业务安全评估技术研究
2017-04-12
(中国移动通信有限公司研究院,北京 100053)
业务安全评估技术研究
冀文
(中国移动通信有限公司研究院,北京 100053)
本文从业务系统安全管控的角度对运营商业务系统潜在的安全风险进行分析,主要研究了业务流程的安全评估规则,讨论了业务流程中不同环节的安全风险点和评估内容,对积累电信业务安全评测经验,开发新的安全对抗技术有着重要的参考价值。
业务安全; 业务流程安全; 风险评估
1 引言
随着电信运营商4G业务的快速开展,业务平台数量,规模剧增,比如即时通信、手机支付、营销管理、位置服务、移动商城等。这些业务系统与计费和网管系统相连接,存储有大量的客户信息和计费信息等敏感数据,容易成为不法分子的攻击目标。
黑客通常利用Web系统漏洞、业务逻辑漏洞、主机操作系统或第三方软件漏洞,进入业务系统管理后台,窃取或修改数据库中的重要数据,造成重大财产和经济损失,也严重威胁着国家的公共通信安全。因此加强对业务系统的安全评估具有重要意义。业务流程是业务运营中的核心环节,其安全风险评估尤为重要。本文主要研究业务流程的安全评估,讨论了业务流程中不同环节的安全风险点和评估内容,对积累电信业务安全评测经验,开发新的安全对抗技术有着重要的参考价值。
2 业务流程安全概述
业务流程是业务运营的重要组成部分,业务流程的环节主要包括业务内容、计费、协议接口、客户信息、业务逻辑、传播、营销等,因此对业务流程的安全评估应该从这几个环节入手,包括内容安全、计费安全、能力开放接口安全、传播安全、营销安全、客户信息安全、业务逻辑安全7个方面。本文主要讨论每个环节主要风险点,以及相应的安全评估技术,同时,给出实际的评估案例。
3 内容安全评估
内容安全指的是从内容源引入机制、内容发布机制、内容提供流程和内容操作记录保护4个方面进行安全评估。确保通信运营业务系统在内容源引进、发布、审核、记录保存管控制度等方面有安全的管控措施。
3.1 评估内容
内容安全评估主要包括内容源引入、内容提供、内容发布、内容操作记录保存和安全管控效果等5个项目。每个项目中的具体安全管控评估内容描述如下。
内容源引入机制安全评估:评估是否制定并实施了严格的内容源引入流程和机制;是否对内容提供方进行严格挑选,合作前进行背景调查,签署相关的安全承诺书。
内容提供流程安全评估:核实是否制定并实施了严格的内容提供流程审批制度;若内容提供方为CP、SP或者运营支撑单位,核实是否与其签订信息安全承诺保证书,明确信息安全责任;若内容提供方为用户,核实是否在用户注册时明确对其发布内容的要求及相应的信息安全责任,明确信息安全责任;核实是否对于内容提供流程进行定期拨测,发现不合规的内容提供流程及时处理。
内容发布机制安全评估:是否制定并实施了严格的内容发布流程和机制;内容发布前是否进行审核;是否建立相应的技术手段,实现编辑、审核、发布权限分离和人员分离;是否对于内容发布机制进行定期拨测,发现不合规的内容及时处理。
内容操作记录保护评估:是否制定并实施了严格的内容操作记录保存制度;是否对存放的内容操作记录进行有效管理,如明确其保存、传输、销毁等流程;是否对存档数据进行严格管理,不得进行数据变更。
3.2 内容安全风险点
内容安全常见的安全风险主要包括敏感词词库不健全、人工审核机制不健全、音视频审核机制不健全、网络存储类业务信息变更审核机制不健全、信息发布频率管控机制不健全、信息发布范围管控机制不健全等。
3.3 内容安全风险点
案例:彩云存储业务违规内容文件上传测试。
彩云是中国移动为用户提供的个人云服务,其业务开放范围是所有互联网用户。彩云以存储用户的个人信息资产为基础,允许用户通过云端进行手机、PC(等多终端)内容的同步和管理。
彩云文件上传测试过程:
(1) 登录彩云业务;
(2) 上传包含违规信息的测试文件,比如“出售发_票.txt”;
(3) 在2 h后,检查系统中成功上传的文件“出售发_票.txt”依然存在,说明拨测审计机制存在缺陷;
(4) 记录上传的URL,在非登陆方式下进行访问,访问不成功;证明对文件的访问范围有限定。
通过上述测试过程,我们看到违规内容可以上传并长时间没有过滤,表明拨测审计机制存在缺陷。
4 计费安全
从计费流程方面进行安全评估。通过评估通信运营业务系统在计费流程、计费防盗链、计费审核等方面的安全管控措施,确保业务系统在计费环节的运营安全。
4.1 评估内容
计费安全评估主要包括计费流程、计费防盗链、计费审核和安全管控效果等4部分内容。
计费安全具体的安全管控评估内容包括:是否制定并实施了严格的计费流程;是否采用技术手段防止计费点被套用;对于WAP和www订购方式,是否采用动态码验证、短信验证码等技术手段进行计费点防护;对于短信订购方式,是否采用智能问答等方式进行防护;是否采取技术手段实现业务信息费异常有效监控,及时发现问题;是否业务定制时进行资费提示。
4.2 计费安全风险点
计费安全的安全风险来自两个方面一是针对用户防止恶意扣费的安全风险,包括不知情订购、订购确认机制不健全、异常订购监测机制不健全等;另一方面是针对运营商确保正常扣费的安全风险,包括扣费被绕过等。
4.3 评估案例
案例:短信/彩信触发计费类。
测试流程如图1所示。在测试过程中,我们发现用户二次确认短信回复内容的单一性(如简单回复“是”),易于模仿,另外,存在手机终端的恶意程序拦截DSMP下发给用户的二次确认短信,并模拟用户进行二次确认,从而造成用户无感知的情况下产生业务扣费的安全风险。
解决该案例中的安全风险,有两种技术思路:
二次确认短信采用动态智能问答的形式:在用户二次确认短信中动态设置常识性的问答题(如“2+7=?”,或“中国的首都是哪里?”等问题),或根据手机归属地设置与地域性相关的问答题,要求用户回复答案来确认订购,从而提高手机终端软件模拟用户自动回复短信确认的难度。
用户二次确认彩信推送动态图形验证码:由于图像识别难度较大,因此采用动态图形验证码可以提高软件模拟用户进行业务订购/点播操作的难度,从而实现在用户感知的情况下进行业务订购/点播操作。
5 能力开放接口安全
能力开放接口安全主要是对系统平台与外部平台之间接口与协议安全方面进行安全评估。确保通信运营系统在接口与协议安全设计、实施、测试等方面的管控措施安全。
5.1 评估内容
能力开放接口安全评估主要包括接口与协议安全设计、代码安全审计、输入源安全判断和输入参数安全过滤等。
能力开放接口安全具体的评估内容包括是否制定并实施了系统平台与外部平台接口之间的安全管控措施;技术实现是否符合协议操作规范(公有和私有协议,应注释协议实现功能及各接口传递参数的含义);是否对相关代码进行安全审计;接口是否可对输入来源进行白/黑名单判断;接口是否对设计范围以外的非正常参数进行过滤,并提供统一的不泄露内部敏感信息的提示。
能力开放接口的主要安全风险包括接口设计缺陷、接口非授权访问、接口数据合规性审核缺陷。
5.3 评估案例
案例:二维码能力开放漏洞。
在二维码业务系统中由用户提交制码内容,调用二维码接口,输出二维码图案。
测试步骤:
(1)按照业务流程文档,提供违规制码参数;
(2)测试开放接口是否检查参数合规性,即检测是否调用接口直接产生二维码图案。
当前,国内从事建筑给排水工程管道施工的一线工作人员普遍专业知识匮乏,导致在实际操作中出现管道安装质量低、施工效率低等问题。因此,在管道施工前,施工单位应以实际操作水平和职业道德素养为依据对一线操作人员进行严格的筛选。此外,施工单位应加强对施工人员专业技术的培训,要邀请专业知识丰富、有经验的人员来对员工进行定期培训,以提升一线管道安装工人的技术水平,保障给排水管道安装和整个工程高质高效地进行。
为避免该类案例中未检测风险,应该对用户提交的制码内容进行分析和校验。
6 客户信息安全
客户信息安全主要从客户基本信息、客户数据信息两个方面进行安全评估。确保通信运营业务中对客户信息保存、访问、保护等方面管控措施的安全性。
6.1 评估内容
客户信息包括基本信息(如用户通信录、身份证号、密码、银行证券资金账户信息、位置信息等)和数据信息(短信内容、彩信内容、即时聊天内容)。客户信息安全主要评估客户信息类型梳理、客户信息保存机制、客户信息备份机制、客户信息访问机制等。具体来说包括调研业务系统是否存放客户信息;是否采用技术手段对客户信息进行加密存储;是否对客户信息进行备份,备份机制是否满足安全需求。
客户信息是否存储在专门的数据主机或存储介质中,保证信息存储安全;是否采用技术手段禁止移动介质在客户信息存储服务器上的使用。
对客户信息的访问、修改等敏感操作是否采用金库模式管控。
6.2 客户信息安全风险
客户信息安全主要的安全风险包括敏感信息未进行加密存储、敏感信息可批量访问(前台/后台)、业务逻辑缺陷导致敏感信息泄露、客户信息的入口认证机制过低等。
6.3 评估案例
案例:暴力破解获取用户信息。
测试步骤:
(1) 对某省掌上营业厅进行测试,发现登录验证机制为“手机号+服务口令(6位数字)” ;
(2)通过手工测试,发现未对单IP进行错误尝试次数限制,具备暴力破解条件;
(3)通过Firebug、Burpsuite等工具对登录请求进行分组截取,获取用户登录数据分组。分析其中包含用户名、密码明文信息的字段。
(4)考虑到服务口令容易被设置为111111、888888等弱口令,考虑通过遍历手机号的方式对服务口令进行攻击。通过Firebug、Burpsuite等工具对登录请求中的Username字段进行修改,遍历1822290xxxx号段。
(5)分析工具进行破解尝试后反馈结果,通过反馈的长度发变化判断是否攻击成功(攻击失败返回长度290 byte;攻击成功返回302 byte)。
7 业务逻辑安全
业务逻辑安全主要从业务订购、业务认证和业务使用3个方面进行安全评估。确保电信运营业务在业务订购流程、认证逻辑等方面管控措施的安全性。
7.1 评估内容
业务订购的安全评估内容主要包括订购制度、订购逻辑、订购次数。具体来说要评估是否制定并实施了业务订购(开通、变更、退订)安全管控制度;业务订购是否需“认证码”; 业务订购是否需“二次认证”; 是否限定同一手机号码每日业务订购次数等。
业务认证的安全评估内容主要包括认证口令强度、认证登录次数、认证过程。具体来说要评估用户业务认证口令强度是否需满足复杂度要求;是否设置用户业务认证登录策略,如限定失败登录次数、锁定时间、解锁方式、同时在线限制等;用户业务认证过程数据传输是否加密;采用的认证数据加密算法等技术手段是否能够保证用户业务认证过程数据安全,保证不被非授权利用或篡改等。
业务使用的安全评估内容主要包括使用频率、使用过程、使用策略。具体来说要评估是否限制用户使用业务各个功能模块的每日使用次数和频率;各业务模块使用过程数据是否加密传输;数据加密算法等技术手段是否能够防止各业务模块使用过程数据安全,不能被非授权利用或篡改;是否对上传非常规数据过滤等。
7.2 安全风险
业务逻辑常见的安全风险主要包括恶意订购、登录信息明文传输、业务逻辑设计缺陷、登陆口令管控机制不健全等。
7.3 评估案例
案例:微信密码重置漏洞。
测试步骤:
(1)微信支持“通过手机号”重设密码;
(2)通过该功能进行重设密码,需要输入待破解用户的手机号,点击“下一步”即获得一个4位数字的动态短信口令(攻击者不知晓);
(3)填写新密码后, 随机填入4位数字验证码;点击“OK”,并在此处截断该数据分组;
(4)将截获的以上界面发出的数据分组进行分析,发现标识其验证码信息的为Verifycode字段(4位数字);
(5)由于微信在该步骤中,没有限定错误尝试次数,通过Burpsuite工具遍历0001~9999,即可暴力破解该动态验证码。
8 传播安全
传播安全主要从业务传播方式方面进行安全评估。主要确保电信运营业务在业务传播范围、业务传播方式等方面管控措施的安全性。
8.1 评估内容
传播安全评估的内容主要包括传播方式和传播范围。具体来说,主要包括是否具有业务传播相关管理制度;是否采用技术手段对各类业务信息传播实时监控,并具备即时下线的能力;是否严格限定内容传播范围;是否具备限制群发的技术手段,限制发送范围、发送频率等。
8.2 安全风险
传播安全的安全风险主要包括群发信息/数据、传播频率管控能力缺陷、即时通信管控能力缺陷、敏感时期应急响应机制缺陷等。
8.3 评估案例
案例:信息群发范围管控不严格,导致非法信息大范围传播。
信息群发业务系统主要是好友间群发消息的功能。
(1)根据业务功能,进行手工拨测;
(2)修改传播对象参数,观察结果。
通过测试发现信息群发业务系统缺少对消息内容、群发范围、群发频率等的安全管控风险。
9 营销安全
营销安全主要从营销渠道、营销防盗链两个方面进行安全评估。以确保通信运营业务在业务营销渠道管控、营销方式审核等方面的管控措施安全。
9.1 评估内容
营销安全的评估内容主要包括是营销渠道、营销方式、营销防盗链。
营销渠道/方式安全的评估内容包括是否建立并实施了业务营销渠道管控制度;是否严格审批营销活动,营销计划与执行情况应存档。
所有营销活动是否由中国移动统一组织,业务支撑单位和第三方不得擅自发起营销;是否对SP、CP的营销行为进行监控和定期审核;委托第三方进行业务营销时,是否合作前签订信息安全协议;委托第三方进行业务营销时,是否明确要求第三方营销渠道不能进行层层转包。
是否定期进行营销规范性拨测,发现违规情况及时处理等。
营销防盗链的安全评估内容包括是否建立并实施了技术手段防止非信任互联网渠道恶意盗链;对于通过WAP、www渠道推广的业务,是否设置来源网址黑白名单、动态码验证等方式防盗链;是否对来源网址进行定期拨测,发现违规情况及时处理;对于客户端业务,是否在业务初次使用时应进行客户端下载渠道验证。
9.2 安全风险
营销安全的安全风险主要包括合法业务被非法利用、违规信息传播、营销审核机制缺陷、虚假宣传等。
9.3 评估案例
案例:营销流程管控不完善,导致合法业务被非法利用。
某基地业务营销短信下发名单由营销需求发起省提供,群发名单管理措施不足,部分用户可在不知情的情况下收到营销短信,易引发客户投诉,需要加强营销渠道的审批管控等措施。
10 结束语
运营商面临的安全威胁正逐渐从网络层向业务应用层转移,对业务系统进行安全风险评估,可以很好的避免安全威胁的发生。本文主要讨论了业务流程中安全风险点和评估方法,可为通信运营商的业务系统安全评估积累评估经验。
[1] 陈涛,高鹏,杜雪涛,等. 运营商业务安全风险评估方法研究[J]. 电信工程技术与标准化, 2013(11).
[2] 曹永刚. 电信运营商业务网安全风险评估及防范措施探讨[J].电信网技术, 2012(2).
Research on business security evaluation technology
JI Wen
(China Mobile Communications Corporation Reserach Institute, Beijing 100053, China)
From business systems security management and control of the angle of the potential security risk carrier business systems analysis, mainly to study the safety assessment of the rules of business processes, and discusses the security risks and the evaluation content of the different links in the business process, the accumulated experience of the telecommunications business security evaluation, development new security countermeasure technology has important reference value.
business security; business process safety; risk assessment
TN915
A
1008-5599(2017)03-0077-06
2016-01-07
