《通用业务安全关键技术研究及产品开发》开题报告

中国移动通信集团 承担部门：研究院、广东公司、四川公司 2010年 5月 课题名称：通用业务安全关键技术研究及产品开发 项目类型： 联合项目 一、项目信息 课题名称 通用业务安全关键技术研究及产品开发 课题分类 联合项目 主题词 业务、安全 课题预计开始时间 2010年 5月 预计结束时间 2010年 11月 立项经费、预算 30万元（四川公司） 二、立项背景和意义 背景概述 移动互联网时代带来新的安全亟待解决 随着网络 IP化，移动通信网络从闭环结构走向开放系统，以业务软件为载体的数据业务飞速增长，智能终端的兴起给写恶意代码的黑客提供了前所未有机遇。 如今，黑客的主要攻击手段由网络攻击逐渐转向为攻击软件，攻击应用系统。 NIST数据报告： “ 75%以上的攻击都是针对应用系统的安全攻击。 ” 业务系统的设计缺乏安全标准指导 目前中国移动的业务系统，大都是外协开发完成，难于对软件代码质量进行把关，外协厂商提交的应用软件中是否有安全漏洞无从查起，难于防范。 新的移动通信时代，带来开放环境 不健全的信息安全保障体系 软件外协开发，难于保证安全 二、立项背景和意义 背景概述 随着网络 IP化，移动通信网络从封闭走向开放系统；基于移动网络与智能终端的应用增长迅速。 对软件、应用系统的攻击日益增加。 NIST数据报告： “ 75%以上的攻击都是针对应用系统的安全攻击。 ” 新的移动通信时代，带来开放环境 80,000 65,000 Apps 1.5 B Downloads Number of Apps 40,000 App Store 09/6 Source: internet news 08/7 IPhone上应用大量增长，下载量直线上升 ，应用下载成为移动市场新热点。 业务下载 增长迅速 二、立项背景和意义 背景概述 由于业务系统安全问题引起的部分问题举例 2008年 10月，发现移动公话机遭到全面破解，其原因是因为密钥体系设计不合理； 2009年 3月，黑客给王建宙老总发邮件称：部分省市的网上营业厅帐号口令机制安全强度过低，平均 1天可破解一个帐号。 2010年 2月，发现有通过彩信方式向手机终端加载恶意订购程序的问题，并且订购程序具备部分“智能化”升级的功能，可分析二次确认所需的数字信息。 2009年 11月，研究手机涉黄问题时发现其主要原因是不同网元之间的认证机制安全性考虑不足，导致信息来源无法追踪。 一方面，安全威胁逐渐增加； 另一方面，中国移动的安全的设计水平仍存在相当不足。 业务系统的安全设计仍有不足 业务系统大量存 在安全隐患 二、立项背景和意义 背景概述 WAP网关恶意订购问题 可能原因之一是厂家通过预留的远程登录帐号与端口登录，并内置恶意订购程序后代用户执行订购。目前该问题进停留在分析阶段，没有有力证据说明是厂家的恶意行为。 2009年 12月，已上线的手机支付平台业务中发现漏洞 手机钱包帐户的充值页面传输流程与设计不符，可能被篡改并导致话费帐户资金被盗用。 MM应用的安全隐患 MM应用第三方直接开发，而当前并未建立良好的安全检测机制；因此其中可能存在安全隐患，极可能产生恶意订购等危害用户的行为。 . 目前中国移动的业务系统，大都是外协或第三方开发完成；外协厂商提交的应用软件中是否按要求进行了安全措施、是否有安全漏洞等方面均存在问题。 从已有的项目来看，安全测评存在一定漏洞，导致安全问题时有发生。 软件外协开发模式下，需严格进行安全把控 二、立项背景和意义 当前的问题分析 1、业务系统设计 2、业务系统软件设计 3、软件编码 5、业务软件产品 6、业务系统 部署 中国移动进行规范制定 中国移动与外协单位共同进行软件结构设计 C A中 心E C AS erC AS ysC AIC AC od C AR oot C A密 钥 管 理 中 心高 安 全 区 域运营C A4、功能测试 中国移动实施测试，一般以功能为主 大部分由第三方 /外协执行开发，部分由移动和厂家共同开发 中国移动在进行落地实施，与第三方共同维护 二、立项背景和意义 当前的问题分析 事前（部分缺失） 事中（部分缺失） 事后（被动安全） 安全管理部门 4A要求 网络总体技术要求 系统落地安全评估 入侵检测 渗透测试 运行问题报告 目前的安全要求比较抽象，在业务系统设计中容易被业务流程设计忽略。 单个项目的安全方案设计相对孤立，容易产生安全短板。 目前的测试以业务功能为主，难以发现安全实现的问题。 隐患源于当前的设 计、开发与审查模式 被动安全的危害 1. 无安全设计文档，问题的出现无法预估； 2. 补丁机制存在连续性差的问题； 3. 开发中遗留的问题导致大量维护性工作。 技术规范 设备规范 系统功能检测 二、立项背景和意义 解决思路 业务系统安全系统生命周期 设计阶段 编码 测试 上线运维 建立安全测试标准， 增加安全测试环节 代码级审核 ？ 安全设计服务 建立“管理 监控 评估”的全方位安全运维机制 1.加强系统安全设计 明确应用系统可能面对的威胁； 明确应用系统应优先考虑的安全缺陷； 提出面临威胁的缓解手段 ； 设计阶段引入安全防护，为编码与测试提供依据 。 1）通过业务系统安全设计，尽量避免因设计水平造成的安全隐患； 2）通过业务系统安全设计，为编码和测试提供依据，减少安全测 试、评估困难。 二、立项背景和意义 解决思路 事前 二、立项背景和意义 解决思路 2.加强系统安全测评 通过制定标准文档，实现对业务系统中流程、设计的安全审查与评估 通过代码检测（白盒）技术，减少业务系统代码中包含的安全隐患 通过黑盒测试技术对业务系统安全关键流程、关键模块进行检查。 1）通过安全测评标准指导，对业务流程进行安全评估； 2）研究代码白盒测试技术、安全功能黑盒测试技术，对软件产品进 行安全检查。 事中 二、立项背景和意义 解决思路 3.加强系统上线后的安全评估 建立安全基线 实现自动化风险核查 事后 二、立项背景和意义 解决思路 1、业务系统设计 2、业务系统软件设计 3、软件编码 5、业务软件产品 6、业务系统部署 已有的安全检测点 防火墙部署； 入侵检测和保护； 渗透测试； 待实现的安全点 制定业务安全指导规范 实施软件安全测评 C A 中 心E C AS e r C AS y sC AIC AC o d C AR o o t C A密 钥 管 理 中 心高 安 全 区 域运营C A依据规范文件，严格审查软件实现的一致性 4、功能与安全性测试 业务系统安全评估 二、立项背景和意义 背景分析小结 在开放互联的时代，应用多样化的趋势不可阻挡，中国移动业务系统受到的挑战将越来越多。 网络攻击、系统攻击的能力迅速增强； 安全标准欠缺，容易产生安全设计问题； 中国移动的外包或外协的开发模式，使业务系统的开发和实现之间存在一定的差异，成当前系统存在安全隐患； 系统上线后的安全评估机制不完善，造成运维问题。 项目意义 鉴于安全标准不完善、安全设计人员水平不一，需要制定业务系统相关安全规范指导设计开发。 针对短期内外包开发模式难以改变等客观因素，加强业务系统安全检测机制，通过制定安全检测标准、研究安全检查方法保障业务系统安全实施。 研究业务系统安全自评估机制，保障系统安全运维。 加强安全设计、安全检测、安全自评估，解决业务系统安全问题。 三、课题研究目标 定义业务系统标准安全流程 安全设计 安全实现 安全检测 打造全方位业务系统安全保护方法 定义敏感信息安全操作方法 分析安全技术适用环境 增加安全操作实施检测环节与检测技术 研究代码安全检测技术 定义标准安全模块及使用方法 安全标准 安全测评标准 安全测试 系统安全问题分析 研究业务系统属性 分析业务系统面临的威胁 安全威胁分析方法 系统运行安全评估 定义安全基线 开发系统安全自评估工具 制定流程化的管理、执行方法 自评估方法与工具 四、课题研究主要内容 1.研究业务系统安全威胁与对策 研究业务系统属性，分析系统面临的各项威胁；实现威胁分级，提出有效的威胁应对方法。 2. 研究业务系统安全标准 建设通用安全业务模型，设计常用标准安全流程，常用安全技术的分类与推荐。 3. 研究业务系统安全测评技术 研究业务系统安全测评技术，形成业务系统安全测评标准。研究系统评估方法、软件白盒 /黑盒测试工具，提出有效测评方案。 4. 研究业务系统安全自评估技术，开发自评估工具 研究业务安全自评估技术，形成流程化的自评估方案。开发自评估工具，实现自动化评估。 五、研究总体框架 解决业务系统安全问题 研究业务系统安全设计方法 分析典型业务安全问题 研究安全测评方法 系统安全自评估 建立通用安全模型 分析关键流程，推荐安全措施 制定安全标准 建立测评基本模型与标准化流程 制定安全测评标准 分析关键技术，拟定对应测评方法 研究模型化的评估方法 执行系统评估，输出报告 制定评估基线与准则 研究业务威胁及对策 研究业务系统属性 研究安全威胁，进行分级 制定威胁应对策略和方法 执行系统威胁分析 ,提出解决方案 开发自动化评估工具 六、主要技术方案和关键技术 1. 应用安全威胁分析与解决方案研究 技术方案 识别对象 分解对象 识别威胁 威胁分级 缓解威胁 安全威胁分析与解决方法 1)识别对象 识别保护资产。 2)分解对象 分解应用程序的体系结构。 3)识别威胁 以 STRIDE模型识别威胁。 4)威胁分级 以 DREAD算法分级威胁。 5)缓解威胁 选择合理支撑手段缓解威胁。 六、主要技术方案和关键技术 1.应用安全威胁分析与解决方案研究 关键技术 识别对象 通过问卷调查、访谈、现场勘查等方法，了解对象属性。 分解对象 根据 DFD（ Data Flow Diagram）分解对象的内部元素，包括：外部对象、处理过程、数据流（包括控制流）、存储单元、可信区域 识别威胁 以 DFD中每个对象作为单位进行威胁识别 威胁分级 为确认威胁处理优先级 ,将对其进行 DREAD模型分级：潜在的损害（ D）、可在现性（ R）、可利用性（ E）、受影响用户情况（ A）、可发现性（ D） 解决威胁 依据威胁类型，提出威胁解决对策与方法。 六、主要技术方案和关键技术 2. 中国移动业务系统安全标准 技术方案 对现有业务的交互流程、特征 进行 梳理 /分类； 将相类似的业务交互进行模型归类，提出 通用 业务模型 针对不同安全级别的安全功能需求，研究并制定相应的保护机制， 建立 “安全需求 安全 实现机制 /设计模式”映射表 形成 中国移动业务系统安全标准 ，指导业务系统安全设计 分析不同安全模型面临的 安全威胁，安全需求 ； 依托 业务安全风险评估机制 与 中国移动网络与信息总体技术要求 等标准 ， 分析安全需求； 建立“安全威胁 安全需求”映射表 六、主要技术方案和关键技术 2. 中国移动业务系统安全标准 关键技术 通用安全模型的建立 基于 X.805标准，建立基于用户、管理、控制 3个平面的通用业务安全模型。 业务流程安全关键点分析 对业务安全流程中的安全关键点进行分析，分析安全威胁，提出解决方案，形成“威胁 安全需求 ”映射表。 研究不同安全需求在不同应用场景下的解决方法。 关键安全点的归纳与应用 信任凭证 敏感信息 敏感操作 系统互信 访问控制 . 六、主要技术方案和关键技术 3. 中国移动业务系统安全测评标准 技术方案 分析现有业务系统中存在的安全机制实现及可能存在的问题。 结合业务系统实现的过程，梳理安全评估方法、安全检测方法的实现流程，建立流程化的安全测评方法。 研究系统白盒、黑盒测试方法 形成 中国移动业务系统安全测评标准 ，指导业务系统安全测评。 研究业务流程的安全评估方法； 研究常见安全机制的检测方法； 建立“安全 机制 安全 机制测评方法 ”映射表 六、主要技术方案和关键技术 3. 中国移动业务系统安全测评标准 关键技术 建立模型化的安全测评方法 分析业务系统实施过程，提出各个阶段可事实的安全测评技术 形成模型化的安全测评方法 测评技术研究 研究流程安全评估技术 研究代码白盒测试技术 研究安全黑盒测试技术、渗透测试、 Fuzzing测试等技术 测评技术实现 对业务安全流程中实施的不同的安全关键技术进行分析，提出测评方法。结合安全测评模型，形成“安全技术 安全测评方法 ”映射表。 六、主要技术方案和关键技术 4. 安全自评估技术研究及工具开发 技术方案 执行层 基准层 漏洞扫描模块 配置核查模块 统一管理和呈现 管理层 状态监控模块 安全基线 漏洞 配置 状态 六、主要技术方案和关键技术 4. 安全自评估技术研究及工具开发 关键技术 动态基线管理 依据系统运行，制定动态基线，执行动态管理 异常告警与呈现 通过漏洞扫描、配置核查、状态监控，实现异常告警与呈现 统一管理与呈现 统一任务调度 风险趋势分析 资产管理 多角色权限分级 分布式架构 七、项目的难点 项目难点 难点说明 应用安全威胁分析与解决方案研究 应用（软件）安全体系参考 由于目前市场上不具备成型的应用软件安全设计体系，因此加大了本项目的研究难度。 安全设计与移动业务的结合 在安全设计过程中，需要结合已有的广东移动特色设计与编码模式。 已有系统的分析与改造 对于已建成系统，必须重新进行安全设计规划与整改，其引发的变更过程将存在一定危险性。 七、项目的难点 项目难点 难点说明 中国移动业务系统安全标准 制定 建设通用业务安全模型 由于业务的实现与企业的需求相关，目前国内、国际上均无业务系统的安全模型可供参考。需要结合中国移动自身特点进行业务安全模型定义。 业务流程安全风险分析 中国移动业务众多，所涉及的场景非常广泛；分析业务流程及其中的安全风险存在困难。 安全技术分类与推荐 目前国内外无对业务系统的安全等级划分及使用的安全技术推荐，需要根据中国移动特点分析并自定义安全技术的使用场景。 七、项目的难点 项目难点 难点说明 中国移动业务系统安全测评标准 制定 模型化的业务系统安全测评方法建设 目前业内的安全评估依据评估单位的自身实力进行，无统一标准。 有效测评技术的建立 需对每项可能实施的检测进行具体实现的方案研究，具有一定的技术难度。 代码安全标准 目前代码安全没有统一标准，检测工具的选择与开发存在一定技术难度。 安全自评估工