电信网的安全风险评估研究.doc

《电信网的安全风险评估研究.doc》由会员分享，可在线阅读，更多相关《电信网的安全风险评估研究.doc（7页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、【精品文档】如有侵权，请联系网站删除，仅供学习与交流电信网的安全风险评估研究.精品文档.电信网的安全风险评估研究摘要：随着国民经济和社会发展对电信网的依赖程度日益加深，对电信网的安全要求日益提高，需要加强电信网的安全建设。而安全风险评估是电信网安全建设的前提和基础，因此备受关注。本文主要研究了电信网的安全风险评估，包括将风险评估划分为静态风险评估和动态风险评估两种类型；阐述了国外国内对静态风险评估和动态风险评估的研究现状。 1 引言 近年来，我国政府、电信运营企业高度重视电信网安全保障，开展了大量工作，通过建立日常安全管理工作机制、制定相关标准、部署安全产品等有效地提高了电信网的安全水平。总体

2、来说，我国电信网在规划、建设、运维过程中对安全建设方面的考虑和投入不足，电信网在IP化、移动化、融合化发展过程中自身存在的脆弱性日益显现。随着国内外形势复杂多变和金融危机影响的加剧，电信网面临的安全威胁日益严峻。同时，国民经济和社会发展对电信网的依赖性与日俱增，对电信网的安全提出了更高的要求。 保障电信网的安全至关重要，一旦电信网被破坏，将可能影响社会公众用户利益和政府、银行、税务等重要信息系统的正常运行，甚至可能影响国家安全、社会稳定。为提高电信网的安全防护水平，需要对电信网的安全情况进行评估，深入分析电信网存在的安全漏洞、面临的安全威胁、现有的安全措施是否有效、残余风险是否在可接受水平等。

3、 2 安全风险评估类型 安全风险评估是指依据一定的安全标准，基于网络或系统中的资产、面临的威胁、存在的脆弱性、采取的安全措施等风险评估要素定性或定量地评估网络或系统的安全风险状况，判断安全事件发生的可能性和安全事件带来的损失。根据评估过程是否连续，安全风险评估可分为静态风险评估和动态风险评估两种类型。 2.1 静态风险评估 静态风险评估是传统意义的风险评估，是对某一个时间点或者相对较短时间的风险情况进行评估，评估过程在时间上不具有连续性，被评估对象是作为一个相对静止的对象来评估。 2.2 动态风险评估 动态风险评估是对一段时间内的网络或系统的安全状态进行评估，研究其演化趋势，并将风险与环境（网

4、络运行情况、安全防护情况、用户特性等）及其变化紧密结合，从而能够宏观地了解网络或系统的安全状况，动态地把握风险在特定环境下的演化。通过被评估对象相关的连续数据来分析和预测被评估对象的安全情况。 对电信网进行客观有效的安全风险评估，是电信网安全风险管理的前提和基础。作为风险管理起点的风险评估，目前大多仍采用静态的评估方法，评估结果只是某一特定时间点的风险值。静态风险评估无法反映出两次评估之间风险的变化状况，评估结果往往具有滞后性。动态风险评估是一个系统的、持续时间较长的评估，可看作是对静态风险评估的加强。动态风险评估过程中一旦发现安全问题，能够相对及时地检测和处理，并且能够发现安全的发展趋势和规

5、律，便于及时调整安全策略、更好地提高网络或系统安全能力。动态风险评估相对复杂，但是能够相对实时地评估网络或系统所面临的安全风险，评估结果更具有实际意义。 3 安全风险评估研究现状 3.1 静态风险评估 （1）国外研究情况 国外从20世纪70年代开始研究信息系统的安全风险评估，主要研究针对静态风险评估。美国、欧洲、亚太和ISO等国际组织均在该领域积极进行探索并取得了显著效果，研究成果包括标准、模型、方法和工具等。 在静态风险评估标准方面，美国国防部首先在1985年发布了可信计算机系统评估准则（TCSEC，Trusted Computer System Evaluation Criteria）；英

6、、法、德、荷4国于1991年针对TCSEC的局限性提出了信息技术安全评估准则（ITSEC，Information Technology Security Evaluation Criteria）；加拿大于1993年发布了加拿大可信计算机产品评估准则（CTCPEC，Canadian Trusted Computer Products Evaluation Criteria）。加、英、法、德、荷、美国家标准与技术研究院（NIST，National Institute of Standards and Technology）、美国国家安全局（NSA，National Security Agency）

7、共6国7方在已有标准的基础上于1996年共同制定和提出了通用信息技术安全评估标准（CC，Common Criteria for IT Security Evaluation），之后被正式批准为通行的国际信息安全评估标准ISO/ICE 15408。英国标准协会（BSI，British Standard Institute）于1995年制定了信息安全管理体系标准(BS7799/ISO 17799)，BS7799 分为两个部分，第一部分信息安全管理实施细则被ISO吸纳成为ISO/IEC 17799，第二部分信息安全管理体系规范被ISO吸纳成为ISO/IEC 27001。美国NIST从2000年起颁布

8、了一系列安全风险评估相关标准NIST SP800，包括IT系统安全自评估指南（SP 800-26），IT系统风险管理指南（SP 800-30），联邦IT系统最小安全控制（SP 800-53）等。另外，国际上较为认可的风险评估理论标准有IT安全管理指南（1SO/IEC 13335）、澳大利亚/新西兰的风险管理标准（AS/NZS 4360）、卡内基梅隆大学提出的信息安全工程能力成熟度模型（SSE-CMM，System Security Engineering Capability Maturity Model）等。以上标准在指导和规范信息系统风险评估中起着至关重要的作用，对风险评估给予了明确的定义

9、和指导，但是不同程度地存在一定的局限性，例如TCSEC，CTCPEC，ITSEC侧重于技术方面的实现，对于管理层面没有给与足够的重视，CC提倡安全工程的思想，从安全功能和安全保证两方面在各个环节确保产品的安全，是目前相对比较全面的评估准则。BS7799影响面非常广、被接受程度相对较高，标准中涵盖内容很广，但是缺乏技术测量精度，具体操作困难，而且没有考虑到安全控制项目的权重。 在静态风险评估模型方面，研究各方根据信息安全的特点，从不同的角度提出了各种信息安全模型。如CC，ISO13335中分别提出了信息安全风险评估模型，并在模型中给出了信息安全风险评估的要素。CC中包含的风险评估要素包括攻击者、

10、威胁、漏洞、资产、风险、措施、属主等；ISO13335中包含的风险评估要素包括资产、资产价值、威胁、脆弱性、风险、防护需求、防护措施等。美国戴明博士提出的动态信息系统风险评估模型PDCA体现了动态、持续、改进的风险评估过程。这些风险评估模型提供了对信息系统实施保护的基本策略和机制，在一定程度上科学、有效地指导了信息系统安全风险评估的研究与实施。 在静态风险评估方法方面，从不同的角度，安全风险评估的方法分类不同。从具体操作角度，可分为问卷调查、人员访谈、现场调查、手工检查和自动工具分析等方法。从实施依据角度，可分为基于模型、基于过程、基于规则、基于目标的评估方法。从计算方法区分，可分为定性风险评

11、估方法、定量风险评估方法、定性和定量结合的风险评估方法。这些方法对评估过程给与了较好的指导，可结合使用，例如定性和定量评估的操作方法可以是检查列表、问卷调查、人员访谈等。 在静态风险评估工具方面，目前存在的信息安全评估工具大体可以分成漏洞扫描工具、入侵检测系统IDS、渗透性测试工具、主机安全性审计工具、安全管理评价系统、风险综合分析系统以及相关评估支撑环境工具几类。目前，常见的自动化风险评估工具包括英国的C&A系统安全公司依据ISO 17799推出的风险分析工具软件COBRA（Consultative，Objective and Bi- functional Risk Analysis）；英国

12、政府的中央计算机与电信局于1985年依据BS 7799开发的定量和定性相结合的风险分析工具CRAMM（CCTA Risk Analysis and Management Method）；美国NIST依据NIST SP 800-26发布的安全风险自评估工具ASSET（Automated Security Self-Evaluation Tool）等。还有很多针对性的技术方面的风险评估工具，如Nmap，Nessus等。这些风险评估工具能够有效地提高评估效率，极大地消除了评估主观性，从而使风险评估结果更加客观与真实，但是这些评估工具往往是针对特定标准或者特定的威胁而开发的，所以针对性很强。 （2）国

13、内研究情况 我国对网络和信息安全保障工作高度重视，发布了中办发200327号国家信息化领导小组关于加强信息安全保障工作的意见、中办发200611号20062020年国家信息化发展战略等文件部署安全风险评估等安全工作，但是由于我国关于安全风险评估研究起步的较晚，目前国内整体处于起步和借鉴阶段，大多数研究主要面向信息系统，针对电信网络的特点进行风险评估的研究和应用较少。 我国在安全风险评估的标准研究上还处于跟踪国际标准的初级探索阶段。国家质量技术监督局于2001年依据国际标准CC颁布了GB/T 18336信息技术 安全技术 信息技术安全性评估准则，相关的标准还有依据美国的TCSEC及红皮书于199

14、9年发布的GB17859计算机信息系统安全保护等级划分准则，等同采用国际标准ISO/IEC 13335-1发布的GB/T 19715信息技术 信息技术安全管理指南。中办发200327号文件发布后，我国专门针对信息系统安全风险评估制定标准信息安全技术 信息安全风险评估规范和信息安全风险管理指南。这些标准主要针对信息系统，在对电信网风险情况进行综合考虑和整体实施风险评估时的可操作性和指导性不足。工业和信息化部组织针对电信网的特点系统地研究电信网的安全要素及其特点，针对各种专业网络（如固定通信网、移动通信网、增值业务网等）研究资产、威胁、脆弱性、安全措施等要素，制定电信网安全风险评估相关的系列标准，

15、从而提高了电信网安全风险评估的可操作性。 在安全风险评估模型、方法和工具方面，我国虽然已经有一些相关的文章和专著，但是也还局限在对已有国际模型、方法和工具的分析和模仿上，缺乏科学、有效、得到广泛认可的方法和工具，尤其针对电信网的业务和网络特点的可操作性强、得到普遍认可的风险评估方法和工具较少。 3.2 动态风险评估 （1）国外研究情况 网络安全动态风险评估是动态地反映网络安全风险的一项技术，也可称为网络安全态势评估。鉴于当前网络的现状、发展以及入侵与攻击行为所造成的巨大损失，国外一些国家的政府部门已经意识到开展网络安全动态风险评估研究的必要性。美国国防部在2005年的财政预算报告中对网络安全动

16、态评估项目进行资助，提出分三个阶段实现网络的安全动态评估：第一阶段完成对大规模复杂网络行为可视化相关技术、工具和方法的研究；第二阶段继续实现和验证可视化原型系统；第三阶段实现可视化算法，实现网络安全的态势感知。美国高级研究和发展机构在2006年的预研计划中，明确指出网络安全态势感知的研究目标，达到以可视化的方式为不同的决策者和分析员提供易访问、易理解的信息保障数据。 国外对动态风险评估研究主要包括动态风险评估的体系架构、工具和关键技术等。 在动态风险评估的体系架构方面，1999年Tim Bass首次提出了网络安全态势感知概念，随即又提出了基于多传感器数据融合的入侵检测框架，并把该框架用于下一代

17、入侵检测系统和网络安全态势感知系统，采用该框架实现入侵行为检测、入侵率计算、入侵者身份和入侵者行为识别、态势评估以及威胁评估等功能。StephenG. Batsell，JasonShifflet等人也提出了类似的模型。美国国防部提出了JDL（Joint Director of Laboratories）模型的网络态势感知总体框架结构，此模型主要包括多源异构数据采集、数据预处理、事件关联和目标识别、态势评估、威胁评估、响应与预警、态势可视化显示以及过程优化控制与管理等功能模块。 动态风险评估由于评估频次高，因此应充分使用自动化工具代替人工劳动，力争做到对实时风险的监控和计算，同时抓住最重要风险来

18、分析。在动态风险评估的工具方面，可依托的工具包括评估威胁的入侵检测系统、异常流量分析系统、日志分析系统等，评估脆弱性的网络扫描器、应用扫描工具等。安全动态风险评估工具还包括：2003 年美国劳伦斯伯克利国家实验室的Stephen Lau开发的The Spinning Cube of Potential Doom系统，该系统在三维空间中用点来表示网络流量信息，极大地提高了网络安全态势感知能力；卡内基梅隆大学软件工程学院的网络态势感知工作小组CERT/NetSA开发出SILK系统，采用集成化思想把现有的Netflow工具集成在一起,提供整个网络的态势感知，从而实现对大规模网络的安全分析。美国国家高

19、级安全系统研究中心（NCASSR，National Center for Advanced Secure Systems Re2search）开发了NVisionIP，VisFlowConnect IP，UCLog+等Internet安全态势感知软件。 在动态风险评估的技术方面，动态风险评估领域涉及到数据采集、数据融合、态势可视化等多项技术，网络动态风险评估的难点主要集中在对态势的正确理解和合理预测上。关于动态风险评估相关技术研究很多，例如在数据采集技术方面，按照数据源分为基于系统配置信息（服务设置系统中存在的漏洞等）和基于系统运行信息（IDS日志中显示的系统所受攻击状况等）两大类数据采集；在

20、数据融合技术方面，Tim Bass首次提出将JDL模型直接运用到网络态势感知领域，这为以后数据融合技术在网络态势感知领域的应用奠定了基础，Christos Siaterlis等人运用数据融合技术设计出检测DDoS攻击的模型；在态势可视化技术方面，H.Koike和K.Ohno专门为分析Snort日志以及Syslog数据开发了SnortView系统，可以实现每2min对视图的一次更新，并可以显示4h以内的报警数据。 安全动态风险评估在体系架构、工具和技术等方面取得了一定的研究成果，但总体来说，网络安全威胁态势评估是一个比较年轻的课题，研究难度大，进展缓慢。 （2）国内研究情况 国内对安全动态风险评

21、估的研究还属于起步阶段，相关研究主要包括动态风险评估的体系架构、相关关键技术等。 在体系架构方面，西安交通大学研究并实现了基于IDS和防火墙的集成化网络安全监控平台，提出了基于统计分析的层次化（从上到下分为系统、主机、服务和攻击/漏洞4个层次）安全态势量化评估模型，采用了自下而上、先局部后整体的评估策略及相应计算方法，此方面也是在动态风险评估领域普遍采用的方法。北京理工大学信息安全与对抗技术研究中心研制了一套基于局域网络的网络安全态势评估系统，由网络安全风险状态评估和网络威胁发展趋势预测两部分组成，用于评估网络设备及结构的脆弱性、安全威胁水平等。在关键技术方面，安全领域专家冯毅从我军信息与网络

22、安全的角度出发，阐述了我军积极开展网络安全态势感知研究的必要性和重要性，指出了多源传感器数据融合和数据挖掘两项关键技术。国防科技大学的胡华平等人提出了面向大规模网络的入侵检测与预警系统的基本框架及其关键技术与难点问题。另外，国内也有一些科研机构尝试把数据融合技术应用到网络安全领域，提出了应用数据融合技术的网络安全分析评估系统、入侵检测系统等。 总体来说，国内在动态风险评估研究方面取得的成果有限，仍没有成熟的、实用的技术或工具，更缺乏针对电信网进行动态风险评估的相关研究，现有研究成果还存在动态评估的实时性不强、采集的数据不够丰富有效、对风险态势的预测研究不够等诸多问题。 4 结束语 随着电信网的

23、发展和普及，网络的重要性及其对社会的影响越来越大，网络安全问题也越来越突出，并逐渐成为电信网进一步发展所急需解决的关键问题。为提高电信网的安全水平，需将风险评估纳入日常安全工作中，在电信网的规划、建设、运行过程中同步进行安全建设，并评估安全相关工作是否能够满足安全所需，从而最大限度地减少安全事件发生的可能性和安全事件带来的损失。 目前，国内关于电信网安全风险评估（尤其是动态风险评估）的研究工作还处于起步阶段，在方法、工具、评估指标等方面还有很多需要进一步研究的内容，可在充分借鉴国内外关于信息系统静态风险评估已有研究成果的基础上，加强对电信网的安全风险评估相关研究。动态风险评估是安全风险评估工作的必然发展趋势，但是由于相关技术复杂，研究难度大，目前国内外研究缓慢，应加强在相关核心技术、工具等方面的研究，提高我国在此方面的竞争实力。各企业还可根据企业自身情况，将动态风险评估与静态风险评估结合，做到动静结合、评估常态化。