中國移動通信集團(tuán) 承擔(dān)部門：研究院、廣東公司、四川公司 2010年 5月 課題名稱：通用業(yè)務(wù)安全關(guān)鍵技術(shù)研究及產(chǎn)品開發(fā) 項目類型： 聯(lián)合項目 一、項目信息 課題名稱 通用業(yè)務(wù)安全關(guān)鍵技術(shù)研究及產(chǎn)品開發(fā) 課題分類 聯(lián)合項目 主題詞 業(yè)務(wù)、安全 課題預(yù)計開始時間 2010年 5月 預(yù)計結(jié)束時間 2010年 11月 立項經(jīng)費、預(yù)算 30萬元（四川公司） 二、立項背景和意義 背景概述 移動互聯(lián)網(wǎng)時代帶來新的安全亟待解決 隨著網(wǎng)絡(luò) IP化，移動通信網(wǎng)絡(luò)從閉環(huán)結(jié)構(gòu)走向開放系統(tǒng)，以業(yè)務(wù)軟件為載體的數(shù)據(jù)業(yè)務(wù)飛速增長，智能終端的興起給寫惡意代碼的黑客提供了前所未有機(jī)遇。 如今，黑客的主要攻擊手段由網(wǎng)絡(luò)攻擊逐漸轉(zhuǎn)向為攻擊軟件，攻擊應(yīng)用系統(tǒng)。 NIST數(shù)據(jù)報告： “ 75%以上的攻擊都是針對應(yīng)用系統(tǒng)的安全攻擊。 ” 業(yè)務(wù)系統(tǒng)的設(shè)計缺乏安全標(biāo)準(zhǔn)指導(dǎo) 目前中國移動的業(yè)務(wù)系統(tǒng)，大都是外協(xié)開發(fā)完成，難于對軟件代碼質(zhì)量進(jìn)行把關(guān)，外協(xié)廠商提交的應(yīng)用軟件中是否有安全漏洞無從查起，難于防范。 新的移動通信時代，帶來開放環(huán)境 不健全的信息安全保障體系 軟件外協(xié)開發(fā)，難于保證安全 二、立項背景和意義 背景概述 隨著網(wǎng)絡(luò) IP化，移動通信網(wǎng)絡(luò)從封閉走向開放系統(tǒng)；基于移動網(wǎng)絡(luò)與智能終端的應(yīng)用增長迅速。 對軟件、應(yīng)用系統(tǒng)的攻擊日益增加。 NIST數(shù)據(jù)報告： “ 75%以上的攻擊都是針對應(yīng)用系統(tǒng)的安全攻擊。 ” 新的移動通信時代，帶來開放環(huán)境 80,000 65,000 Apps 1.5 B Downloads Number of Apps 40,000 App Store 09/6 Source: internet news 08/7 IPhone上應(yīng)用大量增長，下載量直線上升 ，應(yīng)用下載成為移動市場新熱點。 業(yè)務(wù)下載 增長迅速 二、立項背景和意義 背景概述 由于業(yè)務(wù)系統(tǒng)安全問題引起的部分問題舉例 2008年 10月，發(fā)現(xiàn)移動公話機(jī)遭到全面破解，其原因是因為密鑰體系設(shè)計不合理； 2009年 3月，黑客給王建宙老總發(fā)郵件稱：部分省市的網(wǎng)上營業(yè)廳帳號口令機(jī)制安全強(qiáng)度過低，平均 1天可破解一個帳號。 2010年 2月，發(fā)現(xiàn)有通過彩信方式向手機(jī)終端加載惡意訂購程序的問題，并且訂購程序具備部分“智能化”升級的功能，可分析二次確認(rèn)所需的數(shù)字信息。 2009年 11月，研究手機(jī)涉黃問題時發(fā)現(xiàn)其主要原因是不同網(wǎng)元之間的認(rèn)證機(jī)制安全性考慮不足，導(dǎo)致信息來源無法追蹤。 一方面，安全威脅逐漸增加； 另一方面，中國移動的安全的設(shè)計水平仍存在相當(dāng)不足。 業(yè)務(wù)系統(tǒng)的安全設(shè)計仍有不足 業(yè)務(wù)系統(tǒng)大量存 在安全隱患 二、立項背景和意義 背景概述 WAP網(wǎng)關(guān)惡意訂購問題 可能原因之一是廠家通過預(yù)留的遠(yuǎn)程登錄帳號與端口登錄，并內(nèi)置惡意訂購程序后代用戶執(zhí)行訂購。目前該問題進(jìn)停留在分析階段，沒有有力證據(jù)說明是廠家的惡意行為。 2009年 12月，已上線的手機(jī)支付平臺業(yè)務(wù)中發(fā)現(xiàn)漏洞 手機(jī)錢包帳戶的充值頁面?zhèn)鬏斄鞒膛c設(shè)計不符，可能被篡改并導(dǎo)致話費帳戶資金被盜用。 MM應(yīng)用的安全隱患 MM應(yīng)用第三方直接開發(fā)，而當(dāng)前并未建立良好的安全檢測機(jī)制；因此其中可能存在安全隱患，極可能產(chǎn)生惡意訂購等危害用戶的行為。 . 目前中國移動的業(yè)務(wù)系統(tǒng)，大都是外協(xié)或第三方開發(fā)完成；外協(xié)廠商提交的應(yīng)用軟件中是否按要求進(jìn)行了安全措施、是否有安全漏洞等方面均存在問題。 從已有的項目來看，安全測評存在一定漏洞，導(dǎo)致安全問題時有發(fā)生。 軟件外協(xié)開發(fā)模式下，需嚴(yán)格進(jìn)行安全把控 二、立項背景和意義 當(dāng)前的問題分析 1、業(yè)務(wù)系統(tǒng)設(shè)計 2、業(yè)務(wù)系統(tǒng)軟件設(shè)計 3、軟件編碼 5、業(yè)務(wù)軟件產(chǎn)品 6、業(yè)務(wù)系統(tǒng) 部署 中國移動進(jìn)行規(guī)范制定 中國移動與外協(xié)單位共同進(jìn)行軟件結(jié)構(gòu)設(shè)計 C A中 心E C AS erC AS ysC AIC AC od C AR oot C A密 鑰 管 理 中 心高 安 全 區(qū) 域運營C A4、功能測試 中國移動實施測試，一般以功能為主 大部分由第三方 /外協(xié)執(zhí)行開發(fā)，部分由移動和廠家共同開發(fā) 中國移動在進(jìn)行落地實施，與第三方共同維護(hù) 二、立項背景和意義 當(dāng)前的問題分析 事前（部分缺失） 事中（部分缺失） 事后（被動安全） 安全管理部門 4A要求 網(wǎng)絡(luò)總體技術(shù)要求 系統(tǒng)落地安全評估 入侵檢測 滲透測試 運行問題報告 目前的安全要求比較抽象，在業(yè)務(wù)系統(tǒng)設(shè)計中容易被業(yè)務(wù)流程設(shè)計忽略。 單個項目的安全方案設(shè)計相對孤立，容易產(chǎn)生安全短板。 目前的測試以業(yè)務(wù)功能為主，難以發(fā)現(xiàn)安全實現(xiàn)的問題。 隱患源于當(dāng)前的設(shè) 計、開發(fā)與審查模式 被動安全的危害 1. 無安全設(shè)計文檔，問題的出現(xiàn)無法預(yù)估； 2. 補(bǔ)丁機(jī)制存在連續(xù)性差的問題； 3. 開發(fā)中遺留的問題導(dǎo)致大量維護(hù)性工作。 技術(shù)規(guī)范 設(shè)備規(guī)范 系統(tǒng)功能檢測 二、立項背景和意義 解決思路 業(yè)務(wù)系統(tǒng)安全系統(tǒng)生命周期 設(shè)計階段 編碼 測試 上線運維 建立安全測試標(biāo)準(zhǔn)， 增加安全測試環(huán)節(jié) 代碼級審核 ？ 安全設(shè)計服務(wù) 建立“管理 監(jiān)控 評估”的全方位安全運維機(jī)制 1.加強(qiáng)系統(tǒng)安全設(shè)計 明確應(yīng)用系統(tǒng)可能面對的威脅； 明確應(yīng)用系統(tǒng)應(yīng)優(yōu)先考慮的安全缺陷； 提出面臨威脅的緩解手段 ； 設(shè)計階段引入安全防護(hù)，為編碼與測試提供依據(jù) 。 1）通過業(yè)務(wù)系統(tǒng)安全設(shè)計，盡量避免因設(shè)計水平造成的安全隱患； 2）通過業(yè)務(wù)系統(tǒng)安全設(shè)計，為編碼和測試提供依據(jù)，減少安全測 試、評估困難。 二、立項背景和意義 解決思路 事前 二、立項背景和意義 解決思路 2.加強(qiáng)系統(tǒng)安全測評 通過制定標(biāo)準(zhǔn)文檔，實現(xiàn)對業(yè)務(wù)系統(tǒng)中流程、設(shè)計的安全審查與評估 通過代碼檢測（白盒）技術(shù)，減少業(yè)務(wù)系統(tǒng)代碼中包含的安全隱患 通過黑盒測試技術(shù)對業(yè)務(wù)系統(tǒng)安全關(guān)鍵流程、關(guān)鍵模塊進(jìn)行檢查。 1）通過安全測評標(biāo)準(zhǔn)指導(dǎo)，對業(yè)務(wù)流程進(jìn)行安全評估； 2）研究代碼白盒測試技術(shù)、安全功能黑盒測試技術(shù)，對軟件產(chǎn)品進(jìn) 行安全檢查。 事中 二、立項背景和意義 解決思路 3.加強(qiáng)系統(tǒng)上線后的安全評估 建立安全基線 實現(xiàn)自動化風(fēng)險核查 事后 二、立項背景和意義 解決思路 1、業(yè)務(wù)系統(tǒng)設(shè)計 2、業(yè)務(wù)系統(tǒng)軟件設(shè)計 3、軟件編碼 5、業(yè)務(wù)軟件產(chǎn)品 6、業(yè)務(wù)系統(tǒng)部署 已有的安全檢測點 防火墻部署； 入侵檢測和保護(hù)； 滲透測試； 待實現(xiàn)的安全點 制定業(yè)務(wù)安全指導(dǎo)規(guī)范 實施軟件安全測評 C A 中 心E C AS e r C AS y sC AIC AC o d C AR o o t C A密 鑰 管 理 中 心高 安 全 區(qū) 域運營C A依據(jù)規(guī)范文件，嚴(yán)格審查軟件實現(xiàn)的一致性 4、功能與安全性測試 業(yè)務(wù)系統(tǒng)安全評估 二、立項背景和意義 背景分析小結(jié) 在開放互聯(lián)的時代，應(yīng)用多樣化的趨勢不可阻擋，中國移動業(yè)務(wù)系統(tǒng)受到的挑戰(zhàn)將越來越多。 網(wǎng)絡(luò)攻擊、系統(tǒng)攻擊的能力迅速增強(qiáng)； 安全標(biāo)準(zhǔn)欠缺，容易產(chǎn)生安全設(shè)計問題； 中國移動的外包或外協(xié)的開發(fā)模式，使業(yè)務(wù)系統(tǒng)的開發(fā)和實現(xiàn)之間存在一定的差異，成當(dāng)前系統(tǒng)存在安全隱患； 系統(tǒng)上線后的安全評估機(jī)制不完善，造成運維問題。 項目意義 鑒于安全標(biāo)準(zhǔn)不完善、安全設(shè)計人員水平不一，需要制定業(yè)務(wù)系統(tǒng)相關(guān)安全規(guī)范指導(dǎo)設(shè)計開發(fā)。 針對短期內(nèi)外包開發(fā)模式難以改變等客觀因素，加強(qiáng)業(yè)務(wù)系統(tǒng)安全檢測機(jī)制，通過制定安全檢測標(biāo)準(zhǔn)、研究安全檢查方法保障業(yè)務(wù)系統(tǒng)安全實施。 研究業(yè)務(wù)系統(tǒng)安全自評估機(jī)制，保障系統(tǒng)安全運維。 加強(qiáng)安全設(shè)計、安全檢測、安全自評估，解決業(yè)務(wù)系統(tǒng)安全問題。 三、課題研究目標(biāo) 定義業(yè)務(wù)系統(tǒng)標(biāo)準(zhǔn)安全流程 安全設(shè)計 安全實現(xiàn) 安全檢測 打造全方位業(yè)務(wù)系統(tǒng)安全保護(hù)方法 定義敏感信息安全操作方法 分析安全技術(shù)適用環(huán)境 增加安全操作實施檢測環(huán)節(jié)與檢測技術(shù) 研究代碼安全檢測技術(shù) 定義標(biāo)準(zhǔn)安全模塊及使用方法 安全標(biāo)準(zhǔn) 安全測評標(biāo)準(zhǔn) 安全測試 系統(tǒng)安全問題分析 研究業(yè)務(wù)系統(tǒng)屬性 分析業(yè)務(wù)系統(tǒng)面臨的威脅 安全威脅分析方法 系統(tǒng)運行安全評估 定義安全基線 開發(fā)系統(tǒng)安全自評估工具 制定流程化的管理、執(zhí)行方法 自評估方法與工具 四、課題研究主要內(nèi)容 1.研究業(yè)務(wù)系統(tǒng)安全威脅與對策 研究業(yè)務(wù)系統(tǒng)屬性，分析系統(tǒng)面臨的各項威脅；實現(xiàn)威脅分級，提出有效的威脅應(yīng)對方法。 2. 研究業(yè)務(wù)系統(tǒng)安全標(biāo)準(zhǔn) 建設(shè)通用安全業(yè)務(wù)模型，設(shè)計常用標(biāo)準(zhǔn)安全流程，常用安全技術(shù)的分類與推薦。 3. 研究業(yè)務(wù)系統(tǒng)安全測評技術(shù) 研究業(yè)務(wù)系統(tǒng)安全測評技術(shù)，形成業(yè)務(wù)系統(tǒng)安全測評標(biāo)準(zhǔn)。研究系統(tǒng)評估方法、軟件白盒 /黑盒測試工具，提出有效測評方案。 4. 研究業(yè)務(wù)系統(tǒng)安全自評估技術(shù)，開發(fā)自評估工具 研究業(yè)務(wù)安全自評估技術(shù)，形成流程化的自評估方案。開發(fā)自評估工具，實現(xiàn)自動化評估。 五、研究總體框架 解決業(yè)務(wù)系統(tǒng)安全問題 研究業(yè)務(wù)系統(tǒng)安全設(shè)計方法 分析典型業(yè)務(wù)安全問題 研究安全測評方法 系統(tǒng)安全自評估 建立通用安全模型 分析關(guān)鍵流程，推薦安全措施 制定安全標(biāo)準(zhǔn) 建立測評基本模型與標(biāo)準(zhǔn)化流程 制定安全測評標(biāo)準(zhǔn) 分析關(guān)鍵技術(shù)，擬定對應(yīng)測評方法 研究模型化的評估方法 執(zhí)行系統(tǒng)評估，輸出報告 制定評估基線與準(zhǔn)則 研究業(yè)務(wù)威脅及對策 研究業(yè)務(wù)系統(tǒng)屬性 研究安全威脅，進(jìn)行分級 制定威脅應(yīng)對策略和方法 執(zhí)行系統(tǒng)威脅分析 ,提出解決方案 開發(fā)自動化評估工具 六、主要技術(shù)方案和關(guān)鍵技術(shù) 1. 應(yīng)用安全威脅分析與解決方案研究 技術(shù)方案 識別對象 分解對象 識別威脅 威脅分級 緩解威脅 安全威脅分析與解決方法 1)識別對象 識別保護(hù)資產(chǎn)。 2)分解對象 分解應(yīng)用程序的體系結(jié)構(gòu)。 3)識別威脅 以 STRIDE模型識別威脅。 4)威脅分級 以 DREAD算法分級威脅。 5)緩解威脅 選擇合理支撐手段緩解威脅。 六、主要技術(shù)方案和關(guān)鍵技術(shù) 1.應(yīng)用安全威脅分析與解決方案研究 關(guān)鍵技術(shù) 識別對象 通過問卷調(diào)查、訪談、現(xiàn)場勘查等方法，了解對象屬性。 分解對象 根據(jù) DFD（ Data Flow Diagram）分解對象的內(nèi)部元素，包括：外部對象、處理過程、數(shù)據(jù)流（包括控制流）、存儲單元、可信區(qū)域 識別威脅 以 DFD中每個對象作為單位進(jìn)行威脅識別 威脅分級 為確認(rèn)威脅處理優(yōu)先級 ,將對其進(jìn)行 DREAD模型分級：潛在的損害（ D）、可在現(xiàn)性（ R）、可利用性（ E）、受影響用戶情況（ A）、可發(fā)現(xiàn)性（ D） 解決威脅 依據(jù)威脅類型，提出威脅解決對策與方法。 六、主要技術(shù)方案和關(guān)鍵技術(shù) 2. 中國移動業(yè)務(wù)系統(tǒng)安全標(biāo)準(zhǔn) 技術(shù)方案 對現(xiàn)有業(yè)務(wù)的交互流程、特征 進(jìn)行 梳理 /分類； 將相類似的業(yè)務(wù)交互進(jìn)行模型歸類，提出 通用 業(yè)務(wù)模型 針對不同安全級別的安全功能需求，研究并制定相應(yīng)的保護(hù)機(jī)制， 建立 “安全需求 安全 實現(xiàn)機(jī)制 /設(shè)計模式”映射表 形成 中國移動業(yè)務(wù)系統(tǒng)安全標(biāo)準(zhǔn) ，指導(dǎo)業(yè)務(wù)系統(tǒng)安全設(shè)計 分析不同安全模型面臨的 安全威脅，安全需求 ； 依托 業(yè)務(wù)安全風(fēng)險評估機(jī)制 與 中國移動網(wǎng)絡(luò)與信息總體技術(shù)要求 等標(biāo)準(zhǔn) ， 分析安全需求； 建立“安全威脅 安全需求”映射表 六、主要技術(shù)方案和關(guān)鍵技術(shù) 2. 中國移動業(yè)務(wù)系統(tǒng)安全標(biāo)準(zhǔn) 關(guān)鍵技術(shù) 通用安全模型的建立 基于 X.805標(biāo)準(zhǔn)，建立基于用戶、管理、控制 3個平面的通用業(yè)務(wù)安全模型。 業(yè)務(wù)流程安全關(guān)鍵點分析 對業(yè)務(wù)安全流程中的安全關(guān)鍵點進(jìn)行分析，分析安全威脅，提出解決方案，形成“威脅 安全需求 ”映射表。 研究不同安全需求在不同應(yīng)用場景下的解決方法。 關(guān)鍵安全點的歸納與應(yīng)用 信任憑證 敏感信息 敏感操作 系統(tǒng)互信 訪問控制 . 六、主要技術(shù)方案和關(guān)鍵技術(shù) 3. 中國移動業(yè)務(wù)系統(tǒng)安全測評標(biāo)準(zhǔn) 技術(shù)方案 分析現(xiàn)有業(yè)務(wù)系統(tǒng)中存在的安全機(jī)制實現(xiàn)及可能存在的問題。 結(jié)合業(yè)務(wù)系統(tǒng)實現(xiàn)的過程，梳理安全評估方法、安全檢測方法的實現(xiàn)流程，建立流程化的安全測評方法。 研究系統(tǒng)白盒、黑盒測試方法 形成 中國移動業(yè)務(wù)系統(tǒng)安全測評標(biāo)準(zhǔn) ，指導(dǎo)業(yè)務(wù)系統(tǒng)安全測評。 研究業(yè)務(wù)流程的安全評估方法； 研究常見安全機(jī)制的檢測方法； 建立“安全 機(jī)制 安全 機(jī)制測評方法 ”映射表 六、主要技術(shù)方案和關(guān)鍵技術(shù) 3. 中國移動業(yè)務(wù)系統(tǒng)安全測評標(biāo)準(zhǔn) 關(guān)鍵技術(shù) 建立模型化的安全測評方法 分析業(yè)務(wù)系統(tǒng)實施過程，提出各個階段可事實的安全測評技術(shù) 形成模型化的安全測評方法 測評技術(shù)研究 研究流程安全評估技術(shù) 研究代碼白盒測試技術(shù) 研究安全黑盒測試技術(shù)、滲透測試、 Fuzzing測試等技術(shù) 測評技術(shù)實現(xiàn) 對業(yè)務(wù)安全流程中實施的不同的安全關(guān)鍵技術(shù)進(jìn)行分析，提出測評方法。結(jié)合安全測評模型，形成“安全技術(shù) 安全測評方法 ”映射表。 六、主要技術(shù)方案和關(guān)鍵技術(shù) 4. 安全自評估技術(shù)研究及工具開發(fā) 技術(shù)方案 執(zhí)行層 基準(zhǔn)層 漏洞掃描模塊 配置核查模塊 統(tǒng)一管理和呈現(xiàn) 管理層 狀態(tài)監(jiān)控模塊 安全基線 漏洞 配置 狀態(tài) 六、主要技術(shù)方案和關(guān)鍵技術(shù) 4. 安全自評估技術(shù)研究及工具開發(fā) 關(guān)鍵技術(shù) 動態(tài)基線管理 依據(jù)系統(tǒng)運行，制定動態(tài)基線，執(zhí)行動態(tài)管理 異常告警與呈現(xiàn) 通過漏洞掃描、配置核查、狀態(tài)監(jiān)控，實現(xiàn)異常告警與呈現(xiàn) 統(tǒng)一管理與呈現(xiàn) 統(tǒng)一任務(wù)調(diào)度 風(fēng)險趨勢分析 資產(chǎn)管理 多角色權(quán)限分級 分布式架構(gòu) 七、項目的難點 項目難點 難點說明 應(yīng)用安全威脅分析與解決方案研究 應(yīng)用（軟件）安全體系參考 由于目前市場上不具備成型的應(yīng)用軟件安全設(shè)計體系，因此加大了本項目的研究難度。 安全設(shè)計與移動業(yè)務(wù)的結(jié)合 在安全設(shè)計過程中，需要結(jié)合已有的廣東移動特色設(shè)計與編碼模式。 已有系統(tǒng)的分析與改造 對于已建成系統(tǒng)，必須重新進(jìn)行安全設(shè)計規(guī)劃與整改，其引發(fā)的變更過程將存在一定危險性。 七、項目的難點 項目難點 難點說明 中國移動業(yè)務(wù)系統(tǒng)安全標(biāo)準(zhǔn) 制定 建設(shè)通用業(yè)務(wù)安全模型 由于業(yè)務(wù)的實現(xiàn)與企業(yè)的需求相關(guān)，目前國內(nèi)、國際上均無業(yè)務(wù)系統(tǒng)的安全模型可供參考。需要結(jié)合中國移動自身特點進(jìn)行業(yè)務(wù)安全模型定義。 業(yè)務(wù)流程安全風(fēng)險分析 中國移動業(yè)務(wù)眾多，所涉及的場景非常廣泛；分析業(yè)務(wù)流程及其中的安全風(fēng)險存在困難。 安全技術(shù)分類與推薦 目前國內(nèi)外無對業(yè)務(wù)系統(tǒng)的安全等級劃分及使用的安全技術(shù)推薦，需要根據(jù)中國移動特點分析并自定義安全技術(shù)的使用場景。 七、項目的難點 項目難點 難點說明 中國移動業(yè)務(wù)系統(tǒng)安全測評標(biāo)準(zhǔn) 制定 模型化的業(yè)務(wù)系統(tǒng)安全測評方法建設(shè) 目前業(yè)內(nèi)的安全評估依據(jù)評估單位的自身實力進(jìn)行，無統(tǒng)一標(biāo)準(zhǔn)。 有效測評技術(shù)的建立 需對每項可能實施的檢測進(jìn)行具體實現(xiàn)的方案研究，具有一定的技術(shù)難度。 代碼安全標(biāo)準(zhǔn) 目前代碼安全沒有統(tǒng)一標(biāo)準(zhǔn)，檢測工具的選擇與開發(fā)存在一定技術(shù)難度。 安全自評估工