互联网安全技术标准体系分析与研究.pdf

2007年5月第12卷 第3期西 安 邮 电 学 院 学 报JOURNAL OF XIAN UNIVERSITY OF POST AND TELECOMMUNICATIONSMay12007Vol112 No13收稿日期:2006-11-30作者简介:贺 炎(1980-),女,湖南湘乡人,西安邮电学院计算机系助教。郑敏娟(1978-),女,陕西西安人,西安石油大学信息中心助教。互联网安全技术标准体系分析与研究贺 炎1,郑敏娟2(1.西安邮电学院 计算机系,陕西 西安 710121;2.西安石油大学 信息中心,陕西 西安 710065)摘要:在分析互联网安全标准现状的基础上,分析对比国外著名标准化组织及先进国家的标准体系,提出了适合我国具体情况的互联网安全生产技术标准体系框架,对我国有关主管部门制定互联网安全生产技术标准具有一定的参考价值。关键词:互联网安全;标准;标准体系中图分类号:TP393.0 文献标识码:A 文章编号:1007-3264(2007)03-0106-04引言互联网安全从本质上来讲就是网络上的信息安全,是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或恶意的原因而遭到破坏、更改、泄漏,系统连续可靠正常地运行,网络服务不中断。从广义上来说,凡是涉及到互联网上信息的保密性、完整性、可用性、隐私以及通信安全、访问控制、认证、不可否认方面的相关技术和理论都是互联网安全要研究的领域。由于互联网的开放性和通信协议的安全缺陷,以及在互联网环境中数据信息存储和对其访问与处理的分布性特点,网上传输的数据信息很容易泄露和被破坏,互联网受到的安全攻击非常严重,互联网安全标准化已成为加强互联网安全、增强互联网健壮性和可靠性的必然趋势,我国的互联网安全标准化也在紧锣密鼓地进行之中。如果说标准就像人体的各个“器官”,标准体系就像“骨骼”,没有“骨骼”,这些“器官”就不能有效合作,充分发挥各自的作用。因此,只有先确立了科学有效的体系,然后根据这个体系来制定、完善各项标准,才能使它们互相配合,相得益彰,发挥出最大的功效。本文在分析互联网安全标准现状的基础上,分析对比国内外著名标准化组织及先进国家的标准体系,提出了适合我国具体情况的互联网安全生产技术标准体系框架。1 互联网安全生产技术标准化现状目前,在互联网安全标准化领域,各国研究状况进展不一,除了国际性或区域性标准化组织外,先进国家的标准首推美国的标准,互联网安全标准大部分首先来自美国,然后经国际标准化组织讨论通过成为国际标准,但最具权威性、通用性且较完善的互联网安全标准仍然来自于ISO、IEC等国际性标准化组织。ISO与IEC的联合技术委员会J TC1的安全技术分技术委员会SC27专门从事安全技术和安全机制的标准化工作,主要研究信息技术安全的一般方法和技术的标准化,包括:制定信息技术系统安全服务标准;开发安全技术和安全机制;开发安全指南(如解释性文件、风险分析等);开发管理支持性文件和标准(如术语、安全性评估准则等)。此外,ISO、IEC/J TC1还有6个分技术委员会分别承担一部分互联网安全标准的制定任务,包括:OSI下四层安全模型和安全协议的标准化、与识别卡有关的安全标准的开发、电子邮件及消息处理系统的安全标准的开发、OSI安全体系结构及各种安全框架和高层安全模型等标准的开发、程序语言和环境及系统软件接口等方面安全标准的开发、电子数据交换的有关安全标准的开发等。据初步统计,SC27已研制出正式国际标准和国际标准草案及开发指南约40个,几乎覆盖了其工作范围的所有领域。国际电信联盟(ITU)单独或与ISO合作开发了消息处理系统、目录(X.400系列、X.500系列)及安全框架、安全模型等标准;欧洲计算机制造协会(ECMA)研制了局域网安全要求等安全标准;因特网上也出现了大量的RFC协议文稿,多达2000多个,经网上讨论修改后,已形成了60多个被大家接受的事实上的因特网安全标准。我国互联网安全标准化工作起步较晚,但近年来发展较快,入世后标准化工作在公开性、透明度等方面更加取得实质性进展。我国从20世纪80年代开始,本着积极采用国际标准的原则,转化了一批国际互联网安全基础技术标准,制定了一批符合中国国情的互联网安全标准,同时一些重点行业还颁布了一批行业标准。目前,国内的安全标准组织主要有信息技术安全标准化技术委员会(CITS)以及中国通信标准化协会(CCSA)下辖的网络与信息安全技术工作委员会(TC8)。CITS主要负责信息安全的通用框架、方法、技术和机制的标准化及归口国内外对应的标准化工作,其中技术安全包括开放式安全体系结构、各种安全信息交换的语义规则、有关的应用程序接口和协议引用安全功能的接口等。CCSA TC8下设有线网络信息安全组、无线网络信息安全组、安全管理组和安全基础设施组,负责研究以下各方面的内容:有线网络中电话网、互联网、传输网、接入网等在内的所有电信网络相关的安全标准;无线网络中接入、核心网、业务等相关的安全标准以及网管安全和安全基础设施相关的标准。2 国内外互联网安全生产技术标准体系对比研究 国际上各个标准化组织在制定有关互联网安全的标准时基本上都是以各自的标准体系为指导。2.1ISO(国际标准化组织)ISO从网络系统的角度出发,根据整个计算机网络的功能将网络分为物理层、数据链路层、网络层、传输层、会话层、表示层、应用层七层,低三层主要完成通信功能,高四层实现数据的处理。ISO正是以这七层为物理模型,根据每层的功能、特点、安全需要以及不断发展变化的应用需求来制定和完善相应的安全标准。当然,ISO也研究信息技术安全的一般方法和信息技术安全标准体系,SC27就是主要负责这些工作的,包括确定信息技术系统安全服务的一般要求、开发安全技术和机制、开发安全指南、开发管理支撑文件和标准。2.2 国际电信联盟电信标准局(ITU-T)ITU-T侧重于通信网络标准的研究,它在其建议书X.805中定义了分布式应用实现端到端安全的体系和尺度的框架,如图1所示。图1ITU-T电信网络安全框架ITU-T定义的安全框架由平面轴、层次轴、维度轴组成。平面轴主要阐述网络中实施活动的安全,包括管理、控制和端用户三个平面;层次轴主要阐述对构成端到端网络的网络元素和系统的要求,包括基础设施、服务和应用三个层次;维度轴包括访问控制、认证、不可否认、数据保密性、通信安全、数据完整性、可用性和隐私八个安全维度,主要定义由平面和层次构成的3x3矩阵中每个单元适合的安全防治措施。管理平面关注运行、管理、维护和提供服务(OAM&P)活动。控制层面与独立于网络所用的媒介和技术的端到端通信的建立(和修改)方面的信令有关。端用户平面讨论用户访问和使用网络的安全,也包括保护用户数据流。基础设施层包括网络传输设施和单独的网络元素。服务层讨论提供给用户的网络服务的安全。这些服务从基础连接性服务(例如租用线服务)延伸到增值服务(例如即时消息)。应用层讨论用户使用的基于网络的应用要求。与ISO相比,ITU-T的标准体系显然更侧重于通信网络领域内所涉及到的方方面面。它不但考虑运行、管理、维护一个网络系统的安全问题,也关701 第3期贺炎等:互联网安全技术标准体系分析与研究注如何提供安全服务的问题;不但考虑网络设施本身的安全性,还从访问控制、认证等多个安全维度出发,确保提供安全可靠的通信服务。因此,它更适合于电信企业建立自己的通信网络系统时作为检验其安全性能的参照标准。2.3 国内的互联网安全标准我国主要采取与国际标准靠拢的方式,自己独立制定、具有独立知识产权的标准并不多。ISO的标准与ITU-T的标准并不冲突,它们互为补充,为我所用,为我国的互联网安全标准化作出了很大贡献。全国信息安全标准化技术委员会(TC260)是我国在信息安全的专业领域内从事信息安全标准化工作的技术工作组织,主要负责向国家标准化管理委员会提出本专业标准化工作的方针、政策和技术措施的建议。公安部信息系统安全标准化技术委员会负责规划和制定我国信息安全标准和技术规范,监督技术标准的实施。制定标准的范围包括:计算机信息系统安全保护等级标准;应用系统安全等级评估检测标准;计算机信息系统安全产品标准;计算机信息系统安全管理标准等。中国通信标准化协会网络与信息安全技术工作委员会(CCSA TC8)主要负责研究涉及有关通信安全技术和管理标准,其研究领域包括面向公众服务的互联网的网络与信息安全标准、电信网与互联网结合中的网络与信息安全标准、特殊通信领域中的网络与信息安全标准。其他有关主管部门和地方政府也为推动我国互联网安全标准化作了大量工作。3 互联网安全生产技术标准体系的建立3.1 建立互联网安全生产技术标准体系的必要性 我国现行的互联网安全标准大多是采用或转化国际标准,这也符合与国际接轨、遵循国际标准的要求。但是,出于国家信息安全利益方面的考虑,我们必须自主研制具有知识产权的、能够充分满足我国互联网安全要求的标准。目前,我国还没有一个根据我国国情制定的科学合理的框架体系,标准的制定基本上还处于紧跟国际标准的状况,而不是根据我国互联网安全技术标准体系的要求来制定和完善,这样难免会出现与我国现状和安全性要求不符的情况,也不能有效地保护国家的信息安全。3.2 互联网安全生产技术标准体系框架的建立 考虑到互联网面临的种种威胁,考虑到互联网系统本身的层次结构,以及企业运营中整个网络系统涉及互联网安全的各个层面,考虑到为了提高各层的安全性应该遵循的安全标准,本文参考OSI模型(开放系统互联参考模型)提出了一个三维互联网安全生产标准体系的框架,第一维是安全性能要求,给出了八种安全属性(ITU-T REC-X.800-199103-I);第二维是系统单元,给出了电信企业互联网系统的组成,包括物理层、系统层、网络层、应用层和管理层;第三维是互联网安全相关标准的来源,如图2所示。图2 互联网安全标准体系框架框架中每个系统单元都对应于某一个协议层次,需要满足若干种安全性能要求才能保证该系统单元的安全。网络层需要有网络节点之间的认证、访问控制,应用层需要有针对用户的认证、访问控制,需要保证数据传输的完整性、保密性,需要有抗抵赖和审计的功能,需要保证应用系统的可用性和可靠性。(1)物理层物理层的安全性主要考虑物理环境的安全,包括通信线路的安全,物理设备的安全,机房的安全等。物理层的安全主要体现在通信线路的可靠性(线路备份、网管软件、传输介质),软硬件设备安全性(替换设备、拆卸设备、增加设备),设备的备份,防灾害能力、防干扰能力,设备的运行环境(温度、湿度、烟尘),不间断电源保障,等等。(2)系统层801西 安 邮 电 学 院 学 报 2007年5月系统层的安全性主要考虑来自网络内使用的操作系统的安全。主要表现在三个方面,一是操作系统本身的缺陷带来的不安全因素,主要包括身份认证、访问控制、系统漏洞等;二是对操作系统的安全配置问题;三是病毒对操作系统的威胁。(3)网络层网络层的安全问题主要体现在网络方面的安全性,包括网络层身份认证,网络资源的访问控制,数据传输的保密与完整性,远程接入的安全,域名系统的安全,路由系统的安全,入侵检测的手段,网络设施防病毒等。(4)应用层应用层的安全问题比较多,主要由提供服务所采用的应用软件和数据的安全性产生,包括Web服务、电子邮件系统、DNS等。此外,还包括病毒对系统的威胁。(5)管理层管理层的安全包括对安全技术和设备的管理,以及安全管理制度、部门与人员的组织规则等。管理的制度化极大程度地影响着整个互联网的安全,严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低其它层次的安全漏洞。3.3 特点该框架基本上涵盖了互联网安全所涉及到的各个层面,不但考虑到了物理设备和网络通信本身的安全问题,也考虑到了操作系统的安全以及应用方面的各种安全问题,同时也没有忽视对安全技术、设备和人员的管理。另一方面,该框架对物理层、系统层等每个系统单元都提出了访问控制、数据完整性、数据保密性等安全性能要求,能够更好地保证互联网络系统的安全性。总之,该框架适应我国互联网安全需求的现状,能够在较长的时期内对我国互联网安全标准的制定起指导作用,便于我国各个标准化组织根据这一框架各司其职,分工合作,更快地推进和完善我国的互联网安全标准化工作。4 小结目前,我国虽然已有许多涉及互联网安全方面的标准,许多新标准的制定和旧标准的修订、完善工作也正在紧锣密鼓地进行,但总的来说,还是没有形成适应我国国情的科学、合理的标准体系。本文分析、借鉴了国际上著名标准化组织和先进国家的经验,提出了我国互联网安全标准体系框架。该框架涵盖了企业运营中整个网络系统涉及互联网安全的各个层面,为我们制定各项互联网安全标准提供了依据。在这个体系的指导下,根据我国互联网安全及已有标准的现状和需求,我们可以有的放矢地加快相关标准的制定和完善。参 考 文 献1 信息产业科技发展“十一五”规划和2020年中长期规划纲要.信息产业部,2005.2 技术标准体制转型策略.CSS中国标准战略研究报告906A01-3,2005.3 国家技术标准管理体制和运行机制.CSS中国标准战略研究报告906A02-2,2005.4 通信技术标准体系建设研究.中国通信标准化协会、信息产业部电信研究院研究报告,2005.5 黄元飞.信息技术安全性评估准则研究(博士论文).四川大学,2002.Analysis and research on standard systems of Internet security techniquesHE Yan1,ZHENG Min2juan2(1.Department of Computer Science,Xian University of Post and Telecommunications,Xian 710121,China;2.Information Center,Xian Shiyou University,Xian 710065,China)Abstract:Based on analyzing the current Internet security standards,we study the standard systems of some fa2mous international standardization organizations and some advanced countries,then put forward a framework onInternet security in manufacturing technique which adapts to the situation of our country.It is valuable to inter2related governing branch to constitute Internet security standards.Key words:Internet security;standard;standard system901 第3期贺炎等:互联网安全技术标准体系分析与研究