电信运营商的Web网站安全评估

张高山, 杜雪涛, 张晨

（中国移动通信集团设计院有限公司，北京 100080）

随着互联网和电子商务的飞速发展，运营商需要采用新的经营模式来满足客户数量的爆发式增长和客户对高服务质量的需求。网上营业厅等Web网站以自助的方式为客户提供一站式全天候的业务受理、营销推广、信息查询等便捷服务，成为了电信运营商与客户沟通的重要桥梁，不仅为客户提供了更多、更好、更便捷的服务，而且也节约了公司的运营成本，所以Web网站的安全性为运营商业务可靠、健康运营起到了十分重要作用。

1 Web网站安全现状

运营商已经部署了大量面向互联网的Web网站，这些网站系统或承载着企业的核心业务、或代表了企业的品牌形象、或维护着大量的客户隐私数据，这些已经成为运营商最重要的信息资产。然而，随着黑客攻击的趋势逐渐由传统的网络层转向Web层，根据CVE、OWASP等权威安全机构的统计，Web网站的安全攻击已经超过了其它层面安全攻击的总和。因此，本文重点对面向互联网提供服务的Web网站的安全评估进行探讨，分析出对Web网站安全评估的技术要点，将有利提高Web网站的安全运营水平，保障电信运营商在移动互联网时代健康高效的发展。

2 Web安全评估

2.1 安全评估准则

Web安全评估同样遵守信息安全风险评估准则：

（1）标准性原则：风险评估工作的指导性原则，指遵循通信行业相关标准开展系统的安全风险评估工作。

（2）可控性原则：在评估过程中，应保证参与评估的人员、使用的技术和工具、评估过程都是可控的。

（3）完备性原则：严格按照被评估方提供的评估范围进行全面的评估。

（4）最小影响原则：从项目管理层面和工具技术层面，将评估工作对系统正常运行的可能影响降低到最低限度，不会对被评估网络上的业务运行产生显著影响。

（5）保密原则：评估方应与被评估的网络和业务运营商签署相关的保密协议和非侵害性协议，以保障被评估方的利益。

2.2 安全评估框架

2.2.1 Web网站通用逻辑架构

Web网站的通用逻辑架构主要包括Web网站系统、外部系统和客户端3部分组成，如图1所示。

图1 Web网站的通用逻辑架构

Web网站系统主要是由Web服务和数据存储两部分组成。

Web服务通常包括Web应用程序和Web应用服务/中间件两种实体。Web应用程序：通常由用户开发实现，负责对用户请求和相应的内容进行处理、加工。Web应用服务/中间件：通常由商业化的产品实现，通常负责接收、转发和响应用户的Web访问，或者业务逻辑模块的标准化实现。

数据库存储：通常包含数据库管理系统DBMS和文件系统两种实体。数据库管理系统DBMS：通常由商业化数据库系统实现，负责响应Web服务的调用请求，以及存贮、处理各种数据。文件系统：指主机上的文件系统，通常用来存储各种相关数据，包含Web站点本身的业务数据文件，用户数据等。

Web网站系统的外部环境包括客户端与外部系统。

客户端：业务客户端通过浏览器与Web网站的交互，以使用Web网站提供的信息浏览、业务办理及支付等各种服务；另外，运维客户端也可以与Web网站系统交互，以实现对Web网站的运维管理。客户端包括PC客户端、移动客户端和其它客户端。

外部系统：Web网站与外部系统的交互以实现网站集成外部服务的能力，以及外部系统使用Web网站服务和数据的能力。外部系统一般包含第三方网站/系统和内部网站/系统两大实体。第三方网站/系统：一般指与提供服务的Web系统相关的业务合作伙伴，例如银行系统，银行系统与Web网站之间会涉及网上支付类业务。内部网站/系统：一般指与提供服务的Web系统相关的内部业务服务，例如邮件系统、OA系统等。

2.2.2 评估内容范围

基于上面描述的Web应用系统的通用架构，参照行业和业界最佳实践，针对Web网站的安全评估内容主要包括基础网元、通信网络、Web应用等不同层面。

本文重点考虑Web应用层面的技术评估，主要内容包括以下两方面。

（1）各种应用实体：Web应用程序、Web应用服务/中间件、数据库及相关的文件系统等。

（2）针对实体间逻辑关系，主要包括客户端与Web服务器的访问和通信；Web服务器与应用服务器之间的访问和通信；应用服务器与数据库或文件系统之间的访问和通信；本系统与外部系统间的访问和通信等。

2.3 评估内容

本文按照Web网站的逻辑架构进行目标划分，依据安全评估准则，分别从Web应用程序、Web应用服务器、数据库系统、文件系统和系统间的接口5个方面，分析每个目标的安全要点，并提出各目标的评估要求和方法，指导和帮助电信运营商完成Web网站的安全评估。

2.3.1 Web应用程序

Web应用程序主要是指客户独立开发的各种Web应用程序，以及使用的第三方组件。Web应用程序存在的主要弱点包括认证授权、访问控制、输入验证、会话管理、数据传输、数据存储、审计记录、配置管理、异常处理、第三方组件等。

认证授权主要是指对用户的身份进行标识、鉴别，以及认证用户身份后所进行的授权。这方面通常存在的问题包括用户身份标识唯一性缺失、鉴别机制健壮性较弱、口令简单、授权不严格等，可能造成身份假冒、密码破解、越权使用等。

访问控制主要是指访问主体对系统资源的访问控制。这方面存在的主要问题包括共享账号、访问机制健壮性、访问控制规则、资源标识等，引起的主要风险是访问控制绕过、越权操作等。

输入验证主要对用户或系统自动输入的信息进行检查，判断是否符合相应的规则，并进行相应的处理。这方面存在的主要问题包括输入信息过滤不严格、过滤机制绕过等，引起的主要风险包括跨站脚本攻击、SQL注入攻击、恶意重定向等。

会话管理主要是指对用户与系统的会话进行管理。这方面存在的主要问题包括会话信息泄露、会话控制不严格等，容易造成敏感信息泄露、会话劫持、会话冒用等。

数据传输是指用户与网站交互访问过程中的数据传输。这方面存在的主要问题是传输信息被窃听，造成信息泄露和失密。

数据存储是指数据的存储是否进行了安全存储。这方面的主要问题是敏感信息明文存储等。

审计记录是指对关键操作、访问的日志记录和审计。这方面存在的主要问题包括日志记录缺失、缺乏审计手段、审计规则不严格等，造成风险是无法进行事件还原、无法进行稽核。

配置管理是指对Web服务、中间件以及其他组件的配置参数进行管理，对系统的运行环境进行管理。这方面存在主要问题包括使用默认配置、安全配置不严格等，易造成信息泄露、黑客攻击及提权等。

异常处理主要是对各种操作、处理出现异常后的处理方式。这方面存在的主要问题包括信息泄露和异常攻击。

第三方组件主要包括论坛、博客、在线编辑器、电子商务类等应用组件，针对这些组件本身的漏洞可能会造成密码破解、信息泄露、非法上传、文件篡改等。

2.3.2 Web应用服务器

Web应用服务器包括基础安全配置、认证授权、访问控制、资源控制、日志审计和补丁管理等安全评估。其中基础安全配置是指Web应用服务器配置参数中，涉及配置文件、账号口令、错误页面、应用服务器管理后台的基本安全设置。

评估要求如表1所述。

表1 评估要求

2.3.3 数据库系统

数据库系统包括基础安全配置、认证授权、访问控制、资源控制、数据安全、日志审计和补丁管理等方面的安全评估。

2.3.4 文件系统

文件系统是数据存储和管理的一种技术实现方式。文件系统方面涉及的内容包括Web网站系统文件、Web网站发布系统文件等方面。Web网站系统文件主要是主机用户对Web网站系统文件的访问，Web网站文件属性设置等。Web网站发布系统主要是关注网站发布系统上的权限及数据安全问题。

2.3.5 Web网站系统与外部系统的接口

Web网站系统与外部的接口主要包括外部互联接口和内部互联接口。外部互联接口，主要是指与银行、SP等第三方系统的接口；内部互联接口，主要是指与BOSS、网管、内部其它业务系统的接口。

评估要求主要参考电信运营商网络中各个安全域等级要求以及相应的安全准则。

2.4 安全评估方法及过程

为了提高Web网站安全评估效率和评估质量，引入了一种新的评估方法及过程。

其中主要的评估过程包括现状调研、安全配置检查、Web漏洞扫描、系统漏洞扫描、Web日志分析、安全设备日志分析和渗透测试等。

现状调研：采用问卷调查/文档收集的方法，收集业务系统现状信息，客观全面的了解系统现状；与被评估组织内有关的管理、技术和一般员工进行逐个沟通，为评估获得相应信息，并可验证之前收集到的资料，从而提高其准确度和完整性；对办公环境和机房内设备做现场检查，根据现场勘查的结果，获得相应评估信息。

安全配置检查主要包括数据库系统、Web应用服务器运行的Web应用中间件、操作系统及相关安全设备进行安全配置的检查，发现不符合安全配置要求的风险。

Web漏洞扫描是对Web应用漏洞进行主动扫描，在入侵者利用之前发现相关漏洞，并给出详细的检测报告和修补建议。

系统漏洞扫描主要是根据安全漏洞知识库，构造、发送探测数据分组，检测网络协议、网络服务、网络设备等各种信息资产所存在的安全隐患和漏洞。

Web日志分析，利用相关工具进行日志解析并分析，及时了解该Web应用系统的安全状态，通过对这些行为的分析有助于发现Web应用系统中存在的漏洞。

安全设备日志分析，通过查看IDS、IPS、访问控制设备、抗拒绝服务攻击设备、网页防篡改设备等设备记录，分析内外部攻击或误操作的行为。

渗透测试属于黑盒测试，是从攻击者的角度对应用系统进行安全测试，根据输入数据与输出数据的对应关系判断应用系统是否存在漏洞。在黑盒测试过程中，测试人员应具有一定的安全测试经验，能够自行测试漏洞，并对工具检测出的漏洞进行验证。黑盒测试应保证全面性、准确性和无损性。

3 总结

本文讨论的Web网站安全评估技术要点，主要是从“事中、事后”后评估的角度去分析业务网站所面临的安全风险以及相应的排查原则及排查方法，未来将要从“事前”控制的角度去分析和防护Web网站的安全，进而从全生命周期来闭环管理和运营业务网站，彻底保障业务网站安全、可靠、健康的运营。

[1]http://cve.mitre.org

[2]www.owasp.org

[3]GB/T 20984-2007，信息安全技术 信息安全风险评估规范[S].

[4]GB/T18336.1-2008, 信息技术 安全技术 信息技术安全性评估准则 第1部分：简介和一般模型[S].

[5]GB/T18336.2-2008, 信息技术 安全技术 信息技术安全性评估准则 第2部分：安全功能要求[S].

[6]GB/T18336.3-2008, 信息技术 安全技术 信息技术安全性评估准则 第3部分：安全保证要求[S].

[7]GB/T22239-2008, 信息安全技术 信息系统安全等级保护基本要求[S].

[8]YD 2092-2010, 网上营业厅安全防护要求[S].

[9]YD 2093-2010, 网上营业厅安全防护检测要求[S].