干货分享 | 关键信息基础设施运营单位如何做好业务安全测试

孟加拉国央行因黑客攻击被窃8100万，美国地铁遭勒索病毒攻击，委内瑞拉全国范围内大停电，全球爆发的永恒之蓝事件……近几年来，针对关键信息基础设施的网络攻击日渐增多，正在对国家安全、经济发展和社会稳定产生重大影响。

关键信息基础设施保护正面临着严峻的挑战，网络安全防护也成了运营单位的重中之重任务。但在运营单位按部就班地做好网络、云端、终端等各处防护的过程中，很可能会忽视掉对业务本身的安全。

银行、保险、证券、电商、航空等行业由于涉及大量的金钱、个人信息、交易等重要隐私数据，常常会成为黑客攻击的首要目标。但业务系统由于开发人员安全意识淡薄、开发迭代频繁，往往导致业务逻辑层面的安全风险层出不穷。目前，很多业务系统主要基于OWASP TOP10来做安全风险检测，但这些常规的测试因往往忽视业务逻辑层面漏洞，而使得系统面临更高风险，造成更加严重的安全后果。

因此我们需要针对业务系统中的业务流程、业务逻辑设计、业务调用、业务数据等深度挖掘业务安全漏洞，通过相应整改增强业务系统的安全性。

关键信息基础设施业务安全测试的标准依据 

全国信息安全标准化技术委员会秘书处在北京召开了国家标准《信息安全技术 关键信息基础设施安全检查评估指南》(报批稿)(以下简称《检查评估指南》)试点工作启动会，《检查评估指南》作为关键信息基础设施测评类标准指出，业务安全测试检查评估方通过深入分析被检查方的业务流程，借助流量抓取、协议分析或手工检测等方式，发现被检查方业务逻辑层面可能存在的安全漏洞。

业务安全测试的具体内容包括：

1、凭证验证缺陷：由于缺少对用户的登陆凭证的有效验证或者是验证存在设计缺陷等造成的系统安全隐患，如无需验证、越权问题、密码重置问题等。

2、接口调用缺陷：由于数据或者功能接口没有进行访问控制或者访问控制存在设计缺陷，造成接口滥用或数据泄露等安全隐患，如：数据对象无限制枚举、暴力攻击等。

3、数据验证缺陷：由于对业务处理中的业务数据缺乏完整性、一致性验证造成的系统缺陷，如数据一致性缺陷、业务数据任意修改等。

4、逻辑设计缺陷：由于业务程序逻辑设计或实现不当造成的缺陷，如逻辑处理错误、逻辑分支覆盖不全、任意跳转缺陷等。

5、其他业务安全测试：不能归类为以上类型的业务安全测试。

关键信息基础设施运营单位要如何做好业务安全测试？ 

业务安全测试与普通测试的不同之处在于业务安全测试更注重业务流程，涉及业务线长，测试内容更偏向逻辑测试。我们将业务安全测试分为两步来进行，一是通过收集并参考业务系统相关设计文档和实际操作，与相关开发人员沟通、调研等方式熟悉和了解被测系统业务内容和流程。二是通过对业务流程进行分析，跟踪流程的流动，分析流程中各个节点可能出现的业务流程风险针对可能出现的风险点进行测试。

接下来，我们来看看业务安全测试的两个步骤具体是怎么做的：

第一步：业务流程梳理

• 功能了解：系统开发人员或相关人员先对系统的功能讲解，随后对系统的流程进行讲解，帮助测试人员了解系统业务功能及重点功能模块。
  

• 角色了解：对使用业务系统的不同权限的角色进行了解，确定系统角色是否按照最小权限原则进行设计。

• 流程演示：熟悉系统的人员进行流程建立演示，所有的流程都需要进行演示，并对各角色操作进行演示。

• 范围确定：根据讲解和演示内容，安全专家与用户确定测试的目标和范围。

通过功能的了解和业务流程的梳理，根据不同的应用系统完成定制化的测试方案，主要包括以下内容：

• 绘制业务流程图：安全专家根据业务流程和演示绘制业务流程图。

• 系统角色梳理：梳理业务流程中涉及到的用户角色和用户账户等。

• 分析面临的风险：根据相关标准和专家经验和客户共同分析可能出现的风险。

• 确定测试点：共同确定业务流程中的测试点。

第二步：业务安全测试

业务安全测试主要对以下内容进行测试。

最后，还需要对测试结果进行总结，再根据测试成果开展相应的业务安全修复工作。同时也可以寻求第三方专业安全公司研讨具体的加固实施方案，以规避安全整改风险，降低业务安全隐患。

关键信息基础设施运营单位在实施完成整改工作后，还要根据整改情况进行复测，以确认之前暴露的问题得以有效的修复，同时没有引入新的安全问题，确保整改工作达到预期目标。

↑↑↑长按图片识别二维码关註↑↑↑

原文始发于微信公众号（全栈网络空间安全）：干货分享 | 关键信息基础设施运营单位如何做好业务安全测试