網(wǎng)絡(luò)通信新上線業(yè)務(wù)安全評估實踐與探索

前言：本站為你精心整理了網(wǎng)絡(luò)通信新上線業(yè)務(wù)安全評估實踐與探索范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

隨著IPv6、三網(wǎng)融合、云計算、移動互聯(lián)網(wǎng)和物聯(lián)網(wǎng)等新技術(shù)的引入，以及互聯(lián)網(wǎng)業(yè)務(wù)的蓬勃發(fā)展，為促進互聯(lián)網(wǎng)業(yè)務(wù)健康有序發(fā)展，維護國家安全和社會穩(wěn)定，保障用戶合法權(quán)益，加強互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全管理，工信部在2011年下發(fā)了《互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)信息安全評估管理辦法(試行)》，各運營商也隨之下發(fā)了各自的管理辦法，明確提出了細化的要求。實踐中，要通過落實“以業(yè)務(wù)為中心、風(fēng)險為導(dǎo)向”的評估思想，在信息安全評估中的不斷探索，建立和推動信息安全評估理論、方法、操作流程和作業(yè)規(guī)范的完善和提升，彰顯信息安全評估對保障客戶業(yè)務(wù)順暢運行的意義，提升安全服務(wù)的工作績效以及安全服務(wù)的層次和水平。

一、互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)信息安全評估的內(nèi)容

(一)評估內(nèi)容。

工信部與三大運營商對互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)信息安全評估的要求主要包括:與業(yè)務(wù)相關(guān)的網(wǎng)絡(luò)架構(gòu)安全、設(shè)備安全、平臺安全、業(yè)務(wù)流程安全、內(nèi)容安全、業(yè)務(wù)數(shù)據(jù)安全、系統(tǒng)運維及人員管理安全等方面。

(二)“傳統(tǒng)”安全評估的主要內(nèi)容。

雖然目前的評估都來自于ISO13335－2信息安全風(fēng)險管理中，但主要的內(nèi)容為:管理脆弱性識別包括組織架構(gòu)管理、人員安全管理、運維安全管理、審計安全管理等方面的評估技術(shù)脆弱性識別漏洞掃描:對網(wǎng)絡(luò)安全、網(wǎng)站安全、操作系統(tǒng)安全、數(shù)據(jù)庫安全等方面的脆弱性進行識別。基線安全:對各種類型操作系統(tǒng)(HP－UX、AIX、SOLARIS、LINUX、Windows等)、WEB應(yīng)用(IIS、Tomcat等)、網(wǎng)絡(luò)設(shè)備等網(wǎng)元的安全配置進行檢查和評估。滲透測試:滲透測試是站在攻擊者的角度，對目標進行深入的技術(shù)脆弱性的挖掘。

(三)業(yè)務(wù)信息安全評估與“傳統(tǒng)”安全評估的對比。

雖然安全風(fēng)險評估基本都按照了ISO13335－2中的方法來操作，但是通過對業(yè)務(wù)信息安全評估的內(nèi)容和“傳統(tǒng)”安全評估內(nèi)容對比不難看出，“傳統(tǒng)”安全評估主要集中在網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用軟件層，且每層的評估比較孤立，很難全面反映業(yè)務(wù)的主要風(fēng)險?！耙詷I(yè)務(wù)為中心、風(fēng)險為導(dǎo)向”的業(yè)務(wù)系統(tǒng)安全評估能夠與客戶的業(yè)務(wù)密切結(jié)合，風(fēng)險評估結(jié)果和安全建議能夠與客戶的業(yè)務(wù)發(fā)展戰(zhàn)略相一致，最終做到促進和保障業(yè)務(wù)戰(zhàn)略的實現(xiàn)。

二、互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)信息安全評估的主要方法

“業(yè)務(wù)為中心、風(fēng)險為導(dǎo)向”的信息安全評估思路互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)信息安全評估是開展其他信息安全服務(wù)的基礎(chǔ)，而以“業(yè)務(wù)為中心、風(fēng)險為導(dǎo)向”的信息安全評估思路，是切實落實信息安全風(fēng)險評估的根本保證。

(一)主要流程。

對互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)信息安全評估來說，分為三大基本步驟:一是深入業(yè)務(wù)，分析流程;二是業(yè)務(wù)威脅分析、業(yè)務(wù)脆弱性識別和人工滲透分析;三是風(fēng)險分析和處置建議。

(二)深入業(yè)務(wù)，分析流程。

目標是了解業(yè)務(wù)信息系統(tǒng)承載的業(yè)務(wù)使命、業(yè)務(wù)功能、業(yè)務(wù)流程等;客觀準確把握業(yè)務(wù)信息系統(tǒng)的體系特征。管理層面調(diào)研和分析圍繞“業(yè)務(wù)”，管理調(diào)研的內(nèi)容主要為組織架構(gòu)、部門職責(zé)、崗位設(shè)置、人員能力、管理流程、審計流程等等，其調(diào)研核心是一系列的管理流程。通常，組織中有多種類型的管理流程，管理調(diào)研的重點是與信息安全有關(guān)的流程、制度及其落實、執(zhí)行和效果情況。管理措施通常貫穿于整個管理流程之中，目的是保證管理流程的有效流傳或者不出現(xiàn)意外的紕漏。管控措施的設(shè)計一般都遵循一定的原則，如工作相關(guān)、職責(zé)分析、最小授權(quán)等等。業(yè)務(wù)系統(tǒng)層面調(diào)研和分析業(yè)務(wù)系統(tǒng)提供的功能一般是指被外界(例如客戶、用戶)所感知的服務(wù)項目或內(nèi)容，是IT系統(tǒng)承載、支持的若干個業(yè)務(wù)流程所提供功能的總匯。一個具體的業(yè)務(wù)功能常常與多個業(yè)務(wù)流程相關(guān)，一種(個)業(yè)務(wù)功能，常常需要若干個業(yè)務(wù)流程來實現(xiàn)。例如數(shù)據(jù)的錄入流程、數(shù)據(jù)的修改流程、數(shù)據(jù)的處理流程等等。對于一個具體的信息系統(tǒng)來說，可以通過其提供的業(yè)務(wù)功能，對業(yè)務(wù)流程進行全面梳理、歸納，并驗證業(yè)務(wù)流程分析的完備性、系統(tǒng)性。一個具體的業(yè)務(wù)流程也常?？缭蕉鄠€系統(tǒng)，某個具體的IT系統(tǒng)可能僅完成整個IT流程中的某一個活動。例如在短信增值服務(wù)中，SP與用戶手機短信收發(fā)就涉及到了短信中心、短信網(wǎng)關(guān)、智能網(wǎng)SCP等多個系統(tǒng);另外，還涉及到了計費、BOSS等業(yè)務(wù)支撐系統(tǒng)以及網(wǎng)管等運維管理系統(tǒng)等。因此，業(yè)務(wù)功能通常是對業(yè)務(wù)系統(tǒng)進行調(diào)研的最佳切入點，并將業(yè)務(wù)流程簡化成為單純的數(shù)據(jù)處理過程，將各個應(yīng)用軟件之間的數(shù)據(jù)傳輸簡化成為點對點的流。然后基于數(shù)據(jù)流分析，建立信息視圖，明確信息的流轉(zhuǎn)、分布、出入口，把業(yè)務(wù)系統(tǒng)簡化成為數(shù)據(jù)流的形式，可以更好地分析數(shù)據(jù)在各個階段所面臨的風(fēng)險。

(三)脆弱性識別。

1．系統(tǒng)和應(yīng)用軟件層脆弱性識別。對評估范圍內(nèi)的主機操作系統(tǒng)及其上運行的數(shù)據(jù)庫/Web服務(wù)器/中間件等系統(tǒng)軟件的安全技術(shù)脆弱性，得到主機設(shè)備的安全現(xiàn)狀，包含當(dāng)前安全模塊的性能、安全功能、穩(wěn)定性以及在基礎(chǔ)設(shè)施中的功能狀態(tài)。

2．網(wǎng)絡(luò)層脆弱性識別。明確被評估系統(tǒng)和其他業(yè)務(wù)系統(tǒng)的接口邏輯關(guān)系、和其他業(yè)務(wù)系統(tǒng)的訪問關(guān)系、得出清晰的基礎(chǔ)設(shè)施拓撲圖;從網(wǎng)絡(luò)的穩(wěn)定性、安全性、擴展性、(易于)管理性、冗余性幾個方面綜合評定網(wǎng)絡(luò)的安全狀況。

3．現(xiàn)有安全措施脆弱性識別。識別并分析現(xiàn)有安全措施的部署位置、安全策略，確定其是否發(fā)揮了應(yīng)用的作用。

4．管理層脆弱性識別。識別和分析安全組織、安全管理制度、流程以及執(zhí)行中存在的安全弱點。

(四)業(yè)務(wù)威脅分析。

對于業(yè)務(wù)系統(tǒng)來說，安全威脅及安全需求分析的最小單位是數(shù)據(jù)處理活動?？梢酝ㄟ^安全威脅列表來識別威脅，構(gòu)建安全威脅場景來進行威脅、風(fēng)險分析。

1．列出評估的業(yè)務(wù)系統(tǒng)的全部安全威脅。如何能將安全威脅很好的列出來呢?可以借助一些現(xiàn)有的安全威脅分析模型，例如微軟Stride模型(假冒、篡改、否認、信息泄漏、拒絕服務(wù)、提升權(quán)限)都提供了一些安全威脅的分類方法。

2．識別和構(gòu)造威脅路徑。依據(jù)自身(企業(yè)或部門級)的業(yè)務(wù)特點進行細化，識別和列出安全威脅來，如拒絕服務(wù)、業(yè)務(wù)濫用、業(yè)務(wù)欺詐、惡意訂購、用戶假冒、隱蔽、非法數(shù)據(jù)流、惡意代碼等。

3．業(yè)務(wù)滲透測試和攻擊路徑分析。因為業(yè)務(wù)的特性是“個性化”，那么就很難用一個或多個工具發(fā)現(xiàn)所有問題;且業(yè)務(wù)的個性化，在業(yè)務(wù)邏輯、接口等安全測評中，必須要有人工參與。利用業(yè)務(wù)流程分析、威脅分析和脆弱性分析的相關(guān)數(shù)據(jù)，實現(xiàn)滲透測試。

4．風(fēng)險分析。主要包括:一是數(shù)據(jù)整理:整理現(xiàn)場實施階段獲得的各種風(fēng)險要素數(shù)據(jù)以及相應(yīng)的評估報告;二是風(fēng)險計算與分析、風(fēng)險計算、風(fēng)險量化、分析編制風(fēng)險分析報告;三是風(fēng)險處置與建議、風(fēng)險處置準則確定、風(fēng)險處置決策、風(fēng)險控制目標確定和控制措施選擇編制安全建議.

作者：王麗 單位：中國聯(lián)合網(wǎng)絡(luò)通信有限公司河北省分公司