通用业务安全关键技术研究及产品开发.ppt

中国移动集团重点/联合研发项目结题汇报报告,项目名称：中国移动通信集团广东有限公司系统应用安全设计服务可行性研究项目编号：,一.开题计划完成情况,目 录,二、主要研究成果（整合后）,1.1 研究背景及目标（开题报告）,移动运营商的业务系统飞速发展过程中存在的安全问题：现状：常见的安全解决方案都适用于编码开发阶段、测试和上线运维阶段，应用系统需求方在设计阶段缺乏对安全架构的全面考虑、缺乏对可能面临的安全威胁进行彻底的分析；困境：各种预警、检测、防御、抑制与修正等安全防护手段在业务系统上线后才进行考虑，导致应用系统无法对威胁进行有效的根除、信息安全的建设方式处于被动状态、使用的安全技术不适宜业务系统的功能性及易用性；,1.1 研究背景及目标（开题报告）,事前（不完善）,事中（不完善）,事后（被动安全）,管控平台要求敏感信息保护要求网络总体技术要求,系统落地安全评估漏洞检测渗透测试运行问题报告,目前缺乏对业务系统的具体安全要求，在业务系统设计中容易被业务流程设计忽略。,业务系统的安全方案设计、实现、检测方面存在不完善之处，容易产生安全短板。,被动安全的危害1.无安全设计文档，问题的出现无法预估；2.补丁机制存在连续性差的问题；3.开发中遗留的问题导致大量维护性工作。,技术规范设备规范系统检测,1.1 研究背景及目标（开题报告）,正常安全检查流程,早期引入安全检查,*Gartner 2001分析数据。,1.1 研究背景及目标（开题报告）,SDLC（Software Development Life Cycle）由英国政府在上世纪80年代提出，用于统一各机关单位与贸易机构的软件开发过程，后被业界广为引用，成为业内标准。,SDL（Security Development Life Cycle）由微软等几家业内软件与安全机构所提出并维护用于为业内提供一套可参照的软件安全开发模型（2006年，stack公司采用该方法为微软提供针对MSSQL SERVER 2007产品线的安全设计服务）。,针对分析设计阶段研究业务安全分析技术明确应用系统可能面对的威胁；明确应用系统应考虑的安全缺陷。提出业务安全设计方法建立通用业务安全模型；提出面临威胁的解决手段、设计业务安全流程；为开发与测试提供依据。制定标准文档，指导业务分析设计。输出:广东移动4A系统系统与安全威胁分析报告广东移动安全设计服务知识库,1.2 研究目标（开题报告）,业务系统安全生命周期SDL,分析设计阶段,编码实现,测试,上线运维,1.2 研究目标（开题报告）,针对中国移动业务系统的安全建设，在业务系统的分析设计阶段对安全架构进行设计、对威胁分析体系进行研究。本软课题将引入国际化标准的应用安全设计理念，结合广东移动固有应用系统设计流程，研究出一套具有广东移动特色的应用安全设计体系；研究成果将逐渐在省公司内部应用系统实施，从根本上消除在设计阶段产生的固有威胁，提升应用系统安全性、形成完备的安全保护体系、节省后期的安全投入；,1.3 主要研究内容及分工（开题报告）,1.3 开题计划完成情况总结,项目实施进度：,1.3 开题计划完成情况总结,第一阶段：项目调研主要工作内容：进行系统设计工作流程调研与广东移动具体设计系统需求调研；实施周期：2010年7月22日-7月29日（一个工作周）第二阶段：资产对象分析主要工作内容：对广东移动具体设计系统进行对象分析与数据流分析；实施周期：2010年7月30日-8月30日（四个工作周）第三阶段：资产对象威胁分析主要工作内容：对广东移动具体设计系统进行威胁分析与分级；实施周期：2010年8月31日-9月29日（四个工作周）,项目实施进度：,1.3 开题计划完成情况总结,第四阶段：资产对象威胁缓解分析主要工作内容：对广东移动具体设计系统进行威胁缓解分析、模型整理；实施周期：2010年10月4日-10月31日（四个工作周）第五阶段：成果整理主要工作内容：整理广东移动具体设计系统安全设计成果文档与广东移动安全设计知识库并验证；实施周期：2010年11月1日-12月1日（四个工作周）,项目实施进度：,1.3 开题计划完成情况总结,由于目前市场上不具备非常成熟的安全设计体系，因此加大了本项目的研究难度；在安全设计过程中，需要结合广东移动现有业务系统的特色设计与编码模式；对于已建成业务系统，必须重新进行安全设计规划与整改，其引发的变更过程将存在一定危险性。针对上述问题，必须通过充分的调研与研究实践来克服。,项目难点：,一.开题计划完成情况,目 录,二、主要研究成果（整合后）,2.1 主要研究成果-技术方案,对象,对象分解,识别威胁,威胁分级,结合移动业务实现的具体场景,安全威胁分析与解决方案研究技术方案针对移动业务系统的实现，需要结合业务系统的应用场景，进行系统化、实例化的安全分析。,依据标准化的安全业务流程要求,选取或设计威胁解决方法,关键技术,关键技术,执行系统安全威胁分析、制定解决方案。,2.1 主要研究成果-设计流程,分解对象,识别威胁,威胁分级,缓解威胁,安全设计服务基本流程,1)分解对象分解应用程序的体系结构。,2)识别威胁以STRIDE模型识别威胁。,3)威胁分级以DREAD算法分级威胁。,4)缓解威胁选择合理支撑手段缓解威胁。,安全设计服务具体实践-范例成果；安全设计服务实施方法-知识库；,2.1 主要研究成果-安全设计服务模板,资产对象威胁缓解说明流程、方法,安全设计知识库,2.2 主要研究成果-分解对象流程,流程参与者：架构设计师、安全设计分析师。其它流程：威胁分析阶段。活动内容：由架构设计师提供在软件设计阶段生成的概要设计与详细设计文档，并由安全设计分析师针对该类型文档进行基于数据流（DFD）的组件分析、关系分析与约束分析，最终生成对象分析结果并转发至威胁分析阶段。,2.3 主要研究成果-分解对象方法,根据DFD（Data Flow Diagram）分解对象的内部元素：外部对象处理过程数据流（包括控制流）存储单元可信区域,范例：,阶段成果：广东移动4A认证服务器组件对象分解说明广东移动业务系统安全设计规范_对象分解实施指南,2.4 主要研究成果-威胁分析流程,流程参与者：安全设计分析师。其它流程：对象分解阶段、威胁分级阶段。活动内容：首先通过对象分解阶段提供的对象分解结果以及本文所提供的威胁类型说明内容进行针对各单元的威胁分析，生成相关的威胁列表与威胁树，综合整理为威胁分析结果并转发至威胁分级阶段。,2.5 主要研究成果-威胁分析方法,以DFD中每个对象作为单位进行威胁识别，内容包括：欺骗（Spoofing）干预（Tampering）抵赖（Repudiation）泄露（Information Disclosure）拒绝服务（Denial of Service）权限提升（Elevation of Privilege）,范例：,阶段成果：广东移动4A认证服务器组件威胁分析说明广东移动业务系统安全设计规范_威胁分析实施指南,2.6 主要研究成果-威胁分级流程,流程参与者：安全设计分析师。其它流程：威胁分析阶段、威胁缓解阶段。活动内容：导入威胁分析阶段得到的威胁分析结果，并结合本文提供的威胁计算方式以及对象威胁等级计算方法，生成威胁分级说明转发至威胁缓解阶段。,2.7 主要研究成果-威胁分级方法,为确认威胁处理优先级,将对其进行DREAD模型分级：潜在的损害（D）可再现性（R）可利用性（E）受影响用户情况（A）可发现性（D）,范例：,阶段成果：广东移动4A认证服务器组件威胁分级说明广东移动业务系统安全设计规范_威胁分级实施指南,2.8 主要研究成果-威胁缓解流程,流程参与者：安全设计分析师、架构设计师。其它流程：威胁分级阶段。活动内容：根据威胁分级阶段得出的威胁分级说明文档作为前置分析条件，根据客观条件与成本投入情况选择缓解类型与缓解方式，并最终生成威胁缓解说明，为架构设计师提供以安全为驱动的架构设计建议。,2.9 主要研究成果-缓解威胁方法,针对威胁提出合理的缓解办法，主要以“4T”解决方案作为蓝图：,阶段成果：广东移动4A认证服务器组件威胁缓解说明广东移动业务系统安全设计规范_威胁缓解实施指南,2.10 主要研究成果,2.11 主要研究成果,通过对广东移动4A认证服务器进行分析，发现三个威胁：,整改情况：,2.12 主要研究成果-创新点和专利点,创新点模型化的安全威胁分析技术研究；业务系统威胁缓解分析技术研究；结合广东移动软件开发生命周期的安全设计服务研究。专利点基于数据流的安全威胁分析技术存在专利点形成的可能。,29,结束,谢谢大家！,