網(wǎng)絡(luò)通信新上線業(yè)務(wù)安全評(píng)估實(shí)踐與探索

前言：本站為你精心整理了網(wǎng)絡(luò)通信新上線業(yè)務(wù)安全評(píng)估實(shí)踐與探索范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢。

隨著IPv6、三網(wǎng)融合、云計(jì)算、移動(dòng)互聯(lián)網(wǎng)和物聯(lián)網(wǎng)等新技術(shù)的引入，以及互聯(lián)網(wǎng)業(yè)務(wù)的蓬勃發(fā)展，為促進(jìn)互聯(lián)網(wǎng)業(yè)務(wù)健康有序發(fā)展，維護(hù)國(guó)家安全和社會(huì)穩(wěn)定，保障用戶合法權(quán)益，加強(qiáng)互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全管理，工信部在2011年下發(fā)了《互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)信息安全評(píng)估管理辦法(試行)》，各運(yùn)營(yíng)商也隨之下發(fā)了各自的管理辦法，明確提出了細(xì)化的要求。實(shí)踐中，要通過(guò)落實(shí)“以業(yè)務(wù)為中心、風(fēng)險(xiǎn)為導(dǎo)向”的評(píng)估思想，在信息安全評(píng)估中的不斷探索，建立和推動(dòng)信息安全評(píng)估理論、方法、操作流程和作業(yè)規(guī)范的完善和提升，彰顯信息安全評(píng)估對(duì)保障客戶業(yè)務(wù)順暢運(yùn)行的意義，提升安全服務(wù)的工作績(jī)效以及安全服務(wù)的層次和水平。

一、互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)信息安全評(píng)估的內(nèi)容

(一)評(píng)估內(nèi)容。

工信部與三大運(yùn)營(yíng)商對(duì)互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)信息安全評(píng)估的要求主要包括:與業(yè)務(wù)相關(guān)的網(wǎng)絡(luò)架構(gòu)安全、設(shè)備安全、平臺(tái)安全、業(yè)務(wù)流程安全、內(nèi)容安全、業(yè)務(wù)數(shù)據(jù)安全、系統(tǒng)運(yùn)維及人員管理安全等方面。

(二)“傳統(tǒng)”安全評(píng)估的主要內(nèi)容。

雖然目前的評(píng)估都來(lái)自于ISO13335－2信息安全風(fēng)險(xiǎn)管理中，但主要的內(nèi)容為:管理脆弱性識(shí)別包括組織架構(gòu)管理、人員安全管理、運(yùn)維安全管理、審計(jì)安全管理等方面的評(píng)估技術(shù)脆弱性識(shí)別漏洞掃描:對(duì)網(wǎng)絡(luò)安全、網(wǎng)站安全、操作系統(tǒng)安全、數(shù)據(jù)庫(kù)安全等方面的脆弱性進(jìn)行識(shí)別。基線安全:對(duì)各種類(lèi)型操作系統(tǒng)(HP－UX、AIX、SOLARIS、LINUX、Windows等)、WEB應(yīng)用(IIS、Tomcat等)、網(wǎng)絡(luò)設(shè)備等網(wǎng)元的安全配置進(jìn)行檢查和評(píng)估。滲透測(cè)試:滲透測(cè)試是站在攻擊者的角度，對(duì)目標(biāo)進(jìn)行深入的技術(shù)脆弱性的挖掘。

(三)業(yè)務(wù)信息安全評(píng)估與“傳統(tǒng)”安全評(píng)估的對(duì)比。

雖然安全風(fēng)險(xiǎn)評(píng)估基本都按照了ISO13335－2中的方法來(lái)操作，但是通過(guò)對(duì)業(yè)務(wù)信息安全評(píng)估的內(nèi)容和“傳統(tǒng)”安全評(píng)估內(nèi)容對(duì)比不難看出，“傳統(tǒng)”安全評(píng)估主要集中在網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用軟件層，且每層的評(píng)估比較孤立，很難全面反映業(yè)務(wù)的主要風(fēng)險(xiǎn)。“以業(yè)務(wù)為中心、風(fēng)險(xiǎn)為導(dǎo)向”的業(yè)務(wù)系統(tǒng)安全評(píng)估能夠與客戶的業(yè)務(wù)密切結(jié)合，風(fēng)險(xiǎn)評(píng)估結(jié)果和安全建議能夠與客戶的業(yè)務(wù)發(fā)展戰(zhàn)略相一致，最終做到促進(jìn)和保障業(yè)務(wù)戰(zhàn)略的實(shí)現(xiàn)。

二、互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)信息安全評(píng)估的主要方法

“業(yè)務(wù)為中心、風(fēng)險(xiǎn)為導(dǎo)向”的信息安全評(píng)估思路互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)信息安全評(píng)估是開(kāi)展其他信息安全服務(wù)的基礎(chǔ)，而以“業(yè)務(wù)為中心、風(fēng)險(xiǎn)為導(dǎo)向”的信息安全評(píng)估思路，是切實(shí)落實(shí)信息安全風(fēng)險(xiǎn)評(píng)估的根本保證。

(一)主要流程。

對(duì)互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)信息安全評(píng)估來(lái)說(shuō)，分為三大基本步驟:一是深入業(yè)務(wù)，分析流程;二是業(yè)務(wù)威脅分析、業(yè)務(wù)脆弱性識(shí)別和人工滲透分析;三是風(fēng)險(xiǎn)分析和處置建議。

(二)深入業(yè)務(wù)，分析流程。

目標(biāo)是了解業(yè)務(wù)信息系統(tǒng)承載的業(yè)務(wù)使命、業(yè)務(wù)功能、業(yè)務(wù)流程等;客觀準(zhǔn)確把握業(yè)務(wù)信息系統(tǒng)的體系特征。管理層面調(diào)研和分析圍繞“業(yè)務(wù)”，管理調(diào)研的內(nèi)容主要為組織架構(gòu)、部門(mén)職責(zé)、崗位設(shè)置、人員能力、管理流程、審計(jì)流程等等，其調(diào)研核心是一系列的管理流程。通常，組織中有多種類(lèi)型的管理流程，管理調(diào)研的重點(diǎn)是與信息安全有關(guān)的流程、制度及其落實(shí)、執(zhí)行和效果情況。管理措施通常貫穿于整個(gè)管理流程之中，目的是保證管理流程的有效流傳或者不出現(xiàn)意外的紕漏。管控措施的設(shè)計(jì)一般都遵循一定的原則，如工作相關(guān)、職責(zé)分析、最小授權(quán)等等。業(yè)務(wù)系統(tǒng)層面調(diào)研和分析業(yè)務(wù)系統(tǒng)提供的功能一般是指被外界(例如客戶、用戶)所感知的服務(wù)項(xiàng)目或內(nèi)容，是IT系統(tǒng)承載、支持的若干個(gè)業(yè)務(wù)流程所提供功能的總匯。一個(gè)具體的業(yè)務(wù)功能常常與多個(gè)業(yè)務(wù)流程相關(guān)，一種(個(gè))業(yè)務(wù)功能，常常需要若干個(gè)業(yè)務(wù)流程來(lái)實(shí)現(xiàn)。例如數(shù)據(jù)的錄入流程、數(shù)據(jù)的修改流程、數(shù)據(jù)的處理流程等等。對(duì)于一個(gè)具體的信息系統(tǒng)來(lái)說(shuō)，可以通過(guò)其提供的業(yè)務(wù)功能，對(duì)業(yè)務(wù)流程進(jìn)行全面梳理、歸納，并驗(yàn)證業(yè)務(wù)流程分析的完備性、系統(tǒng)性。一個(gè)具體的業(yè)務(wù)流程也常常跨越多個(gè)系統(tǒng)，某個(gè)具體的IT系統(tǒng)可能僅完成整個(gè)IT流程中的某一個(gè)活動(dòng)。例如在短信增值服務(wù)中，SP與用戶手機(jī)短信收發(fā)就涉及到了短信中心、短信網(wǎng)關(guān)、智能網(wǎng)SCP等多個(gè)系統(tǒng);另外，還涉及到了計(jì)費(fèi)、BOSS等業(yè)務(wù)支撐系統(tǒng)以及網(wǎng)管等運(yùn)維管理系統(tǒng)等。因此，業(yè)務(wù)功能通常是對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行調(diào)研的最佳切入點(diǎn)，并將業(yè)務(wù)流程簡(jiǎn)化成為單純的數(shù)據(jù)處理過(guò)程，將各個(gè)應(yīng)用軟件之間的數(shù)據(jù)傳輸簡(jiǎn)化成為點(diǎn)對(duì)點(diǎn)的流。然后基于數(shù)據(jù)流分析，建立信息視圖，明確信息的流轉(zhuǎn)、分布、出入口，把業(yè)務(wù)系統(tǒng)簡(jiǎn)化成為數(shù)據(jù)流的形式，可以更好地分析數(shù)據(jù)在各個(gè)階段所面臨的風(fēng)險(xiǎn)。

(三)脆弱性識(shí)別。

1．系統(tǒng)和應(yīng)用軟件層脆弱性識(shí)別。對(duì)評(píng)估范圍內(nèi)的主機(jī)操作系統(tǒng)及其上運(yùn)行的數(shù)據(jù)庫(kù)/Web服務(wù)器/中間件等系統(tǒng)軟件的安全技術(shù)脆弱性，得到主機(jī)設(shè)備的安全現(xiàn)狀，包含當(dāng)前安全模塊的性能、安全功能、穩(wěn)定性以及在基礎(chǔ)設(shè)施中的功能狀態(tài)。

2．網(wǎng)絡(luò)層脆弱性識(shí)別。明確被評(píng)估系統(tǒng)和其他業(yè)務(wù)系統(tǒng)的接口邏輯關(guān)系、和其他業(yè)務(wù)系統(tǒng)的訪問(wèn)關(guān)系、得出清晰的基礎(chǔ)設(shè)施拓?fù)鋱D;從網(wǎng)絡(luò)的穩(wěn)定性、安全性、擴(kuò)展性、(易于)管理性、冗余性幾個(gè)方面綜合評(píng)定網(wǎng)絡(luò)的安全狀況。

3．現(xiàn)有安全措施脆弱性識(shí)別。識(shí)別并分析現(xiàn)有安全措施的部署位置、安全策略，確定其是否發(fā)揮了應(yīng)用的作用。

4．管理層脆弱性識(shí)別。識(shí)別和分析安全組織、安全管理制度、流程以及執(zhí)行中存在的安全弱點(diǎn)。

(四)業(yè)務(wù)威脅分析。

對(duì)于業(yè)務(wù)系統(tǒng)來(lái)說(shuō)，安全威脅及安全需求分析的最小單位是數(shù)據(jù)處理活動(dòng)。可以通過(guò)安全威脅列表來(lái)識(shí)別威脅，構(gòu)建安全威脅場(chǎng)景來(lái)進(jìn)行威脅、風(fēng)險(xiǎn)分析。

1．列出評(píng)估的業(yè)務(wù)系統(tǒng)的全部安全威脅。如何能將安全威脅很好的列出來(lái)呢?可以借助一些現(xiàn)有的安全威脅分析模型，例如微軟Stride模型(假冒、篡改、否認(rèn)、信息泄漏、拒絕服務(wù)、提升權(quán)限)都提供了一些安全威脅的分類(lèi)方法。

2．識(shí)別和構(gòu)造威脅路徑。依據(jù)自身(企業(yè)或部門(mén)級(jí))的業(yè)務(wù)特點(diǎn)進(jìn)行細(xì)化，識(shí)別和列出安全威脅來(lái)，如拒絕服務(wù)、業(yè)務(wù)濫用、業(yè)務(wù)欺詐、惡意訂購(gòu)、用戶假冒、隱蔽、非法數(shù)據(jù)流、惡意代碼等。

3．業(yè)務(wù)滲透測(cè)試和攻擊路徑分析。因?yàn)闃I(yè)務(wù)的特性是“個(gè)性化”，那么就很難用一個(gè)或多個(gè)工具發(fā)現(xiàn)所有問(wèn)題;且業(yè)務(wù)的個(gè)性化，在業(yè)務(wù)邏輯、接口等安全測(cè)評(píng)中，必須要有人工參與。利用業(yè)務(wù)流程分析、威脅分析和脆弱性分析的相關(guān)數(shù)據(jù)，實(shí)現(xiàn)滲透測(cè)試。

4．風(fēng)險(xiǎn)分析。主要包括:一是數(shù)據(jù)整理:整理現(xiàn)場(chǎng)實(shí)施階段獲得的各種風(fēng)險(xiǎn)要素?cái)?shù)據(jù)以及相應(yīng)的評(píng)估報(bào)告;二是風(fēng)險(xiǎn)計(jì)算與分析、風(fēng)險(xiǎn)計(jì)算、風(fēng)險(xiǎn)量化、分析編制風(fēng)險(xiǎn)分析報(bào)告;三是風(fēng)險(xiǎn)處置與建議、風(fēng)險(xiǎn)處置準(zhǔn)則確定、風(fēng)險(xiǎn)處置決策、風(fēng)險(xiǎn)控制目標(biāo)確定和控制措施選擇編制安全建議.

作者：王麗 單位：中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司河北省分公司