对电信网络安全风险评估的研究

1、对电信网络安全风险评估的研究魏 薇( 信息产业部电信研究院通信标准研究所 北京 100045)提供了指导。安全风险评估为安全等级保护工作的开展提供基 据。通过安全风险评估, 可以发现电信网络可能存在的安 险, 判断电信网络的安全状况与安全等级保护要求之间 距, 从而不断完善等级保护措施。同时, 安全风险评估的结 灾难备份及恢复提供了参考, 是制定灾难恢复预案的依据 灾难备份及恢复是对安全等级保护和安全风险评可能存在的电信网络安全事件的预防、补救措施, 也是 全等级保护要求的落实。安全等级保护、安全风险评估灾难备份及恢复之间的关系如图 1 所示。1引言面对复杂的环境, 电信网络在技术和管理等方面

2、存在一定的安全风险, 尤其当电信网络中承载极为重要的信息 资产时, 这些安全风险将会给国家、社会、企业和个人带来 极大的安全隐患。安全风险评估是电信网络安全防护体系 中的重要组成部分, 对于主管部门、网络和业务运营商更好 地识别电信网络中现有及潜在的风险, 明确电信网络的安 全状态, 制定有效的安全防护措施, 提高电信网络的整体安 全水平等具有重要意义。本文从安全防护体系出发, 深入研究了电信网络安全 风险评估涉及的原则、工作形式、实施流程以及与电信网络 生命周期的关系等问题。2安全防护体系电信网络安全防护体系包括安全等级保护、安全风险评估、灾难备份及恢复 3 部分工作, 三者之间互为依托、互

3、 为补充, 存在紧密的联系。安 全 等 级 保 护 确 定 了 电 信 网 络 安 全 保 护 的 等 级 , 要 求安全风险评估过程充分考虑安全等级保护的要求。同摘 要本文主要研究电信网络安全防护体系中的风险评估问题, 重点对安全风险评估的原则、工作形式、实施流程进行了研究, 最后对安全风险评估与电信网络生命周期的关系进行了阐述。关键词 电信网络; 安全防护; 风险评估( 2) 检查评估由 主 管 部 门 发 起 , 由 主 管 部 门 实 施 或 委 托 主 管 部 门 授权的具有安全防护评估服务资质的评估机构实施。检 查评估通常采用定期、抽样的评估模式。通过检查评估 , 主 管 部 门

4、可 以 督 促 网 络 和 业 务 运 营 商 时 刻 保 持 安 全 防 护 意 识 , 完 善 安 全 防 护 体 系 建 设 , 保 证 电 信 网 络 安 全 和 有效的运行。风险评估应以自评估为主, 检查评估为辅, 自评估和检 查评估相互结合、互为补充。应从电信网络的特点出发, 从安全等级保护、安全风险评估、灾难备份及恢复 3 方面制定电信网络相应的安全防 护要求和安全防护检测要求。电信网络安全防护要求和安 全防护检测要求应随着电信网络的发展变化而动态调整, 以适应国家的安全要求。本 文 主 要 研 究 电 信 网 络 安 全 防 护 体 系 中 的 安 全 风 险 评 估 部 分

5、。电 信 网 络 安 全 风 险 评 估 可 以 定 义 为 : 运 用 科 学 的 方 法 和 手 段 , 系 统 地 分 析 电 信 网 络 所 面 临 的 威 胁 及 其 脆 弱 性 , 评 估 安 全 事 件 一 旦 发 生 可 能 造 成 的 危 害 程 度 , 提 出 有 针 对 性 的 可 抵 御 威 胁 的 对 策 和 安 全 措 施 。 防 范 和 化 解 电 信 网 络 的 安 全 风 险 或 者 将 风 险 控 制 在 可 接 受 的 水 平 , 从 而 最 大 限 度 地 为 保 障 电 信 网 络 的 安 全 提 供 科 学 依 据 。5安全风险评估的实施流程电信网络

6、安全风险评估的对象可以是整个电信网络,也可以是电信网络的局部或组成部分。风险评估相关内容 应覆盖技术安全和管理安全两大类; 技术安全应覆盖业务 安全、网络安全、设备安全和物理安全等方面内容; 管理安 全应覆盖安全管理机构、安全管理制度、人员安全管理、系 统建设管理、系统运维管理等方面内容。风险评估工作可以主要划分为以下几个步骤, 其实施 流程如图 2 所示。3安全风险评估的原则电信网络安全风险评估必须遵循以下原则: 标准性原则: 是风险评估工作的指导性原则, 指遵 循通信行业相关标准开展电信网络的安全风险评 估工作; 可控性原则: 在评估过程中, 应保证参与评估的人 员、使用的技术和工具、评估

7、过程都是可控的; 完备性原则: 严格按照被评估方提供的评估范围进 行全面的评估; 最小影响原则: 从项目管理层面和工具技术层面, 将评估工作对电信网络正常运行的可能影响降到 最低限度, 使得其不会对被评估网络上的业务运行 产生显著影响; 保密原则: 评估方应与被评估的网络和业务运营商 签署相关的保密协议和非侵害性协议, 以保障被评 估方的利益。图 2 电信网络安全风险评估实施流程( 1) 风险评估的准备在风险评估实施前, 应首先获得参与评估工作各方的 支持和配合, 确定风险评估的目标和内容, 组建风险评估团 队, 对被评估对象进行调研, 确定评估依据和方法等。这些 准备工作是整个风险评估过程有

8、效性的保证。( 2) 资产识别资产是指电信网络中具有价值的资源, 是安全防护体 系保护的对象。电信网络中的资产可能以多种形式存在, 包 括无形的、有形的、硬件、软件, 如电信网络物理布局、通信 设备、物理线路、重要的系统和用户数据等。通过资产识别 可以明确资产安全状况的重要性。电信网络安全风险评估中的资产识别可以综合考虑 资产的社会影响力、业务价值和可用性 3 个安全属性。其4安全风险评估的工作形式根据评估发起者的不同, 可以将电信网络安全风险评估的工作形式分为自评估和检查评估。( 1) 自评估在主管部门相关管理规定指导下, 由网络和业务运营 商实施或委托主管部门授权的具有安全防护评估服务资质

9、 的评估机构实施。通过自评估, 网络和业务运营商可以更好 地了解自己管理的电信网络的安全状况以及存在的风险, 为规避损失, 采取安全防护措施提供依据。图 3 风险分析过程图 4 风险计算原理正常提供服务的不同要求。通过对这 3 个安全属性分别进行等级化赋值, 并在此基础上综合评定得到资产价值 , 体现出资产的安全状况对评估对象的重要性。综合评定 的方法应该充分考虑这 3 个安全属性的关联性及其在资 产价值计算中的比重。( 3) 威胁识别威胁表示对资产构成有潜在破坏可能性的因素, 是客 观存在的。造成威胁的因素可分为技术因素、环境因素和人 为因素。技术因素包括设备自身的软硬件故障、系统本身设 计

10、缺陷; 环境因素包括自然界不可抗拒的因素和其他物理 因素; 人为因素可根据威胁的动机分为恶意和非恶意两种。威胁可以通过威胁主体、动机、途径、发生频率等多种 属性来描述。判断威胁出现的频率是威胁识别的重要工作, 可根据威胁出现的频率高低对威胁赋值。( 4) 脆弱性识别脆弱性是资产本身存在的特点, 是指电信网络资产中 存在的弱点、缺陷。威胁总是要利用资产的脆弱性才可能造 成危害, 如果没有相应的威胁发生, 单纯的脆弱性本身不会 对资产造成损害; 而如果系统足够强健, 再严重的威胁也不 会导致安全事件发生并造成损失。电信网络中的脆弱性识 别主要从技术和管理两个方面进行。脆弱性识别以资产为 核心, 针

11、对每个资产分别识别其可能被威胁利用的脆弱性, 并根据脆弱性对资产损害的严重程度进行脆弱性赋值。( 5) 已有安全措施的确认 评估双方应对已采取的安全措施的有效性进行确认, 对于有效的安全措施继续保持, 以避免不必要的工作和费用, 防止安全措施的重复实施。对于确认为不适当的安全措施应 核实是否应被取消或者用更合适的安全措施替代。安全措施 可以分为预防性安全措施和保护性安全措施两种。预防性安 全措施可以降低威胁利用脆弱性导致安全事件发生的可能 性, 如采用入侵检测系统; 保护性安全措施可以减少因安全 事件发生而对资产造成的损害, 如采用业务持续性计划。( 6) 风险分析风险分析的过程如图 3 所示

12、。首先计算风险值, 计算原 理如图 4 所示, 具体过程如下: 对资产进行识别, 并对资产的重要性进行赋值;的频率赋值; 对资产的脆弱性进行识别, 并对具体资产存在 弱性及脆弱性的严重程度赋值; 根据威胁出现的频率和资产存在的脆弱性判 全事件发生的可能性; 根据脆弱性的严重程度及安全事件所作用的价值计算安全事件造成的损失; 根据安全事件发生的可能性以及安全事件造损失, 计算安全事件一旦发生, 对被评估方的影即风险值。在得到资产的风险值之后, 结合资产已经采取的 措施判断其风险是否在可以接受的范围内。如果风险 在可接受的范围内, 则该风险是可接受的风险, 应保持 的安全措施; 如果风险结果在可接

13、受的范围外, 则是不 受的风险, 需要制定风险处理计划并采取新的安全措 低、控制风险, 风险处理计划中明确应采取的弥补其脆 的新的安全措施、预期效果、实施条件等。在对不可接再评估来判断实施新的安全措施后的残余风险是否已经降低到可接受的水平。某些风险可能在选择了新的安全措施 后, 残余风险的风险评估结果仍处于不可接受范围内, 应考 虑是否接受此风险或进一步增加相应的安全措施。需要注意的是, 网络和业务运营商应平衡效益与成本,采取适度的技术和管理安全措施。( 7) 风险评估文件记录在 对 电 信 网 络 安 全 进 行 风 险 评 估 的 过 程 中 , 应 输 出 风 险 评 估 文 件 , 包

14、 括 在 整 个 风 险 评 估 过 程 中 产 生 的 评 估 过 程 文 档 和 评 估 结 果 文 档 , 如 资 产 清 单 、威 胁 列 表 、 脆 弱 性 列 表 、已 有 安 全 措 施 确 认 表 、风 险 处 理 计 划 、风 险 评 估 报 告 等 。 实施阶段: 根据设计阶段分析的威胁和建立的安全控制措施, 对电信网络的建设及验收进行安全检测 和质量控制, 评估安全措施的实现程度, 确定安全 措施能否抵御现有威胁和脆弱性的影响。此阶段的 评估形式可以是自评估和检查评估。 运维阶段: 对真实运行的电信网络的资产、威胁、脆 弱性等方面进行风险评估, 了解和控制运行过程中 的电

15、信网络的安全风险, 是一种较为全面的风险评 估。此阶段的评估形式可以是自评估和检查评估。 废弃阶段: 电信网络的废弃并不是将电信网络整体 废弃, 而是其中部分设备或者信息由于技术改进或 业务升级等原因需要转移、终止或废弃。此阶段应 重点分析废弃资产对被评估方的影响和可能带来 的新的威胁等, 从而制定相应的处理计划, 确保软 硬件等资产及残留信息得到适当的废弃处置。此阶 段的评估形式可以是自评估和检查评估。6安全风险评估与电信网络生命周期的关系电 信 网 络 的 生 命 周 期 包 含 启 动 、设 计 、实 施 、运 维和 废 弃 等 阶 段 。 电 信 网 络 安 全 风 险 评 估 应 贯

16、 穿 于 电 信 网 络 生 命 周 期 的 各 阶 段 中 , 在 生 命 周 期 不 同 阶 段 的 风 险 评 估 原 则 和 实 施 流 程 是 一 致 的 , 但 在 各 阶 段 实 施 风 险 评 估 的 工 作 形 式 、对 象 、目 的 、安 全 要 求 等 方 面 有 所 不 同 , 每 个 阶 段 风 险 评 估 的 具 体 实 施 应 根 据 该 阶 段 的 特 点 有 所 侧 重 地 进 行 : 启动阶段: 网络和业务运营商通过自评估确定电信网 络的安全使命、资产的运行环境和重要程度等, 确定电 信网络建成后在技术和管理方面达到的安全目标。 设计阶段: 网络和业务运营商

17、通过自评估明确资产 列表、所面临的威胁、存在的脆弱性, 确定资产的安 全功能需求, 作为采购过程中风险控制的依据。7结束语电信网络承担大范围的公众通信, 其安全状况对于国家安全、社会稳定等方面具有重要意义。随着电信网络向下 一代电信网发展, 面临的安全风险问题将更加严峻, 所以迫 切需要建立系统的电信网络安全防护体系, 提高电信网络 的整体安全水平。在整个安全防护体系的框架下, 安全风险评估如何与 安全等级保护、灾难备份及恢复协调配合以及安全风险评 估中采用哪些科学计算方法和评估工具等问题还需要在具 体网络中实际开展安全防护工作时做进一步的研究。resear ch on secur ity r

18、isk assessment of telecom networ kwei wei( institute of communication standards research, china academy of telecommunication research, mii, beijing 100045, china)abstr act the security risk assessment of security protection architecture in telecom network is studied in this paper, and the principles, mode of wo