張震 張洪剛

（中國(guó)移動(dòng)通信集團(tuán)廣東有限公司深圳分公司 深圳 518048）

1 引言

自2009年各運(yùn)營(yíng)商重組之后，業(yè)務(wù)競(jìng)爭(zhēng)不斷加劇，各運(yùn)營(yíng)商對(duì)業(yè)務(wù)安全和穩(wěn)定運(yùn)營(yíng)的要求不斷提高。但是由于運(yùn)營(yíng)商的網(wǎng)絡(luò)規(guī)模龐大，系統(tǒng)和業(yè)務(wù)類(lèi)型復(fù)雜，系統(tǒng)中存在一些具備較高風(fēng)險(xiǎn)等級(jí)的安全漏洞在所難免，為安全生產(chǎn)埋下了未知的安全隱患[1]。以下為兩個(gè)現(xiàn)實(shí)案例。

案例1：2009年深圳移動(dòng)在例行業(yè)務(wù)系統(tǒng)安全漏洞掃描中發(fā)現(xiàn)“手機(jī)投注系統(tǒng)”的Windows操作系統(tǒng)中存在一個(gè)高危漏洞，如表1所示。

MS08-067漏洞可以偽造的RPC請(qǐng)求，能允許遠(yuǎn)程執(zhí)行代碼，導(dǎo)致完全入侵用戶(hù)系統(tǒng)，以System權(quán)限執(zhí)行任意指令并獲取數(shù)據(jù)，并獲取對(duì)該系統(tǒng)的控制權(quán)，造成系統(tǒng)失竊及系統(tǒng)崩潰等嚴(yán)重問(wèn)題，所幸該漏洞被及時(shí)發(fā)現(xiàn)并實(shí)施補(bǔ)丁加固，并未造成損害。

表1 “手機(jī)投注系統(tǒng)”Windows操作系統(tǒng)存在漏洞

案例2：運(yùn)營(yíng)商計(jì)費(fèi)出錯(cuò)案例：2010年2月，北京聯(lián)通公司某用戶(hù)突然欠費(fèi)682元停機(jī)，后經(jīng)調(diào)查是聯(lián)通計(jì)費(fèi)系統(tǒng)存在漏洞，導(dǎo)致計(jì)費(fèi)錯(cuò)誤，該用戶(hù)后通過(guò)法律途徑討回經(jīng)濟(jì)損失。

從上述案例可以看出，無(wú)論是支撐系統(tǒng)還是業(yè)務(wù)系統(tǒng)，漏洞一旦被威脅（內(nèi)外部人員、惡意程序）所利用，將產(chǎn)生嚴(yán)重的安全事故，所造成的損失（品牌損失、經(jīng)濟(jì)損失等）不可估量，及時(shí)發(fā)現(xiàn)漏洞并修復(fù)漏洞對(duì)于運(yùn)營(yíng)商的基礎(chǔ)安全運(yùn)維顯得至關(guān)重要。

2 運(yùn)營(yíng)商的業(yè)務(wù)系統(tǒng)漏洞現(xiàn)狀

2.1 漏洞的定義

理解漏洞的內(nèi)涵是發(fā)現(xiàn)漏洞并加固漏洞的前提。自計(jì)算機(jī)系統(tǒng)誕生起，人們對(duì)漏洞研究就開(kāi)始了。Denning在《Cryptograph and Data Security》一文中從訪問(wèn)控制的角度給出了漏洞的定義。他認(rèn)為，系統(tǒng)中主體對(duì)客體的訪問(wèn)是通過(guò)訪問(wèn)控制矩陣實(shí)現(xiàn)的，這個(gè)訪問(wèn)控制矩陣就是安全策略的具體實(shí)現(xiàn)，當(dāng)操作系統(tǒng)的操作和安全策略之間相沖突時(shí)，就產(chǎn)生了安全漏洞。從一般意義上理解，漏洞是系統(tǒng)內(nèi)在的脆弱性，或者稱(chēng)為弱點(diǎn)，其可以被外來(lái)威脅所利用，并對(duì)主體帶來(lái)?yè)p失，圖1顯示了威脅、漏洞和風(fēng)險(xiǎn)[2]三者的關(guān)系。

圖1 威脅利用漏洞導(dǎo)致風(fēng)險(xiǎn)

2.2 漏洞的發(fā)展趨勢(shì)

從業(yè)務(wù)系統(tǒng)漏洞的發(fā)展趨勢(shì)來(lái)看，應(yīng)用層面的漏洞的爆發(fā)數(shù)量將大幅度領(lǐng)先于操作系統(tǒng)層面的漏洞，主要原因如下：

（1）以微軟為代表的操作系統(tǒng)及軟件廠商遵照ISO27000系統(tǒng)安全標(biāo)準(zhǔn)[3]（包括SSE-CMM工程成熟度要求）實(shí)施OS軟件開(kāi)發(fā)，其系統(tǒng)開(kāi)發(fā)過(guò)程不斷完善，系統(tǒng)漏洞大規(guī)模爆發(fā)的可能性不斷減小；

（2）隨著B(niǎo)/S架構(gòu)應(yīng)用軟件開(kāi)發(fā)方式的普及，據(jù)統(tǒng)計(jì)，基于Web應(yīng)用系統(tǒng)的漏洞在已發(fā)現(xiàn)的漏洞中占據(jù)了80% 以上的比例，如圖2所示。

圖2 網(wǎng)絡(luò)、操作系統(tǒng)、應(yīng)用漏洞數(shù)量Source: SANS.ORG

2.3 業(yè)務(wù)系統(tǒng)漏洞的現(xiàn)狀

業(yè)務(wù)系統(tǒng)漏洞的現(xiàn)狀從以下兩個(gè)方面考慮：漏洞分布現(xiàn)狀和漏洞處理現(xiàn)狀。

2.3.1 業(yè)務(wù)系統(tǒng)漏洞的分布現(xiàn)狀

運(yùn)營(yíng)商的業(yè)務(wù)系統(tǒng)的漏洞分布狀況和整個(gè)安全領(lǐng)域的漏洞分布狀況是一致的，即網(wǎng)絡(luò)、操作系統(tǒng)層面的漏洞占據(jù)比例逐漸降低，而應(yīng)用層面的漏洞所占的比例將逐漸加大。

2.3.2 業(yè)務(wù)系統(tǒng)漏洞的處理現(xiàn)狀

然而就目前運(yùn)營(yíng)商對(duì)漏洞的重視程度而言，運(yùn)營(yíng)商把絕大部分的精力投放在系統(tǒng)和通用軟件層面的漏洞發(fā)現(xiàn)和加固，比如Windows、Solaris等操作系統(tǒng)，以及Oracle數(shù)據(jù)庫(kù)、Office辦公軟件等系統(tǒng)軟件級(jí)別的漏洞。對(duì)于運(yùn)營(yíng)商的系統(tǒng)管理員和安全管理員而言，雖然對(duì)業(yè)務(wù)系統(tǒng)很了解，但是受限于自身安全技能，很難對(duì)業(yè)務(wù)系統(tǒng)的漏洞進(jìn)行挖掘和處理。

3 運(yùn)營(yíng)商的業(yè)務(wù)系統(tǒng)漏洞分級(jí)體系

為了更有效地實(shí)施漏洞挖掘和漏洞加固，有必要針對(duì)運(yùn)營(yíng)商的業(yè)務(wù)系統(tǒng)的特點(diǎn)建立漏洞分級(jí)體系，該體系涵蓋了當(dāng)前運(yùn)營(yíng)商的業(yè)務(wù)系統(tǒng)主流漏洞的類(lèi)型并具備可擴(kuò)展性。建立該體系的目的在于指導(dǎo)漏洞安全管理工作更有針對(duì)性地實(shí)施，并推動(dòng)漏洞安全管理由系統(tǒng)軟件層向業(yè)務(wù)應(yīng)用層轉(zhuǎn)變。本文從電信運(yùn)營(yíng)商的業(yè)務(wù)系統(tǒng)實(shí)際情況出發(fā)，建立漏洞三級(jí)分級(jí)體系。

3.1 操作系統(tǒng)層

運(yùn)營(yíng)商部署大量基于Windows、Solaris、UNIX等OS服務(wù)器/終端來(lái)承載業(yè)務(wù)，長(zhǎng)久以來(lái)，這些設(shè)備的操作系統(tǒng)層的漏洞一直是運(yùn)營(yíng)商所關(guān)注的重點(diǎn)[4]，而針對(duì)操作系統(tǒng)權(quán)限[5]的“爭(zhēng)奪”是重點(diǎn)的重點(diǎn)：

（1）遠(yuǎn)程管理權(quán)限漏洞：攻擊者無(wú)須一個(gè)賬號(hào)登錄到本地直接獲得遠(yuǎn)程系統(tǒng)的管理員權(quán)限，通常通過(guò)攻擊以root身份執(zhí)行的有缺陷的系統(tǒng)守護(hù)進(jìn)程來(lái)完成。漏洞的絕大部分來(lái)源于緩沖區(qū)溢出，少部分來(lái)自守護(hù)進(jìn)程本身的邏輯缺陷。

（2）本地管理員權(quán)限漏洞：攻擊者在已有一個(gè)本地賬號(hào)能夠登錄到系統(tǒng)的情況下，通過(guò)攻擊本地某些有缺陷的SUID程序，競(jìng)爭(zhēng)條件等手段，得到系統(tǒng)的管理員權(quán)限。

（3）普通用戶(hù)訪問(wèn)權(quán)限漏洞：攻擊者利用服務(wù)器的漏洞，取得系統(tǒng)的普通用戶(hù)存取權(quán)限。

（4）信息泄密漏洞：攻擊者可以收集到對(duì)于進(jìn)一步攻擊系統(tǒng)有用的信息。這類(lèi)漏洞的產(chǎn)生主要是因?yàn)橄到y(tǒng)程序有缺陷，一般是對(duì)錯(cuò)誤的不正確處理。

（5）遠(yuǎn)程及本地拒絕服務(wù)：使系統(tǒng)或相關(guān)的應(yīng)用程序崩潰或失去響應(yīng)能力。

操作系統(tǒng)層的軟件漏洞分級(jí)體系如圖3所示。

圖3 操作系統(tǒng)層漏洞分級(jí)

3.2 應(yīng)用層

由于應(yīng)用層軟件的多樣性和普遍性，使得應(yīng)用層面的漏洞層出不窮。

（1）第三方應(yīng)用程序軟件漏洞：大量的第三方應(yīng)用程序，如數(shù)據(jù)庫(kù)軟件領(lǐng)域的Oracle和MYSQL，文檔編輯閱讀領(lǐng)域的Adobe等，是安全漏洞的高發(fā)區(qū)。在2009年由CVE發(fā)布的數(shù)十個(gè)“0-day”安全漏洞，包含了Oracle Secure Backup Observiced.exe服務(wù)棧溢出漏洞，Adobe Reader Remote Code Execution 漏洞等。

（2）基于Web2.0的應(yīng)用漏洞：在Web2.0的框架下，Java Applet、ActiveX、Cookie、AJAX等技術(shù)被大量應(yīng)用，當(dāng)用戶(hù)使用瀏覽器察看、編輯網(wǎng)絡(luò)內(nèi)容時(shí)，采用了這些技術(shù)的應(yīng)用程序會(huì)自動(dòng)下載并在客戶(hù)端運(yùn)行，如果這些程序被惡意使用，便可竊取、改變或者刪除客戶(hù)的信息。

應(yīng)用層的軟件漏洞分級(jí)體系如圖4所示。

3.3 業(yè)務(wù)層

業(yè)務(wù)層漏洞相對(duì)于操作系統(tǒng)的漏洞和通用應(yīng)用層漏洞更為復(fù)雜和隱蔽，且在補(bǔ)丁加固過(guò)程中更為謹(jǐn)慎。如何挖掘業(yè)務(wù)層漏洞是今后運(yùn)營(yíng)商漏洞安全管理工作的重點(diǎn)和難點(diǎn)。

3.3.1 業(yè)務(wù)邏輯上的漏洞

業(yè)務(wù)邏輯在業(yè)務(wù)的規(guī)劃、設(shè)計(jì)階段已經(jīng)制定完畢，在實(shí)現(xiàn)階段直接體現(xiàn)在業(yè)務(wù)應(yīng)用的代碼中。如果存在業(yè)務(wù)邏輯上的漏洞，攻擊者可以發(fā)動(dòng)繞過(guò)認(rèn)證或者計(jì)費(fèi)等的攻擊。

3.3.2 業(yè)務(wù)協(xié)議自身的漏洞

業(yè)務(wù)協(xié)議如GSM協(xié)議、WAP協(xié)議、SIP協(xié)議等，這些標(biāo)準(zhǔn)化的通信協(xié)議或多或少存在與生俱來(lái)的漏洞，可以被攻擊者利用，如使用虛假主叫號(hào)碼發(fā)送短信等。

3.3.3 業(yè)務(wù)流程上的漏洞

業(yè)務(wù)流程上的漏洞，比如采用類(lèi)似于基于IP地址認(rèn)證的比較簡(jiǎn)單的鑒權(quán)手段，在流程上為了保證效率而忽視了業(yè)務(wù)的安全性。

業(yè)務(wù)層的軟件漏洞分級(jí)體系如圖5所示。

圖4 應(yīng)用層漏洞分級(jí)

圖5 業(yè)務(wù)層漏洞分級(jí)

4 總結(jié)

在“全業(yè)務(wù)”運(yùn)營(yíng)時(shí)代，運(yùn)營(yíng)商對(duì)于網(wǎng)絡(luò)的穩(wěn)定和業(yè)務(wù)的可持續(xù)性提出了越來(lái)越高的要求，業(yè)務(wù)系統(tǒng)的漏洞是安全部門(mén)和外來(lái)威脅博弈的關(guān)鍵。本文從運(yùn)營(yíng)商安全管理的角度，建立了運(yùn)營(yíng)商的業(yè)務(wù)系統(tǒng)的漏洞分級(jí)體系，該體系涵蓋了從操作系統(tǒng)層、通用應(yīng)用層和業(yè)務(wù)層的漏洞分級(jí)，并具備可擴(kuò)展性。從漏洞發(fā)展的趨勢(shì)來(lái)看，應(yīng)用層和業(yè)務(wù)層漏洞的數(shù)量將遠(yuǎn)超過(guò)操作系統(tǒng)層數(shù)量，且前者的危害性、破壞性更大。本文所提出的漏洞分級(jí)體系有助于運(yùn)營(yíng)商對(duì)業(yè)務(wù)系統(tǒng)的漏洞進(jìn)行分級(jí)，分類(lèi)，區(qū)別處理，在操作系統(tǒng)漏洞的挖掘和加固基礎(chǔ)上，不斷重視應(yīng)用漏洞，尤其是業(yè)務(wù)漏洞的挖掘和安全加固。

[1] Harrs S著，張輝譯. CISSP Certification ALL-in-One. 北京：清華大學(xué)出版社

[2] Jaquith A, 李冬冬譯. Security Metrics: Replacing Fear, Uncertainty,and Doubt. 北京：電子工業(yè)出版社

[3] 孫強(qiáng)，陳偉，王東紅. 信息安全管理－全球最佳實(shí)務(wù)與實(shí)施指南，北京：清華大學(xué)出版社，2004

[4] GB17859. 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則. 1999

[5] NIST SP 800-55 Security Metrics Guide for Information Technology Systems, NIST, 2003