基于STRIDE威脅模型的高校關(guān)鍵業(yè)務(wù)系統(tǒng)潛在風(fēng)險分析及對策研究

陳單英 任鳳君 黃 磊 張小霞

（福建醫(yī)科大學(xué)，福建福州，350122）

基于STRIDE威脅模型的高校關(guān)鍵業(yè)務(wù)系統(tǒng)潛在風(fēng)險分析及對策研究

陳單英 任鳳君 黃 磊 張小霞

（福建醫(yī)科大學(xué)，福建福州，350122）

解決高校關(guān)鍵業(yè)務(wù)系統(tǒng)潛在的風(fēng)險和漏洞的方法有很多種，現(xiàn)利用STRIDE威脅模型對高校關(guān)鍵業(yè)務(wù)系統(tǒng)所面臨的威脅進行實踐研究。通過建立STRIDE安全威脅模型，對關(guān)鍵業(yè)務(wù)系統(tǒng)的數(shù)據(jù)流進行梳理和風(fēng)險分析，量化和細(xì)化各類安全威脅，并結(jié)合OWASP TOP 10進行漏洞驗證，進而有針對性地提出各類威脅相應(yīng)的解決方法和應(yīng)對策略。

威脅；STRIDE威脅模型；安全性；數(shù)據(jù)流

引言

近年來，隨著國家對教育事業(yè)的支持和投入不斷增加，高等教育從深度和廣度上都有了顯著的發(fā)展和提高。信息化、網(wǎng)絡(luò)與計算機技術(shù)的不斷發(fā)展也為教育事業(yè)提供了強有力的支持手段，為教育模式的創(chuàng)新、先進教育理念的實現(xiàn)提供了可靠的實現(xiàn)方法。高校信息化主要以數(shù)字化校園建設(shè)為主，主要內(nèi)容包括校園信息管理系統(tǒng)、數(shù)據(jù)中心、統(tǒng)一信息門戶、統(tǒng)一身份認(rèn)證、校園一卡通、網(wǎng)絡(luò)安全體系等[1]。在高校對外開放度不斷提高，信息化建設(shè)高速發(fā)展的背景下，高校關(guān)鍵業(yè)務(wù)系統(tǒng)的安全風(fēng)險日漸凸顯。信息系統(tǒng)的安全風(fēng)險使一些不法分子入侵學(xué)校信息系統(tǒng)有了可乘之機，信息系統(tǒng)的安全漏洞的風(fēng)險造成學(xué)生和教職工的信息泄露已經(jīng)嚴(yán)重影響了廣大師生的工作和生活，給師生帶來了嚴(yán)重的困擾。如何杜絕此類現(xiàn)象的發(fā)生，在信息系統(tǒng)正式運行過程中，對其每個流程的關(guān)鍵業(yè)務(wù)點的安全風(fēng)險和漏洞進行評估，消除安全風(fēng)險是高校信息安全面臨的重要的任務(wù)之一。本文以我校數(shù)字化校園中的關(guān)鍵業(yè)務(wù)系統(tǒng)學(xué)工管理系統(tǒng)為切入點，應(yīng)用STRIDE模型，[2]梳理各個業(yè)務(wù)系統(tǒng)的業(yè)務(wù)流，針對每個業(yè)務(wù)流節(jié)點，結(jié)合OWASP組織提出的十大安全隱患OWASP Top 10，[3]通過模擬滲透攻擊方法，進行潛在安全威脅分析。針對潛在風(fēng)險進行分析，保障學(xué)校關(guān)鍵業(yè)務(wù)系統(tǒng)的安全使用，進而為學(xué)校信息化建設(shè)提供有力保障。

學(xué)工管理系統(tǒng)是我校數(shù)字化校園的重要業(yè)務(wù)系統(tǒng)之一，包括學(xué)生信息、獎懲罰貸、困難生、助學(xué)、綜合測評管理等功能模塊,從學(xué)習(xí)、生活、思想等方面對學(xué)生進行全面的管理。在學(xué)校的學(xué)生管理工作發(fā)揮著重要的作用，系統(tǒng)整合并規(guī)范學(xué)生管理業(yè)務(wù)，各個環(huán)節(jié)都很重要，不容有安全風(fēng)險。

一、威脅建模和STRIDE

利用STRIDE進行威脅建模，保證系統(tǒng)的六大安全屬性。我們在分析威脅時，可以從以下6個方面去考慮。表1為各類威脅和系統(tǒng)安全屬性映射關(guān)系及說明。

威脅建模就是使用一個模型，幫助用戶去實現(xiàn)用戶所想的，發(fā)現(xiàn)系統(tǒng)在哪些方面有可能會存在威脅，并且避免這些威脅存在的過程。文中使用微軟的STRIDE模型進行威脅建模，來確保業(yè)務(wù)系統(tǒng)的安全屬性，為了遵循STRIDE，必須將業(yè)務(wù)系統(tǒng)分解為相關(guān)的組件，并分析每個組件是否受威脅攻擊，一直重復(fù)這一過程，直至檢測業(yè)務(wù)系統(tǒng)每個組件的威脅都不存在，并抑制了所有威脅對于每個組件的影響。

一般軟件都是以實現(xiàn)用戶的需求功能為目標(biāo)的，但是在實現(xiàn)功能的過程中，有些會忽略了安全問題，解決方法之一可以在軟件開發(fā)初期建立威脅模型進行分析，發(fā)現(xiàn)設(shè)計中的缺陷和不安全因素。其次針對已有的現(xiàn)成軟件也可以利用威脅模型對其進行分析，找出其潛在風(fēng)險并分析各種威脅，提出相應(yīng)應(yīng)對策略。

建立威脅模型的過程如下：標(biāo)識資源，找出系統(tǒng)要保護的有價值的資源，比如保密數(shù)據(jù)、私有數(shù)據(jù)、重要數(shù)據(jù)，及數(shù)據(jù)庫的完整性等；分析系統(tǒng)體系結(jié)構(gòu)，為辨別威脅做準(zhǔn)備；分析系統(tǒng)數(shù)據(jù)流圖，包括認(rèn)證機制，授權(quán)機制，描述信任的邊界，標(biāo)識系統(tǒng)的輸入和輸出口；識別威脅，利用對業(yè)務(wù)系統(tǒng)的體系結(jié)構(gòu)和潛在風(fēng)險的了解，找出可能影響業(yè)務(wù)系統(tǒng)的威脅；記錄威脅，將威脅分類形成文檔；評價威脅，對威脅進行評價以區(qū)分優(yōu)先順序，并首先處理最重要的威脅。圖1為威脅建模過程圖。[4]

表1 各類威脅和系統(tǒng)安全屬性映射關(guān)系及說明

二、關(guān)鍵業(yè)務(wù)系統(tǒng)體系結(jié)構(gòu)和數(shù)據(jù)流圖分析

（一）體系結(jié)構(gòu)圖

本文利用微軟威脅建模工具（Microsoft SDL Threat ModellingTool,TDL），[5]繪制數(shù)據(jù)流圖分析各個外部實體與系統(tǒng)之間的數(shù)據(jù)交互關(guān)系。系統(tǒng)體系結(jié)構(gòu)和數(shù)據(jù)流圖分析是通過對系統(tǒng)的總體架構(gòu)和業(yè)務(wù)流程的分析，劃定業(yè)務(wù)系統(tǒng)的數(shù)據(jù)流和安全邊界。高校的關(guān)鍵業(yè)務(wù)系統(tǒng)很多，本文以學(xué)工管理信息系統(tǒng)為例進行威脅分析。圖2為學(xué)工管理信息系統(tǒng)體系結(jié)構(gòu)圖。

（二）數(shù)據(jù)流圖

學(xué)工管理信息系統(tǒng)是基于J2EE體系架構(gòu)，實現(xiàn)業(yè)務(wù)數(shù)據(jù)和身份認(rèn)證數(shù)據(jù)分離，每個子系統(tǒng)可自由拆分、組合，提供強大的網(wǎng)上服務(wù)。學(xué)工管理信息系統(tǒng)的外部實體及說明主要包括：

（1）學(xué)生：學(xué)工事務(wù)申辦，個人相關(guān)信息查詢等；

（2）輔導(dǎo)員、院系學(xué)工負(fù)責(zé)人：學(xué)工事務(wù)審核、查詢所管理的學(xué)生相關(guān)信息等；

（3）學(xué)生處相關(guān)管理老師：學(xué)工事務(wù)審核、查詢?nèi)W(xué)生相關(guān)信息等；

（4）系統(tǒng)管理員：學(xué)工系統(tǒng)設(shè)置、權(quán)限分配等。

學(xué)工管理信息系統(tǒng)集中了綜合管理、獎懲管理、資助管理、思政管理等子系統(tǒng)大類，系統(tǒng)較龐大，由于篇幅有限，不能對其每個子系統(tǒng)進行全方位的分析，因此選取獎學(xué)金管理子系統(tǒng)為實例進行潛在風(fēng)險分析。圖3學(xué)工管理信息系統(tǒng)頂層數(shù)據(jù)流程圖，圖4獎學(xué)金管理子系統(tǒng)數(shù)據(jù)流程圖。

（三）基于STRIDE模型的獎學(xué)金管理子系統(tǒng)威脅分析

以獎學(xué)金管理子系統(tǒng)數(shù)據(jù)流分析為基礎(chǔ)，分析每個數(shù)據(jù)流及其相關(guān)處理過程是否有任何S、T、R、I、D和E類威脅的存在，識別并記錄威脅。針對系統(tǒng)的威脅涉及到處理過程、數(shù)據(jù)流和數(shù)據(jù)存儲等，通過外部實體訪問各個處理進程可能存在的各種威脅。經(jīng)過分析，各環(huán)節(jié)總共可能存在164個威脅。表2為各個威脅的個數(shù)。

表2 各個威脅的個數(shù)

由于威脅個數(shù)過多且有一定的重復(fù)性，這里根據(jù)威脅類型大致歸類整理出部分可能存在的威脅：

S欺騙標(biāo)識：

a)人員可能被攻擊者欺騙導(dǎo)致非法進入操作界面（具體威脅個數(shù)10）；

b)數(shù)據(jù)庫可能被欺騙返錯誤信息（具體威脅個數(shù)4）；

c)數(shù)據(jù)庫可能被欺騙而寫入攻擊者的目標(biāo)文件，不是正常的數(shù)據(jù)（具體威脅個數(shù)8）；

d)管理和設(shè)置過程可能被欺騙導(dǎo)致用戶信息泄漏等（具體威脅個數(shù)10）。

T纂改數(shù)據(jù)：

a)可能存在跨站腳本攻擊（具體威脅個數(shù)10）；

b)可能存在SQL注入攻擊（具體威脅個數(shù)4）；

c)日志可能存在攻擊（具體威脅個數(shù)2）；

d)數(shù)據(jù)的提交返回過程可能被修改（具體威脅個數(shù)15）；

R拒絕承認(rèn)：

a)用戶或處理可能否認(rèn)做過某些操作（具體威脅個數(shù)19）。

I信息泄露：

a)敏感信息未安全處理（具體威脅個數(shù)8）；

b)數(shù)據(jù)傳輸過程可能被監(jiān)聽（具體威脅個數(shù)10）。

D拒絕服務(wù)：

a)一些服務(wù)器可能崩潰（具體威脅個數(shù)20）；

b)一些外部控件可能中斷處理過程（具體威脅個數(shù)14）。

E特權(quán)提升：

a)用戶可能遠程執(zhí)行代碼，（具體威脅個數(shù)10）；

b)一些處理過程可能被冒充，提權(quán)執(zhí)行（具體威脅個數(shù)20）。

（四）威脅驗證分析

將上述STRIDE威脅模型結(jié)合OWASP組織提出的十大安全隱患OWASP Top 10，通過模擬滲透攻擊方法，進行潛在安全威脅分析。使用OWASP組織下的Zed Attack Proxy Project[6]（簡稱ZAP）來進行漏洞掃描和驗證。ZAP是一個簡單易用的綜合滲透測試工具，可以手動或者自動掃描，主要用于發(fā)現(xiàn)Web應(yīng)用程序中的安全漏洞。

在OWASP ZAP中，通過設(shè)置地址，配置攻擊參數(shù)，對學(xué)工系統(tǒng)進行自動掃描攻擊，具體結(jié)果詳見表3。

表3 ZAP學(xué)工系統(tǒng)漏洞掃描結(jié)果

用Acunetix Web Vulnerability Scanner[7]（簡稱AWVS）來進行漏洞掃描和驗證。AWVS是一個自動化的Web應(yīng)用程序安全測試工具，它可以掃描任何可通過Web瀏覽器訪問的和遵循HTTP/ HTTPS規(guī)則的Web站點和Web應(yīng)用程序。AWVS可以通過網(wǎng)絡(luò)爬蟲技術(shù)掃描網(wǎng)站安全，檢測SQL注入攻擊漏洞、跨站腳本攻擊漏洞等含蓋OWASP Top 10十大安全隱患的漏洞來審核Web應(yīng)用程序的安全性。

在AWVS中，通過新建站點，配置掃描參數(shù)，對學(xué)工系統(tǒng)進行掃描，掃描結(jié)果如表4所示。

表4 AWVS學(xué)工系統(tǒng)漏洞掃描結(jié)果

由表3和表4可以看出，學(xué)工系統(tǒng)存在的漏洞都屬于中低危漏洞，且表4涵蓋表3的內(nèi)容。結(jié)合表2及本文所研究的STRIDE威脅模型，表3和表4的最后一列分別標(biāo)注出了利用ZAP和AWVS工具掃描出來的威脅漏洞所屬的STRIDE威脅類型，進一步驗證了各個STRIDE威脅類型的具體漏洞個數(shù)和漏洞級別，為學(xué)工系統(tǒng)的安全性驗證提供了更加詳細(xì)的證據(jù)。由于各個低危漏洞一般影響較小，所以本文針對中危漏洞進行分析和修復(fù)，具體過程如下：

中危漏洞一：Error message on page

頁面存在錯誤消息，指的是此頁面包含一個錯誤/警告消息，該消息也可能包含文件的位置，產(chǎn)生未處理的異常。錯誤信息可能會泄露敏感信息，這些信息可以被用來發(fā)動進一步的攻擊。

下面進行人工驗證該漏洞，在瀏覽器的地址欄中輸入如下地址：

http://xg.*.edu.cn/epstar/web/swms/mainframe/ BYzjl2DUdF.jsp

http://xg.*.edu.cn/epstar/web/swms/mainframe/+ /h8DyGeyi9b.jsp

http://xg.*.edu.cn/epstar/web/swms/mainframe/ adapter/oMtNBrw8Rn.jsp

http://xg.*.edu.cn/epstar/web/swms/mainframe這個目錄后面隨意添加各種字符再加上后綴“. jsp”都會出現(xiàn)如圖5所示結(jié)果。

由圖5的驗證結(jié)果可知，在瀏覽器中輸入上述地址響應(yīng)后，頁面出現(xiàn)錯誤消息提示，該消息包含文件的位置，暴露了該網(wǎng)頁的絕對路徑，屬于敏感信息泄露，存在安全隱患。需要對此腳本的源代碼進行查看和修改。

中危漏洞二：Apache httpOnly Cookie Disclosure

Apache httpOnly Cookie泄露，Apache服務(wù)器從2.2.X至2.2.21版本版無法適當(dāng)限制HTTP頭信息在處理中的錯誤。它允許遠程攻擊者通過構(gòu)造特殊的web腳本獲得HTTP Cookie中的敏感信息。這些文件可能暴露敏感信息，造成惡意攻擊者更進一步的攻擊。對此漏洞的修復(fù)方法是將Apache升級至最新版本。

中危漏洞三：Slow HTTP Denial of Service Attack

緩慢的HTTP拒絕服務(wù)攻擊，依賴于HTTP協(xié)議，當(dāng)發(fā)送HTTP POST請求時，指定一個非常大的content-length，每次發(fā)送數(shù)據(jù)包的一部分，即一個HTTP請求是不完整的，或者轉(zhuǎn)移率非常低，即以很低的速度發(fā)包，比如10-100s發(fā)一個字節(jié)，服務(wù)器保持這個連接服務(wù)不斷開等待其余的數(shù)據(jù)。當(dāng)這樣的客戶端連接異常多的時候，占用了Web服務(wù)器的所有可用連接，服務(wù)器保持太多的資源忙，HTTP服務(wù)器將拒絕其它的請求服務(wù)。這個漏洞就是通過發(fā)送緩慢HTTP請求，讓目標(biāo)HTTP服務(wù)器處于忙碌狀態(tài)，導(dǎo)致Web服務(wù)器不能提供正常的網(wǎng)站服務(wù)，造成網(wǎng)站異常。

對此漏洞的解決方法是，對Web服務(wù)器的Http頭部傳輸?shù)淖畲笤S可時間進行限制，修改成最大許可時間為20秒。針對Tomcat，將server.xml中站點端口所對應(yīng)的參數(shù)connectionTimeout值修改為20，并重啟服務(wù)。

（五）威脅類型及相對應(yīng)解決方法和策略

在上一章節(jié)中分析并驗證了學(xué)工系統(tǒng)中存在的威脅，并針對不同的威脅提出了具體的解決方案，因此，下面根據(jù)威脅的類型不同，提出一些通用的改進方案，[8]如表5各威脅類型相對應(yīng)的解決方案。

除了對系統(tǒng)存在的漏洞進行修補和改進，還可以在外部鏈路中添加網(wǎng)絡(luò)入侵防護系統(tǒng)、網(wǎng)頁防篡改、安全審計系統(tǒng)、web應(yīng)用防護系統(tǒng)等安全設(shè)備進行額外的防護，輔助解決一些無法及時修復(fù)的安全問題。

本文中所提出的方法也可以推廣應(yīng)用于其他的重要業(yè)務(wù)系統(tǒng)，例如教務(wù)管理系統(tǒng)、人事管理系統(tǒng)、科研管理系統(tǒng)等高校關(guān)鍵業(yè)務(wù)系統(tǒng)。

三、結(jié) 語

文中針對高校關(guān)鍵業(yè)務(wù)系統(tǒng)在實踐中存在的問題，利用STRIDE威脅模型對其進行檢測分析，并根據(jù)檢測出的各類威脅提出相對應(yīng)的解決方案，解決關(guān)鍵業(yè)務(wù)系統(tǒng)中存在被泄露、竊取、纂改、冒充和破壞的安全問題。為未來高速發(fā)展的數(shù)字化、智慧化校園中的信息安全提供一種可以有效利用的檢測方案，對提高數(shù)字化校園信息系統(tǒng)的安全防護水平，保障教育信息化應(yīng)用的順利發(fā)展，推動教育信息化的健康發(fā)展具有較強的可操作性和重要的理論和實踐意義。

表5 各威脅類型相對應(yīng)的解決方案

[1]宗波.探析高校校園網(wǎng)絡(luò)安全[J].信息與電腦:理論版，2012，(9).

[2]Scandariato R,Wuyts K,Joosen W.A descriptive study of Microsoft's threat modeling technique[J].Requirements Engineering,2015,20(2):163-180.

[3]OWASP.Category:OWASP Top Ten Project[EB/OL].(2016-09-14)[2016-09-25].https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project.

[4]J.D.MeierMackman,Michael Dunner,Srinath Vasireddy,Ray Escamilla and Anandha MurukanAlex.2003.Threat Modeling.[EB/OL].（2003-06-14）[2016-09-24].https://msdn.microsoft.com/en-us/library/ff648644.aspx.

[5]Potter B.Microsoft SDL Threat ModellingTool[J].Network Security，2009，(1):15-18.

[6]OWASP.OWASP Zed Attack Proxy Project[EB/OL].(2016-08-11)[2016-09-25].https://www.owasp.org/index.php/ OWASP_Zed_Attack_Proxy_Project.

[7]Acunetix.Download Acunetix[EB/OL].(2016-09-25)[2016-09-25].http://www.acunetix.com/vulnerability-scanner/download.

[8]Microsoft Corporation.Web安全威脅與對策 [EB/OL].(2004-11-25)[2016-09-15].https://msdn.microsoft.com/zh-cn/ library/aa302418.aspx.

[責(zé)任編輯：鐘 晴]

TP393.08

A

1008-7346（2016）05-0060-06

2016-07-10

本文系福建省高校教育信息化學(xué)會2014年度課題 （2014FB002）的階段性研究成果。

陳單英，女，福建永泰人，福建醫(yī)科大學(xué)信息中心工程師；任鳳君，女，安徽合肥人，福建醫(yī)科大學(xué)信息中心主任，高級工程師；黃 磊，男，福建莆田人，福建醫(yī)科大學(xué)信息中心助理工程師；張小霞，女，福建南平人，福建醫(yī)科大學(xué)信息中心助理工程師。