电信运营商互联网接口安全风险审计

近年，电信运营商不断地推出新业务、新技术、新产品，各种网络设备、服务器、数据库、应用系统和安全设备等组件为实现相应功能越来越多地堆叠在互联网接口。如果，接口是连接互联网的大门，那么，大门口堆叠的这些组件是否存在疏忽防范的潜在风险？在这些业务、技术、产品新旧更换阶段，大门是否存在交接的安全空隙？大门越多，风险越大，甚至对互联网开启了多少大门都成了运营商需要关注的安全问题。

“十八大”网络与信息安全保障专项行动以及工信部第三方检测发现了互联网接口诸多安全风险问题，如“网站第三方组件存在漏洞，可被用来上传木马”、“部分联网服务器的高危漏洞未能及时安装补丁”、“互联网设备弱口令问题依然严重”、“开启不必要的服务端口”、“缓冲区溢出等应用层漏洞未修补”等等。

随着互联网接口安全性日益升温，互联网接口安全风险审计顺理成章地受到运营商高度青睐。本文将从审计和风险评估的角度来讨论互联网接口安全风险风险审计的技术框架、流程以及具体实施步骤，分析产生安全风险的原因以及安全风险审计的价值。

一、互联网接口安全风险审计技术框架

互联网接口安全风险审计就是在一个特定的网络环境下，针对互联网提供访问的业务系统、网络组件实施安全风险审计。它与常规的安全风险评估、Web安全风险评估、应用代码审计、渗透测试的着眼点不同，涵盖了上述传统风险评估技术，侧重于IT审计的管理实践。

下图为互联网接口安全风险审计技术框架：

二、互联网接口安全风险审计流程

互联网接口安全风险审计流程是：从业务应用、公网IP地址两条审计流程同步进行，完成其完整性校验，生成业务视图、业务列表、自有公网IP列表，然后，对业务系统和自有公网IP实施风险评估，对其产生的风险进行原因追溯，形成问题汇总与改进建议，做到防微杜渐（如下图所示）。

二、 互联网接口安全风险审计具体步骤

根据互联网接口安全风险审计流程图，将互联网接口安全风险审计的具体步骤分为四个阶段（如图所示），包括：互联网接口现状梳理阶段、安全测试阶段、原因与追溯阶段、汇总与改进建议阶段。

1、  互联网接口现状梳理

互联网接口现状梳理包括两个方面：公网IP梳理和业务系统梳理。

从公网IP梳理开始

如果要对运营商互联网接口安全现状进行梳理，首当其冲的就是对公有IP地址进行梳理，但是运营商公有IP成千上万，如何在浩瀚的公有IP中寻找公司自有的、有评估价值的公有IP地址就成了工作的重点和难点。

各运营商均有《公有IP地址管理办法》，它规定，各省市网络管理部门应该对其负责的公网IP地址进行管理，包括将公有IP分成网络部分公有IP地址和客户部分公有IP地址两种，但是，各省市运营商又是否能按照集团公司的公网IP管理办法严格执行呢？

因此，在安全风险审计调查中，首先，访谈省市运营商负责公网IP地址管理与分配部门的负责人；如网络部们负责人，调研公网IP的维护状况，包括公网IP分配情况、在用、预留等信息；获取公司公网IP备案清单文档；其次，在后续的业务系统梳理过程中，汇总各业务系统资产清单中的公网IP地址；最后，将上述两个结果进行对比分析，保障对公司互联网接口公网IP审计的完整性。

 业务系统梳理

首先，通过访谈互联网接口相关负责人，获取互联网接口拓扑结构图、整理互联网接口相关的网络组件配置文件，如：核心交换机、出口路由器等配置文件。

接下来，对配置文件进行整理与分析，检查核心互联接口设备每个端口的配置状况，包括端口开启状态、端口配置信息如：连接系统、公网IP等等；根据端口信息整理互联网核心网络设备接口对应业务系统梳理总表。

与此同时，根据梳理业务系统梳理总表，逐步访谈业务系统相关的负责人，获取其业务系统的拓扑图、资产清单、安全日志文件等信息，为业务系统视图的绘制、公网IP地址梳理和安全测试提供资料。

然后，将端口梳理出的业务系统与前期调研所获得的相关业务系统资料进行对比分析，保障业务系统安全风险审计的完整性。

最后，将整理出的互联接口相关业务系统按照不同的区域，如：内部办公区、远程接入维护区、互联网业务接入区、合作伙伴区和门户网站区分层次，体现数据流动的方式绘制运营商省市公司互联网接口相关业务系统视图，如下图所示。

1、安全测试

安全测试主要是对支撑起互联网接口的网络组件，如网络设备、主机服务器、数据库、应用系统、网络安全设备，进行系统漏洞扫描、web安全扫描、基线合规性安全检查以及渗透测试，检查其存在的潜在安全风险。下表是针对其需要审计的网络组件进行安全检查的列表：

1、原因与追溯

无论是在接口现状梳理阶段还是安全测试阶段，安全风险审计都会发现很多潜在的风险问题，这些潜在的风险问题可从管理层面和技术层面两个方面进行分析。

管理方面

例如：公网IP地址梳理，省市公司是否有完整IP地址管理办法？是否按照管理办法严格执行？即省市公司能否对自有的公网IP地址进行有的放矢的安全管理等等。

部分省市公司互联网接口互联网络设备的端口管理存在盲区：

1、互联网接口管理员不清楚互联网核心设备端口对端连接是什么业务系统、是什么设备、对端业务系统管理员是谁等；

2、业务系统管理员也不清楚自己的业务系统到底是连接在互联网接口的哪个交换机的端口上；

3、整个公司没有人能清楚掌握整个互联网互联设备端口业务系统互联情况，更谈不上对这些业务系统的统一管理，导致互联网接口存在管理上的盲区。

技术层面

1、弱口令

弱口令可以说不是技术问题的技术问题，说不是技术问题是它本身没有什么技术难度，然而就是这个问题在以往安全检查中仍然屡见不鲜。互联网接口安全风险审计必须寻找存在弱口令的原因，是管理人员安全意识不强，还是存在设备本身比较“偏僻”，即系统在“下线”与“未下线”的之间等等原因。

2、第三方插件的存在漏洞，导致系统存在入侵的风险

针对第三方插件漏洞系统被入侵的现象，互联网接口安全风险审计就需调查省市公司是否加强了对第三方插件的安全管理，是否有第三方插件安全维护记录等情况。

3、服务器存在高危风险漏洞

针对漏洞扫描器发现主机服务器存在高危风险漏洞，互联网接口安全风险审计需要去核实与评估，高危风险漏洞对互联网接口的影响，以及存在高危风险漏洞的原因，是管理员未能及时更新补丁？还是补丁的更新会对当前业务系统造成影响？针对这种情况，管理员是否采用了其他安全防护措施？

针对技术层面发现的问题还会有很多，如跨站脚本、SQL注入、缓冲区溢出等等，互联网接口安全风险审计都要对这些存在风险问题的原因展开调查，统计产生潜在安全风险的所有原因，防止类似问题重复发生。

1、汇总与改进建议

根据原因与追溯找到的问题根源就能有的放矢的提供有建设性的改进建议。

二、互联网接口安全风险审计的价值

互联网接口安全风险审计不同于传统意义上的安全风险评估，传统意义上安全风险评估首先认定所检查的安全服务对象是完整的，而安全风险审计则不同，它需要运用审计的思维调查、验证审计对象的完整性，如互联网接口公网IP地址梳理，传统安全服务会认为客户提供的公网IP就是安全服务的对象，而安全风险审计则需要从业务系统梳理过程中梳理资产清单，汇总业务清单公网IP，然后，再与前期获得的公网IP进行匹配核对。其价值包括：

1、保障安全服务对象的完整性。在匹配的时候，无疑会存在如下现象：

这样在一定程度上既保障了业务系统的完整性，又保障了公网IP梳理的完整性。

2、减轻安全服务工作量。电信行业对互联网开放的公网地址：包括各大运营商的托管服务、专线、合作伙伴、小区宽带等等，这些公网IP地址占用整个运营商公网IP分配的绝大部分，而运营商自身业务系统的公网IP即运营商网络部分自有IP地址只有很小一部分。如果要对所有公网IP进行安全检查，无疑陷入巨大的泥潭中而不能自拔。互联网接口安全风险审计，就是运用审计学的原理保障梳理出具备完整性的网络部分自有公网IP 地址，这样就能为这小部分的公网IP地址开展有针对性的安全服务检查，大大减少了安全服务的工作量。

3、提高安全防护水平。遵循“木桶原理”，很多安全事件发现起源于一些“偏远”、“偏僻”、“即将下线而未下线”的系统，这些系统的网络组件逐步被管理员遗忘，成了攻击者的温床。而互联网安全风险审计解决了这个问题，无论系统多么“偏远”、“偏僻”，只要它还在互联网的接口上，就逃不掉互联网接口安全风险审计完整性对它的安全检查，杜绝互联网接口存在业务系统“短板”。

总之，互联网接口安全风险审计既采用了传统安全服务技术，又运用IT审计思维，从管理层面和技术层面指出了互联网接口存在的潜在风险，提高了运营商省市公司安全风险管理水平。