杜雪涛, 李友国,袁捷, 赵蓓, 陈涛
(1 中国移动通信集团设计院有限公司,北京 100080; 2 中国移动通信集团公司,北京 100032)
电信运营商的信息安全工作需要覆盖系统建设及运维、业务经营、客户信息保护等生产运营环节,涉及多个业务部门和管理部门。其中实现基础信息安全的可感知、可控制、可管理的目标是降低信息安全风险,提升信息安全管理水平的基石。
依据X.805、ISF、ISO 27002等国际安全规范标准,参考国外运营商最佳实践,结合电信运营商的实际,可以将电信运营商的信息安全管理体系归纳如下。
电信运营商的信息安全领域主要可以划分为内容安全、应用安全、网络安全、基础安全4个主要的部分。其中内容安全着重于信息内容合规性、信息的机密性、信息的完整性以及信息的可用性。在当前的运营商的评估工作,此部分可作为客户信息安全等专项评估的内容。应用安全着重于业务的可用性、可核查性、完整性、合规性、抗抵赖性、真实性、机密性等内容,目前的评估工作以业务安全检查专项评估为主。网络安全主要侧重于网络的可用性、网络可靠性、可核查性、完整性、机密性、真实性、合规性等内容。基础安全则侧重于设备的可用性、设备的完整性、设备的可靠性及合规性。由于网络安全与设备的安全紧密相关,设备是网络构成的基本构成因素,设备的可用性、完整性及合规性决定了网络的可用性、完整性、合规性及可用性。因而在日常的安全评估中我们通常将基础信息安全的设备评估与网络的评估合设,作为统一的整体进行体系化的评估及测评,并合称为基础信息安全评估。
结合电信运营商的实际情况,在基础信息安全评估中应涵盖全网的IT支撑系统,以及电信运营商的基础信息安全评估应该包括运营商所有IT支撑系统以及网络系统。需包含网络基础安全架构评估、网络设备及系统安全评估、网络渗透测试等各个方面。
网络基础安全架构的主要评估内容如下。
图1 渗透测试专用工具
(1)基础网络架构:网络整体拓扑结构设计合理;安全区域划分符合业务系统要求;选择安全的路由方式;对周边网络接入进行安全控制和冗余设计;对网络流量进行监控和管理;对网络设备和链路进行冗余设计;
(2)网络传输加密:根据业务系统的特点选择对业务数据是否进行传输加密;对于网络设备认证过程中敏感的信息进行加密;
(3)访问控制和网络审计:对网络的内部及外部边界进行有效访问控制;对网络实施入侵检测和漏洞评估;进行网络日志审计并统一日志时间基准线;
(4)网络安全管理:采用安全的网络管理协议;建立网络安全事件响应体系;对网络设备进行安全管理。网络设备是否进行了安全配置,并且验证设备没有已知的漏洞等。
设备安全及系统评估的安全目标是保障相关支撑系统高效、优质运行,满足业务系统的需求,防止系统遭受外部和内部的破坏和滥用,避免和降低由于系统的问题对业务系统的损害;协助应用进行访问控制和安全审计。
设备安全及系统评估主要包括以下内容。
(1)系统安全管理及冗余设计评估:严格管理系统账户、有效控制系统服务,优化系统的安全配置,启用系统必要的安全控制措施,避免系统发生故障或遭受攻击,要求各种IT支撑系统已进行冗余设计;
(2)业务系统及IT支撑系统本身具有安全功能:业务系统应具备的安全功能包括身份认证、访问控制、数据保护、加密、通信会话管理、安全审计和隐私保护等;
(3)业务系统本身具有容错能力:软件应具备的容错能力包括错误处理、数据有效性检验和资源优先级管理等;
(4)运行环境提供安全控制并提供了冗余措施:运行环境应提供的安全控制包括网络、主机和平台提供的身份认证、访问控制、链路加密和日志审计等。系统的运行环境应采取的冗余措施包括数据存储设备、主机运行环境、网络传输通道等。
渗透性测试是基础信息安全检查的主要评估手段。是指安全渗透测试者尽可能完整地模拟黑客使用的漏洞发现技术和攻击手段,对目标网络/系统/主机/应用的安全性作深入的探测,发现系统最脆弱的环节的过程。
授权所进行的渗透测试一般不会对客户的信息系统造成任何危害和损失,其目的只在于从信息系统的外部发现信息系统对外所呈现出的安全脆弱性并验证这些安全脆弱性的真实存在性,并不再进行进一步的渗透(即不进行后门植入等后续手段)。
基础信息安全的评估的目标是保障电信运营商的网络系统高效、优质运行。因此在进行安全评估时应该遵循如下的原则。
(1)最小影响原则:安全评估对于人员的素质要求很高,评估所采用的工具必须要经过多次评估项目考验,风险评估工作做到充分的计划性,在保证不对现有网络系统的运行和业务的正常提供产生显著影响的情况下进行评估工作,尽可能小地影响系统和网络的正常运行;
(2)标准性原则:项目方案的设计与实施遵循、满足相关国家规范要求,如工信部等级保护基本技术要求、运营商的相关技术要求等;
(3)规范性原则:参与评估机构必须通过主管部门的认可及委托,具有很好的规范性,可以便于项目的跟踪和控制;
(4)可控性原则:要求评估机构对于项目管理有丰富的经验,安全服务的进度按照进度表进度的安排,保证电信运营商的项目做到满足项目可控性要求;
(5)整体性原则:安全评估内容整体全面,涉及到信息安全的各个层面;
(6)保密性原则:评估机构应该对过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害运营商的行为,项目结束之后销毁所有运营商提供有关的数据和文档。
5.2.1 资料整理和访谈
资料整理和访谈是进行基础信息安全评估的基础。评估人员首先通过对信息系统的网络拓扑图、安全运作记录、相关的管理制度、规范、技术文档、历史事件、日志等的研究和剖析,从更高的层次上发现网络系统中存在的安全脆弱性。并找准信息资产体现为一个业务流时所流经的网络节点,查看关键网络节点的设备安全策略是否得当,利用技术手段验证安全策略是否有效。
评估专家经验在安全顾问咨询服务中处于不可替代的关键地位。通过对客户访谈、技术资料进行分析,对网络设备的安全配置进行分析,并会将自己的经验体现于网络安全脆弱性评估中。
5.2.2 工具挖掘
工具挖掘主要是通过网络扫描器对网络设备进行漏洞扫描,发现安全漏洞和不当的配置。通过评估工具对主机、应用程序和数据库进行扫描。扫描评估主要是根据已有的安全漏洞知识库,模拟黑客的攻击方法,检测网络协议、网络服务、网络设备、应用系统等各主机设备所存在的安全隐患和漏洞。
漏洞扫描主要依靠带有安全漏洞知识库的网络安全扫描工具对信息资产进行基于网络层面安全扫描,其特点是能对被评估目标进行覆盖面广泛的安全漏洞查找,并且评估环境与被评估对象在线运行的环境完全一致,能较真实地反映主机系统、网络设备、应用系统所存在的网络安全问题。
5.2.3 渗透测试
渗透测试目的是让用户清晰了解目前网络的脆弱性、可能造成的影响,以便采取必要的防范措施。渗透测试的要点是通过前期对业务资产的识别,结合技术手段进行探测,判断可能存在的攻击路径,并且利用技术手段技术实现。
由于渗透测试偏重于黑盒测试,因此可能对被测试目标造成不可预知的风险;此外对于性能比较敏感的测试目标,如一些实时性要求比较高的系统,由于渗透测试的某些手段可能引起网络流量的增加,因此可能会引起被测试目标的服务质量降低。由于中国电信运营商的网络规范庞大,因此在渗透测试的难度也较大。因此,渗透层次上既包括了网络层的渗透测试,也包括了系统层的渗透测试及应用层的渗透测试。
合法渗透测试的一般流程为两大步骤,即预攻击探测阶段、验证攻击阶段、渗透实施阶段。不涉及安装后门、远程控制等活动。
5.2.3.1 预攻击探测阶段
预攻击探测阶段又分为踩点、扫描、枚举、脆弱性扫描等步骤。
踩点是指对公共信息源搜索,其目标在于收集目标信息系统及其所属组织机构的相关信息。查找目标信息系统的网络域名,DNS服务器,IP地址范围及其它从目标信息系统注册的Internet注册机构上可获取的所有信息。尽可能地获取目标信息系统DNS服务器上的DNS信息。
扫描是一系列探测行为的组合。其中包括活动主机探测,即通过ping扫描发现目标信息系统对外呈现出活动特性的主机系统。网络路由及拓扑勘察,根据在活动主机探测阶段所发现的活动主机表,检测这些活动主机的路由状况,在此基础上以期综合分析得出部分或全部的信息系统网络拓扑结构。在此过程中,还包括对防火墙规则的测试。端口测试也是最基本常用的测试手段,通常指扫描在活动主机探测阶段发现活动主机的开放端口(TCP&UDP)。检测在活动主机探测阶段发现活动主机的操作系统的类型。获取在活动主机探测阶段发现活动主机的服务程序旗标。
枚举的过程是指检测活动主机探测阶段所发现的活动主机是否可枚举,如果可枚举能枚举哪些内容,如账号信息,共享信息、主机在系统中的角色等。
脆弱性扫描是指扫描检测活动主机探测阶段所发现的活动主机的安全漏洞。此阶段将会将踩点、扫描、枚举等各个阶段的信息综合考虑,并作为脆弱性扫描的主要输入内容。
5.2.3.2 验证攻击阶段
(1)脆弱性分析和渗透目标选定:汇总在脆弱性扫描阶段得到的结果,将每一个脆弱性扫描得出的安全漏洞与脆弱性漏洞库进行比对,判断该安全漏洞的真实性及其风险级别。在此基础上综合判定可利用来进行渗透攻击的漏洞;
(2)对选定目标的渗透攻击:对选定漏洞进行实际的攻击,验证可获取一定的系统权限或者可获取到敏感信息。攻击方式包括口令破解、缓冲区溢出、SQL注入攻击、跨站点脚本攻击、会话劫持等。
在真实的渗透测试的工程中需经历如下过程。
5.2.3.3 确定渗透路径
根据业务信息数据分析,结合目前的网络拓扑和网络防护现状,分析可能存在的对业务进行攻击的路径。在电信运营商网络中,门户网站、自有业务网站、测试网络等对外提供Web服务的站点都比较容易成为渗透测试攻击的路径。
此外IDC机房由于其网络设备庞杂、业务种类繁多,管理困难,经常出现安全域划分不当,防火墙策略更新不及时、维护与管理权限混乱等问题,也经常会被渗透测试作为突破点,成为首要的攻击途径。
表1 渗透测试专用工具
5.2.3.4 实施渗透测试
渗透测试评估人员会将根据渗透测试技术一般流程和渗透测试内容实施具体的渗透测试,验证预计的渗透路径是否可技术实现。常见的渗透工具如下所示。
现网的基础信息安全评估中渗透测试是以资料整理、访谈、工具挖掘等一系列前期活动为前提和基础。真正渗透到核心业务仅仅是评估的结果具体体现。具体的渗透实战经常有如下的过程。首先从门户及其它对外提供服务的网站入手,找出网站漏洞,通过SQL注入等高风险漏洞,进入Web后台,控制相应的服务器。通过前期网络拓扑结构的研究,画出整个全网的拓扑图,分割出业务网、支撑网、NGBOSS、OA等不同的子网络,找出各子网络连接点。明确各子网安全域的划分方式,研读其中的防火墙策略配置表以及路由器交换器的路由配置。从中发现网络中可能存在脆弱性因素的网络设备。找出与对外提供服务器有网络连接的内网设备。从而打通从互联网到内网的路径。进行进入运营商网的核心部分,如业备支撑系统、网管网等。
5.2.3.5 渗透测试过程中的监控
此外,在实施渗透测试活动时还应对网络进行全程监控,同时监控被测试目标的工作状态。以防止对电信业务产生破坏性影响。
基础信息的安全评估是整个信息安全管理的基石,其涉及到运营商网络的整体网络架构,评估内容复杂,评测方法多样。因此,深入研究基础信息安全评估体系,并将其体系化、规范化将是未来研究的重点方向。