運(yùn)營商能力開放安全控制方案研究

孫盛婷 朱奕健

【摘要】 本文分析了運(yùn)營商能力開放的背景，運(yùn)營商融入數(shù)字業(yè)務(wù)創(chuàng)新浪潮的必然性。運(yùn)營商將所具備能力全面開放，搭建外部調(diào)用統(tǒng)一入口，聚合各類互聯(lián)網(wǎng)要素，圍繞企業(yè)“互聯(lián)網(wǎng)+”轉(zhuǎn)型的核心要素，提供豐富能力，使企業(yè)的生產(chǎn)服務(wù)過程能夠快速進(jìn)行互聯(lián)網(wǎng)化改造。文章主要分析了在能力開放過程中可能面臨的安全威脅，并詳細(xì)從應(yīng)用層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全、管理層安全幾個(gè)方面進(jìn)行研究和論證可實(shí)施的安全控制方案。

【關(guān)鍵詞】 數(shù)字業(yè)務(wù)創(chuàng)新 能力開放 互聯(lián)網(wǎng)化改造 能力編排 安全控制

一、引言

能力開放是運(yùn)營商順應(yīng)數(shù)字經(jīng)濟(jì)轉(zhuǎn)型需要，融入數(shù)字業(yè)務(wù)創(chuàng)新浪潮的必然選擇，也是助力互聯(lián)網(wǎng)+應(yīng)用落地實(shí)施的切入方式之一。將電信運(yùn)營商企業(yè)所具備能力全面開放，搭建外部調(diào)用統(tǒng)一入口，聚合各類互聯(lián)網(wǎng)要素，圍繞企業(yè)“互聯(lián)網(wǎng)+”轉(zhuǎn)型的核心要素，提供豐富能力，使企業(yè)的生產(chǎn)服務(wù)過程能夠快速進(jìn)行互聯(lián)網(wǎng)化改造。

能力開放是將能力封裝成標(biāo)準(zhǔn)API（HTTP RestFul協(xié)議）開放在互聯(lián)網(wǎng)上，提供外部應(yīng)用調(diào)用入口，便于應(yīng)用使用電信運(yùn)營商能力。而安全性就成為電信運(yùn)營商能力開放最重要的指標(biāo)，0.01%的安全性事故會(huì)造成整個(gè)能力開放的失敗。

一個(gè)業(yè)務(wù)系統(tǒng)往往都包括很多部分和層面，每一個(gè)部分和層面都可能存在安全漏洞從而成為被攻擊的對(duì)象，每個(gè)層面和部分應(yīng)該提供相應(yīng)的安全方案來保護(hù)業(yè)務(wù)系統(tǒng)的安全，根據(jù)業(yè)務(wù)產(chǎn)品的分層思想，安全技術(shù)可以分為四個(gè)主要的層次：應(yīng)用層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全，同時(shí)加上貫穿所有層次的重要安全因素-安全管理（包括技術(shù)和非技術(shù)的方法），組成了分層的安全架構(gòu)模型。

本論文所有的研究都集中在如何有效進(jìn)行能力開放場景下的安全控制，圍繞應(yīng)用層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全、管理層安全幾個(gè)方面進(jìn)行研究和論證可實(shí)施的安全控制方案。最后，針對(duì)整個(gè)系統(tǒng)對(duì)于安全控制方案效果進(jìn)行總結(jié)，并形成研究結(jié)論和下一步的研究計(jì)劃。

二、能力開放面臨的安全威脅分析

2.1應(yīng)用安全威脅

應(yīng)用層安全既是信息系統(tǒng)安全的起點(diǎn)，又是信息系統(tǒng)安全設(shè)計(jì)的終點(diǎn)。起點(diǎn)指的是信息系統(tǒng)的安全需求來源于應(yīng)用的安全需求，終點(diǎn)指的是信息系統(tǒng)安全的最終目的是確保業(yè)務(wù)應(yīng)用的安全運(yùn)行和業(yè)務(wù)信息的安全保護(hù)。

身份認(rèn)證威脅。弱口令、默認(rèn)口令導(dǎo)致業(yè)務(wù)系統(tǒng)管理員、操作員賬號(hào)口令被暴力破解，進(jìn)而導(dǎo)致業(yè)務(wù)系統(tǒng)被控制。業(yè)務(wù)系統(tǒng)口令未加密存儲(chǔ)/傳輸導(dǎo)致口令被竊取，進(jìn)而導(dǎo)致業(yè)務(wù)系統(tǒng)被控制。

輸入驗(yàn)證威脅。未對(duì)輸入數(shù)據(jù)的類型、長度、格式和范圍做約束和驗(yàn)證，導(dǎo)致緩沖區(qū)溢出攻擊。SQL注入、XPath注入及HTTP響應(yīng)拆分攻擊，通常為未對(duì)輸入數(shù)據(jù)進(jìn)行校驗(yàn)?？缯灸_本攻擊，通常為未對(duì)不可信數(shù)據(jù)進(jìn)行輸出編碼。非法用戶向系統(tǒng)上傳惡意軟件，通常為未對(duì)上傳功能所支持的文件類型和大小做限制。文件上傳、下載目錄跨越攻擊，通常為未對(duì)文件上傳/下載的路徑做限制。

授權(quán)威脅。未對(duì)用戶（管理員、操作員及終端用戶）操作進(jìn)行合理的權(quán)限控制，導(dǎo)致越權(quán)訪問攻擊。

敏感數(shù)據(jù)威脅。系統(tǒng)敏感數(shù)據(jù)未加密存儲(chǔ)、傳輸，導(dǎo)致被非法竊取。

會(huì)話管理威脅。未對(duì)會(huì)話信息進(jìn)行有效安全保護(hù)，導(dǎo)致會(huì)話劫持攻擊。未采取有效措施防止會(huì)話重放攻擊。未對(duì)關(guān)鍵信息進(jìn)行加密傳輸，導(dǎo)致中間人攻擊。

加密技術(shù)威脅。未選用合適的加密技術(shù)，導(dǎo)致加密數(shù)據(jù)被破解。

異常處理威脅。異常處理向用戶返回敏感信息，導(dǎo)致系統(tǒng)、敏感信息泄露。

安全審計(jì)威脅。由于未記錄日志導(dǎo)致用戶否認(rèn)執(zhí)行過某項(xiàng)操作。攻擊者刪除日志文件導(dǎo)致日志記錄丟失。

2.2系統(tǒng)安全威脅

系統(tǒng)層安全主要是指為業(yè)務(wù)系統(tǒng)提供運(yùn)行支持的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、中間件系統(tǒng)及 LDAP、Web、FTP 等應(yīng)用服務(wù)器的安全保護(hù)。系統(tǒng)層安全的保護(hù)包括最小化安裝、最小服務(wù)限制、帳戶管理、口令策略、安全審計(jì)、認(rèn)證與授權(quán)保護(hù)、內(nèi)核參數(shù)安全調(diào)整、配置安全工具（如 SSH、lsof 等）、補(bǔ)丁管理、病毒保護(hù)、備份恢復(fù)等多方面的內(nèi)容。

主機(jī)威脅

針對(duì)Windows維護(hù)終端，利用病毒、特洛伊木馬和蠕蟲攻擊或控制業(yè)務(wù)系統(tǒng)；利用Linux操作系統(tǒng)、Oracle數(shù)據(jù)庫、Web服務(wù)器自身配置漏洞，控制業(yè)務(wù)系統(tǒng)；利用linux操作系統(tǒng)、oracle數(shù)據(jù)庫、web服務(wù)器已知的漏洞，而解決方昂尚未及時(shí)打補(bǔ)丁，對(duì)操作系統(tǒng)進(jìn)行攻擊。

足跡威脅

未關(guān)閉未使用的服務(wù)，導(dǎo)致攻擊者利用這些服務(wù)探查系統(tǒng)信息；未配置適當(dāng)?shù)姆阑饓Σ呗?，?dǎo)致系統(tǒng)服務(wù)、端口暴漏給不必要的用戶，攻擊者可利用這些服務(wù)的弱點(diǎn)對(duì)系統(tǒng)發(fā)起攻擊；由于操作系統(tǒng)、DB、Web 服務(wù)器標(biāo)題配置不合理，導(dǎo)致系統(tǒng)信息泄露，攻擊者可以利用這些信息對(duì)系統(tǒng)發(fā)起攻擊。

密碼破解威脅

利用操作系統(tǒng)、數(shù)據(jù)庫、Web服務(wù)器控制臺(tái)默認(rèn)賬號(hào)口令或弱口令控制業(yè)務(wù)系統(tǒng)；操作系統(tǒng)、數(shù)據(jù)庫用戶賬號(hào)缺乏賬號(hào)鎖定機(jī)制，致使攻擊者可通過暴力破解弱口令獲取系統(tǒng)控制權(quán)。

2.3網(wǎng)絡(luò)安全威脅

網(wǎng)絡(luò)層安全就是通過采用一系列安全措施，使得網(wǎng)絡(luò)系統(tǒng)得到應(yīng)有的安全保護(hù)，為在該網(wǎng)絡(luò)平臺(tái)上運(yùn)行的業(yè)務(wù)系統(tǒng)提供應(yīng)用的支持，包括一切訪問網(wǎng)絡(luò)資源或使用網(wǎng)絡(luò)服務(wù)相關(guān)的安全保護(hù)。

足跡威脅

未限制網(wǎng)絡(luò)設(shè)備對(duì)足跡請(qǐng)求的響應(yīng)，導(dǎo)致系統(tǒng)信息泄露，攻擊者可以利用這些信息對(duì)系統(tǒng)發(fā)起攻擊；

網(wǎng)絡(luò)設(shè)備開啟了不必要的服務(wù)和端口，導(dǎo)致攻擊者利用這些服務(wù)探查系統(tǒng)信息或?qū)ο到y(tǒng)發(fā)起攻擊；

未進(jìn)行合理的VLAN和安全域劃分，攻擊者一旦控制某臺(tái)主機(jī)就可能控制整個(gè)業(yè)務(wù)網(wǎng)絡(luò) ；

利用網(wǎng)絡(luò)設(shè)備自身配置漏洞，控制業(yè)務(wù)網(wǎng)絡(luò)；

管理平面、控制平面、數(shù)據(jù)平面未實(shí)現(xiàn)邏輯隔離，其中一個(gè)平面遭受攻擊會(huì)影響其它兩個(gè)平面的安全。

會(huì)話劫持威脅

未使用加密協(xié)議進(jìn)行會(huì)話協(xié)商，致使會(huì)話信息被獲取或存在中間人攻擊風(fēng)險(xiǎn)。

拒絕服務(wù)威脅

未對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行合理配置，導(dǎo)致存在如下拒絕服務(wù)攻擊威脅：

SYN Flood攻擊；

UDP洪水攻擊；

淚滴（teardrop）攻擊；

Land攻擊；

大量模擬器模擬真實(shí)業(yè)務(wù)訪問（DDOS）。

2.4管理安全威脅

安全管理是指對(duì)所有計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用體系中各個(gè)方面的安全技術(shù)和產(chǎn)品進(jìn)行統(tǒng)一的管理和協(xié)調(diào)，進(jìn)而從整體上提高計(jì)算機(jī)系統(tǒng)的安全保護(hù)能力。

安全管理包括兩個(gè)方面的內(nèi)容，一是從技術(shù)上建立高效的管理平臺(tái)，協(xié)調(diào)各個(gè)安全技術(shù)和產(chǎn)品的統(tǒng)一管理，為實(shí)現(xiàn)安全策略和度量安全效果提供便利；另一方面是非技術(shù)方面，如人員管理、制度管理和安全策略規(guī)范等方面的內(nèi)容，以這些措施來提高產(chǎn)品的安全能力。

管理問題：缺乏安全管理規(guī)章制度，或者沒有嚴(yán)格執(zhí)行安全管理規(guī)章制度。

認(rèn)識(shí)問題：人員安全意識(shí)不足，對(duì)安全問題帶來的后果估計(jì)不充分。

補(bǔ)丁問題：沒有及時(shí)進(jìn)行系統(tǒng)及應(yīng)用安全補(bǔ)丁的安裝，導(dǎo)致系統(tǒng)存在安全漏洞。

帳號(hào)問題：多人共用帳號(hào)，責(zé)任無法追溯；

密碼問題：未定時(shí)修改密碼，人員變動(dòng)未及時(shí)修改密碼

審計(jì)控制問題：缺少集中的日志管理和審計(jì)系統(tǒng)，出現(xiàn)問題不能及時(shí)發(fā)現(xiàn)

三、安全解決方案

ITU-T X.805中的安全架構(gòu)為電信網(wǎng)絡(luò)安全分析和安全防護(hù)提供了框架，電信運(yùn)營商廣泛采用。

能力開放需要通過事先預(yù)防、事中預(yù)警、事后審計(jì)追蹤來保護(hù)設(shè)備的正常安全運(yùn)行。

事先預(yù)防主要包括以下幾個(gè)方面：

網(wǎng)絡(luò)安全：通過對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全加固、網(wǎng)絡(luò)平面隔離、安全區(qū)域劃分及嚴(yán)格的網(wǎng)絡(luò)訪問控制實(shí)現(xiàn)網(wǎng)絡(luò)層面的安全

操作系統(tǒng)安全：通過及時(shí)更新操作系統(tǒng)安全補(bǔ)丁、操作系統(tǒng)安全加固、防病毒等手段實(shí)現(xiàn)操作系統(tǒng)主機(jī)層面安全

數(shù)據(jù)庫安全：通過及時(shí)更新數(shù)據(jù)庫補(bǔ)丁、數(shù)據(jù)庫安全加固、數(shù)據(jù)庫定期安全巡檢及數(shù)據(jù)庫安全設(shè)計(jì)等手段確保數(shù)據(jù)庫安全

應(yīng)用安全：基于對(duì)以O(shè)WASP為藍(lán)本的全球主要Web安全威脅進(jìn)行分析，通過對(duì)Web容器實(shí)施加固，對(duì)Web應(yīng)用進(jìn)行安全設(shè)計(jì)，使業(yè)務(wù)系統(tǒng)能夠防范絕大多數(shù)的Web安全威脅；通過接口協(xié)議安全、敏感數(shù)據(jù)傳輸安全及敏感數(shù)據(jù)存儲(chǔ)安全確保非Web應(yīng)用安全

事中預(yù)警主要包括以下幾個(gè)方面：

通過實(shí)時(shí)日志審計(jì)及時(shí)發(fā)現(xiàn)設(shè)備運(yùn)行過程中的異常，如異常登錄行為和暴力破解行為，管理員可以及時(shí)做出反應(yīng)，降低事故影響范圍和損失；

通過安全巡檢及時(shí)發(fā)現(xiàn)入侵痕跡，發(fā)現(xiàn)長時(shí)間未修改密碼的用戶，以及對(duì)操作系統(tǒng)、數(shù)據(jù)庫的加固效果進(jìn)行檢查；

通過IDS/IPS等入侵檢測保護(hù)系統(tǒng)及時(shí)發(fā)現(xiàn)或阻止惡意攻擊，一定程度上減少被攻擊范圍和損失。

事后審計(jì)追蹤主要包括以下幾個(gè)方面：

通過事后日志審計(jì)，發(fā)現(xiàn)攻擊者的來源及攻擊手段，為追蹤攻擊者提供佐證。

3.1應(yīng)用層安全

解決方案所提供應(yīng)用程序采取一系列安全技術(shù)和措施，以保證應(yīng)用程序安全運(yùn)行，所采用安全技術(shù)和措施主要包括：

3.1.1應(yīng)用安全技術(shù)

口令安全，包括：

1.后臺(tái)管理員必須使用復(fù)雜的口令策略（復(fù)雜度可以配置）[1]；2.管理員登錄時(shí)必須使用https保護(hù)口令不被竊聽；3.管理員修改口令時(shí)必須使用https保護(hù)口令不被竊聽； 4.模塊應(yīng)禁止默認(rèn)口令登錄； 5.用戶在進(jìn)行口令更改時(shí)，系統(tǒng)必須支持歷史口令重復(fù)控制，應(yīng)能控制不能使用最近使用過的口令

認(rèn)證安全，包括：

1.管理員登錄頁面須提供驗(yàn)證碼，驗(yàn)證碼使用一次后自動(dòng)失效，未使用在業(yè)務(wù)規(guī)定時(shí)間后失效2.管理員的最終認(rèn)證處理過程在應(yīng)用服務(wù)器進(jìn)行；3.認(rèn)證處理模塊對(duì)提交的參數(shù)進(jìn)行合法性檢查；4.無預(yù)留任何的后門帳號(hào)或特殊的訪問機(jī)制，所有的認(rèn)證統(tǒng)一由認(rèn)證模塊處理，不存在繞過認(rèn)證模塊的邏輯存在；5.用戶登錄時(shí)先判斷驗(yàn)證碼是否正確，再判斷用戶名和口令是否正確；6.系統(tǒng)支持連續(xù)多次登錄失敗帳號(hào)鎖定功能，失敗次數(shù)可配置，鎖定時(shí)長可配置；7.認(rèn)證失敗時(shí)，只顯示一般錯(cuò)誤提示，不向用戶提供詳細(xì)錯(cuò)誤信息。

會(huì)話管理安全，包括：

1.管理和用戶門戶使用會(huì)話cookie維持會(huì)話，不使用隱藏域、URL重寫或持久性cookie方式維持的會(huì)話；2.會(huì)話過程中不允許修改的信息（比如：用戶認(rèn)證通過后的用戶標(biāo)識(shí)），作為會(huì)話狀態(tài)的一部分在服務(wù)器端存儲(chǔ)和維護(hù)；3.當(dāng)跟蹤到非法會(huì)話，記錄日志、清除會(huì)話并返回到認(rèn)證界面；4.當(dāng)用戶退出時(shí)，清除該用戶的會(huì)話信息；5.設(shè)置會(huì)話超時(shí)機(jī)制（默認(rèn)超時(shí)時(shí)間為10分鐘），在超時(shí)過后清除該會(huì)話信息；6.當(dāng)“注銷（或退出）”的按鈕或菜單被點(diǎn)擊，對(duì)應(yīng)的會(huì)話立即失效；7.業(yè)務(wù)邏輯在服務(wù)器端處理，業(yè)務(wù)邏輯沒有被繞過的行為

權(quán)限管理，包括：

1.對(duì)于管理員的訪問請(qǐng)求核實(shí)其會(huì)話標(biāo)識(shí)是否合法、是否被授權(quán)執(zhí)行這個(gè)操作；2.授權(quán)和用戶角色數(shù)據(jù)存放在服務(wù)端，不存放在客戶端，鑒權(quán)處理也由服務(wù)端完成；3.所有帳號(hào)只擁有必需的權(quán)限；4.不使用“root”、“administrator”、“supervisor”等特權(quán)帳號(hào)運(yùn)行應(yīng)用程序，盡可能地使用低級(jí)別權(quán)限的操作系統(tǒng)帳號(hào)；5.連接數(shù)據(jù)庫服務(wù)器時(shí)使用最低級(jí)別權(quán)限的數(shù)據(jù)庫帳號(hào)，不使用數(shù)據(jù)庫管理員帳號(hào)。

敏感數(shù)據(jù)存儲(chǔ)，包括：

1.不在代碼中存儲(chǔ)敏感數(shù)據(jù)；2.不將密鑰或帳號(hào)的口令以明文形式存儲(chǔ)在數(shù)據(jù)庫或者文件中；3.不在cookie、隱藏域、日志中以明文形式存儲(chǔ)敏感數(shù)據(jù)；4.使用公開、安全的標(biāo)準(zhǔn)加密算法對(duì)數(shù)據(jù)進(jìn)行加密；5.禁止帶有敏感數(shù)據(jù)的Web頁面緩存。

敏感數(shù)據(jù)傳輸，包括：

1.所有的表單數(shù)據(jù)根據(jù)業(yè)務(wù)盡量使用 HTTP-POST 方法提交，減少通過Http-get方法提交2.在客戶端和服務(wù)端間傳遞敏感數(shù)據(jù)時(shí)，采用加密手段保證敏感信息數(shù)據(jù)的安全性（對(duì)數(shù)據(jù)加密傳送，或通過ssl協(xié)議保障數(shù)據(jù)安全）3.不在URL中攜帶會(huì)話標(biāo)識(shí)；4.對(duì)用戶保密的信息不傳送到客戶端；

對(duì)外接口安全，包括：

1.系統(tǒng)對(duì)對(duì)外接口的調(diào)用進(jìn)行認(rèn)證、授權(quán)2.系統(tǒng)在采用對(duì)外接口傳遞敏感數(shù)據(jù)時(shí)，保障其機(jī)密性（對(duì)數(shù)據(jù)加密傳送，或通過ssl協(xié)議保障數(shù)據(jù)安全）3.系統(tǒng)對(duì)對(duì)外接口調(diào)用記錄日志4.系統(tǒng)對(duì)對(duì)外接口提交的參數(shù)需要進(jìn)行輸入校驗(yàn)

輸入校驗(yàn)，包括：

1.必須對(duì)所有用戶產(chǎn)生的輸入進(jìn)行校驗(yàn)，一旦數(shù)據(jù)不合法，應(yīng)告知用戶輸入非法；2.必須對(duì)所有服務(wù)器產(chǎn)生的輸入（來自hidden fields、selection boxes、check boxes、radio buttons、cookies、HTTP headers、熱點(diǎn)鏈接包含的URL參數(shù)的數(shù)據(jù)或客戶端腳本）進(jìn)行校驗(yàn)，一旦數(shù)據(jù)不合法，必須使會(huì)話失效，并記錄告警日志；3.應(yīng)當(dāng)對(duì)輸入的字符類型是否符合要求、輸入字符長度是否符合要求、輸入的數(shù)據(jù)是否合理；4.禁止將HTTP標(biāo)題頭中的任何未加密信息作為安全決策依據(jù)；5.應(yīng)對(duì)HTTP請(qǐng)求頭域User-Agent進(jìn)行檢查，丟棄不匹配的瀏覽器名稱；6.禁止通過字符串串聯(lián)直接使用用戶輸入構(gòu)造可執(zhí)行 SQL 語句，以防止SQL注入攻擊；7.禁止動(dòng)態(tài)構(gòu)建XPath語句，以防止XPath注入攻擊；8.用于重定向的輸入?yún)?shù)不能包含回車和換行字符，以防止HTTP響應(yīng)拆分攻擊；

輸出編碼：對(duì)于不可信的數(shù)據(jù)，輸出到客戶端前必須先進(jìn)行HTML編碼，以防止跨站腳本攻擊

文件上傳下載安全，包括：

1.應(yīng)當(dāng)采用白名單對(duì)上傳或下載的文件類型、大小進(jìn)行嚴(yán)格的限制；2.禁止以用戶提交的數(shù)據(jù)作為讀/寫/上傳/下載文件的路徑或文件名，以防止目錄跨越攻擊。

日志管理，對(duì)安全事件和操作記錄日志，安全操作包括用戶登錄、注銷操作及賬號(hào)管理操作等

異常處理：系統(tǒng)出現(xiàn)異常時(shí)，只能向客戶端返回一般性的錯(cuò)誤提示消息，但應(yīng)當(dāng)在日志中記錄詳細(xì)的錯(cuò)誤信息

客戶端軟件安全，包括：

1.客戶端需要支持啟動(dòng)登錄認(rèn)證，支持帳號(hào)、密碼登錄認(rèn)證方式，只有登錄認(rèn)證通過才能正常使用業(yè)務(wù)，要求同一帳號(hào)不能重復(fù)登錄；2.客戶端軟件和業(yè)務(wù)系統(tǒng)之間傳遞敏感信息數(shù)據(jù)時(shí)，必須采用加密方式傳輸；3.通常情況下不允許在客戶端本地保存敏感信息，實(shí)在需要保存的話需要對(duì)敏感信息進(jìn)行加密；4.要求所發(fā)布的JAVA客戶端軟件發(fā)布包抗逆向工程，不能被有效反編譯。

防DoS攻擊，包括：

1.所有Portal部件具有一定的應(yīng)用級(jí)防DoS功能，能夠限制給定時(shí)間段內(nèi)用戶的訪問數(shù)量（可配置）；

安全通信協(xié)議

1.所有敏感數(shù)據(jù)均需在網(wǎng)絡(luò)上加密傳輸，典型地對(duì)于基于Web的登錄和修改口令請(qǐng)求需要采用HTTPS協(xié)議確保口令不被抓包竊??；

2.要求主機(jī)外的管理平面和近端維護(hù)終端、網(wǎng)管維護(hù)終端間傳輸?shù)墓芾砹髁啃杓用軅鬏?，使用合適的安全傳輸協(xié)議（如SSH/SFTP/TLS/IPSec/SNMPv3/SSL等）來確保管理流量安全。

3.2系統(tǒng)層安全

為保障業(yè)務(wù)系統(tǒng)在安全的環(huán)境中運(yùn)行，解決方案在系統(tǒng)層對(duì)操作系統(tǒng)、數(shù)據(jù)庫、Web服務(wù)器進(jìn)行了安全設(shè)計(jì)，所采用的安全技術(shù)和措施包括：

3.2.1操作系統(tǒng)安全

通過對(duì)操作系統(tǒng)加固，實(shí)現(xiàn)操作系統(tǒng)安全，安全加固包括如下內(nèi)容[2]：

對(duì)SSH服務(wù)進(jìn)行安全加固；

對(duì)系統(tǒng)的啟動(dòng)服務(wù)進(jìn)行最小化限制；

對(duì)Xinetd服務(wù)進(jìn)行最小化限制；

對(duì)內(nèi)核網(wǎng)絡(luò)參數(shù)進(jìn)行優(yōu)化，防止DoS攻擊、IP地址欺騙等[3]；

啟動(dòng)syslog、ntp，開啟對(duì)登錄、cron、遠(yuǎn)程連接等事件的記錄，并支持日志審計(jì)；

將登錄、網(wǎng)絡(luò)連接信息修改為警告信息；

對(duì)文件、目錄進(jìn)行訪問權(quán)限設(shè)置；

對(duì)系統(tǒng)認(rèn)證和授權(quán)進(jìn)行加固；

對(duì)帳戶管理進(jìn)行加固；

對(duì)系統(tǒng)環(huán)境進(jìn)行加固；

3.2.2數(shù)據(jù)庫安全

通過Oracle數(shù)據(jù)庫加固，實(shí)現(xiàn)Oracle安全，安全加固包括如下內(nèi)容：

對(duì)Oracle目錄和文件權(quán)限進(jìn)行限制；

對(duì)Oracle參數(shù)進(jìn)行加固；

對(duì)用戶Profile進(jìn)行加固；

對(duì)用戶權(quán)限進(jìn)行限制；

對(duì)數(shù)據(jù)庫網(wǎng)絡(luò)安全進(jìn)行加固；

3.2.3Web服務(wù)安全

對(duì)WEB服務(wù)器進(jìn)行加固，安全加固包括如下內(nèi)容[4]：

部署運(yùn)行策略，規(guī)范運(yùn)行用戶，刪除默認(rèn)控制臺(tái)或管理員帳戶

基本配置策略，通過合理配置配置文件參數(shù)，減少因配置問題導(dǎo)致的安全風(fēng)險(xiǎn)

文件目錄權(quán)限控制

日志配置

3.2.4防病毒

對(duì)windows操作系統(tǒng)（目前主要是維護(hù)終端）安裝防病毒軟件，確保系統(tǒng)不受網(wǎng)絡(luò)病毒攻擊[5]

3.3網(wǎng)絡(luò)層安全

為保障網(wǎng)絡(luò)系統(tǒng)自身安全，并為運(yùn)營在該網(wǎng)絡(luò)平臺(tái)上的業(yè)務(wù)系統(tǒng)提供安全支持，解決方案在網(wǎng)絡(luò)層采取了以下安全技術(shù)和措施：

3.3.1網(wǎng)絡(luò)及安全區(qū)域劃分

對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全加固，確保網(wǎng)絡(luò)設(shè)備自身安全運(yùn)行

對(duì)業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行合理的VLAN劃分，對(duì)不相關(guān)業(yè)務(wù)進(jìn)行隔離，保障業(yè)務(wù)可靠安全運(yùn)行

對(duì)整個(gè)業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行安全域劃分，部署防火墻，通過合理的策略配置進(jìn)行訪問控制，一般根據(jù)業(yè)務(wù)需要，劃分UNTRUST、DMZ、TURST、OM幾個(gè)區(qū)域

設(shè)備的管理平面、控制平面及數(shù)據(jù)平面在傳輸通道上實(shí)現(xiàn)隔離，管理平面遭受攻擊，不能影響其他兩平面正常使用；數(shù)據(jù)平面、控制平面遭受攻擊，要保證設(shè)備依然可管理[6]

3.3.2接口和協(xié)議

業(yè)務(wù)維護(hù)場景支持SSH取代telnet，SFTP取代FTP

針對(duì)必須使用FTP的場景，通過限制客戶端IP地址方式來提升FTP的安全性

系統(tǒng)產(chǎn)品資料中提供有各部件通訊端口矩陣，便于客戶運(yùn)維人員進(jìn)行安全相關(guān)運(yùn)維操作

主機(jī)外的管理平面和近端維護(hù)終端、網(wǎng)管維護(hù)終端間傳輸?shù)墓芾砹髁考用軅鬏敚褂煤线m的安全傳輸協(xié)議（如SSH/ SFTP/TLS/IPSec/SNMPv3/SSL等）來確保管理流量安全

3.4管理層安全

為保障能對(duì)系統(tǒng)中各個(gè)方面的安全技術(shù)和產(chǎn)品進(jìn)行統(tǒng)一管理和協(xié)調(diào)，從整體上提高系統(tǒng)的安全保護(hù)能力，解決方案在管理層采取了以下安全技術(shù)和措施：

3.4.1帳號(hào)與權(quán)限管理

每人每帳號(hào)實(shí)現(xiàn)，系統(tǒng)帳號(hào)的按角色分權(quán)設(shè)置，實(shí)現(xiàn)帳號(hào)分級(jí)管理，每人每帳號(hào)授權(quán)，消除共享帳號(hào)

清除多余帳號(hào)與組，清除操作系統(tǒng)與數(shù)據(jù)庫多余的帳號(hào)與組（含默認(rèn)）

強(qiáng)化帳號(hào)管理流程，不能實(shí)現(xiàn)每帳號(hào)授權(quán)類，如 Linux系統(tǒng)的 root 帳號(hào)，根據(jù)角色定義帳號(hào)，將帳號(hào)集中掌控在有限的 1-2人 中，管理制度和流程控制上對(duì)帳號(hào)的擁有者加以強(qiáng)化

密碼策略強(qiáng)制，口令長度、復(fù)雜性，密碼最短修改期限及相應(yīng)的預(yù)警或強(qiáng)制，不能使用最近 N 次的密碼，錯(cuò)誤登錄超次后帳號(hào)鎖定功能

3.4.2安全接入

提供堡壘主機(jī)，記錄用戶對(duì)操作系統(tǒng)的所有操作。

3.4.3日志審計(jì)

支持對(duì)安全操作和安全事件記錄日志，支持對(duì)安全日志進(jìn)行事中、事后審計(jì)

四、總結(jié)

本文就運(yùn)營商能力開放過程中可能面臨的安全威脅進(jìn)行了詳細(xì)的分析，分別從應(yīng)用層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全、管理層安全幾個(gè)方面進(jìn)行研究和論證可實(shí)施的安全控制方案。并從應(yīng)用安全技術(shù)、操作系統(tǒng)安全、數(shù)據(jù)庫安全、Web服務(wù)安全、防病毒、網(wǎng)絡(luò)及安全區(qū)域劃分、接口和協(xié)議、帳號(hào)與權(quán)限管理、安全接入、日志審計(jì)等方面進(jìn)行詳細(xì)的實(shí)施方案分析總結(jié)。

參 考 文 獻(xiàn)

[1]NIST Special Public 800-57， Recommendation for Key Management – Part1： General（Revision3）， 2012

[2]NIST Special Public 800-21-1， Guideline for Implementing Cryptography in the Federal Government， 2005

[3]NIST Special Public 800-38a， Recommendation for Block Cipher Modes of Operation - Methods and Techniques， 2001

[4]ECRYPT II Yearly Report on Algorithms and Key Lengths （2012）， revision 1.0， 2012

[5]RFC4086， Randomness Requirements for Security， 2005

[6]RFC2898， PKCS #5： Password-Based Cryptography Specification Version 2.0， 2000