杜雪濤, 李友國，袁捷, 趙蓓, 陳濤

（1 中國移動通信集團設計院有限公司，北京 100080; 2 中國移動通信集團公司，北京 100032）

電信運營商的信息安全工作需要覆蓋系統(tǒng)建設及運維、業(yè)務經(jīng)營、客戶信息保護等生產(chǎn)運營環(huán)節(jié)，涉及多個業(yè)務部門和管理部門。其中實現(xiàn)基礎信息安全的可感知、可控制、可管理的目標是降低信息安全風險，提升信息安全管理水平的基石。

1 基礎信息安全評估的主要內(nèi)容

依據(jù)X.805、ISF、ISO 27002等國際安全規(guī)范標準，參考國外運營商最佳實踐，結合電信運營商的實際，可以將電信運營商的信息安全管理體系歸納如下。

電信運營商的信息安全領域主要可以劃分為內(nèi)容安全、應用安全、網(wǎng)絡安全、基礎安全4個主要的部分。其中內(nèi)容安全著重于信息內(nèi)容合規(guī)性、信息的機密性、信息的完整性以及信息的可用性。在當前的運營商的評估工作，此部分可作為客戶信息安全等專項評估的內(nèi)容。應用安全著重于業(yè)務的可用性、可核查性、完整性、合規(guī)性、抗抵賴性、真實性、機密性等內(nèi)容，目前的評估工作以業(yè)務安全檢查專項評估為主。網(wǎng)絡安全主要側重于網(wǎng)絡的可用性、網(wǎng)絡可靠性、可核查性、完整性、機密性、真實性、合規(guī)性等內(nèi)容。基礎安全則側重于設備的可用性、設備的完整性、設備的可靠性及合規(guī)性。由于網(wǎng)絡安全與設備的安全緊密相關，設備是網(wǎng)絡構成的基本構成因素，設備的可用性、完整性及合規(guī)性決定了網(wǎng)絡的可用性、完整性、合規(guī)性及可用性。因而在日常的安全評估中我們通常將基礎信息安全的設備評估與網(wǎng)絡的評估合設，作為統(tǒng)一的整體進行體系化的評估及測評，并合稱為基礎信息安全評估。

結合電信運營商的實際情況，在基礎信息安全評估中應涵蓋全網(wǎng)的IT支撐系統(tǒng)，以及電信運營商的基礎信息安全評估應該包括運營商所有IT支撐系統(tǒng)以及網(wǎng)絡系統(tǒng)。需包含網(wǎng)絡基礎安全架構評估、網(wǎng)絡設備及系統(tǒng)安全評估、網(wǎng)絡滲透測試等各個方面。

2 網(wǎng)絡基礎安全架構評估的主要內(nèi)容

網(wǎng)絡基礎安全架構的主要評估內(nèi)容如下。

圖1 滲透測試專用工具

（1）基礎網(wǎng)絡架構：網(wǎng)絡整體拓撲結構設計合理；安全區(qū)域劃分符合業(yè)務系統(tǒng)要求；選擇安全的路由方式；對周邊網(wǎng)絡接入進行安全控制和冗余設計；對網(wǎng)絡流量進行監(jiān)控和管理；對網(wǎng)絡設備和鏈路進行冗余設計；

（2）網(wǎng)絡傳輸加密：根據(jù)業(yè)務系統(tǒng)的特點選擇對業(yè)務數(shù)據(jù)是否進行傳輸加密；對于網(wǎng)絡設備認證過程中敏感的信息進行加密；

（3）訪問控制和網(wǎng)絡審計：對網(wǎng)絡的內(nèi)部及外部邊界進行有效訪問控制；對網(wǎng)絡實施入侵檢測和漏洞評估；進行網(wǎng)絡日志審計并統(tǒng)一日志時間基準線；

（4）網(wǎng)絡安全管理：采用安全的網(wǎng)絡管理協(xié)議；建立網(wǎng)絡安全事件響應體系；對網(wǎng)絡設備進行安全管理。網(wǎng)絡設備是否進行了安全配置，并且驗證設備沒有已知的漏洞等。

3 設備安全及系統(tǒng)評估的主要內(nèi)容

設備安全及系統(tǒng)評估的安全目標是保障相關支撐系統(tǒng)高效、優(yōu)質運行，滿足業(yè)務系統(tǒng)的需求，防止系統(tǒng)遭受外部和內(nèi)部的破壞和濫用，避免和降低由于系統(tǒng)的問題對業(yè)務系統(tǒng)的損害；協(xié)助應用進行訪問控制和安全審計。

設備安全及系統(tǒng)評估主要包括以下內(nèi)容。

（1）系統(tǒng)安全管理及冗余設計評估：嚴格管理系統(tǒng)賬戶、有效控制系統(tǒng)服務，優(yōu)化系統(tǒng)的安全配置，啟用系統(tǒng)必要的安全控制措施,避免系統(tǒng)發(fā)生故障或遭受攻擊，要求各種IT支撐系統(tǒng)已進行冗余設計；

（2）業(yè)務系統(tǒng)及IT支撐系統(tǒng)本身具有安全功能：業(yè)務系統(tǒng)應具備的安全功能包括身份認證、訪問控制、數(shù)據(jù)保護、加密、通信會話管理、安全審計和隱私保護等；

（3）業(yè)務系統(tǒng)本身具有容錯能力：軟件應具備的容錯能力包括錯誤處理、數(shù)據(jù)有效性檢驗和資源優(yōu)先級管理等；

（4）運行環(huán)境提供安全控制并提供了冗余措施：運行環(huán)境應提供的安全控制包括網(wǎng)絡、主機和平臺提供的身份認證、訪問控制、鏈路加密和日志審計等。系統(tǒng)的運行環(huán)境應采取的冗余措施包括數(shù)據(jù)存儲設備、主機運行環(huán)境、網(wǎng)絡傳輸通道等。

4 滲透評估的主要內(nèi)容

滲透性測試是基礎信息安全檢查的主要評估手段。是指安全滲透測試者盡可能完整地模擬黑客使用的漏洞發(fā)現(xiàn)技術和攻擊手段，對目標網(wǎng)絡/系統(tǒng)/主機/應用的安全性作深入的探測，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)的過程。

授權所進行的滲透測試一般不會對客戶的信息系統(tǒng)造成任何危害和損失，其目的只在于從信息系統(tǒng)的外部發(fā)現(xiàn)信息系統(tǒng)對外所呈現(xiàn)出的安全脆弱性并驗證這些安全脆弱性的真實存在性，并不再進行進一步的滲透（即不進行后門植入等后續(xù)手段）。

5 基礎信息安全評估的評估方法

5.1 基本原則

基礎信息安全的評估的目標是保障電信運營商的網(wǎng)絡系統(tǒng)高效、優(yōu)質運行。因此在進行安全評估時應該遵循如下的原則。

（1）最小影響原則：安全評估對于人員的素質要求很高，評估所采用的工具必須要經(jīng)過多次評估項目考驗，風險評估工作做到充分的計劃性，在保證不對現(xiàn)有網(wǎng)絡系統(tǒng)的運行和業(yè)務的正常提供產(chǎn)生顯著影響的情況下進行評估工作，盡可能小地影響系統(tǒng)和網(wǎng)絡的正常運行；

（2）標準性原則：項目方案的設計與實施遵循、滿足相關國家規(guī)范要求，如工信部等級保護基本技術要求、運營商的相關技術要求等；

（3）規(guī)范性原則：參與評估機構必須通過主管部門的認可及委托，具有很好的規(guī)范性，可以便于項目的跟蹤和控制；

（4）可控性原則：要求評估機構對于項目管理有豐富的經(jīng)驗，安全服務的進度按照進度表進度的安排，保證電信運營商的項目做到滿足項目可控性要求；

（5）整體性原則：安全評估內(nèi)容整體全面，涉及到信息安全的各個層面；

（6）保密性原則：評估機構應該對過程數(shù)據(jù)和結果數(shù)據(jù)嚴格保密，未經(jīng)授權不得泄露給任何單位和個人，不得利用此數(shù)據(jù)進行任何侵害運營商的行為，項目結束之后銷毀所有運營商提供有關的數(shù)據(jù)和文檔。

5.2 基礎信息安全評估方法

5.2.1 資料整理和訪談

資料整理和訪談是進行基礎信息安全評估的基礎。評估人員首先通過對信息系統(tǒng)的網(wǎng)絡拓撲圖、安全運作記錄、相關的管理制度、規(guī)范、技術文檔、歷史事件、日志等的研究和剖析，從更高的層次上發(fā)現(xiàn)網(wǎng)絡系統(tǒng)中存在的安全脆弱性。并找準信息資產(chǎn)體現(xiàn)為一個業(yè)務流時所流經(jīng)的網(wǎng)絡節(jié)點，查看關鍵網(wǎng)絡節(jié)點的設備安全策略是否得當，利用技術手段驗證安全策略是否有效。

評估專家經(jīng)驗在安全顧問咨詢服務中處于不可替代的關鍵地位。通過對客戶訪談、技術資料進行分析，對網(wǎng)絡設備的安全配置進行分析，并會將自己的經(jīng)驗體現(xiàn)于網(wǎng)絡安全脆弱性評估中。

5.2.2 工具挖掘

工具挖掘主要是通過網(wǎng)絡掃描器對網(wǎng)絡設備進行漏洞掃描，發(fā)現(xiàn)安全漏洞和不當?shù)呐渲?。通過評估工具對主機、應用程序和數(shù)據(jù)庫進行掃描。掃描評估主要是根據(jù)已有的安全漏洞知識庫，模擬黑客的攻擊方法，檢測網(wǎng)絡協(xié)議、網(wǎng)絡服務、網(wǎng)絡設備、應用系統(tǒng)等各主機設備所存在的安全隱患和漏洞。

漏洞掃描主要依靠帶有安全漏洞知識庫的網(wǎng)絡安全掃描工具對信息資產(chǎn)進行基于網(wǎng)絡層面安全掃描，其特點是能對被評估目標進行覆蓋面廣泛的安全漏洞查找，并且評估環(huán)境與被評估對象在線運行的環(huán)境完全一致，能較真實地反映主機系統(tǒng)、網(wǎng)絡設備、應用系統(tǒng)所存在的網(wǎng)絡安全問題。

5.2.3 滲透測試

滲透測試目的是讓用戶清晰了解目前網(wǎng)絡的脆弱性、可能造成的影響，以便采取必要的防范措施。滲透測試的要點是通過前期對業(yè)務資產(chǎn)的識別，結合技術手段進行探測，判斷可能存在的攻擊路徑，并且利用技術手段技術實現(xiàn)。

由于滲透測試偏重于黑盒測試，因此可能對被測試目標造成不可預知的風險；此外對于性能比較敏感的測試目標，如一些實時性要求比較高的系統(tǒng)，由于滲透測試的某些手段可能引起網(wǎng)絡流量的增加，因此可能會引起被測試目標的服務質量降低。由于中國電信運營商的網(wǎng)絡規(guī)范龐大，因此在滲透測試的難度也較大。因此，滲透層次上既包括了網(wǎng)絡層的滲透測試，也包括了系統(tǒng)層的滲透測試及應用層的滲透測試。

合法滲透測試的一般流程為兩大步驟，即預攻擊探測階段、驗證攻擊階段、滲透實施階段。不涉及安裝后門、遠程控制等活動。

5.2.3.1 預攻擊探測階段

預攻擊探測階段又分為踩點、掃描、枚舉、脆弱性掃描等步驟。

踩點是指對公共信息源搜索，其目標在于收集目標信息系統(tǒng)及其所屬組織機構的相關信息。查找目標信息系統(tǒng)的網(wǎng)絡域名，DNS服務器，IP地址范圍及其它從目標信息系統(tǒng)注冊的Internet注冊機構上可獲取的所有信息。盡可能地獲取目標信息系統(tǒng)DNS服務器上的DNS信息。

掃描是一系列探測行為的組合。其中包括活動主機探測，即通過ping掃描發(fā)現(xiàn)目標信息系統(tǒng)對外呈現(xiàn)出活動特性的主機系統(tǒng)。網(wǎng)絡路由及拓撲勘察，根據(jù)在活動主機探測階段所發(fā)現(xiàn)的活動主機表，檢測這些活動主機的路由狀況，在此基礎上以期綜合分析得出部分或全部的信息系統(tǒng)網(wǎng)絡拓撲結構。在此過程中，還包括對防火墻規(guī)則的測試。端口測試也是最基本常用的測試手段，通常指掃描在活動主機探測階段發(fā)現(xiàn)活動主機的開放端口（TCP&UDP）。檢測在活動主機探測階段發(fā)現(xiàn)活動主機的操作系統(tǒng)的類型。獲取在活動主機探測階段發(fā)現(xiàn)活動主機的服務程序旗標。

枚舉的過程是指檢測活動主機探測階段所發(fā)現(xiàn)的活動主機是否可枚舉，如果可枚舉能枚舉哪些內(nèi)容，如賬號信息，共享信息、主機在系統(tǒng)中的角色等。

脆弱性掃描是指掃描檢測活動主機探測階段所發(fā)現(xiàn)的活動主機的安全漏洞。此階段將會將踩點、掃描、枚舉等各個階段的信息綜合考慮，并作為脆弱性掃描的主要輸入內(nèi)容。

5.2.3.2 驗證攻擊階段

（1）脆弱性分析和滲透目標選定：匯總在脆弱性掃描階段得到的結果，將每一個脆弱性掃描得出的安全漏洞與脆弱性漏洞庫進行比對，判斷該安全漏洞的真實性及其風險級別。在此基礎上綜合判定可利用來進行滲透攻擊的漏洞；

（2）對選定目標的滲透攻擊：對選定漏洞進行實際的攻擊，驗證可獲取一定的系統(tǒng)權限或者可獲取到敏感信息。攻擊方式包括口令破解、緩沖區(qū)溢出、SQL注入攻擊、跨站點腳本攻擊、會話劫持等。

在真實的滲透測試的工程中需經(jīng)歷如下過程。

5.2.3.3 確定滲透路徑

根據(jù)業(yè)務信息數(shù)據(jù)分析，結合目前的網(wǎng)絡拓撲和網(wǎng)絡防護現(xiàn)狀，分析可能存在的對業(yè)務進行攻擊的路徑。在電信運營商網(wǎng)絡中，門戶網(wǎng)站、自有業(yè)務網(wǎng)站、測試網(wǎng)絡等對外提供Web服務的站點都比較容易成為滲透測試攻擊的路徑。

此外IDC機房由于其網(wǎng)絡設備龐雜、業(yè)務種類繁多，管理困難，經(jīng)常出現(xiàn)安全域劃分不當，防火墻策略更新不及時、維護與管理權限混亂等問題，也經(jīng)常會被滲透測試作為突破點，成為首要的攻擊途徑。

表1 滲透測試專用工具

5.2.3.4 實施滲透測試

滲透測試評估人員會將根據(jù)滲透測試技術一般流程和滲透測試內(nèi)容實施具體的滲透測試，驗證預計的滲透路徑是否可技術實現(xiàn)。常見的滲透工具如下所示。

現(xiàn)網(wǎng)的基礎信息安全評估中滲透測試是以資料整理、訪談、工具挖掘等一系列前期活動為前提和基礎。真正滲透到核心業(yè)務僅僅是評估的結果具體體現(xiàn)。具體的滲透實戰(zhàn)經(jīng)常有如下的過程。首先從門戶及其它對外提供服務的網(wǎng)站入手，找出網(wǎng)站漏洞，通過SQL注入等高風險漏洞，進入Web后臺，控制相應的服務器。通過前期網(wǎng)絡拓撲結構的研究，畫出整個全網(wǎng)的拓撲圖，分割出業(yè)務網(wǎng)、支撐網(wǎng)、NGBOSS、OA等不同的子網(wǎng)絡，找出各子網(wǎng)絡連接點。明確各子網(wǎng)安全域的劃分方式，研讀其中的防火墻策略配置表以及路由器交換器的路由配置。從中發(fā)現(xiàn)網(wǎng)絡中可能存在脆弱性因素的網(wǎng)絡設備。找出與對外提供服務器有網(wǎng)絡連接的內(nèi)網(wǎng)設備。從而打通從互聯(lián)網(wǎng)到內(nèi)網(wǎng)的路徑。進行進入運營商網(wǎng)的核心部分，如業(yè)備支撐系統(tǒng)、網(wǎng)管網(wǎng)等。

5.2.3.5 滲透測試過程中的監(jiān)控

此外，在實施滲透測試活動時還應對網(wǎng)絡進行全程監(jiān)控，同時監(jiān)控被測試目標的工作狀態(tài)。以防止對電信業(yè)務產(chǎn)生破壞性影響。

6 總結

基礎信息的安全評估是整個信息安全管理的基石，其涉及到運營商網(wǎng)絡的整體網(wǎng)絡架構，評估內(nèi)容復雜，評測方法多樣。因此，深入研究基礎信息安全評估體系，并將其體系化、規(guī)范化將是未來研究的重點方向。