《通用业务安全关键技术研究及产品开发》由会员分享,可在线阅读,更多相关《通用业务安全关键技术研究及产品开发(29页珍藏版)》请在金锄头文库上搜索。
1、中国移动集团重点中国移动集团重点/ /联合研发项目联合研发项目结题汇报报告结题汇报报告项目名称:中国移动通信集团广东有限公司系统应用项目名称:中国移动通信集团广东有限公司系统应用安全设计服务可行性研究安全设计服务可行性研究项目编号:项目编号:第2页一一一一. . . . 开题计划完成情况开题计划完成情况目目 录录二、主要研究成果(整合后)二、主要研究成果(整合后)第3页1.1 1.1 研究背景及目标(开题报告)研究背景及目标(开题报告) 移动运营商的业务系统飞速发展过程中存在的安全问题:现状:常见的安全解决方案都适用于编码开发阶段、测试和上线运维阶段,应用系统需求方在设计阶段设计阶段缺乏对安全
2、架构的全面考虑、缺乏对可能面临的安全威胁进行彻底的分析;困境:各种预警、检测、防御、抑制与修正等安全防护手段在业务系统上线后才进行考虑,导致应用系统无法对威胁进行有效的根除、信息安全的建设方式处于被动状态、使用的安全技术不适宜业务系统的功能性及易用性;第4页1.1 1.1 研究背景及目标(开题报告)研究背景及目标(开题报告)事前(不完善)事前(不完善)事前(不完善)事前(不完善)事中(不完善)事中(不完善)事中(不完善)事中(不完善)事后(被动安全)事后(被动安全)事后(被动安全)事后(被动安全)管控平台要求敏感信息保护要求网络总体技术要求系统落地安全评估漏洞检测渗透测试运行问题报告目前缺乏对
3、业务系统的目前缺乏对业务系统的具体安全要求,在业务具体安全要求,在业务系统设计中容易被业务系统设计中容易被业务流程设计忽略。流程设计忽略。业务系统的安全方案设业务系统的安全方案设计、实现、检测方面存计、实现、检测方面存在不完善之处,容易产在不完善之处,容易产生安全短板。生安全短板。 被动安全的危害被动安全的危害1. 无安全设计文档,问题的出现无安全设计文档,问题的出现无法预估;无法预估;2. 补丁机制存在连续性差的问题;补丁机制存在连续性差的问题;3. 开发中遗留的问题导致大量维护开发中遗留的问题导致大量维护性工作。性工作。技术规范设备规范系统检测第5页1.1 1.1 研究背景及目标(开题报告
4、)研究背景及目标(开题报告)正常安全检查流程正常安全检查流程早期引入安全检查早期引入安全检查*Gartner 2001分析数据。分析数据。第6页1.1 1.1 研究背景及目标(开题报告)研究背景及目标(开题报告) SDLC(Software Development Life Cycle)由英国政府在上世纪80年代提出,用于统一各机关单位与贸易机构的软件开发过程,后被业界广为引用,成为业内标准。 SDL(Security Development Life Cycle)由微软等几家业内软件与安全机构所提出并维护用于为业内提供一套可参照的软件安全开发模型(2006年,stack公司采用该方法为微软提
5、供针对MSSQL SERVER 2007产品线的安全设计服务)。第7页针对分析设计阶段-研究业务安全分析技术-明确应用系统可能面对的威胁;-明确应用系统应考虑的安全缺陷。-提出业务安全设计方法-建立通用业务安全模型;-提出面临威胁的解决手段、设计业务安全流程;-为开发与测试提供依据。-制定标准文档,指导业务分析设计。输出:广东移动4A系统系统与安全威胁分析报告广东移动安全设计服务知识库1.2 1.2 研究目标(开题报告)研究目标(开题报告)业务系统业务系统安全生命周期安全生命周期SDL分析设计阶段编码实现测试上线运维第8页1.2 1.2 研究目标(开题报告)研究目标(开题报告) 针对中国移动业
6、务系统的安全建设,在业务系统的分析设计分析设计阶段阶段对安全架构进行设计、对威胁分析体系进行研究。 本软课题将引入国际化标准的应用安全设计理念,结合广东移动固有应用系统设计流程,研究出一套具有广东移动特色的应用安全设计体系; 研究成果将逐渐在省公司内部应用系统实施,从根本上消除在设计阶段产生的固有威胁,提升应用系统安全性、形成完备的安全保护体系、节省后期的安全投入;第9页1.3 1.3 主要研究内容及分工(开题报告)主要研究内容及分工(开题报告) 单位单位分工内容分工内容输出成果输出成果负责人负责人中国移动通信集团广东有限公司针对广东移动4A系统,在其进行“需求分析/架构设计”阶段开始介入,参
7、照国外“威胁建模”最佳实践,开展安全架构设计,在实施过程中提炼出安全设计分析结果、威胁分析模型。广东移动4A系统系统与安全威胁分析报告北京启明星辰信息安全技术有限公司参与广东移动4A系统的威胁调研、建模分析、数据流分析、缓解手段分析,研究总结针对广东移动业务系统的安全设计规范、安全设计知识库广东移动安全设计服务知识库、安全设计服务成果文档-范例文件 。第10页1.3 1.3 开题计划完成情况总结开题计划完成情况总结序号序号工作内容工作内容周期周期占用时间占用时间1 1项目启动项目启动20102010年年7 7月月2121日日一个工作日一个工作日1.11.1 项目启动会项目启动会20102010
8、年年7 7月月2121日日一个工作日一个工作日2 2项目实施项目实施20102010年年7 7月月2222日日-11-11月月1414日日十五个工作周十五个工作周2.12.1 项目调研项目调研20102010年年7 7月月2222日日-7-7月月2929日日一个工作周一个工作周2.22.2 资产对象收集资产对象收集20102010年年7 7月月3030日日-8-8月月1313日日两个工作周两个工作周2.32.3 资产对象分析资产对象分析20102010年年8 8月月1616日日-8-8月月3030日日两个工作周两个工作周2.42.4 资产对象威胁分析资产对象威胁分析20102010年年8 8月
9、月3131日日-9-9月月1414日日两个工作周两个工作周2.52.5 资产对象威胁分级资产对象威胁分级20102010年年9 9月月1515日日-9-9月月2929日日两个工作周两个工作周2.62.6 资产对象威胁缓解分析资产对象威胁缓解分析20102010年年1010月月4 4日日-10-10月月1717日日两个工作周两个工作周2.72.7 威胁模型整理威胁模型整理20102010年年1010月月1818日日-10-10月月3131日日两个工作周两个工作周2.82.8 编写知识库编写知识库20102010年年1111月月1 1日日-11-11月月1414日日两个工作周两个工作周3 3成果检
10、验成果检验20102010年年1111月月1515日日-12-12月月1 1日日两个工作周两个工作周3.13.1 安全检查与渗透测试安全检查与渗透测试20102010年年1111月月1414日日-11-11月月2222日日一个工作周一个工作周3.23.2 成果调整与整理成果调整与整理20102010年年1111月月2222日日-12-12月月1 1日日一个工作周一个工作周4 4项目汇报终验项目汇报终验20102010年年1212月月2 2日日一个工作日一个工作日4.14.1 项目汇报会项目汇报会20102010年年1212月月2 2日日一个工作日一个工作日项目实施进度:第11页1.3 1.3
11、开题计划完成情况总结开题计划完成情况总结第一阶段:项目调研-主要工作内容:进行系统设计工作流程调研与广东移动具体设计系统需求调研;-实施周期:2010年7月22日-7月29日(一个工作周)第二阶段:资产对象分析-主要工作内容:对广东移动具体设计系统进行对象分析与数据流分析;-实施周期:2010年7月30日-8月30日(四个工作周)第三阶段:资产对象威胁分析-主要工作内容:对广东移动具体设计系统进行威胁分析与分级;-实施周期:2010年8月31日-9月29日(四个工作周)项目实施进度:第12页1.3 1.3 开题计划完成情况总结开题计划完成情况总结第四阶段:资产对象威胁缓解分析-主要工作内容:对
12、广东移动具体设计系统进行威胁缓解分析、模型整理;-实施周期:2010年10月4日-10月31日(四个工作周)第五阶段:成果整理-主要工作内容:整理广东移动具体设计系统安全设计成果文档与广东移动安全设计知识库并验证;-实施周期:2010年11月1日-12月1日(四个工作周)项目实施进度:第13页1.3 1.3 开题计划完成情况总结开题计划完成情况总结p由于目前市场上不具备非常成熟的安全设计体系,因此加大了本项目的研究难度;p在安全设计过程中,需要结合广东移动现有业务系统的特色设计与编码模式;p对于已建成业务系统,必须重新进行安全设计规划与整改,其引发的变更过程将存在一定危险性。n针对上述问题,必
13、须通过充分的调研与研究实践来克服。项目难点:第14页一一. . 开题计划完成情况开题计划完成情况目目 录录二、主要研究成果(整合后)二、主要研究成果(整合后)第15页2.1 2.1 主要研究成果主要研究成果- -技术方案技术方案对象对象分解识别威胁威胁分级结合移动业务实现的具体场景安全威胁分析与解决方案研究技术方案针对移动业务系统的实现,需要结合业务系统的应用场景,进行系统化、实例化的安全分析。依据标准化的安全业务流程要求选取或设计威胁解决方法关键技术关键技术执行系统安全威胁分析、制定解决方案。第16页2.1 2.1 主要研究成果主要研究成果- -设计流程设计流程分解对象识别威胁威胁分级缓解威
14、胁安全设计服务基本流程1)分解对象分解应用程序的体系结构。2)识别威胁以STRIDE模型识别威胁。3)威胁分级以DREAD算法分级威胁。4)缓解威胁选择合理支撑手段缓解威胁。安全设计服务具体实践-范例成果;安全设计服务实施方法-知识库;第17页2.1 2.1 主要研究成果主要研究成果- -安全设计服务模板安全设计服务模板资产对象威胁缓解说明资产对象威胁缓解说明流程、方法流程、方法资产对象分解说明资产对象分解说明流程、方法流程、方法资产对象威胁分析说明资产对象威胁分析说明流程、方法流程、方法安全设计知识库安全设计知识库资产对象威胁分级说明资产对象威胁分级说明流程、方法流程、方法第18页2.2.2
15、 2 主要研究成果主要研究成果- -分解对象流程分解对象流程流程参与者:流程参与者:架构设计师、安全设计分析师。其它流程:其它流程:威胁分析阶段。活动内容:活动内容:由架构设计师提供在软件设计阶段生成的概要设计与详细设计文档,并由安全设计分析师针对该类型文档进行基于数据流(DFD)的组件分析、关系分析与约束分析,最终生成对象分析结果并转发至威胁分析阶段。第19页2.2.3 3 主要研究成果主要研究成果- -分解对象方法分解对象方法根据DFD(Data Flow Diagram)分解对象的内部元素:-外部对象-处理过程-数据流(包括控制流)-存储单元-可信区域范例:阶段成果:-广东移动4A认证服
16、务器组件对象分解说明-广东移动业务系统安全设计规范_对象分解实施指南 第20页2.2.4 4 主要研究成果主要研究成果- -威胁分析流程威胁分析流程流程参与者:流程参与者:安全设计分析师。其它流程:其它流程:对象分解阶段、威胁分级阶段。活动内容:活动内容:首先通过对象分解阶段提供的对象分解结果以及本文所提供的威胁类型说明内容进行针对各单元的威胁分析,生成相关的威胁列表与威胁树,综合整理为威胁分析结果并转发至威胁分级阶段。第21页2.2.5 5 主要研究成果主要研究成果- -威胁分析方法威胁分析方法以DFD中每个对象作为单位进行威胁识别,内容包括:-欺骗(Spoofing)-干预(Tamperi
17、ng)-抵赖(Repudiation)-泄露(Information Disclosure)-拒绝服务(Denial of Service)-权限提升(Elevation of Privilege)范例:阶段成果:-广东移动4A认证服务器组件威胁分析说明-广东移动业务系统安全设计规范_威胁分析实施指南第22页2.2.6 6 主要研究成果主要研究成果- -威胁分级流程威胁分级流程流程参与者:流程参与者:安全设计分析师。其它流程:其它流程:威胁分析阶段、威胁缓解阶段。活动内容:活动内容:导入威胁分析阶段得到的威胁分析结果,并结合本文提供的威胁计算方式以及对象威胁等级计算方法,生成威胁分级说明转发至
18、威胁缓解阶段。第23页2.2.7 7 主要研究成果主要研究成果- -威胁分级方法威胁分级方法为确认威胁处理优先级,将对其进行DREAD模型分级:-潜在的损害(D)-可再现性(R)-可利用性(E)-受影响用户情况(A)-可发现性(D)范例:阶段成果:-广东移动4A认证服务器组件威胁分级说明-广东移动业务系统安全设计规范_威胁分级实施指南第24页2.2.8 8 主要研究成果主要研究成果- -威胁缓解流程威胁缓解流程流程参与者:流程参与者:安全设计分析师、架构设计师。其它流程:其它流程:威胁分级阶段。活动内容:活动内容:根据威胁分级阶段得出的威胁分级说明文档作为前置分析条件,根据客观条件与成本投入情
19、况选择缓解类型与缓解方式,并最终生成威胁缓解说明,为架构设计师提供以安全为驱动的架构设计建议。第25页2.2.9 9 主要研究成果主要研究成果- -缓解威胁方法缓解威胁方法针对威胁提出合理的缓解办法,主要以“4T”解决方案作为蓝图:阶段成果:-广东移动4A认证服务器组件威胁缓解说明-广东移动业务系统安全设计规范_威胁缓解实施指南控制措施控制措施 简述简述 解决办法解决办法 抑制(抑制(TreatmentTreatment)采用适当的控制措施采用适当的控制措施1 1识别已有安全控制措施;识别已有安全控制措施;2 2选择合适的风险控制措施,主要从减少威胁、减少脆弱点、减少风险发生的可能选择合适的风
20、险控制措施,主要从减少威胁、减少脆弱点、减少风险发生的可能性等方面进行考虑,并通过管理和技术手段部署、实施;性等方面进行考虑,并通过管理和技术手段部署、实施;3 3制定风险处理计划制定风险处理计划/ /方案,内容包括责任人、开始实施时间、预计结束时间、预方案,内容包括责任人、开始实施时间、预计结束时间、预期残留风险;期残留风险;4 4执行控制措施并跟踪执行情况;执行控制措施并跟踪执行情况;5 5根据新实施的控制措施需要,决定是否进行相应的技能、意识培训;根据新实施的控制措施需要,决定是否进行相应的技能、意识培训;6 6需要注意的是,选择的控制措施本身可能包含脆弱点并导致新的风险。所以在选需要注
21、意的是,选择的控制措施本身可能包含脆弱点并导致新的风险。所以在选择适当的控制措施时,必须非常谨慎,既要处理风险也要避免引入潜在的新风险。择适当的控制措施时,必须非常谨慎,既要处理风险也要避免引入潜在的新风险。 接受(接受(ToleranceTolerance)在明显满足组织方针政策和接受风险的准在明显满足组织方针政策和接受风险的准则的条件下,有意识地、客观地接受风险则的条件下,有意识地、客观地接受风险1.1.对于因成本原因暂时未处置的残余风险或当前可接受的低等级风险,组织需制定对于因成本原因暂时未处置的残余风险或当前可接受的低等级风险,组织需制定风险容忍标准,通常称为风险接受准则;风险容忍标准
22、,通常称为风险接受准则;2.2.需要注意到是,对于可接受准则范围内的风险也要加强管控,防止其引发新的或需要注意到是,对于可接受准则范围内的风险也要加强管控,防止其引发新的或重大的安全风险。重大的安全风险。 规避(规避(TerminateTerminate)避免风险避免风险1.1.对资产进行严格管控,使其尽量不受到风险的影响;对资产进行严格管控,使其尽量不受到风险的影响;2.2.此项措施现实操作比较不易实现。如将服务器单独锁在防火的保险柜中,虽可以此项措施现实操作比较不易实现。如将服务器单独锁在防火的保险柜中,虽可以保护服务器免受黑客攻击、盗窃、非授权访问等风险,但其真正价值也无从体现。保护服务
23、器免受黑客攻击、盗窃、非授权访问等风险,但其真正价值也无从体现。 转移(转移(TransferTransfer)将相关业务风险转移到其他方,如:保险,将相关业务风险转移到其他方,如:保险,供应商等供应商等1.1.组织转嫁相关业务风险;组织转嫁相关业务风险;2.2.选择购买保险、选择合适的供应商等方式进行。选择购买保险、选择合适的供应商等方式进行。第26页2.2.1010 主要研究成果主要研究成果编号编号成果成果备注备注1 1广东移动广东移动4A4A认证服务器组件安全分析报告认证服务器组件安全分析报告, ,包括包括: :- -广东移动广东移动4A4A认证服务器组件对象分析说明认证服务器组件对象分
24、析说明- -广东移动广东移动4A4A认证服务器组件威胁分析说明认证服务器组件威胁分析说明- -广东移动广东移动4A4A认证服务器组件威胁分级说明认证服务器组件威胁分级说明- -广东移动广东移动4A4A认证服务器组件威胁缓解说明认证服务器组件威胁缓解说明安全设计服务具体实践安全设计服务具体实践- -范例成果范例成果2 2广东移动业务系统安全设计规范广东移动业务系统安全设计规范_ _对象分解实施指南对象分解实施指南安全设计服务实施方法安全设计服务实施方法- -知识库知识库3 3广东移动业务系统安全设计规范广东移动业务系统安全设计规范_ _威胁分析实施指南威胁分析实施指南安全设计服务实施方法安全设计
25、服务实施方法- -知识库知识库4 4广东移动业务系统安全设计规范广东移动业务系统安全设计规范_ _威胁分级实施指南威胁分级实施指南安全设计服务实施方法安全设计服务实施方法- -知识库知识库5 5广东移动业务系统安全设计规范广东移动业务系统安全设计规范_ _威胁缓解实施指南威胁缓解实施指南安全设计服务实施方法安全设计服务实施方法- -知识库知识库第27页2.2.1111 主要研究成果主要研究成果 通过对广东移动4A认证服务器进行分析,发现三个威胁:威胁编号威胁编号威胁名称威胁名称威胁目标威胁目标威胁等级威胁等级#1#1网络层获取认证凭证网络层获取认证凭证请求登陆请求登陆高高#2#2绕过认证过程绕
26、过认证过程验证凭证验证凭证中中#3#3非法用户非法用户SessionSession数据查询与篡改数据查询与篡改查询凭证查询凭证高高 整改情况:威胁编号威胁编号整改方法整改方法整改情况整改情况整改效果整改效果#1#1使用使用SSLv3SSLv3加密通讯方式。加密通讯方式。已于已于20102010年年9 9月月1414日前整日前整改完成。改完成。避免认证凭证被避免认证凭证被主动与被动式嗅主动与被动式嗅探。探。#2#2使用动态令牌认证系统代替生物认使用动态令牌认证系统代替生物认证类型认证系统。证类型认证系统。已于已于20102010年年9 9月月1414日前整日前整改完成。改完成。保证不会出现认保证不会出现认证错误识别。证错误识别。#3#3严格过滤所有客户端提交的内容。严格过滤所有客户端提交的内容。已于已于20102010年年9 9月月1414日前整日前整改完成。改完成。防止用户防止用户SessionSession数据库被数据库被SQLSQL注入注入攻击。攻击。第28页2.2.1212 主要研究成果主要研究成果- -创新点和专利点创新点和专利点创新点-模型化的安全威胁分析技术研究;-业务系统威胁缓解分析技术研究;-结合广东移动软件开发生命周期的安全设计服务研究。专利点-基于数据流的安全威胁分析技术存在专利点形成的可能。第29页29结束结束谢谢大家!
