电信数据网安全评估准则的研究

电信数据网安全评估准则的研究

原文链接：http://www.securitycn.net/html/research/service/3205.html

摘要　提出电信数据网的安全评估框架，重点讨论了电信数据网安全评估准则、电信数据网安全等级划分原理、电信数据网安全评估过程、电信数据网安全评估工具。最后，指出了电信数据网安全评估发展趋势。

电信数据网作为国民经济的基础设施，与国民经济各领域的联系日益紧密，网络安全问题对整个国民经济信息化进程有着举足轻重的战略作用。电信数据网安全作为国家信息安全的一个重要组成部分，要与国家信息安全总体要求和总体部署保持一致，要坚持积极防御、综合防范的方针，提高网络防护能力和风险识别能力，加强对电信网的安全评估工作。

近年来，中国电信网络环境更加复杂，网络安全威胁更加严重，病毒、黑客、垃圾邮件等频繁困扰着企业和用户。网络安全对今天的电信运营商来说已是重中之重。随着电信网络从原来的信息传输通道走向今天的多元化网络平台，再加上运营商本身竞争的加大以及客户对服务质量的不断提升，电信网络的安全、可靠成了运营商必须面对的问题。因此，电信网络运营商要保证电信网络的正常运行，就必须对其进行全面的安全评估。电信系统在进行网络安全设备选型、网络安全需求分析、网络建设、网络改造、应用系统试运行、内网与外网互联、与第三方业务伙伴进行网上业务数据传输、电子政务等业务之前，进行安全评估会帮助电信运营商在一个安全的框架下进行组织活动。通过安全评估来识别风险大小，通过制定信息安全方针，采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降至一个可被接受的水平。

本文就电信数据网安全评估的若干关键问题，包括电信数据网安全评估准则、电信数据网风险分析方法、电信数据网安全等级划分原理、电信数据网安全评估过程、电信数据网安全评估工具等，进行了探讨。

1、TDN安全评估体系

为了使评估结果达到更好的可比性，评估应在权威的评估体制内执行。

其中，电信数据网安全评估认证中心是经电信主管部门授权，代表国家对电信数据网进行安全评估认证的管理机构。电信数据网安全评估认证中心根据国家授权，依据电信数据网安全评估准则，结合相关的国家质量认证的法律、法规点开展评估认证工作。

授权评估机构是电信数据网安全评估认证中心根据业务发展和管理需要而授权成立的、具有评估能力的独立机构。

最终的评估结果应进入认证过程，该过程是一个针对评估结果的独立检查，并为评估发起者生成最终的证书或正式批准文件，如图1所示。

图1 TDN安全评估体系

2、电信数据网安全评估准则

电信数据网安全评估准则是GB/T 18336在电信领域的扩展和补充。它以信息技术安全性评估准则为基础，吸取ITU X.800系列的有关安全的建议，通过对BS7799、SSE-CMM进行结合、扩展和补充，形成对电信数据网安全性评估的评估准则。

2.1　电信数据网的关键资产

资产是所要保护的数据网对象，所有威胁都必须针对资产才能产生影响，只有通过资产载体才会影响数据网使命的完成与实现。资产可以分为三大类：物理资产、信息资产和服务资产。物理资产的安全审查着重于保护那些对持续运转非常关键的设备（如，路由器、交换机，数据存储设备和主机等）。数据网络中传统的内部服务资产包括交换系统、运营支持系统、网络管理系统和辅助的支持系统。近来，还包括了信令处理系统及其部件、数据库服务器设备、智能网络管理、支撑网设备等。外部服务资产包括远程智能维护和测试、服务器托管或租赁、网络广告服务、各种业务的网络接入和电信企业一些无形资产等。信息资产通常是最有价值的资产，在数据网运营过程中产生的同数据网本身相关的有价值的信息以及数据网所存储、处理和传输的各种相关的业务、管理和维护等信息，包括知识资产、客户资料、业务信息流和管理信息等。

2.2　电信数据网的安全径纬度

对数据网安全性的评估从安全功能、安全域和安全活动三个角度构成一个三维结构，如图2所示。

图2　TDN安全评估准则的三维结构

第一维（x轴）是安全功能，给出了被保护对象的基本安全功能需求，包括身份认证、访问控制、数据保性、数据完整性、不可抵赖、可靠性、可用性和安全审计。

访问控制，保证只有授权的人员和设备才允许访问网络元素、存储的信息、信息流、业务和应用；身份认证，保证参与通信的实体声称的身份的有效性，并保证实体不企图伪造或以非授权的方式回放前面的通信流；不可抵赖，不可抵赖性是防止用户事后否认其实施了某一行为的能力。这些行为包括制造、发源、收到和发送内容，例如发送或接收消息、发起或接受呼叫、参加语音和视频会议等等。不可抵赖性要求提供对数据发送或接收的不可伪造的证明，防止发送者否认一个正确的消息或接收者否认接收。网络可提供下面两种或其中之一形式：数据接收者得到数据来源的证明以避免发送者不诚实地否认其发送了数据或其内容；或发送者得到数据传送的证明以免接收者事后否认接收了数据或其内容。数据保密性，保证数据内容不被非授权的实体理解；可靠性，保证信息只在授权的端点之间流动，而不被拦截或转移；数据完整性，保证数据的正确性或精确性，非授权活动能够被检测；可用性，保证对网络元素、存储的信息、信息流、业务和应用的授权访问不被否决；安全审计，保证即使通过对网络活动进行观察也不能获得有用的信息，这些信息包括地址位置、IP地址等。

第二维（y轴）是安全域，给出了数据网的三大安全域，包括核心层、汇接层和接入层。每个安全域的具体功能如下：

（1）核心层区域：主要放置核心交换设备，用于汇接数据流连接骨干网或进行本局域网不同区域之间有条件的信息交互；

（2）汇接层区域：主要放置汇接设备和交换设备，用于汇接数据流连接核心层网络或本局域网内的有条件信息交互；

（3）接入层区域：主要放置各种接入设备及其交换设备，用于汇接数据流连接汇接层网络或本局域网内的有条件信息交互；

第三维（z轴）是安全平台，从管理、控制、用户三个角度去考虑系统的安全问题。

安全活动分别讨论与网络管理活动、网络控制或信令活动和终端用户活动相关的特定安全需求。在安全管理中详细讨论的管理层面关注运行、管理、维护和提供（OAM&P）服务活动，如向某个用户或网络提供服务。控制层面与独立于网络所用的媒介和技术的端到端通信的建立（和修改）方面的信令有关。终端用户层面讨论用户访问和使用网络的安全，也包括保护用户数据流。

3、电信数据网等级划分原理

由于数据网本身的复杂性：覆盖地域广阔、结构复杂、涉及的行政部门和人员众多等，其涉及的安全问题从物理安全、网络安全、系统安全一直到应用安全、数据安全、安全管理、安全组织等等。凡是涉及到影响正常运行的和业务连续性的都可以认为是电信数据网安全问题。同时电信数据网由于不同地区、不同级别，不同地域和行政隶属层次的安全要求属性和强度存在较大的差异性。不同的电信数据网系统有着不同的安全需求，所以必须从实际出发，综合平衡安全成本和风险，优化电信数据网安全资源的配置，保护重点。为了达到这一目的，应该进行电信数据网的安全等级划分，以此来保证最有效的进行安全评估。

针对电信数据网的特点，以评估对象框架为经，以安全对策框架为纬，对评估对象逐个进行威胁分析，从而形成电信数据网安全等级划分体系（见图3）。

图3　等级化安全评估体系设计

具体从三个方面进行等级划分：

一是评估对象的等级化；通过资产识别和复制，建立评估对象框架，把评估对象分级。

二是安全保护策略的等级化设计对策框架，这本身就是等级化的一种手段。

三是威胁等级化；分析系统将遭遇的威胁，通过综合考虑威胁的强度和概率，将威胁也划分为若干个等级。

由于电信数据网结构的复杂性和庞大性，电信数据网中的设备数量和类型众多，而安全性评估过程是一个复杂和繁复的过程我们不可能对所有的设备利用该模型进行评估。因此可以利用上面提出的模型对电信数据网中的设备划分出等级，根据不同级别的安全需求对不同级别的设备进行评估。

在电信数据网安全评估的过程中，由于决定电信数据网评估对象价值的因素众多，其各个因素的取值又多具有模糊性，可以采用多因素模糊综合评判模型来对其进行分析。

4、电信数据网评估过程

电信数据网评估过程就是在评估标准的指导下，综合利用相关等级划分原理、评估工具，针对电信数据网展开全方位的评估工作的完整历程。

4.1　评估的角色

电信数据网的安全评估是一个复杂的过程，需要各种人员的参与。具体包括：评估发起者、评估者、电信运营商、电信设备制造商和软件提供商、监督和认证机构等。评估者指具有资质的TDN评估企业或者政府机构。评估发起者通常是电信运营商或者其主管部门。监督和认证机构指由权威的电信数据网认证机构来担任。

4.2　评估的过程简介

基于TDN安全评估准则的电信数据网评估过程可以分为三个阶段：

第一阶段：文档准备。该阶段用于准备需要的评估文档，主要包括电信数据网的安全目标（TDN ST）和待评估的电信数据网的相关文档。只有这两个文档完成后，评估过程才能继续。

第二阶段：执行评估。该阶段的主要内容是根据第一阶段的文档，按照电信数据网安全评估方法（TDNEM）对TDN进行评估，最后得出TDN的评估技术报告（ETR）以及风险分析报告（RAR）。

第三阶段：结论及认证。在该阶段，评估者把评估技术报告提交给认证者。经认证者批准后形成认证报告（VR）。风险分析报告有助于电信运营商改编组织安全策略减少安全风险，保护电信数据网的资产。

每个阶段的不同参与者分别执行不同的任务，共同完成电信数据网安全评估的全过程。

5、分布式评估工具系统的设计

电信数据网具有分布式的结构，包括多个节点，每个节点可能成百上千种设备，并且分布在不同的地理位置上。评估过程相当复杂，需要采集大量的数据，系统需要保留所有采集数据以备日后查询、核对、检验、分析，而且需要评估人员具有丰富的评估经验。评估过程需要评估发起者、评估者、电信设备和软件提供商、认证机构、被评估机构等各种人员的参与和配合。因此，开发一个适合于分布式环境的电信数据网安全评估辅助工具系统就显得至关重要（见图4）。这对于减少电信数据网评估的时间、降低评估的复杂性、节省资源、提高评估结果的客观性和准确性具有重大的意义。

图4　分布式评估工具系统的网络拓扑图

系统的实现可以基于浏览器/HTTP服务器/业务服务器/数据库服务器的四层模式。业务服务器运行的EJB或者JSP组件，在Eclipse环境下 用Java语言设计实现。这些组件包括安全评估模块、风险分析模块、等级保护模块、标准查询模块和报表生成模块，是本系统的核心部分。业务服务器和数据库 服务器之间的通信接口为JDBC。需要参与到评估过程中的各个角色如评估人员、电信网运营人员、评估管理机构以及电信设备生产者等可以通过浏览器将与评估 相关的记录输入到系统中。系统将这些信息自动保存到MySQL数据库中。

在数据库系统中有包括三个子系统：基本数据系统，评估数据系统，漏洞数据库。基本数据系统为电信网安全评估提供必需的基础理论。基本系统由评估标准 库和评估规程库组成。评估数据系统主要包括风险分析数据库和等级化保护数据库。在对电信数据网安全域划分的基础上，对电信数据网的关键资产建立基于 MySQL的良好扩充性的漏洞数据库。完成系统漏洞相关数据，包括系统漏洞特征描述、应对措施（主要是系统补要程序）、系统安全配置策略等的存储。漏洞库 是系统安全隐患分析的核心，集中了常见的各类系统漏洞特征和相应的应对措施、网络系统当前的脆弱性状态，以及和系统漏洞分析应对措施相关的系统安全配置策 略。为了使系统具有较强的开放性，我们为每一条漏洞都提供了CVE编号。CVE是个行业标准，为每个漏洞和暴露确定了惟一的名称和标准化的描述，可以成评 价相应入侵检测和漏洞扫描等工具产品和数据库的基准。这样，如果在一个漏洞报告中指明一个漏洞有CVE名称，就可以快速地在任何其他CVE兼容的数据库中 找到相应的对应信息。

6、结论

为了解决电信数据网的安全问题，需要建立一套完整的评估认证体系。本文论述的以CC为基础的电信数据网安全评估体系及关键技术。

基于CC的电信数据网安全评估发展趋势：

本文研究了对已经存在的电信数据网的安全评估方案，而对于计划建设和正在建设的电信数据网安全评估过程及方法还有待讨论。

电信数据网硬件设备和软件的保护轮廓PP的制定。如果没有一定数量的PP，基于CC的电信数据网安全评估将成为空话。

具有一定智能的分布式评估工具系统的开发。地动化的评估工具有助于缩短评估的周期、减少评估的代价、保证评估结果的客观性。