原标题:网络安全测评未来展望
一、云计算环境安全测评
云计算是网格计算、分布式计算、虚拟化等传统计算机和网络技术发展融合的产物,是一种动态的、易于扩展的、通过高速互联网将数据处理过程传送给虚拟计算机集群资源的一种计算方式。云计算可以提供随机访问的服务模式,具有高可用性、智能的资源扩展性等诸多优点。目前,云计算已得到广泛的应用,国内外已有不少成熟的云计算平台,如亚马逊的弹性计算云、谷歌的App Engine、微软的Azure以及国内互联网公司提供的商业化云计算服务,如阿里云、新浪云等。
(一)云计算环境的安全风险和需求
随着云计算技术的不断发展,云计算环境的安全问题也日益凸显。近年来,亚马逊、谷歌、微软等大型云服务商发生了各种安全事故,更增加了人们的疑虑。在新的信息技术架构下,谁能控制云计算环境,谁就能控制信息的主权,这已不是一个简单的信息安全问题,而是一个国家的信息主权问题。
与传统的互联网信息系统相比,云计算环境的所有数据处理和存储全部放到服务端,终端用户可通过网络随时随地获取所需的服务和数据,无需在本地配置昂贵的数据处理或存储设备,通过在网络中部署统一的网络安全防护设备,在服务端部署统一的身份鉴别和安全审计系统,使诸多系统安全问题得到一定程度的解决,但与此同时新的设计架构和新的服务模式又带来了新的安全问题,如云计算服务的滥用、拒绝服务攻击、不安全的接口和API、共享技术产生的问题、数据泄露、账号和服务劫持、未知的风险场景等。
在网络安全设计方面,应根据存储数据和业务应用的重要性以及服务范围划分合理的安全区域,在云环境的不同虚拟区域之间提高边界访问控制能力,支持不同安全等级、不同硬件分享策略的硬件分区和防御策略;提高抗拒绝服务攻击能力,建立公共黑名单,对于曾经出现非法操作尝试以及发起恶意网络攻击行为的终端用户进行监控和阻断;提高虚拟网络的流量监控能力,从用户和应用系统2个维度对网络流量进行监控和统计;提高虚拟网络的入侵检测和防病毒能力,对恶意行为进行防护,应能够与虚拟网络边界访问控制设备和公共黑名单系统等互相连动,形成整体防御体系。
在安全通信网络方面,应该关注云环境中虚拟网络的安全审计能力,应能够收集和管理云环境中网络数据的采集信息和网络安全设备的日志信息,并能够根据风险分析模型实现综合统计和预警;同时还应该关注虚拟网络中数据的隔离、数据传输和存储的保密性与完整性,对数据的传输、处理和存储等各环节采取高强度加密措施,设计良好的密钥管理体系。
在安全计算环境方面,由于数据的集中管理在为云用户提供共享便利的同时,也引入了越权访问、信息泄露等安全风险,因此,应当设置严格的访问控制规则,限制用户对数据资源的访问,防止云用户垂直或平行越权访问数据;应加强虚拟机资源控制,虚拟机和宿主机之间由于共享硬件资源,如果虚拟机监控器控制不当,同一硬件平台上的一个虚拟机会强制占用一些资源不释放,从而使宿主机的资源耗尽而无法提供服务;用户终端和云端服务器如果自身安全防护功能缺失,将使接入终端和服务器的危险性大大增加,必须进行严格的身份鉴别;应加强云服务接口和API在功能设计、开发、测试、上线等覆盖生命周期过程的安全实践,广泛采用加密认证、访问控制、审计等安全措施。
在云计算环境中,由于应用环境和数据脱离了用户的可控范围,使数据安全成为终端用户最为担忧的问题。如果将数据上传给云计算系统,具有数据最高管理权的不再是终端用户,而是云计算环境的运营商,这就无法排除用户数据被泄露的可能性,因此,应采用高强度加密或其他有效措施保证数据传输和存储的保密性与完整性。另外,由于数据集中存储于云端,一旦发生灾难性事故,其影响范围和后果难以估计,因此,云计算环境必须具备数据备份与恢复能力,具备数据完整性校验功能,确保备份数据的完整性并能及时恢复。
(二)云计算环境的安全标准
欧美国家在云计算领域的安全标准研究方面起步较早。近年来,欧美等国在云计算安全治理上进行了有益的探索和实践,欧盟网络与信息安全局发布了《云计算中信息安全的优势、风险和建议》、《政府云的安全和弹性》和《云计算信息保证框架》白皮书,于2012年4月制定出台了《云计算合同安全服务水平监测指南》。美国针对云计算启动了联邦风险评估管理计划(Fed RAMP),成立云计算安全主管部门,授权独立、有资质的第三方评估机构对云计算服务提供商按不同等级从访问控制、审计和可追溯性、评估和授权、配置管理、身份识别和认证、系统和通信保障以及系统和信息完整性等17个方面进行安全测评,验证其是否符合相应等级的要求,对符合要求的云计算服务提供商进行认证。
我国相关部门也高度重视云计算安全问题,全国信息安全标准化委员会(TC 260)也开展了针对云计算安全方面的研究,部署了多项云计算安全相关的研究课题,于2011年9月完成《云计算安全及标准研究报告 v1.0》,组织开展了《政府部门云计算安全》和《基于云计算的因特网数据中心安全指南》等的标准研究制定工作,2014年发布了国家标准《信息安全技术云计算服务安全指南》(GB/T
(三)云计算环境的测评内容和指标
云计算环境在系统架构、系统边界、数据保护、管理模式等方面与传统的信息系统环境存在较大差异,有必要开展针对云计算环境的安全测试评估,将其纳入国家信息系统安全监管体系范围中来,有利于全面提升我国信息系统的安全防护水平。对于云计算环境的安全测试评估,除了包括传统信息系统的安全测试评估内容外,更应该关注云计算环境所具有的特点。
从国内外已开展的云计算安全实践来看,组织制定云计算安全标准规范,并委托有资质、独立的第三方测评机构按照相应要求对云计算平台进行测评,是一种较为有效的安全管理机制。
目前,尚未形成基于云计算特色、成熟的安全测评体系和指标框架,但近几年大力推行的信息安全风险评估、信息系统等级测评、信息系统安全检查等工作为云计算安全测评工作的开展奠定了较好的基础。依据国家网络安全等级保护测评标准,并参考国内外其他信息安全测评标准,总体上可考虑从技术和管理2个层面对云计算环境进行安全测评。技术层面分为物理和环境安全、网络安全、虚拟化安全、平台安全、数据安全和应用安全6个方面,其中,Iaa S服务模式的云环境涵盖物理和环境安全、网络安全、虚拟化安全3个方面,Paa S服务模式的云环境涵盖物理和环境安全、网络安全、虚拟化安全、平台安全4个方面,Saa S服务模式的云环境涵盖所有6个方面;管理方面,分为安全管理机构、安全管理制度、人员安全管理、风险评估管理、系统运维管理以及应急响应管理6个方面进行,同时考虑到云计算的多用户、泛在接入等特点,还需要加强对服务流程管理的测评。因此,针对云计算环境的安全测评框架,如图1所示。
图1 云计算环境安全测评框架
依据上述测评框架,设计云计算环境的安全测评指标体系。指标体系必须能够反映评估对象的基本状况、特征和水平,并重点突出云环境自身的特殊安全要求。指标体系是对云计算环境进行安全评估的直接依据,应遵守科学性和系统性、层次性和独立性、可比性和可操作性等设计原则。基于上述设计原则,建立云计算环境安全测评指标体系如图2所示。
图2 云计算环境安全测评指标体系
该指标体系以等级保护为基础,并兼顾了云计算环境的特殊安全需求,主要体现在主机系统安全中的虚拟机安全、数据安全中的数据移植、服务水平协议管理等内容。其他如结构安全与隔离、系统资源控制、主机剩余信息保护、代码与接口安全、数据保密性、数据完整性、密钥管理、备份恢复与移植管理、法律法规需求管理等部分中也增加了针对云计算环境的内容。
二、工业控制系统安全测评
2010年“震网”病毒的爆发,使全球都意识到工业控制系统的脆弱性以及对于受害国家的危害性,同时,也让世人认识到网络战的“新常态”——攻击敌国重要基础设施的工业控制系统。之后,又出现了功能更为复杂、更具破坏性的火焰病毒。
(一)工业控制系统简介
工业控制系统(ICS)是在计算机技术、通信技术、控制技术的快速发展下形成的。目前,工业控制系统网络化的需求更为迫切,现场总线技术、嵌入式技术、图像处理技术、无线技术不断地在工业现场应用,丰富了工业控制现场的功能,同时也增加了工业控制系统的复杂性。
工业控制系统一般分为分布式控制系统(DCS)、数据采集与监控系统(SCADA)、过程控制系统(PCS)、安全仪表系统(SIS)、可编程逻辑控制器(PLC)以及其他自动化控制系统。以PLC为例,PLC是一种工业控制计算机,它的硬件体系架构与微型计算机相同,具有使用方便、编程简单、适应性强、可靠性高、抗干扰能力强等优点,但由于各个厂商的PLC产品所采用的总线技术和体系架构互不兼容,且产品设计之初在安全机制方面考虑不足,因此,已成为当前针对工控系统的主要攻击目标,当初“震网”病毒就是专门针对西门子PLC发起的攻击。
目前,我国自主研发的PLC产品较少,主要原因是国外同类产品功能强大而价格不高,市场占有率较高,国产PLC的价格没有优势,稳定性不如同类国外产品,市场认可度很低。国内的电力、交通、水利、化工、市政,甚至是航空、航天、军工等重要行业的工业控制系统中均大量采用了国外的PLC产品,这也对我国重要基础设施的工控系统带来了极大的安全隐患。
(二)工业控制系统的特点和安全风险
工业控制系统大量应用于涉及国计民生的重要基础设施中。工业控制系统的信息安全攻防已经成为现代以及未来战争中网络战的扩大战场。
现代技术的大量应用,带来了工业控制系统的技术革命,带来了高效、准确的生产流程,但工业控制系统从诞生之日起就有其独特的特性。表1对比了工业控制系统与传统信息系统的区别。
表1 工业控制系统与传统信息系统差异比较
工业控制系统通常需要全天候工作,因此其可靠性与可用性较为突出,而保密性要求则相对较低。因此,传统信息系统的防护手段并不完全适用于工业控制系统。工业控制系统从发展之初就没有考虑信息安全问题,因为传统的工业控制系统一般都是建立在与外界隔绝的区域内,完全孤岛式运作,因此很多人认为没有外部连接是不会受到外部攻击的,所以在设计、研发工业控制系统时,只关注于工业控制系统的功能实现,为实现功能而尽可能减少安全措施。这种情况下,一旦从某个特殊角度成功突破工控系统,则系统将完全失去保护功能而沦为攻击者的工具。
工业控制系统的安全风险如图3所示,主要体现在以下方面。
图3 工业控制系统风险分类示意
工业控制系统在设计和生产中为了实现功能而忽略了网络安全问题。相关的技术人员(包括研发工程师、维护工程师、操作员等)缺乏网络安全意识和专业知识。同时,生产厂商也没有相对应的灾难恢复计划、应急计划,没有相关的网络安全部门去处理网络安全的突发事件。
工业控制系统从上线运行一直到服役期满,一般会经历10年以上的时间。在此期间,工控系统中安装的国内外产品(包括操作系统、应用软件)通常会被发现存在大量的安全漏洞,需要及时安装补丁予以弥补。但很多工控系统上运行的软件,可能会出现安装补丁后无法正常运行的情况,而用户为了减少自认为“不必要的麻烦”,更没有给软件升级或者打补丁的意愿。
网络技术方便了工控系统,但也带来了网络本身的问题。一方面,为了方便工控系统的通信和控制,其通信协议基本都不加密而采用明文传输,使攻击者可以轻易了解通信协议的格式、内容及工控系统的拓扑结构;另一方面,工控系统之间的互联互通需求已越来越强烈,本就缺乏有效安全保障的工控系统,通过网络将自己暴露在公网上,更容易成为攻击者的首选目标。
(三)工业控制系统的测评内容和方法
国外针对工控系统的安全测评工作,已经在管理体系、技术能力、测试平台和测评工具等方面取得了一定的成果,能够建设所需的工业控制系统环境,通过测试手段的开发和结果的合规性检查进行规范化的风险评估。美国政府从2002年起就开始重视工业控制系统网络安全问题,10多年来在工控安全领域做了大量的工作,已经形成了完整的工控系统网络安全管理体制和技术体系。美国国土安全部、能源部、国家实验室共同推动了美国工业控制系统网络安全工作的开展。美国仪表协会(ISA)于2010年成立了专门的测试机构ISCI(ISA信息安全符合性研究院),可授权第三方测试实验室进行信息安全认证。其认证包含功能性信息安全评估、软件开发信息安全评估和通信顽健性测试3个方面。
而我国针对传统信息系统的测评能力已经较为完善,但工业控制系统的网络安全测评却仍然处于起步阶段,测评环境的建设、测评工具的自主化以及测评能力的建设等方面都与国外有着明显差距。由于工业控制系统在经济建设、社会发展乃至国家安全层面的核心作用,加大我国工业控制系统测评环境的建设、自主研发工控系统测评工具,大力推进工业控制系统测评工作,就显得尤为必要和紧迫。
目前,针对工业控制系统的测评工作主要包括以下6个方面。
1、工业控制系统主机终端测评
PC终端和服务器在工业控制系统里面应用普遍,包括上位机、主控机、数据库服务器、日志服务器、操作员站、工程师站、HMI、MES系统服务器、ERP系统服务器、中间件服务器等,目前,对于传统信息化系统主机操作系统的安全测评已经具备成熟的方法和技术,而针对工业控制系统专用PC终端和服务器的漏洞检测技术和补丁策略目前尚未形成成熟的方法体系。可借鉴传统PC终端及服务器的主机操作系统漏洞检测技术,结合工业控制自身的特点,研究工控系统主机终端的操作系统漏洞、内核漏洞、驱动和服务端口漏洞、核心敏感数据保护漏洞、网络和应用漏洞等,对工控系统中工控机、上位机、应用服务器等进行漏洞检测。
2、工业控制系统应用软件测评
工业控制系统应用软件包括组态软件、设备管理软件、数据采集软件、人机交互软件、监控软件、管理调度软件、MES软件、中间件软件、数据库及日志软件等。应研究应用软件在设计、编程、安装、运行等过程中产生的漏洞机理,包括设计缺陷检测、编程缺陷检测、安装部署漏洞检测、敏感信息保护漏洞检测、数据清理和资源释放漏洞检测等。
3、工业控制系统嵌入式软件测评
工业控制系统嵌入式软件包括采集单元、控制单元、驱动单元、信号输入输出模块等。应研究针对这些嵌入式软件的静态分析、动态分析、数据处理过程漏洞分析、边界漏洞分析等相关技术。
4、工业控制系统通信协议测评
工业控制系统通信协议可能存在的漏洞包括网络通信协议漏洞、协议资源耗尽漏洞、协议栈溢出漏洞检测、OPC协议漏洞检测、网络通信密钥漏洞等。应研究针对这些协议漏洞的检测技术。
5、工业控制系统策略和权限控制漏洞检测
工业控制系统策略和权限的漏洞,包括工业控制系统内部策略和权限设置漏洞,如访问控制策略、应用策略、各系统和应用平台的权限设置漏洞等。应研究针对这些漏洞的检测技术。
6、嵌入式设备微处理器漏洞检测
工业控制系统嵌入式设备包括采集单元、执行单元、传感器、RTU、IED、MTU、PLC等。应研究针对这些嵌入式设备微处理器芯片及存储器读写操作的漏洞检测技术。
在工业控制系统的安全测评工作中,模糊测试和健壮性测试是常用的手段。
模糊测试是一类安全性测试的方法,是一种通过向目标系统提供非预期的输入并监视异常结果来发现软件漏洞的方法。在模糊测试中,用随机坏数据攻击一个程序,然后观察哪里遭到了破坏。模糊测试的技巧在于它是不符合逻辑的,自动模糊测试不去猜测哪个数据会导致破坏(就像人工测试员那样),而是将尽可能多的杂乱数据投入程序中。
模糊测试是一种介于完全的手工渗透测试与完全的自动化测试之间的安全性测试类型。针对工控系统协议的健壮性测试就是一种模糊测试。通过对不同协议的语法测试来探测被测设备对协议实现的健壮性,通过对被测设备进行压力测试来测试其抗压能力,包括TCP/IP协议和工业控制协议(如MODBUS、MMS、GOOSE等)。针对以上协议,构造错误分组发送到被测设备,也可以对未知的私有协议进行模糊测试,检测被测软件是否能正确处理这些错误数据。采用以模糊测试为基础的工业控制系统协议健壮性测试,可以有效地利用输入输出方式、端口扫描方式、模糊测试用例等方式深度挖掘工控设备的安全问题。
除了上述模糊测试和健壮性测试外,针对工业控制系统的测评工作也可以结合已知漏洞进行工控漏洞扫描、代码审计和逆向分析等测评手段。通过测评找出问题,进行防护和加固,以此提高工业控制系统的网络安全能力。
随着移动网络和智能终端的快速发展,移动终端应用软件越来越普及,移动终端已经成为人们进行金融支付、购物、交易、信息发布、社交的主要途径之一。近几年开通个人网银的用户中,超过一半的用户使用了手机上的动态口令或短信认证,用户对移动应用的依赖性明显提高。
(一)移动应用的安全风险
移动应用对信息技术领域已有的网络安全防护体系带来巨大的挑战和风险。移动应用过度强调便利性而忽视安全性、移动终端的安全缺陷、移动通信协议的安全隐患、新型支付方式的认证强度不够以及移动用户安全意识的缺失都是典型的安全问题。移动应用普遍面临着隐私数据泄露、账号盗用、数据窃听、客户端病毒入侵等安全威胁。其中,移动终端软件是安全的重灾区,如图4所示。
图4 安卓系统漏洞分布示意
根据CFCA信息安全实验室的检测成果,各大知名移动终端应用软件对于二次打包、进程注入、伪造认证等攻击的抵抗力依然有待提高,主要安全风险包括以下2个方面。
1、软件安全,普遍未进行软件加壳、代码混淆等安全处理,存在客户端篡改的高危风险。
2、应用交易安全,大部分移动终端软件采用软键盘的形式对用户输入进行保护,但由于Android系统本身的安全问题,上述软键盘防护功能普遍存在可被绕过的风险;终端本身的设计缺陷而造成的密码在内存中明文处理、传输过程中明文传送的情况比较普遍;通过短信劫持、会话劫持的方式,部分软件可被用于交易伪造。
表2给出了CFCA信息安全实验室对移动终端应用软件的检测结果。
表2 CFCA信息安全实验室移动终端应用软件检测结果统计
(二)移动应用的安全测评方法
网络信息环境的复杂性与特殊性,使移动应用急需更强的保护与检测能力,智能终端设备的普及也让支付环境变得愈加复杂。如何构建针对移动应用(尤其是移动终端软件)的安全检测体系、增强客户端安全防范能力、统一行业安全基准,已经成为移动应用领域迫切需要开展的工作。
根据《中国金融移动支付系列标准》、JRT 0068?2012《网上银行系统信息安全通用规范》、YDT 1699?2007《移动终端信息安全技术要求》、YDT 2407?2013《移动智能终端安全能力技术要求》、YDT 2408?2013《移动智能终端安全能力测试方法》等标准,结合移动应用涉及的常规技术点,归纳出如下针对移动应用客户端的检测内容和方法。
1、移动应用客户端软件安全测评
通过运行移动应用的客户端软件,了解客户端的基本功能和工作流程。该步骤可以在实机或者模拟器中运行。为了更深入地了解客户端,检测人员可以通过代理或者网络嗅探的方式记录通信日志。具体收集的信息包括以下5个方面。
1)确定客户端使用的网络接口,包括但不限于移动通信协议(GSM、GPRS、EDGE、WCDMA、TD-SCDMA、FDD等)、无线协议(Wi-Fi无线(802.11标准)、蓝牙、NFC等)、虚拟接口(即VPN),使用何种网络协议,在关键数据是否使用了安全协议传输,是否可以使用不安全的协议。
2)监测和识别应用程序可能会调用的硬件组件,包括但不限于NFC、蓝牙、GPS、相机、麦克风、传感器、USB。
3)利用搜索引擎、源代码库、开发者论坛等公开信息源,识别软件源代码或可能暴露的配置信息,重点针对客户端软件中可能集成的第三方组件。
4)确定移动终端应用软件是否与其他应用程序、服务或者数据进行交互,包括但不限于移动通信(短信、电话)、通信录、iCloud、社交网络(即朋友圈、微博等)、电子邮件。
5)确定服务器端的应用环境,包括但不限于托管服务提供商、开发环境、是否使用其他API(支付网关、短信、社交网络、云文件存储等)。
(2)人机交互安全测评
针对客户端软件中的人机交互功能开展如下安全性测评。
1)登录控制:检查客户端软件登录时是否需要输入登录密码;对比传统的用户名/密码,检查客户端软件是否使用滑动或者图形密码。
2)支付控制:检查客户端软件支付时是否需要输入支付密码、指纹密码、图形密码等;检查客户端软件支付时,除支付密码外,是否使用其他方式对支付过程进行控制;检查交易的关键信息是否与手机动态密码一起发送给客户,并提示客户确认。
3)密码管理:检查系统存在的密码种类以及每种密码的存储方式及安全保护机制;手机动态密码应随机产生,长度不应少于6位;应设定手机动态密码的有效时间,最长不超过6 min,超过有效时间应立即作废;支付密码不能保存在移动终端本地;用户输入支付密码、登录密码或其他密码时,应提供即时加密功能;认证操作结束后应立即清除缓存,防止信息泄露;登录密码等其他密码不能明文保存在移动终端本地;检查客户端软件中是否区分登录密码和支付密码;检查用户设置登录密码和支付密码时是否提示不能设为相同;检查客户端软件是否限制用户不能将登录密码和支付密码设为相同。
4)认证方式:检查客户端软件包含的用户身份认证方式;检查客户端软件在大额支付或重要信息修改时,是否采用除密码以外的其他身份认证方式(短信验证码、动态口令卡、移动口令牌、移动数字证书等)。
5)登录失败处理:检查客户端软件是否提供连续登录失败处理功能;验证其是否有连续鉴别失败锁定功能。
6)重登录:检查客户端软件是否提供会话超时重登录功能,确认其超时阈值;检查空闲操作达到设置阈值是否提供重登录功能。
7)移动终端交易异常处理:检查当客户端检测到移动终端交易出现异常时,是否向用户提示出错信息。
针对客户端软件中的自身安全性开展如下测评。
1)程序异常处理。检查关于客户端软件程序异常检测的要求,确认启动程序异常检测功能的条件;尝试对客户端软件进行篡改,检查客户端软件是否可以对篡改进行检测并进行提示。
2)数据有效性校验。检查客户端软件是否提供数据有效性校验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求,如输入的资金金额、账户等信息应不含特殊字符。
3)页面回退清除敏感信息机制。客户端应支持页面回退清除敏感信息的机制。
4)程序调用。检查客户端软件接口和数据的封装性,确保客户端软件不被其他程序非授权调用。
5)反编译。检查客户端软件是否采取反逆向工程保护措施,如客户端可采取代码混淆等技术手段,防范攻击者对客户端的反编译分析。
6)防篡改。客户端启动和更新时,应进行真实性和完整性校验,防范客户端被篡改;应对客户端程序进行签名,标识客户端程序的来源和发布者,保证客户所下载的客户端程序来源于所信任的机构。
7)编码安全。客户端程序采用何种技术手段规避各终端平台存在的安全漏洞,如防止按键输入记录、自动拷屏机制、文档显示缓存等。
针对客户端软件中的数据安全保护机制开展如下测评。
1)敏感数据显示:检查输入用户口令等敏感信息时,客户端软件界面是否为非明文显示。
2)敏感数据截获:检查在用户输入过程中,用户输入的数据应不被移动终端的其他设备或程序非授权获取;客户端软件应提供敏感信息机密性、完整性保护功能,如采取随机布放按键位置、防范键盘窃听技术、计算 MAC 校验码等措施。
3)数据篡改:检查用户输入的数据在发送前应不被移动终端的其他设备或程序篡改;应采取有效措施防范恶意程序窃取、分析、篡改短信动态密码,保证短信动态密码的机密性和完整性,如结合外部认证介质(如密码卡等)、采用问答方式等。
4)数据访问:检查敏感数据是否仅供授权用户或应用组件访问。
5)敏感数据存储:检查客户端软件是否保留最少的敏感数据,限制数据存储量和保留时间,达到恰好能满足法律、管理规定和业务需要的程度。
6)用户身份认证信息存储安全:检查客户端软件禁止在身份认证结束后存储敏感认证数据,如银行卡磁道信息、卡号、密码、CVN2等(即使经过加密)。
7)敏感信息显示:检查显示敏感信息(如账户号、身份证号等)时,是否对敏感信息全部或部分字段予以屏蔽。
8)残留敏感信息保护:检查客户端软件在使用过敏感信息后,内存中是否仍然残留敏感信息;客户端程序的临时文件中不应出现敏感信息,临时文件包括但不限于 Cookies。
9)远程数据传输保密性:检查敏感数据远程传输时,是否采取加密措施;检查数据的加解密方式、加密密钥长度及密钥管理方式。
10)本地数据传输保密性:检查敏感数据和本地其他实体间传输时是否采取加密措施;检查数据的加解密方式、加密密钥长度及密钥管理方式。
11)数据传输完整性:检查是否采取有效措施以确保支付数据的完整性(如MAC校验等措施)。
针对客户端软件中的通信安全保护机制开展如下测评。
1)网络通信协议:检查客户端软件和远程服务器间是否使用 SSL/TLS或IPSec等安全协议进行通信;若采取WAP模式,则检查客户端软件是否支持WTLS协议;如使用SSL协议,应使用3.0版本及以上高版本的协议,取消对低版本协议的支持;客户端到远程支付系统的SSL加密密钥长度应不低于128位,用于签名的 RSA 密钥长度应不低于1 024位,用于签名的ECC密钥长度应不低于256位或SM2密钥长度应不低于256位。
2)安全认证:检查客户端软件的安全协议层是否对客户端和远程服务器双方的身份进行认证;查看服务端对客户端的身份认证方式,包括提供对手机号码绑定或移动终端标识符绑定等认证方式,并验证其有效性;查看客户端对服务器端的身份认证方式,包括提供服务器证书,并验证其有效性。
检查客户端软件是否可保证支付内容的不可抵赖性(如采取签名机制等抗抵赖措施)。
2、移动应用客户端运行环境安全测评
(1)客户端操作系统漏洞检测
目前,移动应用客户端所使用的主流操作系统包括Android和iOS。这些操作系统在不断升级的过程中,也引入了各式各样的安全漏洞。需要对客户端运行环境(即操作系统)进行漏洞检测,针对以往以及最新的系统漏洞,发现目标系统环境存在的漏洞类型、数量、严重性。
(2)客户端操作系统权限检测
Android系统基于Linux内核开发,iOS系统基于Unix内核开发,它们的文件结构与工作机制类似。在默认情况下,Android系统与iOS系统并不允许用户使用root权限(系统最高权限),但一部分用户为了体验更多系统功能,会通过系统漏洞进行提权操作(iOS称为“越狱”,Android 称为“root”),获得系统最高权限后带来的风险也是安全测评工作需要重点关注的。例如,如果客户端受到病毒或木马的攻击,那么攻击代码也相应获得了系统最高权限,并可以执行平常无法实现的恶意功能(成为系统进程,监听键盘,修改系统文件等),使系统变得不稳定,导致在支付过程中意外中断支付流程、流氓软件可以更方便窃取用户的隐私等。
因此,在测评工作中,需要针对客户端操作系统的权限进行检测,检测用户是否进行了提权,并明确此类提权行为是否会导致安全漏洞,如恶意软件也获得提升的权限等。
新技术的产生推进了业务应用场景的变迁,业务的发展又促进了新技术的演进。在信息技术与业务应用的循环往替间,技术改变着人们的生活。与便捷的体验同时存在的是新技术带来的新型安全隐患。
本文在当前主流的新技术行业应用领域中,选取云计算、工业控制系统以及移动应用三类典型方向,就新技术的概念、面临的安全风险以及具体的测评内容和方法进行了阐述。面对新技术开展安全测评工作,希望能为您提供一些思路。
