-WG4-01 数据网络 开放系统互连 端到端安全架构.doc

YD/T 中华人民共和国工业和信息化部 发布-实施-发布数据网络 开放系统互连 端到端安全架构Data networks open system interconnectionend -to-end security architecture （idt）（征求意见稿）（本稿完成日期：xxxx-xx-xx）YD/T YD中华人民共和国通信行业标准ICS 35.040L 80备案号：1YD/T 目 次前 言II引 言III1 范围12 规范性引用文件13 术语和定义14 缩略语15 安全架构35.1 安全维度35.2 安全层45.3 安全平面56 安全威胁67 安全目标77.1 基础设施层管理平面87.2 基础设施层控制平面97.3 基础设施层用户平面107.4 服务层管理平面107.5 服务层控制平面117.6 服务层用户平面127.7 应用层管理平面137.8 应用层控制平面147.9 应用层用户平面14A（规范性附录） 安全架构的应用15图1 安全维度在安全层中的应用4图2 反映不同种网络活动的安全平面5图3 端到端网络安全的安全架构7图4 表格形式的安全架构8图5 安全架构在安全流程中的应用16表1 安全威胁6表2 基础设施层管理平面的安全目标8表3 基础设施层控制平面的安全目标9表4 基础设施层用户平面的安全目标10表5 服务层管理平面的安全目标11表6 服务层控制平面的安全目标11表7 服务层用户平面的安全目标12表8 应用层管理平面的安全目标13表9 应用层控制平面的安全目标14表10 应用层用户平面的安全目标14III前 言本标准等同采用ITU-T建议书X.805端到端通信系统的安全架构。仅有编辑性修改。本标准的附录A为规范性附录。本标准由中国通信标准化协会提出并归口。本标准起草单位： 本标准主要起草人：引 言目前，电信和信息技术产业正在寻求低本、高效、全面的安全解决方案。安全网络应能防止恶意攻击和过失攻击，具有高可用性、恰当的响应时间、可靠性、完整性和可扩展性特点，并且可以提供准确的计费信息。产品的安全能力对整个网络的安全（包括应用和服务）至关重要。然而，随着越来越多的产品组合起来提供整体解决方案，互操作性的好坏将决定解决方案的成功与否。不仅每一个产品或服务都应该关注安全，而且还应在整个端到端安全解决方案中进行安全能力的整合。在多运营商环境中要具备系统安全整合能力，就应依据标准的安全架构进行网络安全的设计。数据网络 开放系统互连 端到端安全架构1 范围本标准规定了端到端通信安全的通用安全架构，并描述了该架构能够解决的主要安全威胁以及实施该架构的每一个模块分别能达到的安全目标。本标准适用于OSI协议栈任何层的任意类型的网络的的安全规划、建设以及相关设备的安全设计和开发。本标准规定了通用的端到端通信的安全框架。该框架可应用于涉及到端到端安全的各种通信网络，且不依赖于网络的底层技术。本标准定义了提供端到端安全所必需的通用安全要素。本标准的目标是为制定详细的端到端系统安全标准奠定基础。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T 9387.21995 信息处理系统 开放系统互联 基本参考模型 第2部分：安全体系架构（idt ISO 7498-2:1989）3 术语和定义GB/T 9387.21995确定的以及下列术语和定义适用于本标准。3.1 路由翻动 route flapping路由器所记忆的路径信息的数量在短时间内发生反复大幅增减的现象。在路由器内部的路径选择的最佳化处理的负荷增大，给数据包的传送带来障碍。3.2被管设备 managed devices包含SNMP代理（用于收集与存储管理信息）的设备，如路由器、交换机或集线器。3.3 网元 network element构成数据网络的基本单元，如终端设备、传输设备、交换设备以及相应链路和线路等。3.4 管理站 management station 一个网络节点，通过SNMP协议对被管设备进行设备的状态等进行管理。4 缩略语本标准使用下列缩略语：AAA Authentication, Authorization and Accounting鉴权、授权、计费ASPApplication Service Provider应用服务提供商ATMAsynchronous Transfer Mode异步传输模式DHCPDynamic Host Configuration Protocol动态主机配置协议DNSDomain Name Service域名服务DoSDenial of Service拒绝服务DS-3Digital Signal level 3数字信号级别3FCAPS Faulty,Capacity,Administration,Provisioning and Security故障、容量、管理、配置和安全FTPFile Transfer Protocol文件传输协议IPInternet Protocol网际互联协议IPSecIP Security protocolIP安全协议OAM&POperations Administration Maintenance & Provisioning操作、管理、维护和配置OSIOpen Systems Interconnection开放式系统互联PSTNPublic Switched Telephone Network公共交换电话网络PVCPermanent Virtual Circuit永久虚电路QoSQuality of Service服务质量RBAC Role Based Access Control基于角色的访问控制SIPSession Initiation Protocol会话初始协议SMTPSimple Mail Transfer Protocol简单邮件传输协议SNMPSimple Network Management Protocol简单网络管理协议SONET Synchronous Optical Network同步光网络SS7Signaling System #77号信令系统SSLSecure Socket Layer (Encryption and authentication protocol)安全套接层（加密和认证协议）VoIPVoice over IPIP语音电话VPNVirtual Private Network虚拟专用网5 安全架构安全架构的创建旨在解决全球服务提供商、企业、消费者所面临的安全威胁。安全架构主要解决网络基础设施、网络服务和网络应用在管理、控制和使用中遇到的安全问题。安全架构从自上而下的、端到端安全的角度对网元、网络服务和网络应用的安全弱点进行检测、预测和修复。 安全架构从逻辑上将一组复杂的端到端网络安全特征集系统地划分为独立的架构要素。架构不仅可用于规划新的安全解决方案，也可用于对现有网络进行安全评估。 安全架构解决3个根本的端到端安全问题： A. 防范哪些安全威胁？需要何种类型的保护措施 ？B. 需保护的网络设备和设施该如何分类？ C. 需保护的网络活动该如何分类？ 这些问题可以通过三个架构要素得以解决。它们分别是安全维度、安全层和安全平面。5.1 安全维度安全维度是一系列解决网络安全问题的安全措施。本标准定义了8个安全维度以防范所有主要的安全威胁。这些维度不仅适于网络安全，还可扩展到应用安全和端用户信息安全。此外，这些安全维度也适用于服务提供商或企业提供安全服务。安全维度包括：（1）访问控制；（2）认证； （3）防抵赖；（4）数据机密性；（5）通信安全；（6）数据完整性；（7）可用性；（8）私密性。 网络安全人员应正确设计和实施安全维度以支持某个网络的安全策略或实现由安全管理设置的安全规则。5.1.1 访问控制安全维度访问控制安全维度防止非授权使用网络资源。访问控制确保只有授权人员或设备才能访问网元、存储的信息、信息流、服务和应用。此外，RBAC提供了不同的访问级别以保障每个授权人员和设备仅能够获得对所授权的网元、存储信息及信息流的访问和操作。5.1.2 认证安全维度认证安全维度用于确认通信实体的身份。确保通信实体（如人员、设备、服务或应用）身份的有效性，并保证实体没有试图伪造或非授权重放以前的通信。5.1.3 防抵赖安全维度防抵赖安全维度通过提供各种网络行为的有用证据（有关于责任、意图或承诺的证据，数据源证据，所有权证据，资源的使用证据），防止个人或实体否认他们对数据已实施的操作。防抵赖应确保向第三方提交的证明某种事件或行为发生的证据是有效的。5.1.4 数据机密性安全维度数据机密性安全维度保护数据不被非授权泄漏。数据机密性确保数据内容不能被非授权实体所解析。加密、访问控制列表和文件权限经常用于提供数据的机密性。5.1.5 通信安全维度通信安全维度确保信息流只在被授权的端点间传送（在这些端节点之间传送的信息不会被旁路或窃听）。5.1.6 数据完整性安全维度数据完整性安全维度确保数据的正确性和准确性，防止数据被非授权修改、删除、创建和复制，并提供非授权活动的证明。5.1.7 可用性安全维度可用性安全维度保障在突发事件时，网络不能拒绝对网元、储存信息、信息流、服务及应用的授权访问。容灾方案属于可用性安全维度。5.1.8 私密性安全维度私密性安全维度保护通过观察网络活动可能获得的信息，信息包括：用户访问过的网址、用户的地理位置以及服务提供商网络中设备的IP地址和DNS名称。5.2 安全层为了提供一个端到端的安全解决方案，安全维度必须被应用于网络设备和设施组成的层次体系中，这就是安全层。本标准定义了三个安全层 基础设施安全层； 服务安全层； 应用安全层。这三个安全层相互依存、共同建设以提供端到端网络安全解决方案。 对于网络安全解决方案，安全层是一系列的保证者：基础设施安全层保证服务安全层，服务安全层保证应用安全层。图1所示的安全架构表明，每个安全层都有不同的安全漏洞，每个安全层提供最佳方法应对潜在威胁。应当指出的是，上面定义的安全层和OSI参考模型中的通信协议层不是一个范畴，每个安全层可能对应于OSI参考模型中的某几层。 通过提供一个纵向的网络安全观，安全人员可以方便确定在哪个安全层部署安全产品和解决方案。例如，首先解决基础设施安全层安全漏洞，然后是服务安全层的安全漏洞，最后是应用安全层的安全漏洞。图1描述了如何在安全层应用安全维度，以减少每层存在的脆弱性，减轻安全攻击危害。图1 安全维度在安全层中的应用5.2.1 基础设施安全层基础设施安全层保护网络传输设施和单独的网络设备组成。基础设施层是构成网络、服务和应用的基本物理单元。基础设施层由单独的路由器、交换机和服务器，以及它们之间的通信链路等组成。5.2.2 服务安全层服务安全层解决服务提供商向用户提供服务的安全性问题。这些服务涵盖从基本的传输和连接服务到保障性服务。保障性服务（如AAA服务、DHCP服务、DNS服务等）在通过internet接入免费电话服务、QoS、VPN、位置服务、即时通讯等增值业务时是必须的。服务安全层的保护对象是服务提供者和用户这两种潜在的安全攻击对象。攻击者可能试图阻止服务提供商提供服务，或者他们可能试图中断服务提供者为某个用户（如一家公司）提供服务。5.2.3 应用安全层应用安全层关注户访问网络应用的安全问题。这些应用由网络服务激活，包括基本文件传输（如FTP）、Web浏览应用、基本应用（如电话查询、网络语音邮件和电子邮件）及高端应用（如客户关系管理、电子/移动商务、网络课堂、视频协作等）。网络应用可由ASP、行为和ASP相同的服务提供商或企业自己的（或租赁的）数据中心提供。本层存在四个潜在的安全攻击对象：应用用户，应用提供商，第三方集成商的中间件（如Web托管服务）和服务提供商。5.3 安全平面安全平面是由安全维度所保护的某种网络活动。本标准定义了三个安全平面来表示三种网络中发生的受保护的活动。安全平面分为：A. 管理安全平面B. 控制安全平面C. 用户安全平面上述安全平面分别解决网络管理活动、网络控制或信令活动和用户活动的特定安全需求。网络设计时应该使一个安全平面上的事件与其它安全平面的事件完全隔离。例如， 用户在用户平面频繁发起的DNS查询，不应该影响管理员在管理平面OAM&P接口的操作。 图2描述了包含安全平面的安全架构。安全平面的划分意味着管理活动、控制活动和用户活动都具有不同的特定安全需求以及解决安全需求的能力。例如，VoIP服务的安全由服务安全层解决，VoIP服务的管理（如配置用户）安全应该独立于业务控制（例如SIP协议）安全，同时也应该独立于由服务传送的用户数据（如用户的语音）的安全。图2 反映不同种网络活动的安全平面5.3.1 管理安全平面管理安全平面关注于网络设备、传输设施、后台办公系统（运营支持系统、业务支撑系统，客户服务系统等）以及数据中心的OAM&P功能的保护。管理平面支持FCAPS功能。应当指出的是，传送这些管理业务流的网络相对用户业务流来说，可能是带内或带外的。5.3.2 控制安全平面控制安全平面关注保障信息、服务及应用在网络上有效传送的安全，典型实例有在设备到设备之间寻求最佳路由或在底层网络中交换流量信息的通信。此类通信传送的消息通常被称为控制或信令信息。传送这类消息的网络相对用户业务流可能是带内的或带外的。例如，IP网络以带内方式传送控制消息； PSTN网以独立的带外信令网（ SS7网络）传送控制消息，如路由协议， DNS、 SIP协议、 7号信令、 Megaco/H.248等。5.3.3 用户安全平面用户安全平面解决用户访问和使用服务提供商网络的安全。此平面还代表了实际的端用户数据流。用户可以使用一个只提供连接的网络，也可以使用这个连接访问VPN之类的增值服务和网络应用。6 安全威胁安全架构定义了一个方案和一组描述端到端安全解决方案的安全结构原则。该架构确定了为防范恶意威胁和偶然威胁而需要解决的安全问题。下面列出了GB/T 9387.21995描述的一些威胁： 毁坏信息和/或其他资源； 破坏、修改信息； 窃取、删除或丢失信息和/或其他资源； 泄露信息； 中断服务。表1列出了安全维度对应的安全威胁。表的列和行交叉形成生成的单元格中的字母Y表示某一特定的安全威胁可由一个相应的安全维度解决。表1 安全威胁安全维度安全威胁毁坏信息或其他资源破坏或修改信息窃取、删除或丢失信息和/或其他资源泄露信息中断服务访问控制YYYY认证YY防抵赖YYYYY数据机密性YY通信安全YY数据完整性YY可用性YY私隐性Y图3展示了安全架构和上述安全威胁。为提供一个全面的安全解决方案，可以在安全层的每个安全平面上使用安全维度来保护网络。应当指出的是，实际网络可能不需要在每一个安全层的安全平面上实施八个安全维度，这取决于网络的安全需求。图3 端到端网络安全架构7 安全目标图4以表格形式表示了安全架构，并说明了保护网络的系统方法。图中安全层与安全平面交叉形成的单元格为一个模块。每个模块都组合使用8个安全维度。不同模块中的安全维度有着不同的目标。表2-表10以一种通俗的方式对每个模块的安全维度的目标进行了描述。模块9模块6模块3用户平面模块8模块5模块2控制平面模块7模块4模块1管理平面应用层服务层基础设施层访问控制认证防抵赖机密性通信安全完整性可用性私密性8个安全维度图4 表格形式的安全架构7.1 基础设施层管理平面基础设施层管理平面的安全目标是保证对组成网络的各网元、通信链路和服务器平台的OAM&P的安全。例如，配置网络设备和通信链路是一种管理活动，网络操作人员配置独立路由器或交换机的活动就需要被保护。表2描述了基础设施层管理平面的安全目标。表2 基础设施层管理平面的安全目标模块1 ：基础设施层管理平面安全维度安全目标访问控制确保只有授权人或设备能对网络设备或通信链路（如以SNMP方式管理设备）实施管理。这适用于通过craft端口管理设备和远程管理设备。认证验证对网络设备或通信链路实施管理活动的人或设备的身份。认证技术可能需要成为访问控制的一部分。防抵赖提供一个记录用以证实对网络设备或通信链路实施管理活动的人员和设备的身份及其行为。这个记录可作为实施管理活动的证据。数据机密性保护网络设备或通信链路的配置信息的存储、传输和离线备份，以避免非授权访问或查看。保护管理认证信息（如管理员的身份标识和密码）免受非授权访问或查看。访问控制技术可能有助于提供数据的机密性。通信安全在网络设备或通信链路远程管理的情况下，确保管理信息只在远程管理站和被管设备或被管通信链路之间传送。确保管理信息在这些端点间传输时不被旁路或窃听。此技术也适用于管理认证信息（如管理员的身份标识和密码）。数据完整性保护网络设备或通信链路的配置信息在传送和离线系统中存储时免受非授权修改、删除、创建和复制。此类安全也可考虑用于保护管理认证信息（如管理员的身份标识和密码）。可用性确保授权人或设备对网络设备和通信链路的管理要求不被拒绝，以抵御拒绝服务攻及修改或删除管理认证信息（如管理员身份标识和密码）的被动攻击。私密性确保非授权人员或设备无法获得可识别网络设备或通信链路的信息。这种类型的信息包括：网络设备的IP地址或DNS域名。这些能识别网络设备的信息会为攻击者提供攻击网络的有用信息。7.2 基础设施层控制平面基础设施层控制平面的安全目标是保证网元和服务器平台的控制或信令信息的存储、接收和传输安全。例如，网络交换机内的转发表需要避免被篡改或非授权泄露、路由器需要防范接收或传播虚假的路由更新，或响应欺骗性的路由器发来的虚假路由请求。表3描述基础设施层控制平面的安全目标。表3 基础设施层控制平面的安全目标模块2：基础设施层控制平面安全维度安全目标访问控制确保只有授权人和设备能够访问网络设备中的（如路由表）的控制信息或离线存储的控制信息。确保网络设备只接收授权网络设备发来的控制信息（如路由更新）。认证验证查询或修改网络设备控制信息的个人或设备的身份。验证给网络设备发送控制信息的设备身份。认证技术可是访问控制的一部分。防抵赖提供对网络设备的控制信息进行查询或修改的个人或设备身份标识及操作的记录。记录可用于访问或修改控制信息的证据。提供给网络设备发送控制信息的设备身份及其操作的记录。此记录可做为设备发送控制信息的证据。数据机密性保护网络设备中或离线存储的控制信息，以避免非授权访问或查询。保护发给网络设备的控制信息，以避免信息在网络中传输时被非授权访问或查看。访问控制技术可能有助于提供网络设备中控制信息的机密性。通信安全确保网络中传输的控制信息（如路由更新）只在其产生源和目的地之间传输。确保控制信息在端点间传输时不被旁路或窃取。数据完整性保护网络设备中、网络中传输或离线存储的控制信息，避免非授权修改、删除、创建和复制。可用性确保网络设备可随时从授权方接收控制信息。这包括防止主动攻击（如DoS攻击）和偶然事件（如路由翻动）。私密性确保非授权人员或设备不能得到可识别网络设备或通信链路的信息。这类信息包括网络设备的IP地址或DNS域名。这些能识别网络设备或通信链路的信息会给攻击者提供攻击网络的用用信息。2010年5月28日星期五7.3 基础设施层用户平面基础设施层用户平面的安全目标是保证用户数据和语音在网络设备中的存储安全、网络设备间和通信链路间的传输安全，保证服务器平台中用户数据的安全，以及防止非法窃听网络设备间和通信链路间传输的用户数据。表4描述基础设施层用户平面的安全目标。表4 基础设施层用户平面的安全目标模块3：基础设施层用户平面安全维度安全目标访问控制确保只有授权人和设备访问用户信息（通过网元或通信链路传输、存储在离线设备中）。认证验证试图访问用户信息（在网络设备或通信链路上传输、存储在离线设备中）的人或设备的身份。认证技术可能是访问控制的一部分。防抵赖提供访问用户信息（在网络设备或通信链路上传输、存储在离线设备中）的个人或设备的身份，及操作记录。记录可用于访问用户信息的证据。数据机密性保护用户信息（在网络设备或通信链路上传输、存储在离线设备中），以避免非授权访问或查询。访问控制技术可能提供用户数据的数据机密性。通信安全确保用户数据（在网络设备或通信链路上传输）在端点之间传输时，不被非授权访问、旁路或窃听（如合法监听）。数据完整性保护用户信息（在网络设备或通信链路上传输、存储在离线设备中），以避免非授权修改、删除、创建和复制。可用性确保授权人（包括用户）和设备可随时访问离线设备中的用户数据，如修改和删除认证信息（如用户身份标识和密码、管理员身份标识和密码）。私密性确保网元不给非授权人员或设备提供端用户的网络行为信息（如用户地理位置、访问的WEB网址等）。7.4 服务层管理平面服务层管理平面的安全目标是保证网络服务的OAM&P功能的安全。例如，配置网络服务是一种管理活动，网络操作人员配置授权用户的IP服务就需要保护。表5描述服务层管理平面的安全目标。表5 服务层管理平面的安全目标模块4：服务层管理平面安全维度安全目标访问控制确保只有授权人和设备才能执行针对网络服务的管理或操作（如配置服务的用户）。认证验证试图对网络服务进行管理或操作的人或设备的身份；认证技术可能是访问控制的一部分。防抵赖提供一份记录，用于证明某人或设备曾执行过针对网络服务的管理或操作及其实施的行为。数据机密性防止非授权访问和查询网络服务配置和管理信息（如下载VPN业务的用户IPSec参数），可用于保护储存在网络设备并通过网络传送的管理和配置信息，或保护储存在离线设备上的管理和配置信息；也可防止非授权访问和查询网络维护和管理信息（如用户标识和密码、管理员标识和密码）通信安全在远程管理网络服务时，确保管理和操作信息只在远程管理服务器和提供网络服务的被管设备之间传输。管理和操作信息在端点间传输时不被旁路或窃听。这类考虑也可用于网络服务认证信息（如用户身份标识和密码、管理员身份标识和密码）。数据完整性保护网络服务的管理和操作信息，以避免非授权修改、删除、创建和复制。这种保护可应用在网络设备中驻留、在通信链路上传输及在离线系统中存储的管理和操作信息。这类考虑也适用于网络服务认证信息（如用户身份标识和密码、管理员身份标识和密码）。可用性确保授权人员或设备的网络服务管理能力不被拒绝。包括防止主动攻击，如服务拒绝攻击和被动攻击，如修改和删除网络服务管理认证信息（如管理员身份标识和密码）。私密性确保非授权人或设备不能得到可识别网络服务的管理或操作系统信息。这类信息包括系统的IP地址或DNS域名。这些能识别网络服务的系统管理信息会给攻击者提供攻击网络的有用信息。7.5 服务层控制平面服务层控制平面的安全目标是保证网络服务使用的控制或信令信息的安全。例如，服务层控制平面安全保障发起和维护VoIP会话的SIP协议的安全。表6描述服务层控制平面的安全目标。表6 服务层控制平面的安全目标模块5 ：服务层控制平面安全维度安全目标访问控制网络服务设备在接收控制信息之前，应确保接收到的信息是由一个授权信源（如一个VoIP会话初始消息来自于已授权的用户或设备）发出。例如，防止非授权设备的欺骗性VoIP会话初始消息。认证验证发送请求服务的网络服务控制信息的源设备身份标识。认证技术可成为访问控制的一部分。防抵赖提供一个记录以证明发送网络服务控制信息的人或设备及其行为。此记录可作为证据来证明是该用户或设备发起了网络服务控制信息。数据机密性保护存储在网络设备中的（如IPSec会话数据库）、正在被网络传送的和离线存储的服务控制信息免受非授权访问或查看。访问控制技术可能有助于提供网络设备中网络服务控制信息的数据机密性。通信安全确保网络中传输的网络服务控制信息（如IPSec密钥协商消息）只在控制信息源点和目的节点之间传送。网络服务控制信息在端点间传输时不被旁路或窃听。 数据完整性确保存储在网络设备中、正在网络中传送的和离线存储的网络服务控制信息不被非授权修改、删除、创建和复制。可用性确保提供网络服务的网络设备能够有效地接收来自被授权信源的控制信息。包括防止主动攻击，如DoS攻击。私密性确保非授权人员或设备无法获得用于识别提供网络服务的网络设备或通信链路的信息。这种类型的信息包括：网络设备的IP地址或DNS域名，此类能识别网络设备和通信链路的信息会给攻击者提供攻击网络的有用信息。7.6 服务层用户平面服务层用户平面的安全目标是保证使用网络服务的用户数据和语音的安全。例如VoIP服务必须提供用户会话的机密性。同样，DNS业务必须确保服务用户的机密性。表7描述服务层用户平面的安全目标。表7 服务层用户平面的安全目标模块6 ：服务层用户平面安全维度安全目标访问控制确保只有授权人和设备可访问和使用网络服务。认证验证企图访问和使用网络服务的用户或设备的身份。认证技术可能需要成为访问控制的一部分。防抵赖提供一个记录用以证实每个访问和使用过网络服务的用户或设备及其行为。此记录可作为证据以证明该用户或设备访问和使用了网络服务。 数据机密性保护使用网络服务而传送、处理、存储的用户数据免受非授权访问或查看。访问控制可用于端用户数据的机密性。通信安全确保网络服务在源点和目的节点之间传送、处理、存储的用户数据不被非授权旁路或窃听。 （如合法监听）数据完整性确保网络服务传送、处理、存储的用户数据免受非授权修改、删除、创建和复制。可用性确保被授权的用户或设备可以有效地访问网络。这包括防止主动攻击，如DoS攻击，以及防止被动攻击，如修改或删除管理认证信息（如管理员的身份标识和密码）。私密性确保网络服务不给非授权的人员或设备提供用户使用服务的相关信息。（如对于VoIP业务的被叫方）7.7 应用层管理平面应用层管理平面的安全目标是保证网络应用的OAM&P功能安全。配置网络应用是一种管理活动。就邮件应用而言，配置和管理用户邮箱是一种管理活动。表8描述应用层管理平面的安全目标。表8 应用层管理平面的安全目标模块7：应用层管理平面安全维度安全目标访问控制确保只有授权人和设备才能执行网络应用的管理活动（如管理邮件应用的用户邮箱）。认证验证试图执行网络应用管理活动的人或设备的身份。认证技术可能是访问控制的一部分。防抵赖提供一份识别实施网络应用管理和操作的人员或设备的身份和行为记录。此记录可作为人员或设备实施管理和操作活动的证据。数据机密性保护网络应用在创建和实施中使用的所有文件（如源文件、目标文件、可执行文件、临时文件等）、及应用的配置文件，以避免非授权访问或查看。这适用于网络设备中、网络中传输、离线存储的管理和应用文件。通信安全确保远程管理网络应用时，管理信息只在远程管理服务器和提供网络应用的被管设备之间传输，且管理信息在端点间传输时不被旁路或窃听。这类考虑也适用于网络应用认证信息（用户身份标识和密码、管理员身份标识和密码）。数据完整性保护网络应用在创建和实施中使用的所有文件（如源文件、目标文件、可执行文件、临时文件等）、及应用的配置文件，以避免非授权修改、删除、创建和复制。这类保护可应用于网络设备中、通信链路传输、离线系统存储的管理信息。这类考虑也适用于网络应用认证信息（用户身份标识和密码、管理员身份标识和密码）。可用性授权人员或设备管理网络应用的能力不被拒绝。这包括防止主动攻击，如服务拒绝攻击和被动攻击，如修改和删除网络应用的管理认证信息（如管理员身份标识和密码）。私密性确保非授权人员或设备不能得到可识别网络应用的管理系统信息。这类信息包括系统的IP地址或DNS域名。能识别网络应用的管理系统信息会给攻击者提供攻击网络的有用信息。7.8 应用层控制平面应用层控制平面的安全目标是保证网络应用的控制和信令信息的安全。应用在接收到这类控制和信令信息时执行相应的操作。例如，应用层控制平面将解决控制邮件传送的SMTP和POP协议的安全问题。表9描述应用层控制平面的安全目标。表9 应用层控制平面的安全目标模块8应用层控制平面安全维度安全目标访问控制在接受应用控制信息之前，确保提供网络服务设备收到的应用控制信息来自授权源（如请求传送Email的SMTP消息）。例如，防止非授权设备欺骗SMTP客户端。认证验证向网络应用的设备发送应用控制信息的人员或设备的身份。认证技术可能是访问控制的一部分。防抵赖提供一个记录以证明发送应用控制信息的人员或设备及其行为。记录可用于人员或设备发送应用控制消息的证据。数据机密性保护网络设备中、网络传输或离线存储的应用控制信息，以避免非授权访问或查看。访问控制技术可提供网络设备中网络应用控制信息的数据机密性。通信安全确保网络中传输的应用控制信息（如SSL协商消息）只在控制信息产生源和目的地之间传输，防止网络应用控制信息在端点间传输时不被旁路或窃听。数据完整性保护网络设备中、网络传输或离线存储的网络应用控制信息，以避免非授权修改、删除、创建和复制。可用性确保提供网络应用的设备总能从被授权方接收控制信息。这包括防止主动攻击，如服务拒绝攻击。私密性确保非授权人员或设备不能得到可识别提供网络应用的设备或通信链路的信息。这类信息包括网络设备的IP地址或DNS域名。能识别网络设备或通信链路的信息会给攻击者提供攻击网络的有用信息。7.9 应