duì)于復(fù)雜的通信網(wǎng)絡(luò)環(huán)境還是遠(yuǎn)遠(yuǎn)不夠的。下面將重點(diǎn)分析彩信系統(tǒng)可能存在的各種網(wǎng)絡(luò)安全風(fēng)險(xiǎn)因素及其應(yīng)對(duì)措施。

（1）網(wǎng)絡(luò)設(shè)備風(fēng)險(xiǎn)，作為部署在彩信系統(tǒng)的第一道防線(xiàn)，防火墻設(shè)備的安全性可謂重中之重。彩信業(yè)務(wù)系統(tǒng)與其他網(wǎng)元如WAP網(wǎng)關(guān)、其他彩信中心、短信中心、DSMP、網(wǎng)管系統(tǒng)等的消息交互均需要通過(guò)防火墻設(shè)備進(jìn)行過(guò)濾，防火墻策略配置的訪(fǎng)問(wèn)最小化性尤為重要。同時(shí)要求防火墻要根據(jù)實(shí)際情況開(kāi)啟相關(guān)的日志信息，在出現(xiàn)緊急情況，能對(duì)異常流量進(jìn)行記錄，方便維護(hù)人員跟蹤調(diào)查。最后要求防火墻要盡可能關(guān)閉不必要的端口服務(wù)，避免被不法分子攻擊利用。

（2）主機(jī)漏洞風(fēng)險(xiǎn)。彩信業(yè)務(wù)的承載載體都是各類(lèi)主機(jī)設(shè)備，如SUN服務(wù)器、刀片機(jī)、HP服務(wù)器等。主機(jī)系統(tǒng)的安全性重點(diǎn)針對(duì)漏洞補(bǔ)丁是否及時(shí)裝載；賬號(hào)口令是否符合安全設(shè)置規(guī)范，嚴(yán)禁出現(xiàn)弱口令、共享賬號(hào)等情況，對(duì)口令要求定期進(jìn)行修改。在賬號(hào)管理上，要求具有定期審核機(jī)制，避免人員變動(dòng)而賬號(hào)依然存在主機(jī)系統(tǒng)，存在安全隱患。

（3）數(shù)據(jù)庫(kù)和WEB-PORTAL風(fēng)險(xiǎn)。彩信系統(tǒng)的數(shù)據(jù)庫(kù)作為存儲(chǔ)彩信消息的重要部件，數(shù)據(jù)庫(kù)主要是市面主流的ORACLE或SYSBASE數(shù)據(jù)庫(kù)。除了要求遵循數(shù)據(jù)庫(kù)的標(biāo)準(zhǔn)安全配置，針對(duì)涉及彩信消息存儲(chǔ)表的訪(fǎng)問(wèn)也需要嚴(yán)格管控，由于涉及到用戶(hù)的通信記錄等信息，被非法訪(fǎng)問(wèn)，將可能導(dǎo)致用戶(hù)信息泄露，導(dǎo)致安全事件產(chǎn)生。

WEBPORTAL是彩信系統(tǒng)提供給用戶(hù)的自服務(wù)系統(tǒng)，用戶(hù)可以通過(guò)PORTAL頁(yè)面進(jìn)行相關(guān)信息修改，WEB頁(yè)面的安全防護(hù)重點(diǎn)是避免出現(xiàn)SQL注入漏洞，導(dǎo)致其他人非法入侵彩信系統(tǒng)。

三、彩信系統(tǒng)業(yè)務(wù)安全分析

彩信業(yè)務(wù)的生命周期包括：業(yè)務(wù)開(kāi)通、使用、計(jì)費(fèi)等各階段，業(yè)務(wù)安全出現(xiàn)在：業(yè)務(wù)生命周期的某個(gè)階段或某個(gè)過(guò)程存在安全問(wèn)題，導(dǎo)致業(yè)務(wù)安全。業(yè)務(wù)生命周期中看起來(lái)正常的各個(gè)階段，通過(guò)業(yè)務(wù)流程串聯(lián)起來(lái)后，出現(xiàn)異常，如計(jì)費(fèi)異常等。業(yè)務(wù)安全更加關(guān)注業(yè)務(wù)端到端流程中的涉及到的各安全問(wèn)題，而不僅僅是單個(gè)過(guò)程的問(wèn)題。一條彩信業(yè)務(wù)在其全生命周期內(nèi)，經(jīng)過(guò)了無(wú)線(xiàn)網(wǎng)，GPRS核心網(wǎng)、WAP網(wǎng)關(guān)、BOSS計(jì)費(fèi)、網(wǎng)管系統(tǒng)，SP應(yīng)用平臺(tái)等諸多網(wǎng)元系統(tǒng)（如圖2）。

其業(yè)務(wù)安全主要表現(xiàn)在以下幾個(gè)方面：

（1）業(yè)務(wù)鑒權(quán)漏洞。

彩信體從用戶(hù)手機(jī)發(fā)出，要能安全送達(dá)目的地，期間經(jīng)歷了一些列的網(wǎng)元設(shè)備，其中在彩信系統(tǒng)需要對(duì)彩信的主被號(hào)碼進(jìn)行鑒權(quán)，鑒權(quán)包括號(hào)碼的合法性，歸屬的位置等，在現(xiàn)網(wǎng)案例中，發(fā)現(xiàn)不法用戶(hù)通過(guò)筆記本連接 GPRS網(wǎng)元，進(jìn)行彩信發(fā)送，通過(guò)對(duì)消息包進(jìn)行修改，填寫(xiě)不存在的手機(jī)號(hào)碼，企圖繞過(guò)彩信中心鑒權(quán)進(jìn)行非法彩信發(fā)送。

（2）計(jì)費(fèi)漏洞。

單獨(dú)每一個(gè)過(guò)程可能不能發(fā)現(xiàn)問(wèn)題，需要經(jīng)過(guò)端到端流程驗(yàn)證后才能確認(rèn)安全問(wèn)題如涉及到計(jì)費(fèi)問(wèn)題，往往使得安全測(cè)試工作時(shí)間變得較長(zhǎng)。彩信的計(jì)費(fèi)主要是按條計(jì)費(fèi)，從彩信中心生成計(jì)費(fèi)話(huà)單，到計(jì)費(fèi)中心最終入庫(kù)并完成對(duì)用戶(hù)號(hào)碼扣費(fèi)，期間具有一定的時(shí)延，這往往給不法分子可乘之機(jī)，通過(guò)在短時(shí)間內(nèi)群發(fā)大量的垃圾彩信，產(chǎn)生高額欠費(fèi)，給運(yùn)營(yíng)商的收入造成了巨大的損失。鑒于用戶(hù)的這些惡意行為，在彩信中心通過(guò)建立高頻度的檢測(cè)判斷機(jī)制，通過(guò)對(duì)用戶(hù)的彩信發(fā)送行為分析，對(duì)用戶(hù)短時(shí)間內(nèi)大量的群發(fā)彩信進(jìn)行攔截，一方面即可保證有正常通信需求的用戶(hù)要求，另一方面能防范用戶(hù)的垃圾彩信群發(fā)。同時(shí)與計(jì)費(fèi)系統(tǒng)高度聯(lián)動(dòng)，縮短計(jì)費(fèi)入庫(kù)時(shí)長(zhǎng)，及時(shí)對(duì)用戶(hù)進(jìn)行扣費(fèi)，及欠費(fèi)停止通信服務(wù)。

（3）病毒彩信。

病毒彩信，主要指不法分子在彩信體中附帶了病毒代碼，用戶(hù)在接收到彩信并打開(kāi)后，病毒代碼開(kāi)始執(zhí)行，感染用戶(hù)終端，造成用戶(hù)損失。例如，之前有一種以彩信方式傳播的手機(jī)病毒名為Commwarrior.A的病毒，現(xiàn)象為每3秒不斷向一個(gè)隨機(jī)的手機(jī)號(hào)碼發(fā)送彩信。按照0.5元/3秒計(jì)算，一個(gè)小時(shí)可能生成600元的高額話(huà)費(fèi)。CommonWarrior病毒源自俄羅斯，是一種可通過(guò)藍(lán)牙和彩信雙路傳播的病毒，在傳播時(shí)其往往帶有各類(lèi)引誘性文字。盡管該病毒對(duì)手機(jī)本身沒(méi)有破壞性，但是由于其暗中大量發(fā)送彩信，會(huì)為手機(jī)用戶(hù)帶來(lái)嚴(yán)重的經(jīng)濟(jì)損失。

四、結(jié)論

本文重點(diǎn)介紹了彩信系統(tǒng)的網(wǎng)絡(luò)安全和業(yè)務(wù)安全，作為消息類(lèi)業(yè)務(wù)的一員，目前彩信業(yè)務(wù)也面臨著越來(lái)越多的互聯(lián)網(wǎng)業(yè)務(wù)（如微信）的挑戰(zhàn)，但彩信業(yè)務(wù)的承載樣式及其便利性還是其他業(yè)務(wù)無(wú)法比擬的，其網(wǎng)絡(luò)安全和業(yè)務(wù)安全也是需要引起運(yùn)營(yíng)商足夠的重視，通過(guò)對(duì)彩信業(yè)務(wù)系統(tǒng)的各環(huán)節(jié)的安全不斷優(yōu)化改進(jìn)，探索業(yè)務(wù)安全的預(yù)防、發(fā)現(xiàn)以及解決方法，提高彩信業(yè)務(wù)系統(tǒng)的安全水平。