電信數(shù)據(jù)網(wǎng)安全評(píng)估準(zhǔn)則的研究

摘要　提出電信數(shù)據(jù)網(wǎng)的安全評(píng)估框架，重點(diǎn)討論了電信數(shù)據(jù)網(wǎng)安全評(píng)估準(zhǔn)則、電信數(shù)據(jù)網(wǎng)安全等級(jí)劃分原理、電信數(shù)據(jù)網(wǎng)安全評(píng)估過(guò)程、電信數(shù)據(jù)網(wǎng)安全評(píng)估工具。最后，指出了電信數(shù)據(jù)網(wǎng)安全評(píng)估發(fā)展趨勢(shì)。

電信數(shù)據(jù)網(wǎng)作為國(guó)民經(jīng)濟(jì)的基礎(chǔ)設(shè)施，與國(guó)民經(jīng)濟(jì)各領(lǐng)域的聯(lián)系日益緊密，網(wǎng)絡(luò)安全問(wèn)題對(duì)整個(gè)國(guó)民經(jīng)濟(jì)信息化進(jìn)程有著舉足輕重的戰(zhàn)略作用。電信數(shù)據(jù)網(wǎng)安全作為國(guó)家信息安全的一個(gè)重要組成部分，要與國(guó)家信息安全總體要求和總體部署保持一致，要堅(jiān)持積極防御、綜合防范的方針，提高網(wǎng)絡(luò)防護(hù)能力和風(fēng)險(xiǎn)識(shí)別能力，加強(qiáng)對(duì)電信網(wǎng)的安全評(píng)估工作。

近年來(lái)，中國(guó)電信網(wǎng)絡(luò)環(huán)境更加復(fù)雜，網(wǎng)絡(luò)安全威脅更加嚴(yán)重，病毒、黑客、垃圾郵件等頻繁困擾著企業(yè)和用戶。網(wǎng)絡(luò)安全對(duì)今天的電信運(yùn)營(yíng)商來(lái)說(shuō)已是重中之重。隨著電信網(wǎng)絡(luò)從原來(lái)的信息傳輸通道走向今天的多元化網(wǎng)絡(luò)平臺(tái)，再加上運(yùn)營(yíng)商本身競(jìng)爭(zhēng)的加大以及客戶對(duì)服務(wù)質(zhì)量的不斷提升，電信網(wǎng)絡(luò)的安全、可靠成了運(yùn)營(yíng)商必須面對(duì)的問(wèn)題。因此，電信網(wǎng)絡(luò)運(yùn)營(yíng)商要保證電信網(wǎng)絡(luò)的正常運(yùn)行，就必須對(duì)其進(jìn)行全面的安全評(píng)估。電信系統(tǒng)在進(jìn)行網(wǎng)絡(luò)安全設(shè)備選型、網(wǎng)絡(luò)安全需求分析、網(wǎng)絡(luò)建設(shè)、網(wǎng)絡(luò)改造、應(yīng)用系統(tǒng)試運(yùn)行、內(nèi)網(wǎng)與外網(wǎng)互聯(lián)、與第三方業(yè)務(wù)伙伴進(jìn)行網(wǎng)上業(yè)務(wù)數(shù)據(jù)傳輸、電子政務(wù)等業(yè)務(wù)之前，進(jìn)行安全評(píng)估會(huì)幫助電信運(yùn)營(yíng)商在一個(gè)安全的框架下進(jìn)行組織活動(dòng)。通過(guò)安全評(píng)估來(lái)識(shí)別風(fēng)險(xiǎn)大小，通過(guò)制定信息安全方針，采取適當(dāng)?shù)目刂颇繕?biāo)與控制方式對(duì)風(fēng)險(xiǎn)進(jìn)行控制，使風(fēng)險(xiǎn)被避免、轉(zhuǎn)移或降至一個(gè)可被接受的水平。

本文就電信數(shù)據(jù)網(wǎng)安全評(píng)估的若干關(guān)鍵問(wèn)題，包括電信數(shù)據(jù)網(wǎng)安全評(píng)估準(zhǔn)則、電信數(shù)據(jù)網(wǎng)風(fēng)險(xiǎn)分析方法、電信數(shù)據(jù)網(wǎng)安全等級(jí)劃分原理、電信數(shù)據(jù)網(wǎng)安全評(píng)估過(guò)程、電信數(shù)據(jù)網(wǎng)安全評(píng)估工具等，進(jìn)行了探討。

1、TDN安全評(píng)估體系

為了使評(píng)估結(jié)果達(dá)到更好的可比性，評(píng)估應(yīng)在權(quán)威的評(píng)估體制內(nèi)執(zhí)行。

其中，電信數(shù)據(jù)網(wǎng)安全評(píng)估認(rèn)證中心是經(jīng)電信主管部門(mén)授權(quán)，代表國(guó)家對(duì)電信數(shù)據(jù)網(wǎng)進(jìn)行安全評(píng)估認(rèn)證的管理機(jī)構(gòu)。電信數(shù)據(jù)網(wǎng)安全評(píng)估認(rèn)證中心根據(jù)國(guó)家授權(quán)，依據(jù)電信數(shù)據(jù)網(wǎng)安全評(píng)估準(zhǔn)則，結(jié)合相關(guān)的國(guó)家質(zhì)量認(rèn)證的法律、法規(guī)點(diǎn)開(kāi)展評(píng)估認(rèn)證工作。

授權(quán)評(píng)估機(jī)構(gòu)是電信數(shù)據(jù)網(wǎng)安全評(píng)估認(rèn)證中心根據(jù)業(yè)務(wù)發(fā)展和管理需要而授權(quán)成立的、具有評(píng)估能力的獨(dú)立機(jī)構(gòu)。

最終的評(píng)估結(jié)果應(yīng)進(jìn)入認(rèn)證過(guò)程，該過(guò)程是一個(gè)針對(duì)評(píng)估結(jié)果的獨(dú)立檢查，并為評(píng)估發(fā)起者生成最終的證書(shū)或正式批準(zhǔn)文件，如圖1所示。

圖1  TDN安全評(píng)估體系

2、電信數(shù)據(jù)網(wǎng)安全評(píng)估準(zhǔn)則

電信數(shù)據(jù)網(wǎng)安全評(píng)估準(zhǔn)則是GB/T 18336在電信領(lǐng)域的擴(kuò)展和補(bǔ)充。它以信息技術(shù)安全性評(píng)估準(zhǔn)則為基礎(chǔ)，吸取ITU X.800系列的有關(guān)安全的建議，通過(guò)對(duì)BS7799、SSE-CMM進(jìn)行結(jié)合、擴(kuò)展和補(bǔ)充，形成對(duì)電信數(shù)據(jù)網(wǎng)安全性評(píng)估的評(píng)估準(zhǔn)則。

2.1　電信數(shù)據(jù)網(wǎng)的關(guān)鍵資產(chǎn)

資產(chǎn)是所要保護(hù)的數(shù)據(jù)網(wǎng)對(duì)象，所有威脅都必須針對(duì)資產(chǎn)才能產(chǎn)生影響，只有通過(guò)資產(chǎn)載體才會(huì)影響數(shù)據(jù)網(wǎng)使命的完成與實(shí)現(xiàn)。資產(chǎn)可以分為三大類(lèi)：物理資產(chǎn)、信息資產(chǎn)和服務(wù)資產(chǎn)。物理資產(chǎn)的安全審查著重于保護(hù)那些對(duì)持續(xù)運(yùn)轉(zhuǎn)非常關(guān)鍵的設(shè)備（如，路由器、交換機(jī)，數(shù)據(jù)存儲(chǔ)設(shè)備和主機(jī)等）。數(shù)據(jù)網(wǎng)絡(luò)中傳統(tǒng)的內(nèi)部服務(wù)資產(chǎn)包括交換系統(tǒng)、運(yùn)營(yíng)支持系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)和輔助的支持系統(tǒng)。近來(lái)，還包括了信令處理系統(tǒng)及其部件、數(shù)據(jù)庫(kù)服務(wù)器設(shè)備、智能網(wǎng)絡(luò)管理、支撐網(wǎng)設(shè)備等。外部服務(wù)資產(chǎn)包括遠(yuǎn)程智能維護(hù)和測(cè)試、服務(wù)器托管或租賃、網(wǎng)絡(luò)廣告服務(wù)、各種業(yè)務(wù)的網(wǎng)絡(luò)接入和電信企業(yè)一些無(wú)形資產(chǎn)等。信息資產(chǎn)通常是最有價(jià)值的資產(chǎn)，在數(shù)據(jù)網(wǎng)運(yùn)營(yíng)過(guò)程中產(chǎn)生的同數(shù)據(jù)網(wǎng)本身相關(guān)的有價(jià)值的信息以及數(shù)據(jù)網(wǎng)所存儲(chǔ)、處理和傳輸?shù)母鞣N相關(guān)的業(yè)務(wù)、管理和維護(hù)等信息，包括知識(shí)資產(chǎn)、客戶資料、業(yè)務(wù)信息流和管理信息等。

2.2　電信數(shù)據(jù)網(wǎng)的安全徑緯度

對(duì)數(shù)據(jù)網(wǎng)安全性的評(píng)估從安全功能、安全域和安全活動(dòng)三個(gè)角度構(gòu)成一個(gè)三維結(jié)構(gòu)，如圖2所示。

圖2　TDN安全評(píng)估準(zhǔn)則的三維結(jié)構(gòu)

第一維（x軸）是安全功能，給出了被保護(hù)對(duì)象的基本安全功能需求，包括身份認(rèn)證、訪問(wèn)控制、數(shù)據(jù)保性、數(shù)據(jù)完整性、不可抵賴(lài)、可靠性、可用性和安全審計(jì)。

訪問(wèn)控制，保證只有授權(quán)的人員和設(shè)備才允許訪問(wèn)網(wǎng)絡(luò)元素、存儲(chǔ)的信息、信息流、業(yè)務(wù)和應(yīng)用；身份認(rèn)證，保證參與通信的實(shí)體聲稱(chēng)的身份的有效性，并保證實(shí)體不企圖偽造或以非授權(quán)的方式回放前面的通信流；不可抵賴(lài)，不可抵賴(lài)性是防止用戶事后否認(rèn)其實(shí)施了某一行為的能力。這些行為包括制造、發(fā)源、收到和發(fā)送內(nèi)容，例如發(fā)送或接收消息、發(fā)起或接受呼叫、參加語(yǔ)音和視頻會(huì)議等等。不可抵賴(lài)性要求提供對(duì)數(shù)據(jù)發(fā)送或接收的不可偽造的證明，防止發(fā)送者否認(rèn)一個(gè)正確的消息或接收者否認(rèn)接收。網(wǎng)絡(luò)可提供下面兩種或其中之一形式：數(shù)據(jù)接收者得到數(shù)據(jù)來(lái)源的證明以避免發(fā)送者不誠(chéng)實(shí)地否認(rèn)其發(fā)送了數(shù)據(jù)或其內(nèi)容；或發(fā)送者得到數(shù)據(jù)傳送的證明以免接收者事后否認(rèn)接收了數(shù)據(jù)或其內(nèi)容。數(shù)據(jù)保密性，保證數(shù)據(jù)內(nèi)容不被非授權(quán)的實(shí)體理解；可靠性，保證信息只在授權(quán)的端點(diǎn)之間流動(dòng)，而不被攔截或轉(zhuǎn)移；數(shù)據(jù)完整性，保證數(shù)據(jù)的正確性或精確性，非授權(quán)活動(dòng)能夠被檢測(cè)；可用性，保證對(duì)網(wǎng)絡(luò)元素、存儲(chǔ)的信息、信息流、業(yè)務(wù)和應(yīng)用的授權(quán)訪問(wèn)不被否決；安全審計(jì)，保證即使通過(guò)對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行觀察也不能獲得有用的信息，這些信息包括地址位置、IP地址等。

第二維（y軸）是安全域，給出了數(shù)據(jù)網(wǎng)的三大安全域，包括核心層、匯接層和接入層。每個(gè)安全域的具體功能如下：

（1）核心層區(qū)域：主要放置核心交換設(shè)備，用于匯接數(shù)據(jù)流連接骨干網(wǎng)或進(jìn)行本局域網(wǎng)不同區(qū)域之間有條件的信息交互；

（2）匯接層區(qū)域：主要放置匯接設(shè)備和交換設(shè)備，用于匯接數(shù)據(jù)流連接核心層網(wǎng)絡(luò)或本局域網(wǎng)內(nèi)的有條件信息交互；

（3）接入層區(qū)域：主要放置各種接入設(shè)備及其交換設(shè)備，用于匯接數(shù)據(jù)流連接匯接層網(wǎng)絡(luò)或本局域網(wǎng)內(nèi)的有條件信息交互；

第三維（z軸）是安全平臺(tái)，從管理、控制、用戶三個(gè)角度去考慮系統(tǒng)的安全問(wèn)題。

安全活動(dòng)分別討論與網(wǎng)絡(luò)管理活動(dòng)、網(wǎng)絡(luò)控制或信令活動(dòng)和終端用戶活動(dòng)相關(guān)的特定安全需求。在安全管理中詳細(xì)討論的管理層面關(guān)注運(yùn)行、管理、維護(hù)和提供（OAM&P）服務(wù)活動(dòng)，如向某個(gè)用戶或網(wǎng)絡(luò)提供服務(wù)�？刂茖用媾c獨(dú)立于網(wǎng)絡(luò)所用的媒介和技術(shù)的端到端通信的建立（和修改）方面的信令有關(guān)。終端用戶層面討論用戶訪問(wèn)和使用網(wǎng)絡(luò)的安全，也包括保護(hù)用戶數(shù)據(jù)流。

3、電信數(shù)據(jù)網(wǎng)等級(jí)劃分原理

由于數(shù)據(jù)網(wǎng)本身的復(fù)雜性：覆蓋地域廣闊、結(jié)構(gòu)復(fù)雜、涉及的行政部門(mén)和人員眾多等，其涉及的安全問(wèn)題從物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全一直到應(yīng)用安全、數(shù)據(jù)安全、安全管理、安全組織等等。凡是涉及到影響正常運(yùn)行的和業(yè)務(wù)連續(xù)性的都可以認(rèn)為是電信數(shù)據(jù)網(wǎng)安全問(wèn)題。同時(shí)電信數(shù)據(jù)網(wǎng)由于不同地區(qū)、不同級(jí)別，不同地域和行政隸屬層次的安全要求屬性和強(qiáng)度存在較大的差異性。不同的電信數(shù)據(jù)網(wǎng)系統(tǒng)有著不同的安全需求，所以必須從實(shí)際出發(fā)，綜合平衡安全成本和風(fēng)險(xiǎn)，優(yōu)化電信數(shù)據(jù)網(wǎng)安全資源的配置，保護(hù)重點(diǎn)。為了達(dá)到這一目的，應(yīng)該進(jìn)行電信數(shù)據(jù)網(wǎng)的安全等級(jí)劃分，以此來(lái)保證最有效的進(jìn)行安全評(píng)估。

針對(duì)電信數(shù)據(jù)網(wǎng)的特點(diǎn)，以評(píng)估對(duì)象框架為經(jīng)，以安全對(duì)策框架為緯，對(duì)評(píng)估對(duì)象逐個(gè)進(jìn)行威脅分析，從而形成電信數(shù)據(jù)網(wǎng)安全等級(jí)劃分體系（見(jiàn)圖3）。

圖3　等級(jí)化安全評(píng)估體系設(shè)計(jì)

具體從三個(gè)方面進(jìn)行等級(jí)劃分：

一是評(píng)估對(duì)象的等級(jí)化；通過(guò)資產(chǎn)識(shí)別和復(fù)制，建立評(píng)估對(duì)象框架，把評(píng)估對(duì)象分級(jí)。

二是安全保護(hù)策略的等級(jí)化設(shè)計(jì)對(duì)策框架，這本身就是等級(jí)化的一種手段。

三是威脅等級(jí)化；分析系統(tǒng)將遭遇的威脅，通過(guò)綜合考慮威脅的強(qiáng)度和概率，將威脅也劃分為若干個(gè)等級(jí)。

由于電信數(shù)據(jù)網(wǎng)結(jié)構(gòu)的復(fù)雜性和龐大性，電信數(shù)據(jù)網(wǎng)中的設(shè)備數(shù)量和類(lèi)型眾多，而安全性評(píng)估過(guò)程是一個(gè)復(fù)雜和繁復(fù)的過(guò)程我們不可能對(duì)所有的設(shè)備利用該模型進(jìn)行評(píng)估。因此可以利用上面提出的模型對(duì)電信數(shù)據(jù)網(wǎng)中的設(shè)備劃分出等級(jí)，根據(jù)不同級(jí)別的安全需求對(duì)不同級(jí)別的設(shè)備進(jìn)行評(píng)估。

在電信數(shù)據(jù)網(wǎng)安全評(píng)估的過(guò)程中，由于決定電信數(shù)據(jù)網(wǎng)評(píng)估對(duì)象價(jià)值的因素眾多，其各個(gè)因素的取值又多具有模糊性，可以采用多因素模糊綜合評(píng)判模型來(lái)對(duì)其進(jìn)行分析。

4、電信數(shù)據(jù)網(wǎng)評(píng)估過(guò)程

電信數(shù)據(jù)網(wǎng)評(píng)估過(guò)程就是在評(píng)估標(biāo)準(zhǔn)的指導(dǎo)下，綜合利用相關(guān)等級(jí)劃分原理、評(píng)估工具，針對(duì)電信數(shù)據(jù)網(wǎng)展開(kāi)全方位的評(píng)估工作的完整歷程。

4.1　評(píng)估的角色

電信數(shù)據(jù)網(wǎng)的安全評(píng)估是一個(gè)復(fù)雜的過(guò)程，需要各種人員的參與。具體包括：評(píng)估發(fā)起者、評(píng)估者、電信運(yùn)營(yíng)商、電信設(shè)備制造商和軟件提供商、監(jiān)督和認(rèn)證機(jī)構(gòu)等。評(píng)估者指具有資質(zhì)的TDN評(píng)估企業(yè)或者政府機(jī)構(gòu)。評(píng)估發(fā)起者通常是電信運(yùn)營(yíng)商或者其主管部門(mén)。監(jiān)督和認(rèn)證機(jī)構(gòu)指由權(quán)威的電信數(shù)據(jù)網(wǎng)認(rèn)證機(jī)構(gòu)來(lái)?yè)?dān)任。

4.2　評(píng)估的過(guò)程簡(jiǎn)介

基于TDN安全評(píng)估準(zhǔn)則的電信數(shù)據(jù)網(wǎng)評(píng)估過(guò)程可以分為三個(gè)階段：

第一階段：文檔準(zhǔn)備。該階段用于準(zhǔn)備需要的評(píng)估文檔，主要包括電信數(shù)據(jù)網(wǎng)的安全目標(biāo)（TDN ST）和待評(píng)估的電信數(shù)據(jù)網(wǎng)的相關(guān)文檔。只有這兩個(gè)文檔完成后，評(píng)估過(guò)程才能繼續(xù)。

第二階段：執(zhí)行評(píng)估。該階段的主要內(nèi)容是根據(jù)第一階段的文檔，按照電信數(shù)據(jù)網(wǎng)安全評(píng)估方法（TDNEM）對(duì)TDN進(jìn)行評(píng)估，最后得出TDN的評(píng)估技術(shù)報(bào)告（ETR）以及風(fēng)險(xiǎn)分析報(bào)告（RAR）。

第三階段：結(jié)論及認(rèn)證。在該階段，評(píng)估者把評(píng)估技術(shù)報(bào)告提交給認(rèn)證者。經(jīng)認(rèn)證者批準(zhǔn)后形成認(rèn)證報(bào)告（VR）。風(fēng)險(xiǎn)分析報(bào)告有助于電信運(yùn)營(yíng)商改編組織安全策略減少安全風(fēng)險(xiǎn)，保護(hù)電信數(shù)據(jù)網(wǎng)的資產(chǎn)。

每個(gè)階段的不同參與者分別執(zhí)行不同的任務(wù)，共同完成電信數(shù)據(jù)網(wǎng)安全評(píng)估的全過(guò)程。

5、分布式評(píng)估工具系統(tǒng)的設(shè)計(jì)

電信數(shù)據(jù)網(wǎng)具有分布式的結(jié)構(gòu)，包括多個(gè)節(jié)點(diǎn)，每個(gè)節(jié)點(diǎn)可能成百上千種設(shè)備，并且分布在不同的地理位置上。評(píng)估過(guò)程相當(dāng)復(fù)雜，需要采集大量的數(shù)據(jù)，系統(tǒng)需要保留所有采集數(shù)據(jù)以備日后查詢(xún)、核對(duì)、檢驗(yàn)、分析，而且需要評(píng)估人員具有豐富的評(píng)估經(jīng)驗(yàn)。評(píng)估過(guò)程需要評(píng)估發(fā)起者、評(píng)估者、電信設(shè)備和軟件提供商、認(rèn)證機(jī)構(gòu)、被評(píng)估機(jī)構(gòu)等各種人員的參與和配合。因此，開(kāi)發(fā)一個(gè)適合于分布式環(huán)境的電信數(shù)據(jù)網(wǎng)安全評(píng)估輔助工具系統(tǒng)就顯得至關(guān)重要（見(jiàn)圖4）。這對(duì)于減少電信數(shù)據(jù)網(wǎng)評(píng)估的時(shí)間、降低評(píng)估的復(fù)雜性、節(jié)省資源、提高評(píng)估結(jié)果的客觀性和準(zhǔn)確性具有重大的意義。

圖4　分布式評(píng)估工具系統(tǒng)的網(wǎng)絡(luò)拓?fù)鋱D

系統(tǒng)的實(shí)現(xiàn)可以基于瀏覽器/HTTP服務(wù)器/業(yè)務(wù)服務(wù)器/數(shù)據(jù)庫(kù)服務(wù)器的四層模式。業(yè)務(wù)服務(wù)器運(yùn)行的EJB或者JSP組件，在Eclipse環(huán)境下用Java語(yǔ)言設(shè)計(jì)實(shí)現(xiàn)。這些組件包括安全評(píng)估模塊、風(fēng)險(xiǎn)分析模塊、等級(jí)保護(hù)模塊、標(biāo)準(zhǔn)查詢(xún)模塊和報(bào)表生成模塊，是本系統(tǒng)的核心部分。業(yè)務(wù)服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器之間的通信接口為JDBC。需要參與到評(píng)估過(guò)程中的各個(gè)角色如評(píng)估人員、電信網(wǎng)運(yùn)營(yíng)人員、評(píng)估管理機(jī)構(gòu)以及電信設(shè)備生產(chǎn)者等可以通過(guò)瀏覽器將與評(píng)估相關(guān)的記錄輸入到系統(tǒng)中。系統(tǒng)將這些信息自動(dòng)保存到MySQL數(shù)據(jù)庫(kù)中。

在數(shù)據(jù)庫(kù)系統(tǒng)中有包括三個(gè)子系統(tǒng)：基本數(shù)據(jù)系統(tǒng)，評(píng)估數(shù)據(jù)系統(tǒng)，漏洞數(shù)據(jù)庫(kù)�；�本數(shù)據(jù)系統(tǒng)為電信網(wǎng)安全評(píng)估提供必需的基礎(chǔ)理論�；�本系統(tǒng)由評(píng)估標(biāo)準(zhǔn)庫(kù)和評(píng)估規(guī)程庫(kù)組成。評(píng)估數(shù)據(jù)系統(tǒng)主要包括風(fēng)險(xiǎn)分析數(shù)據(jù)庫(kù)和等級(jí)化保護(hù)數(shù)據(jù)庫(kù)。在對(duì)電信數(shù)據(jù)網(wǎng)安全域劃分的基礎(chǔ)上，對(duì)電信數(shù)據(jù)網(wǎng)的關(guān)鍵資產(chǎn)建立基于MySQL的良好擴(kuò)充性的漏洞數(shù)據(jù)庫(kù)。完成系統(tǒng)漏洞相關(guān)數(shù)據(jù)，包括系統(tǒng)漏洞特征描述、應(yīng)對(duì)措施（主要是系統(tǒng)補(bǔ)要程序）、系統(tǒng)安全配置策略等的存儲(chǔ)。漏洞庫(kù)是系統(tǒng)安全隱患分析的核心，集中了常見(jiàn)的各類(lèi)系統(tǒng)漏洞特征和相應(yīng)的應(yīng)對(duì)措施、網(wǎng)絡(luò)系統(tǒng)當(dāng)前的脆弱性狀態(tài)，以及和系統(tǒng)漏洞分析應(yīng)對(duì)措施相關(guān)的系統(tǒng)安全配置策略。為了使系統(tǒng)具有較強(qiáng)的開(kāi)放性，我們?yōu)槊恳粭l漏洞都提供了CVE編號(hào)。CVE是個(gè)行業(yè)標(biāo)準(zhǔn)，為每個(gè)漏洞和暴露確定了惟一的名稱(chēng)和標(biāo)準(zhǔn)化的描述，可以成評(píng)價(jià)相應(yīng)入侵檢測(cè)和漏洞掃描等工具產(chǎn)品和數(shù)據(jù)庫(kù)的基準(zhǔn)。這樣，如果在一個(gè)漏洞報(bào)告中指明一個(gè)漏洞有CVE名稱(chēng)，就可以快速地在任何其他CVE兼容的數(shù)據(jù)庫(kù)中找到相應(yīng)的對(duì)應(yīng)信息。

6、結(jié)論

為了解決電信數(shù)據(jù)網(wǎng)的安全問(wèn)題，需要建立一套完整的評(píng)估認(rèn)證體系。本文論述的以CC為基礎(chǔ)的電信數(shù)據(jù)網(wǎng)安全評(píng)估體系及關(guān)鍵技術(shù)。

基于CC的電信數(shù)據(jù)網(wǎng)安全評(píng)估發(fā)展趨勢(shì)：

本文研究了對(duì)已經(jīng)存在的電信數(shù)據(jù)網(wǎng)的安全評(píng)估方案，而對(duì)于計(jì)劃建設(shè)和正在建設(shè)的電信數(shù)據(jù)網(wǎng)安全評(píng)估過(guò)程及方法還有待討論。

電信數(shù)據(jù)網(wǎng)硬件設(shè)備和軟件的保護(hù)輪廓PP的制定。如果沒(méi)有一定數(shù)量的PP，基于CC的電信數(shù)據(jù)網(wǎng)安全評(píng)估將成為空話。

具有一定智能的分布式評(píng)估工具系統(tǒng)的開(kāi)發(fā)。地動(dòng)化的評(píng)估工具有助于縮短評(píng)估的周期、減少評(píng)估的代價(jià)、保證評(píng)估結(jié)果的客觀性。