《通用业务安全关键技术研究及产品开发》开题报告.ppt

中国移动通信集团承担部门：研究院、广东公司、四川公司2010年5月,课题名称：通用业务安全关键技术研究及产品开发项目类型：联合项目,一、项目信息,二、立项背景和意义背景概述,移动互联网时代带来新的安全亟待解决,随着网络IP化，移动通信网络从闭环结构走向开放系统，以业务软件为载体的数据业务飞速增长，智能终端的兴起给写恶意代码的黑客提供了前所未有机遇。,如今，黑客的主要攻击手段由网络攻击逐渐转向为攻击软件，攻击应用系统。NIST数据报告：“75%以上的攻击都是针对应用系统的安全攻击。”,业务系统的设计缺乏安全标准指导目前中国移动的业务系统，大都是外协开发完成，难于对软件代码质量进行把关，外协厂商提交的应用软件中是否有安全漏洞无从查起，难于防范。,新的移动通信时代，带来开放环境,不健全的信息安全保障体系,软件外协开发，难于保证安全,二、立项背景和意义背景概述,随着网络IP化，移动通信网络从封闭走向开放系统；基于移动网络与智能终端的应用增长迅速。对软件、应用系统的攻击日益增加。NIST数据报告：“75%以上的攻击都是针对应用系统的安全攻击。”,新的移动通信时代，带来开放环境,80,000,65,000 Apps1.5 B Downloads,Number of Apps,40,000,App Store,09/6,Source:internet news,08/7,IPhone上应用大量增长，下载量直线上升，应用下载成为移动市场新热点。,业务下载增长迅速,二、立项背景和意义背景概述,由于业务系统安全问题引起的部分问题举例2008年10月，发现移动公话机遭到全面破解，其原因是因为密钥体系设计不合理；2009年3月，黑客给王建宙老总发邮件称：部分省市的网上营业厅帐号口令机制安全强度过低，平均1天可破解一个帐号。2010年2月，发现有通过彩信方式向手机终端加载恶意订购程序的问题，并且订购程序具备部分“智能化”升级的功能，可分析二次确认所需的数字信息。2009年11月，研究手机涉黄问题时发现其主要原因是不同网元之间的认证机制安全性考虑不足，导致信息来源无法追踪。,一方面，安全威胁逐渐增加；另一方面，中国移动的安全的设计水平仍存在相当不足。,业务系统的安全设计仍有不足,业务系统大量存在安全隐患,二、立项背景和意义背景概述,WAP网关恶意订购问题可能原因之一是厂家通过预留的远程登录帐号与端口登录，并内置恶意订购程序后代用户执行订购。目前该问题进停留在分析阶段，没有有力证据说明是厂家的恶意行为。2009年12月，已上线的手机支付平台业务中发现漏洞手机钱包帐户的充值页面传输流程与设计不符，可能被篡改并导致话费帐户资金被盗用。MM应用的安全隐患MM应用第三方直接开发，而当前并未建立良好的安全检测机制；因此其中可能存在安全隐患，极可能产生恶意订购等危害用户的行为。.,目前中国移动的业务系统，大都是外协或第三方开发完成；外协厂商提交的应用软件中是否按要求进行了安全措施、是否有安全漏洞等方面均存在问题。从已有的项目来看，安全测评存在一定漏洞，导致安全问题时有发生。,软件外协开发模式下，需严格进行安全把控,二、立项背景和意义当前的问题分析,1、业务系统设计,2、业务系统软件设计,3、软件编码,5、业务软件产品,6、业务系统部署,中国移动进行规范制定,中国移动与外协单位共同进行软件结构设计,4、功能测试,中国移动实施测试，一般以功能为主,大部分由第三方/外协执行开发，部分由移动和厂家共同开发,中国移动在进行落地实施，与第三方共同维护,二、立项背景和意义当前的问题分析,事前（部分缺失）,事中（部分缺失）,事后（被动安全）,安全管理部门4A要求网络总体技术要求,系统落地安全评估入侵检测渗透测试运行问题报告,目前的安全要求比较抽象，在业务系统设计中容易被业务流程设计忽略。,单个项目的安全方案设计相对孤立，容易产生安全短板。目前的测试以业务功能为主，难以发现安全实现的问题。,隐患源于当前的设计、开发与审查模式,被动安全的危害1.无安全设计文档，问题的出现无法预估；2.补丁机制存在连续性差的问题；3.开发中遗留的问题导致大量维护性工作。,技术规范设备规范系统功能检测,二、立项背景和意义解决思路,业务系统安全系统生命周期,设计阶段,编码,测试,上线运维,建立安全测试标准，增加安全测试环节,代码级审核,？,安全设计服务,建立“管理监控评估”的全方位安全运维机制,1.加强系统安全设计明确应用系统可能面对的威胁；明确应用系统应优先考虑的安全缺陷；提出面临威胁的缓解手段；设计阶段引入安全防护，为编码与测试提供依据。,1）通过业务系统安全设计，尽量避免因设计水平造成的安全隐患；2）通过业务系统安全设计，为编码和测试提供依据，减少安全测试、评估困难。,二、立项背景和意义解决思路,事前,二、立项背景和意义解决思路,2.加强系统安全测评通过制定标准文档，实现对业务系统中流程、设计的安全审查与评估通过代码检测（白盒）技术，减少业务系统代码中包含的安全隐患通过黑盒测试技术对业务系统安全关键流程、关键模块进行检查。,1）通过安全测评标准指导，对业务流程进行安全评估；2）研究代码白盒测试技术、安全功能黑盒测试技术，对软件产品进行安全检查。,事中,二、立项背景和意义解决思路,3.加强系统上线后的安全评估建立安全基线实现自动化风险核查,事后,二、立项背景和意义解决思路,1、业务系统设计,2、业务系统软件设计,3、软件编码,5、业务软件产品,6、业务系统部署,已有的安全检测点,防火墙部署；入侵检测和保护；渗透测试；,待实现的安全点,制定业务安全指导规范,实施软件安全测评,依据规范文件，严格审查软件实现的一致性,4、功能与安全性测试,业务系统安全评估,二、立项背景和意义,背景分析小结在开放互联的时代，应用多样化的趋势不可阻挡，中国移动业务系统受到的挑战将越来越多。网络攻击、系统攻击的能力迅速增强；安全标准欠缺，容易产生安全设计问题；中国移动的外包或外协的开发模式，使业务系统的开发和实现之间存在一定的差异，成当前系统存在安全隐患；系统上线后的安全评估机制不完善，造成运维问题。项目意义鉴于安全标准不完善、安全设计人员水平不一，需要制定业务系统相关安全规范指导设计开发。针对短期内外包开发模式难以改变等客观因素，加强业务系统安全检测机制，通过制定安全检测标准、研究安全检查方法保障业务系统安全实施。研究业务系统安全自评估机制，保障系统安全运维。,加强安全设计、安全检测、安全自评估，解决业务系统安全问题。,三、课题研究目标,定义业务系统标准安全流程,定义敏感信息安全操作方法,分析安全技术适用环境,增加安全操作实施检测环节与检测技术,研究代码安全检测技术,定义标准安全模块及使用方法,安全标准,安全测评标准,安全测试,研究业务系统属性,分析业务系统面临的威胁,安全威胁分析方法,定义安全基线,开发系统安全自评估工具,制定流程化的管理、执行方法,自评估方法与工具,四、课题研究主要内容,1.研究业务系统安全威胁与对策 研究业务系统属性，分析系统面临的各项威胁；实现威胁分级，提出有效的威胁应对方法。,2.研究业务系统安全标准 建设通用安全业务模型，设计常用标准安全流程，常用安全技术的分类与推荐。,3.研究业务系统安全测评技术 研究业务系统安全测评技术，形成业务系统安全测评标准。研究系统评估方法、软件白盒/黑盒测试工具，提出有效测评方案。,4.研究业务系统安全自评估技术，开发自评估工具 研究业务安全自评估技术，形成流程化的自评估方案。开发自评估工具，实现自动化评估。,五、研究总体框架,解决业务系统安全问题,研究业务系统安全设计方法,分析典型业务安全问题,研究安全测评方法,系统安全自评估,建立通用安全模型,分析关键流程，推荐安全措施,制定安全标准,建立测评基本模型与标准化流程,制定安全测评标准,分析关键技术，拟定对应测评方法,研究模型化的评估方法,执行系统评估，输出报告,制定评估基线与准则,研究业务威胁及对策,研究业务系统属性,研究安全威胁，进行分级,制定威胁应对策略和方法,执行系统威胁分析,提出解决方案,开发自动化评估工具,六、主要技术方案和关键技术,1.应用安全威胁分析与解决方案研究技术方案,识别对象,分解对象,识别威胁,威胁分级,缓解威胁,安全威胁分析与解决方法,1)识别对象识别保护资产。,2)分解对象分解应用程序的体系结构。,3)识别威胁以STRIDE模型识别威胁。,4)威胁分级以DREAD算法分级威胁。,5)缓解威胁选择合理支撑手段缓解威胁。,六、主要技术方案和关键技术,1.应用安全威胁分析与解决方案研究关键技术识别对象通过问卷调查、访谈、现场勘查等方法，了解对象属性。分解对象根据DFD（Data Flow Diagram）分解对象的内部元素，包括：外部对象、处理过程、数据流（包括控制流）、存储单元、可信区域识别威胁以DFD中每个对象作为单位进行威胁识别威胁分级为确认威胁处理优先级,将对其进行DREAD模型分级：潜在的损害（D）、可在现性（R）、可利用性（E）、受影响用户情况（A）、可发现性（D）解决威胁依据威胁类型，提出威胁解决对策与方法。,六、主要技术方案和关键技术,2.中国移动业务系统安全标准技术方案,对现有业务的交互流程、特征进行梳理/分类；将相类似的业务交互进行模型归类，提出通用业务模型,针对不同安全级别的安全功能需求，研究并制定相应的保护机制，建立“安全需求安全实现机制/设计模式”映射表,技术路线,形成中国移动业务系统安全标准，指导业务系统安全设计,分析不同安全模型面临的安全威胁，安全需求；依托业务安全风险评估机制与中国移动网络与信息总体技术要求等标准，分析安全需求；建立“安全威胁安全需求”映射表,六、主要技术方案和关键技术,2.中国移动业务系统安全标准关键技术通用安全模型的建立基于X.805标准，建立基于用户、管理、控制3个平面的通用业务安全模型。业务流程安全关键点分析对业务安全流程中的安全关键点进行分析，分析安全威胁，提出解决方案，形成“威胁安全需求”映射表。研究不同安全需求在不同应用场景下的解决方法。关键安全点的归纳与应用信任凭证敏感信息敏感操作系统互信访问控制.,六、主要技术方案和关键技术,3.中国移动业务系统安全测评标准技术方案,分析现有业务系统中存在的安全机制实现及可能存在的问题。,结合业务系统实现的过程，梳理安全评估方法、安全检测方法的实现流程，建立流程化的安全测评方法。研究系统白盒、黑盒测试方法,技术路线,形成中国移动业务系统安全测评标准，指导业务系统安全测评。,研究业务流程的安全评估方法；研究常见安全机制的检测方法；建立“安全机制安全机制测评方法”映射表,六、主要技术方案和关键技术,3.中国移动业务系统安全测评标准关键技术建立模型化的安全测评方法分析业务系统实施过程，提出各个阶段可事实的安全测评技术形成模型化的安全测评方法测评技术研究研究流程安全评估技术研究代码白盒测试技术研究安全黑盒测试技术、渗透测试、Fuzzing测试等技术测评技术实现对业务安全流程中实施的不同的安全关键技术进行分析，提出测评方法。结合安全测评模型，形成“安全技术安全测评方法”映射表。,六、主要技术方案和关键技术,4.安全自评估技术研究及工具开发技术方案,六、主要技术方案和关键技术,4.安全自评估技术研究及工具开发关键技术动态基线管理依据系统运行，制定动态基线，执行动态管理异常告警与呈现通过漏洞扫描、配置核查、状态监控，实现异常告警与呈现统一管理与呈现统一任务调度风险趋势分析资产管理多角色权限分级分布式架构,七、项目的难点,七、项目的难点,七、项目的难点,八、本课题的创新点和专利点,创新点模型化的安全威胁分析技术业务系统安全模型的建设模型化的安全测评技术安全基线分析技术分布式系统的安全自评估技术专利点基于数据流的安全威胁分析技术存在专利点形成的可能定制化的安全检测工作中具备发现创新点、形成专利的可能。分布式安全自评估技术安全基线分析技术,九、与本课题有关的研究工作积累和已取得的研究成果,十、项目输出成果,企标2册中国移动业务系统安全标准中国移动业务系统安全测评标准方案2个业务安全基线制定方案广东移动安全设计服务知识库一套自评估工具1套无线音乐运营中心的分布式自评估系统报告3份国内外代码安全检测软件分析报告无线音乐运营中心安全自评估报告广东移动XX系统系统与安全威胁分析报告一套,十一、项目研究实施计划,项目可行性分析,无线音乐平台测试与分析,中国移动业务系统安全标准,系统威胁分析,中国移动业务系统安全测评标准,自评估系统调研分析,自评估系统设计与开发,安全基线制定,测试完成,开题,“高可信SIM发行系统”安全测评,应用威胁分析与策略制定,系统检测验证,结项,测试分析完成,十二、联合项目分工（牵头单位填写）,