對(duì)電信網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的研究

1、對(duì)電信網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的研究魏 薇( 信息產(chǎn)業(yè)部電信研究院通信標(biāo)準(zhǔn)研究所 北京 100045)提供了指導(dǎo)。安全風(fēng)險(xiǎn)評(píng)估為安全等級(jí)保護(hù)工作的開(kāi)展提供基 據(jù)。通過(guò)安全風(fēng)險(xiǎn)評(píng)估, 可以發(fā)現(xiàn)電信網(wǎng)絡(luò)可能存在的安 險(xiǎn), 判斷電信網(wǎng)絡(luò)的安全狀況與安全等級(jí)保護(hù)要求之間 距, 從而不斷完善等級(jí)保護(hù)措施。同時(shí), 安全風(fēng)險(xiǎn)評(píng)估的結(jié) 災(zāi)難備份及恢復(fù)提供了參考, 是制定災(zāi)難恢復(fù)預(yù)案的依據(jù) 災(zāi)難備份及恢復(fù)是對(duì)安全等級(jí)保護(hù)和安全風(fēng)險(xiǎn)評(píng)可能存在的電信網(wǎng)絡(luò)安全事件的預(yù)防、補(bǔ)救措施, 也是 全等級(jí)保護(hù)要求的落實(shí)。安全等級(jí)保護(hù)、安全風(fēng)險(xiǎn)評(píng)估災(zāi)難備份及恢復(fù)之間的關(guān)系如圖 1 所示。1引言面對(duì)復(fù)雜的環(huán)境, 電信網(wǎng)絡(luò)在技術(shù)和管理等方面

2、存在一定的安全風(fēng)險(xiǎn), 尤其當(dāng)電信網(wǎng)絡(luò)中承載極為重要的信息 資產(chǎn)時(shí), 這些安全風(fēng)險(xiǎn)將會(huì)給國(guó)家、社會(huì)、企業(yè)和個(gè)人帶來(lái) 極大的安全隱患。安全風(fēng)險(xiǎn)評(píng)估是電信網(wǎng)絡(luò)安全防護(hù)體系 中的重要組成部分, 對(duì)于主管部門(mén)、網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商更好 地識(shí)別電信網(wǎng)絡(luò)中現(xiàn)有及潛在的風(fēng)險(xiǎn), 明確電信網(wǎng)絡(luò)的安 全狀態(tài), 制定有效的安全防護(hù)措施, 提高電信網(wǎng)絡(luò)的整體安 全水平等具有重要意義。本文從安全防護(hù)體系出發(fā), 深入研究了電信網(wǎng)絡(luò)安全 風(fēng)險(xiǎn)評(píng)估涉及的原則、工作形式、實(shí)施流程以及與電信網(wǎng)絡(luò) 生命周期的關(guān)系等問(wèn)題。2安全防護(hù)體系電信網(wǎng)絡(luò)安全防護(hù)體系包括安全等級(jí)保護(hù)、安全風(fēng)險(xiǎn)評(píng)估、災(zāi)難備份及恢復(fù) 3 部分工作, 三者之間互為依托、互

3、 為補(bǔ)充, 存在緊密的聯(lián)系。安 全 等 級(jí) 保 護(hù) 確 定 了 電 信 網(wǎng) 絡(luò) 安 全 保 護(hù) 的 等 級(jí) , 要 求安全風(fēng)險(xiǎn)評(píng)估過(guò)程充分考慮安全等級(jí)保護(hù)的要求。同摘 要本文主要研究電信網(wǎng)絡(luò)安全防護(hù)體系中的風(fēng)險(xiǎn)評(píng)估問(wèn)題, 重點(diǎn)對(duì)安全風(fēng)險(xiǎn)評(píng)估的原則、工作形式、實(shí)施流程進(jìn)行了研究, 最后對(duì)安全風(fēng)險(xiǎn)評(píng)估與電信網(wǎng)絡(luò)生命周期的關(guān)系進(jìn)行了闡述。關(guān)鍵詞 電信網(wǎng)絡(luò); 安全防護(hù); 風(fēng)險(xiǎn)評(píng)估( 2) 檢查評(píng)估由 主 管 部 門(mén) 發(fā) 起 , 由 主 管 部 門(mén) 實(shí) 施 或 委 托 主 管 部 門(mén) 授權(quán)的具有安全防護(hù)評(píng)估服務(wù)資質(zhì)的評(píng)估機(jī)構(gòu)實(shí)施。檢 查評(píng)估通常采用定期、抽樣的評(píng)估模式。通過(guò)檢查評(píng)估 , 主 管 部 門(mén)

4、可 以 督 促 網(wǎng) 絡(luò) 和 業(yè) 務(wù) 運(yùn) 營(yíng) 商 時(shí) 刻 保 持 安 全 防 護(hù) 意 識(shí) , 完 善 安 全 防 護(hù) 體 系 建 設(shè) , 保 證 電 信 網(wǎng) 絡(luò) 安 全 和 有效的運(yùn)行。風(fēng)險(xiǎn)評(píng)估應(yīng)以自評(píng)估為主, 檢查評(píng)估為輔, 自評(píng)估和檢 查評(píng)估相互結(jié)合、互為補(bǔ)充。應(yīng)從電信網(wǎng)絡(luò)的特點(diǎn)出發(fā), 從安全等級(jí)保護(hù)、安全風(fēng)險(xiǎn)評(píng)估、災(zāi)難備份及恢復(fù) 3 方面制定電信網(wǎng)絡(luò)相應(yīng)的安全防 護(hù)要求和安全防護(hù)檢測(cè)要求。電信網(wǎng)絡(luò)安全防護(hù)要求和安 全防護(hù)檢測(cè)要求應(yīng)隨著電信網(wǎng)絡(luò)的發(fā)展變化而動(dòng)態(tài)調(diào)整, 以適應(yīng)國(guó)家的安全要求。本 文 主 要 研 究 電 信 網(wǎng) 絡(luò) 安 全 防 護(hù) 體 系 中 的 安 全 風(fēng) 險(xiǎn) 評(píng) 估 部 分

5、。電 信 網(wǎng) 絡(luò) 安 全 風(fēng) 險(xiǎn) 評(píng) 估 可 以 定 義 為 : 運(yùn) 用 科 學(xué) 的 方 法 和 手 段 , 系 統(tǒng) 地 分 析 電 信 網(wǎng) 絡(luò) 所 面 臨 的 威 脅 及 其 脆 弱 性 , 評(píng) 估 安 全 事 件 一 旦 發(fā) 生 可 能 造 成 的 危 害 程 度 , 提 出 有 針 對(duì) 性 的 可 抵 御 威 脅 的 對(duì) 策 和 安 全 措 施 。 防 范 和 化 解 電 信 網(wǎng) 絡(luò) 的 安 全 風(fēng) 險(xiǎn) 或 者 將 風(fēng) 險(xiǎn) 控 制 在 可 接 受 的 水 平 , 從 而 最 大 限 度 地 為 保 障 電 信 網(wǎng) 絡(luò) 的 安 全 提 供 科 學(xué) 依 據(jù) 。5安全風(fēng)險(xiǎn)評(píng)估的實(shí)施流程電信網(wǎng)絡(luò)

6、安全風(fēng)險(xiǎn)評(píng)估的對(duì)象可以是整個(gè)電信網(wǎng)絡(luò),也可以是電信網(wǎng)絡(luò)的局部或組成部分。風(fēng)險(xiǎn)評(píng)估相關(guān)內(nèi)容 應(yīng)覆蓋技術(shù)安全和管理安全兩大類(lèi); 技術(shù)安全應(yīng)覆蓋業(yè)務(wù) 安全、網(wǎng)絡(luò)安全、設(shè)備安全和物理安全等方面內(nèi)容; 管理安 全應(yīng)覆蓋安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系 統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等方面內(nèi)容。風(fēng)險(xiǎn)評(píng)估工作可以主要?jiǎng)澐譃橐韵聨讉€(gè)步驟, 其實(shí)施 流程如圖 2 所示。3安全風(fēng)險(xiǎn)評(píng)估的原則電信網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估必須遵循以下原則: 標(biāo)準(zhǔn)性原則: 是風(fēng)險(xiǎn)評(píng)估工作的指導(dǎo)性原則, 指遵 循通信行業(yè)相關(guān)標(biāo)準(zhǔn)開(kāi)展電信網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)評(píng) 估工作; 可控性原則: 在評(píng)估過(guò)程中, 應(yīng)保證參與評(píng)估的人 員、使用的技術(shù)和工具、評(píng)估

7、過(guò)程都是可控的; 完備性原則: 嚴(yán)格按照被評(píng)估方提供的評(píng)估范圍進(jìn) 行全面的評(píng)估; 最小影響原則: 從項(xiàng)目管理層面和工具技術(shù)層面, 將評(píng)估工作對(duì)電信網(wǎng)絡(luò)正常運(yùn)行的可能影響降到 最低限度, 使得其不會(huì)對(duì)被評(píng)估網(wǎng)絡(luò)上的業(yè)務(wù)運(yùn)行 產(chǎn)生顯著影響; 保密原則: 評(píng)估方應(yīng)與被評(píng)估的網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商 簽署相關(guān)的保密協(xié)議和非侵害性協(xié)議, 以保障被評(píng) 估方的利益。圖 2 電信網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估實(shí)施流程( 1) 風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備在風(fēng)險(xiǎn)評(píng)估實(shí)施前, 應(yīng)首先獲得參與評(píng)估工作各方的 支持和配合, 確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)和內(nèi)容, 組建風(fēng)險(xiǎn)評(píng)估團(tuán) 隊(duì), 對(duì)被評(píng)估對(duì)象進(jìn)行調(diào)研, 確定評(píng)估依據(jù)和方法等。這些 準(zhǔn)備工作是整個(gè)風(fēng)險(xiǎn)評(píng)估過(guò)程有

8、效性的保證。( 2) 資產(chǎn)識(shí)別資產(chǎn)是指電信網(wǎng)絡(luò)中具有價(jià)值的資源, 是安全防護(hù)體 系保護(hù)的對(duì)象。電信網(wǎng)絡(luò)中的資產(chǎn)可能以多種形式存在, 包 括無(wú)形的、有形的、硬件、軟件, 如電信網(wǎng)絡(luò)物理布局、通信 設(shè)備、物理線(xiàn)路、重要的系統(tǒng)和用戶(hù)數(shù)據(jù)等。通過(guò)資產(chǎn)識(shí)別 可以明確資產(chǎn)安全狀況的重要性。電信網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估中的資產(chǎn)識(shí)別可以綜合考慮 資產(chǎn)的社會(huì)影響力、業(yè)務(wù)價(jià)值和可用性 3 個(gè)安全屬性。其4安全風(fēng)險(xiǎn)評(píng)估的工作形式根據(jù)評(píng)估發(fā)起者的不同, 可以將電信網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的工作形式分為自評(píng)估和檢查評(píng)估。( 1) 自評(píng)估在主管部門(mén)相關(guān)管理規(guī)定指導(dǎo)下, 由網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng) 商實(shí)施或委托主管部門(mén)授權(quán)的具有安全防護(hù)評(píng)估服務(wù)資質(zhì)

9、 的評(píng)估機(jī)構(gòu)實(shí)施。通過(guò)自評(píng)估, 網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商可以更好 地了解自己管理的電信網(wǎng)絡(luò)的安全狀況以及存在的風(fēng)險(xiǎn), 為規(guī)避損失, 采取安全防護(hù)措施提供依據(jù)。圖 3 風(fēng)險(xiǎn)分析過(guò)程圖 4 風(fēng)險(xiǎn)計(jì)算原理正常提供服務(wù)的不同要求。通過(guò)對(duì)這 3 個(gè)安全屬性分別進(jìn)行等級(jí)化賦值, 并在此基礎(chǔ)上綜合評(píng)定得到資產(chǎn)價(jià)值 , 體現(xiàn)出資產(chǎn)的安全狀況對(duì)評(píng)估對(duì)象的重要性。綜合評(píng)定 的方法應(yīng)該充分考慮這 3 個(gè)安全屬性的關(guān)聯(lián)性及其在資 產(chǎn)價(jià)值計(jì)算中的比重。( 3) 威脅識(shí)別威脅表示對(duì)資產(chǎn)構(gòu)成有潛在破壞可能性的因素, 是客 觀存在的。造成威脅的因素可分為技術(shù)因素、環(huán)境因素和人 為因素。技術(shù)因素包括設(shè)備自身的軟硬件故障、系統(tǒng)本身設(shè) 計(jì)

10、缺陷; 環(huán)境因素包括自然界不可抗拒的因素和其他物理 因素; 人為因素可根據(jù)威脅的動(dòng)機(jī)分為惡意和非惡意兩種。威脅可以通過(guò)威脅主體、動(dòng)機(jī)、途徑、發(fā)生頻率等多種 屬性來(lái)描述。判斷威脅出現(xiàn)的頻率是威脅識(shí)別的重要工作, 可根據(jù)威脅出現(xiàn)的頻率高低對(duì)威脅賦值。( 4) 脆弱性識(shí)別脆弱性是資產(chǎn)本身存在的特點(diǎn), 是指電信網(wǎng)絡(luò)資產(chǎn)中 存在的弱點(diǎn)、缺陷。威脅總是要利用資產(chǎn)的脆弱性才可能造 成危害, 如果沒(méi)有相應(yīng)的威脅發(fā)生, 單純的脆弱性本身不會(huì) 對(duì)資產(chǎn)造成損害; 而如果系統(tǒng)足夠強(qiáng)健, 再?lài)?yán)重的威脅也不 會(huì)導(dǎo)致安全事件發(fā)生并造成損失。電信網(wǎng)絡(luò)中的脆弱性識(shí) 別主要從技術(shù)和管理兩個(gè)方面進(jìn)行。脆弱性識(shí)別以資產(chǎn)為 核心, 針

11、對(duì)每個(gè)資產(chǎn)分別識(shí)別其可能被威脅利用的脆弱性, 并根據(jù)脆弱性對(duì)資產(chǎn)損害的嚴(yán)重程度進(jìn)行脆弱性賦值。( 5) 已有安全措施的確認(rèn) 評(píng)估雙方應(yīng)對(duì)已采取的安全措施的有效性進(jìn)行確認(rèn), 對(duì)于有效的安全措施繼續(xù)保持, 以避免不必要的工作和費(fèi)用, 防止安全措施的重復(fù)實(shí)施。對(duì)于確認(rèn)為不適當(dāng)?shù)陌踩胧?yīng) 核實(shí)是否應(yīng)被取消或者用更合適的安全措施替代。安全措施 可以分為預(yù)防性安全措施和保護(hù)性安全措施兩種。預(yù)防性安 全措施可以降低威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能 性, 如采用入侵檢測(cè)系統(tǒng); 保護(hù)性安全措施可以減少因安全 事件發(fā)生而對(duì)資產(chǎn)造成的損害, 如采用業(yè)務(wù)持續(xù)性計(jì)劃。( 6) 風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析的過(guò)程如圖 3 所示

12、。首先計(jì)算風(fēng)險(xiǎn)值, 計(jì)算原 理如圖 4 所示, 具體過(guò)程如下: 對(duì)資產(chǎn)進(jìn)行識(shí)別, 并對(duì)資產(chǎn)的重要性進(jìn)行賦值;的頻率賦值; 對(duì)資產(chǎn)的脆弱性進(jìn)行識(shí)別, 并對(duì)具體資產(chǎn)存在 弱性及脆弱性的嚴(yán)重程度賦值; 根據(jù)威脅出現(xiàn)的頻率和資產(chǎn)存在的脆弱性判 全事件發(fā)生的可能性; 根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用的價(jià)值計(jì)算安全事件造成的損失; 根據(jù)安全事件發(fā)生的可能性以及安全事件造損失, 計(jì)算安全事件一旦發(fā)生, 對(duì)被評(píng)估方的影即風(fēng)險(xiǎn)值。在得到資產(chǎn)的風(fēng)險(xiǎn)值之后, 結(jié)合資產(chǎn)已經(jīng)采取的 措施判斷其風(fēng)險(xiǎn)是否在可以接受的范圍內(nèi)。如果風(fēng)險(xiǎn) 在可接受的范圍內(nèi), 則該風(fēng)險(xiǎn)是可接受的風(fēng)險(xiǎn), 應(yīng)保持 的安全措施; 如果風(fēng)險(xiǎn)結(jié)果在可接

13、受的范圍外, 則是不 受的風(fēng)險(xiǎn), 需要制定風(fēng)險(xiǎn)處理計(jì)劃并采取新的安全措 低、控制風(fēng)險(xiǎn), 風(fēng)險(xiǎn)處理計(jì)劃中明確應(yīng)采取的彌補(bǔ)其脆 的新的安全措施、預(yù)期效果、實(shí)施條件等。在對(duì)不可接再評(píng)估來(lái)判斷實(shí)施新的安全措施后的殘余風(fēng)險(xiǎn)是否已經(jīng)降低到可接受的水平。某些風(fēng)險(xiǎn)可能在選擇了新的安全措施 后, 殘余風(fēng)險(xiǎn)的風(fēng)險(xiǎn)評(píng)估結(jié)果仍處于不可接受范圍內(nèi), 應(yīng)考 慮是否接受此風(fēng)險(xiǎn)或進(jìn)一步增加相應(yīng)的安全措施。需要注意的是, 網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商應(yīng)平衡效益與成本,采取適度的技術(shù)和管理安全措施。( 7) 風(fēng)險(xiǎn)評(píng)估文件記錄在 對(duì) 電 信 網(wǎng) 絡(luò) 安 全 進(jìn) 行 風(fēng) 險(xiǎn) 評(píng) 估 的 過(guò) 程 中 , 應(yīng) 輸 出 風(fēng) 險(xiǎn) 評(píng) 估 文 件 , 包

14、 括 在 整 個(gè) 風(fēng) 險(xiǎn) 評(píng) 估 過(guò) 程 中 產(chǎn) 生 的 評(píng) 估 過(guò) 程 文 檔 和 評(píng) 估 結(jié) 果 文 檔 , 如 資 產(chǎn) 清 單 、威 脅 列 表 、 脆 弱 性 列 表 、已 有 安 全 措 施 確 認(rèn) 表 、風(fēng) 險(xiǎn) 處 理 計(jì) 劃 、風(fēng) 險(xiǎn) 評(píng) 估 報(bào) 告 等 。 實(shí)施階段: 根據(jù)設(shè)計(jì)階段分析的威脅和建立的安全控制措施, 對(duì)電信網(wǎng)絡(luò)的建設(shè)及驗(yàn)收進(jìn)行安全檢測(cè) 和質(zhì)量控制, 評(píng)估安全措施的實(shí)現(xiàn)程度, 確定安全 措施能否抵御現(xiàn)有威脅和脆弱性的影響。此階段的 評(píng)估形式可以是自評(píng)估和檢查評(píng)估。 運(yùn)維階段: 對(duì)真實(shí)運(yùn)行的電信網(wǎng)絡(luò)的資產(chǎn)、威脅、脆 弱性等方面進(jìn)行風(fēng)險(xiǎn)評(píng)估, 了解和控制運(yùn)行過(guò)程中 的電

15、信網(wǎng)絡(luò)的安全風(fēng)險(xiǎn), 是一種較為全面的風(fēng)險(xiǎn)評(píng) 估。此階段的評(píng)估形式可以是自評(píng)估和檢查評(píng)估。 廢棄階段: 電信網(wǎng)絡(luò)的廢棄并不是將電信網(wǎng)絡(luò)整體 廢棄, 而是其中部分設(shè)備或者信息由于技術(shù)改進(jìn)或 業(yè)務(wù)升級(jí)等原因需要轉(zhuǎn)移、終止或廢棄。此階段應(yīng) 重點(diǎn)分析廢棄資產(chǎn)對(duì)被評(píng)估方的影響和可能帶來(lái) 的新的威脅等, 從而制定相應(yīng)的處理計(jì)劃, 確保軟 硬件等資產(chǎn)及殘留信息得到適當(dāng)?shù)膹U棄處置。此階 段的評(píng)估形式可以是自評(píng)估和檢查評(píng)估。6安全風(fēng)險(xiǎn)評(píng)估與電信網(wǎng)絡(luò)生命周期的關(guān)系電 信 網(wǎng) 絡(luò) 的 生 命 周 期 包 含 啟 動(dòng) 、設(shè) 計(jì) 、實(shí) 施 、運(yùn) 維和 廢 棄 等 階 段 。 電 信 網(wǎng) 絡(luò) 安 全 風(fēng) 險(xiǎn) 評(píng) 估 應(yīng) 貫

16、 穿 于 電 信 網(wǎng) 絡(luò) 生 命 周 期 的 各 階 段 中 , 在 生 命 周 期 不 同 階 段 的 風(fēng) 險(xiǎn) 評(píng) 估 原 則 和 實(shí) 施 流 程 是 一 致 的 , 但 在 各 階 段 實(shí) 施 風(fēng) 險(xiǎn) 評(píng) 估 的 工 作 形 式 、對(duì) 象 、目 的 、安 全 要 求 等 方 面 有 所 不 同 , 每 個(gè) 階 段 風(fēng) 險(xiǎn) 評(píng) 估 的 具 體 實(shí) 施 應(yīng) 根 據(jù) 該 階 段 的 特 點(diǎn) 有 所 側(cè) 重 地 進(jìn) 行 : 啟動(dòng)階段: 網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商通過(guò)自評(píng)估確定電信網(wǎng) 絡(luò)的安全使命、資產(chǎn)的運(yùn)行環(huán)境和重要程度等, 確定電 信網(wǎng)絡(luò)建成后在技術(shù)和管理方面達(dá)到的安全目標(biāo)。 設(shè)計(jì)階段: 網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商

17、通過(guò)自評(píng)估明確資產(chǎn) 列表、所面臨的威脅、存在的脆弱性, 確定資產(chǎn)的安 全功能需求, 作為采購(gòu)過(guò)程中風(fēng)險(xiǎn)控制的依據(jù)。7結(jié)束語(yǔ)電信網(wǎng)絡(luò)承擔(dān)大范圍的公眾通信, 其安全狀況對(duì)于國(guó)家安全、社會(huì)穩(wěn)定等方面具有重要意義。隨著電信網(wǎng)絡(luò)向下 一代電信網(wǎng)發(fā)展, 面臨的安全風(fēng)險(xiǎn)問(wèn)題將更加嚴(yán)峻, 所以迫 切需要建立系統(tǒng)的電信網(wǎng)絡(luò)安全防護(hù)體系, 提高電信網(wǎng)絡(luò) 的整體安全水平。在整個(gè)安全防護(hù)體系的框架下, 安全風(fēng)險(xiǎn)評(píng)估如何與 安全等級(jí)保護(hù)、災(zāi)難備份及恢復(fù)協(xié)調(diào)配合以及安全風(fēng)險(xiǎn)評(píng) 估中采用哪些科學(xué)計(jì)算方法和評(píng)估工具等問(wèn)題還需要在具 體網(wǎng)絡(luò)中實(shí)際開(kāi)展安全防護(hù)工作時(shí)做進(jìn)一步的研究。resear ch on secur ity r

18、isk assessment of telecom networ kwei wei( institute of communication standards research, china academy of telecommunication research, mii, beijing 100045, china)abstr act the security risk assessment of security protection architecture in telecom network is studied in this paper, and the principles, mode of wo