電信網(wǎng)的安全風險評估研究

摘要

隨著國民經(jīng)濟和社會發(fā)展對電信網(wǎng)的依賴程度日益加深，對電信網(wǎng)的安全要求日益提高，需要加強電信網(wǎng)的安全建設。而安全風險評估是電信網(wǎng)安全建設的前提和基礎，因此備受關注。本文主要研究了電信網(wǎng)的安全風險評估，包括將風險評估劃分為靜態(tài)風險評估和動態(tài)風險評估兩種類型；闡述了國外國內(nèi)對靜態(tài)風險評估和動態(tài)風險評估的研究現(xiàn)狀。

1  引言

近年來，我國政府、電信運營企業(yè)高度重視電信網(wǎng)安全保障，開展了大量工作，通過建立日常安全管理工作機制、制定相關標準、部署安全產(chǎn)品等有效地提高了電信網(wǎng)的安全水平�？傮w來說，我國電信網(wǎng)在規(guī)劃、建設、運維過程中對安全建設方面的考慮和投入不足，電信網(wǎng)在IP化、移動化、融合化發(fā)展過程中自身存在的脆弱性日益顯現(xiàn)。隨著國內(nèi)外形勢復雜多變和金融危機影響的加劇，電信網(wǎng)面臨的安全威脅日益嚴峻。同時，國民經(jīng)濟和社會發(fā)展對電信網(wǎng)的依賴性與日俱增，對電信網(wǎng)的安全提出了更高的要求。

保障電信網(wǎng)的安全至關重要，一旦電信網(wǎng)被破壞，將可能影響社會公眾用戶利益和政府、銀行、稅務等重要信息系統(tǒng)的正常運行，甚至可能影響國家安全、社會穩(wěn)定。為提高電信網(wǎng)的安全防護水平，需要對電信網(wǎng)的安全情況進行評估，深入分析電信網(wǎng)存在的安全漏洞、面臨的安全威脅、現(xiàn)有的安全措施是否有效、殘余風險是否在可接受水平等。

2  安全風險評估類型

安全風險評估是指依據(jù)一定的安全標準，基于網(wǎng)絡或系統(tǒng)中的資產(chǎn)、面臨的威脅、存在的脆弱性、采取的安全措施等風險評估要素定性或定量地評估網(wǎng)絡或系統(tǒng)的安全風險狀況，判斷安全事件發(fā)生的可能性和安全事件帶來的損失。根據(jù)評估過程是否連續(xù)，安全風險評估可分為靜態(tài)風險評估和動態(tài)風險評估兩種類型。

2.1  靜態(tài)風險評估

靜態(tài)風險評估是傳統(tǒng)意義的風險評估，是對某一個時間點或者相對較短時間的風險情況進行評估，評估過程在時間上不具有連續(xù)性，被評估對象是作為一個相對靜止的對象來評估。

2.2  動態(tài)風險評估

動態(tài)風險評估是對一段時間內(nèi)的網(wǎng)絡或系統(tǒng)的安全狀態(tài)進行評估，研究其演化趨勢，并將風險與環(huán)境（網(wǎng)絡運行情況、安全防護情況、用戶特性等）及其變化緊密結(jié)合，從而能夠宏觀地了解網(wǎng)絡或系統(tǒng)的安全狀況，動態(tài)地把握風險在特定環(huán)境下的演化。通過被評估對象相關的連續(xù)數(shù)據(jù)來分析和預測被評估對象的安全情況。

對電信網(wǎng)進行客觀有效的安全風險評估，是電信網(wǎng)安全風險管理的前提和基礎。作為風險管理起點的風險評估，目前大多仍采用靜態(tài)的評估方法，評估結(jié)果只是某一特定時間點的風險值。靜態(tài)風險評估無法反映出兩次評估之間風險的變化狀況，評估結(jié)果往往具有滯后性。動態(tài)風險評估是一個系統(tǒng)的、持續(xù)時間較長的評估，可看作是對靜態(tài)風險評估的加強。動態(tài)風險評估過程中一旦發(fā)現(xiàn)安全問題，能夠相對及時地檢測和處理，并且能夠發(fā)現(xiàn)安全的發(fā)展趨勢和規(guī)律，便于及時調(diào)整安全策略、更好地提高網(wǎng)絡或系統(tǒng)安全能力。動態(tài)風險評估相對復雜，但是能夠相對實時地評估網(wǎng)絡或系統(tǒng)所面臨的安全風險，評估結(jié)果更具有實際意義。

3  安全風險評估研究現(xiàn)狀

3.1  靜態(tài)風險評估

（1）國外研究情況

國外從20世紀70年代開始研究信息系統(tǒng)的安全風險評估，主要研究針對靜態(tài)風險評估。美國、歐洲、亞太和ISO等國際組織均在該領域積極進行探索并取得了顯著效果，研究成果包括標準、模型、方法和工具等。

在靜態(tài)風險評估標準方面，美國國防部首先在1985年發(fā)布了《可信計算機系統(tǒng)評估準則》（TCSEC，Trusted Computer System Evaluation Criteria）；英、法、德、荷4國于1991年針對TCSEC的局限性提出了《信息技術(shù)安全評估準則》（ITSEC，Information Technology Security Evaluation Criteria）；加拿大于1993年發(fā)布了《加拿大可信計算機產(chǎn)品評估準則》（CTCPEC，Canadian Trusted Computer Products Evaluation Criteria）。加、英、法、德、荷、美國家標準與技術(shù)研究院（NIST，National Institute of Standards and Technology）、美國國家安全局（NSA，National Security Agency）共6國7方在已有標準的基礎上于1996年共同制定和提出了《通用信息技術(shù)安全評估標準》（CC，Common Criteria for IT Security Evaluation），之后被正式批準為通行的國際信息安全評估標準ISO/ICE 15408。英國標準協(xié)會（BSI，British Standard Institute）于1995年制定了《信息安全管理體系標準》(BS7799/ISO 17799)，BS7799 分為兩個部分，第一部分信息安全管理實施細則被ISO吸納成為ISO/IEC 17799，第二部分信息安全管理體系規(guī)范被ISO吸納成為ISO/IEC 27001。美國NIST從2000年起頒布了一系列安全風險評估相關標準NIST SP800，包括《IT系統(tǒng)安全自評估指南》（SP 800-26），《IT系統(tǒng)風險管理指南》（SP 800-30），《聯(lián)邦IT系統(tǒng)最小安全控制》（SP 800-53）等。另外，國際上較為認可的風險評估理論標準有《IT安全管理指南》（1SO/IEC 13335）、澳大利亞/新西蘭的《風險管理標準》（AS/NZS 4360）、卡內(nèi)基梅隆大學提出的《信息安全工程能力成熟度模型》（SSE-CMM，System Security Engineering Capability Maturity Model）等。以上標準在指導和規(guī)范信息系統(tǒng)風險評估中起著至關重要的作用，對風險評估給予了明確的定義和指導，但是不同程度地存在一定的局限性，例如TCSEC，CTCPEC，ITSEC側(cè)重于技術(shù)方面的實現(xiàn)，對于管理層面沒有給與足夠的重視，CC提倡安全工程的思想，從安全功能和安全保證兩方面在各個環(huán)節(jié)確保產(chǎn)品的安全，是目前相對比較全面的評估準則。BS7799影響面非常廣、被接受程度相對較高，標準中涵蓋內(nèi)容很廣，但是缺乏技術(shù)測量精度，具體操作困難，而且沒有考慮到安全控制項目的權(quán)重。

在靜態(tài)風險評估模型方面，研究各方根據(jù)信息安全的特點，從不同的角度提出了各種信息安全模型。如CC，ISO13335中分別提出了信息安全風險評估模型，并在模型中給出了信息安全風險評估的要素。CC中包含的風險評估要素包括攻擊者、威脅、漏洞、資產(chǎn)、風險、措施、屬主等；ISO13335中包含的風險評估要素包括資產(chǎn)、資產(chǎn)價值、威脅、脆弱性、風險、防護需求、防護措施等。美國戴明博士提出的動態(tài)信息系統(tǒng)風險評估模型PDCA體現(xiàn)了動態(tài)、持續(xù)、改進的風險評估過程。這些風險評估模型提供了對信息系統(tǒng)實施保護的基本策略和機制，在一定程度上科學、有效地指導了信息系統(tǒng)安全風險評估的研究與實施。

在靜態(tài)風險評估方法方面，從不同的角度，安全風險評估的方法分類不同。從具體操作角度，可分為問卷調(diào)查、人員訪談、現(xiàn)場調(diào)查、手工檢查和自動工具分析等方法。從實施依據(jù)角度，可分為基于模型、基于過程、基于規(guī)則、基于目標的評估方法。從計算方法區(qū)分，可分為定性風險評估方法、定量風險評估方法、定性和定量結(jié)合的風險評估方法。這些方法對評估過程給與了較好的指導，可結(jié)合使用，例如定性和定量評估的操作方法可以是檢查列表、問卷調(diào)查、人員訪談等。