面向电信运营商的系统漏洞分级体系研究 research of vulnerability classification system for telecoms operators.pdfVIP

运 营 与 维 护 O P E R AT I O N A N D M A I N T E N A N C E 电信工程技术与标准化 面向电信运营商的系统漏洞分级体系研究 张震 张洪刚 （中国移动通信集团广东有限公司深圳分公司 深圳 518048） 摘　要　漏洞的发现、利用是网络攻防的焦点，是入侵者破坏系统的关键环节。本文对电信运营商的业务承载系统的 漏洞进行分类研究，提出了一种面向电信运营商的系统漏洞分级体系，目的是为保障运营商信息安全提供有 力支持。 关键词　漏洞 分级 信息安全 1 引言 时发现并实施补丁加固，并未造成损害。 案例 2 ：运营商计费出错案例 ：2010 年 2 月，北京 自 2009 年各运营商重组之后，业务竞争不断加剧， 联通公司某用户突然欠费 682 元停机，后经调查是联通 各运营商对业务安全和稳定运营的要求不断提高。但是 计费系统存在漏洞，导致计费错误，该用户后通过法律 由于运营商的网络规模庞大，系统和业务类型复杂，系 途径讨回经济损失。 统中存在一些具备较高风险等级的安全漏洞在所难免， 从上述案例可以看出，无论是支撑系统还是业务系 为安全生产埋下了未知的安全隐患 [1] 。以下为两个现实 统，漏洞一旦被威胁（内外部人员、恶意程序）所利用， 案例。 将产生严重的安全事故，所造成的损失（品牌损失、经 案例 1 ：2009 年深圳移动在例行业务系统安全漏洞 济损失等）不可估量，及时发现漏洞并修复漏洞对于运 扫描中发现“手机投注系统”的 Windows 操作系统中 营商的基础安全运维显得至关重要。 存在一个高危漏洞，如表 1 所示。 MS08-067 漏洞可以伪造的 RPC 请求，能允许远 2 运营商的业务系统漏洞现状 程执行代码，导致完全入侵用户系统，以 System 权限 执行任意指令并获取数据，并获取对该系统的控制权， 2.1 漏洞的定义 造成系统失窃及系统崩溃等严重问题，所幸该漏洞被及 理解漏洞的内涵是发现漏洞并加固漏洞的前提。 表1 “手机投注系统”Windows操作系统存在漏洞 自计算机系统诞生起，人们对漏洞研究就开始了。 端口 协议 服 务 漏 洞 漏洞级别 Denning 在《Cryptograph and Data Security》一文 Windows 中从访问控制的角度给出了漏洞的定义。他认为，系统 Server服务 445 TCP Microsoft-ds RPC请求缓冲 高 中主体对客体的访问是通过访问控制矩阵实现的，这个 区溢出漏洞 访问控制矩阵就是安全策略的具体实现，当操作系统的 ·2010年 第9期· 73 运 营 与 维 护 O P E R AT I O N A N D M A I N T E N A N C E T E L E C O M E N G I N E E R I N G T E C H N I C S A N D S TA N D A R D I Z AT I O N 操作和安全策略之间相冲突时，就产生了安全