陈涛，高鹏，杜雪涛，朱艳云，薛姗

（中国移动通信集团设计院有限公司, 北京 100080）

1 研究背景

运营商业务系统承担了许多重要的电信服务功能，比如即时通信、手机支付、移动商城、营销管理等，并与计费和网管系统相连接。这些系统往往存储大量客户信息和通信详单等敏感信息，容易成为黑客攻击的目标。黑客通常利用Web系统漏洞、业务逻辑漏洞、主机操作系统或第三方软件漏洞，进入业务系统管理后台，进而控制存储有客户信息的数据库，窃取或修改重要数据。黑客还可以利用“肉机”作为跳板，向运营商内网渗透，进而控制更多的运营商业务支撑系统，给运营商带来巨大危害，也严重威胁着国家的公共通信安全。

随着新业务的开展，这种黑客攻击行为对运营商业务应用层的威胁越来越大。Symantec报告指出，目前75%的攻击都是面向应用层的攻击。业务网站篡改与挂马、跨站攻击、用户账号窃取、网站钓鱼等利用业务信息系统漏洞实施的网络攻击十分猖獗，因此加强对业务系统的安全评估具有重要的意义。本文研究了切实可行、符合移动业务特点的运营商自主可控的业务信息系统测评方法，对积累电信业务系统安全测评经验，开发新的安全对抗手段都有重要参考价值。

2 运营商面临的业务安全风险与评估方法研究现状

近年来，运营商业务系统被黑客入侵的安全事件屡见不鲜。本文研究统计了著名的白帽组织[2]公开的漏洞数据库。如图1，自2010年7月24日到2012年6月9日近2年的时间里， WOOYUN组织共公开了4 161个业务漏洞入侵记录，其中运营商相关173起，占比4.2%，其余为国内ICP业务应用系统漏洞。从数量上讲，运营商漏洞入侵事件占比不高，但是从已公开的入侵记录看，运营商系统相关的高危漏洞为67个，中危漏洞52个，低危漏洞54个。中高危漏洞占比为69%，说明三分之二以上的入侵事件都能带来较为严重的业务损失，应该引起运营商的高度关注。

图1 近2年运营商业务系统遭入侵统计

从入侵事件暴漏出来的漏洞类型看（见图2），Web系统漏洞仍然是主要的入侵途径。其中SQL注入、跨站漏洞、Web服务器配置漏洞及常见Jboss、FCK上传漏洞占比较大。值得注意的是业务设计缺陷/逻辑错误在所有入侵事件中占有13%的比例，是仅次于Web系统漏洞的入侵手段。这类漏洞多是业务系统认证逻辑存在问题，可以绕过认证手段查询话费等客户信息，未经授权定制套餐或是短信发送功能没有做访问限制，可以为黑客利用发起短信炸弹攻击。另外，系统服务器配置不当和敏感信息泄露也对运营商有较大的威胁。从公开的入侵记录看，攻击者可以利用上述漏洞，获取重要的运营数据、窃取客户敏感信息，甚至可以进入到管理后台和运营商业务支撑系统、网管系统内部，查询、修改账务数据、开通业务。

广泛开展业务系统安全评估是运营商堵塞系统漏洞，抵抗应用层入侵的重要手段。国外关于网络信息安全风险评估的研究已有30多年的历史。美国、加拿大、欧洲等IT产业发达的国家和地区于20世纪70年代和80年代建立了国家认证机构和风险评估认证体系，负责研究并开发相关的评估标准、评估认证方法和评估技术，并进行基于评估标准的信息安全评估和认证工作。目前这些国家网络信息系统安全风险评估相关的标准体系、技术体系、组织架构和业务体系都已经比较成熟，参见文献[1]～[3]。最近，发达国家对网络信息安全风险评估是越来越重视。据统计，近两年来在信息安全评估方面的投资占企业投资的1%～5%，电信和金融行业则达到3%～5%。社会与企业高度重视有力推动了信息安全风险评估研究和工程实施的进一步发展。

我国网络信息安全风险评估的研究是近几年才起步的，主要工作集中于组织架构和业务体系的建立，相应的标准体系和技术体系也处于研究阶段。2005年以来，我国顺应信息安全管理的需要，积极参与制定了ISO/IEC 27000安全管理体系，并将该标准体系采纳为国家标准。2007年，我国基本完成了重要信息系统和基础信息网络的信息安全等级保护定级工作，制定了一系列等保国家标准。文献[4]～[9] 描述了通用的安全评估工作实施框架并给出了一般的网络安全评估工作指导原则。但是，针对通信行业特点的大规模复杂业务信息系统的安全测评尚没有系统成熟的测评实施方法和测评平台可以使用。随着运营商众多业务信息系统的开发与部署，迫切需要研究和探索相关的测评方法与实施规范，研发集成化的信息安全测评平台。

3 运营商业务安全风险评估的方法与流程

3.1 运营商业务安全的保障内容与目标

图2 运营商入侵漏洞类型分析

运营商的业务系统功能各异，具体业务信息系统的安全保障和风险评估内容应该根据业务系统的使命、工作原理和流程来制定。一般来说，业务信息系统安全应以保障关键业务流程安全为核心，涵盖组成对外服务系统的基础网络、操作系统、数据库、中间件和必要的第三方软件、业务支撑信息系统和业务应用平台安全。此外，业务信息安全保障很大程度上有赖于业务安全管理制度的完善，有关资产、人力资源、通信操作、访问控制、信息系统开发、安全事件管理的规范和制度建设也是重要的业务安全风险评估内容，参见图3。

图3 业务安全保障与评估内容框图

运营商业务安全风险评估目标就是在运营商业务系统规划、设计、实施、运行和废弃阶段，结合上述业务系统需要保障的安全内容，通过访谈、远程检查和现场操作等方法，系统地分析运营商业务应用系统所面临的威胁及其存在的脆弱性，评估安全事件发生可能造成的危害，并给出防护对策和整改建议。

3.2 运营商业务安全评估方法与实施要求

3.2.1 业务安全评估方法概述

运营商业务安全评估宜采用业务运营单位自评估和专家组检查评估相结合的方式，以自评估为主。

每次业务安全评估前，在“业务安全通用评估规范”基础上针对具体业务特点，形成运营单位自查安全项目，要求被评估单位详细填写，需要尽量暴露业务脆弱点，以便进一步核查风险。

专家组的检查评估可以充分利用访谈、远程检测和现场操作等手段重点挖掘分析自评结果中暴露的风险点，并提出对应的整改建议。检查评估可以采用第三方安全评估机构的专业服务，但是由于业务逻辑评估的专业性和复杂性、公司内部资料的保密性等特点，建议运营商组织内部评估技术力量实施自主可控的业务安全风险评估。

3.2.2 业务安全评估实施流程

业务安全评估流程可以分为准备阶段、风险识别阶段、风险分析阶段和风险处置阶段。各阶段实施的重点任务如下：

(1) 准备阶段：评估人员应该在实施评估前，充分调研待评估的业务系统，了解业务系统的使命、工作原理和数据流程，并依据通用业务评估规范形成自评估项目与检查评估实施规范文档。评估双方应该在准备阶段明确评估的依据、评估目的、评估范围和评估交付物。表1所列资料用于完成评估前的必要准备工作。

(2) 风险识别阶段：业务系统安全评估中资产识别工作的重要任务就是确定评估对象中包含哪些信息系统，信息系统处理哪些种类业务，每种业务包括哪些具体业务功能，以及相关业务处理的流程。一般通过文档调阅和访谈能确定评估所应关注的关键业务系统和流程。这些业务系统和处理流程通常与业务的计费、认证逻辑、客户信息操作、第三方业务内容引入、业务能力对外开放等环节有关。业务系统入侵损害的估计与业务系统本身的重要性直接相关，资产识别中对业务信息系统进行分级标识是必要的。

表1 业务评估资料准备

表2 运营商业务安全常见威胁与脆弱性识别

威胁识别和系统脆弱性识别工作在文献[6]、[10]、[11]中有详细表述，在此不再累述。值得注意的是移动运营商业务威胁和脆弱性问题多来自于表2所提到的问题，应该加以重点挖掘。

(3) 业务风险分析阶段与风险处置阶段：该阶段的重点工作是在评估双方充分沟通基础上，对资产、威胁、脆弱性等评估数据进行关联、分析评价，并按照高、中、低风险分类给出风险分析结果，对评估中发现的安全问题给予有针对性的风险处置建议。应在业务评估现场扼要沟通并确定主要评估结论，评估人员在此基础上尽快给出详细的评估报告和整改建议。

4 渗透测试在业务安全评估中的使用

渗透测试（Penetration Test）指安全评估人员模拟黑客所使用的漏洞发现和攻击手段，对被评估的业务系统及其支撑网络的安全性做深入的测试，发现业务系统脆弱性的过程。

在业务安全风险评估中，渗透测试组织实施及注意事项如下：

(1) 渗透测试的准备：渗透测试需业务运营单位提供评估业务系统名单、业务基本信息以及访问IP、URL等信息。为保证渗透测试的安全性，还需要提供网络安全负责人的联络方式，一旦渗透测试期间出现异常状况，可及时进行沟通。

(2) 远程测试的实施：业务安全检查的渗透测试与一般安全检查有所区别。由于运营商业务系统暴露在公网上的访问点较少，大范围的漏洞扫描检查并不适用。在渗透测试信息搜集阶段，应该注意重点业务的Web入口和业务管理后台的发现与测试。建议对业务认证流程、查询流程等关键业务流程进行手工检测。如果业务系统有后台数据库支撑，也可以考虑实施SQL注入测试。另外，跨站和常见中间件上传漏洞也是中小业务系统需要检测的重点内容。

(3) 现场测试的实施：现场渗透测试需要事先了解业务运营单位的安全域划分，网络边界设备，内部主要支撑信息系统和4A等登录认证系统等情况下，要求运营单位协助接入内网实施测试。内网测试主要以主机操作系统或安全基线漏洞扫描、常见业务中间件，如数据库，Web服务器常见安全漏洞为主。另外，内网系统的口令强度和保密措施也是内网测试的重要内容。内网渗透测试如果能利用上述漏洞控制主机并绕过安全域防护措施进入运营商核心业务运营系统，如计费、网管等区域，则证明业务运营单位的网络安全存在严重问题，还需要加强防护措施。

（4） 渗透测试结果的分析与风险处置：渗透测试有可能得到很多零散的漏洞发现，如分布于支撑系统的弱口令、注入或上传漏洞的报告。评估组应在安全漏洞的基础上，深入分析漏洞反映出的安全防护措施与安全管理制度的不足，并演绎漏洞可以带来的危害，提出针对性的风险处置意见。

（5） 渗透测试实施的其他注意事项：

* 漏洞扫描有可能会造成网络流量增大，网络拥塞。应该事先提交测试策略，业务运营支撑单位确认扫描对业务系统无影响后，才可以实施。

* 选择不会对系统造成灾难性影响的测试方法和工具，不采用拒绝服务、溢出攻击等方法。

* 提前做好备份或恢复等准备工作。

* 渗透测试完成后，清除渗透过程中留下的各种痕迹。

5 总结和未来工作展望

运营商面临的网络安全威胁从网络层逐渐向业务应用层转移，实施关键业务信息系统风险评估可以减少入侵风险。本文对业务安全的评估目标、内容和实施流程进行了研究，提出了操作性强的业务安全评估方法。

业务安全评估和保障工作迫切需要研发相关的测试平台和工具，然而开发兼具通用性和符合业务特点的测评工具十分具有挑战性，需要满足标准化、高安全性、可配置等要求。此外，针对黑客对业务系统的入侵，研究开发强有力的应用层反入侵技术也是未来研究的重要方向。

[1] ISO/IEC 18028-1-2008, IT网络安全. 第1部分:网络安全管理[S].

[2] ISO/IEC 15408-2005. IT安全评价准则[S].

[3] ISO/IEC TR 13335, IT安全管理指南[S].

[4] GB/T20274-2008, 信息系统安全保障评估框架[S].

[5] GB/T 25058-2010，信息系统安全等级保护实施指南[S].

[6] GB/T 20984-2007，信息安全技术 信息安全风险评估规范[S].

[7] GB/T 18336-2008，信息技术安全性评估准则[S].

[8] ISO/IEC 27005， 信息安全风险管理[S].

[9] ISO/IEC 27011，电信业信息安全管理指南[S].

[10] 范红，冯登国. 信息安全风险评估实施教程[M]，北京：清华大学出版社，2007.

[11] 谢宗晓，郭立生. 信息安全管理体系应用手册[M]. 北京：中国标准出版社，2008.