摘要
随着国民经济和社会发展对电信网的依赖程度日益加深,对电信网的安全要求日益提高,需要加强电信网的安全建设。而安全风险评估是电信网安全建设的前提和基础,因此备受关注。本文主要研究了电信网的安全风险评估,包括将风险评估划分为静态风险评估和动态风险评估两种类型;阐述了国外国内对静态风险评估和动态风险评估的研究现状。
1 引言
近年来,我国政府、电信运营企业高度重视电信网安全保障,开展了大量工作,通过建立日常安全管理工作机制、制定相关标准、部署安全产品等有效地提高了电信网的安全水平。总体来说,我国电信网在规划、建设、运维过程中对安全建设方面的考虑和投入不足,电信网在IP化、移动化、融合化发展过程中自身存在的脆弱性日益显现。随着国内外形势复杂多变和金融危机影响的加剧,电信网面临的安全威胁日益严峻。同时,国民经济和社会发展对电信网的依赖性与日俱增,对电信网的安全提出了更高的要求。
保障电信网的安全至关重要,一旦电信网被破坏,将可能影响社会公众用户利益和政府、银行、税务等重要信息系统的正常运行,甚至可能影响国家安全、社会稳定。为提高电信网的安全防护水平,需要对电信网的安全情况进行评估,深入分析电信网存在的安全漏洞、面临的安全威胁、现有的安全措施是否有效、残余风险是否在可接受水平等。
2 安全风险评估类型
安全风险评估是指依据一定的安全标准,基于网络或系统中的资产、面临的威胁、存在的脆弱性、采取的安全措施等风险评估要素定性或定量地评估网络或系统的安全风险状况,判断安全事件发生的可能性和安全事件带来的损失。根据评估过程是否连续,安全风险评估可分为静态风险评估和动态风险评估两种类型。
2.1 静态风险评估
静态风险评估是传统意义的风险评估,是对某一个时间点或者相对较短时间的风险情况进行评估,评估过程在时间上不具有连续性,被评估对象是作为一个相对静止的对象来评估。
2.2 动态风险评估
动态风险评估是对一段时间内的网络或系统的安全状态进行评估,研究其演化趋势,并将风险与环境(网络运行情况、安全防护情况、用户特性等)及其变化紧密结合,从而能够宏观地了解网络或系统的安全状况,动态地把握风险在特定环境下的演化。通过被评估对象相关的连续数据来分析和预测被评估对象的安全情况。
对电信网进行客观有效的安全风险评估,是电信网安全风险管理的前提和基础。作为风险管理起点的风险评估,目前大多仍采用静态的评估方法,评估结果只是某一特定时间点的风险值。静态风险评估无法反映出两次评估之间风险的变化状况,评估结果往往具有滞后性。动态风险评估是一个系统的、持续时间较长的评估,可看作是对静态风险评估的加强。动态风险评估过程中一旦发现安全问题,能够相对及时地检测和处理,并且能够发现安全的发展趋势和规律,便于及时调整安全策略、更好地提高网络或系统安全能力。动态风险评估相对复杂,但是能够相对实时地评估网络或系统所面临的安全风险,评估结果更具有实际意义。
3 安全风险评估研究现状
3.1 静态风险评估
(1)国外研究情况
国外从20世纪70年代开始研究信息系统的安全风险评估,主要研究针对静态风险评估。美国、欧洲、亚太和ISO等国际组织均在该领域积极进行探索并取得了显著效果,研究成果包括标准、模型、方法和工具等。
在静态风险评估标准方面,美国国防部首先在1985年发布了《可信计算机系统评估准则》(TCSEC,Trusted Computer System Evaluation Criteria);英、法、德、荷4国于1991年针对TCSEC的局限性提出了《信息技术安全评估准则》(ITSEC,Information Technology Security Evaluation Criteria);加拿大于1993年发布了《加拿大可信计算机产品评估准则》(CTCPEC,Canadian Trusted Computer Products Evaluation Criteria)。加、英、法、德、荷、美国家标准与技术研究院(NIST,National Institute of Standards and Technology)、美国国家安全局(NSA,National Security Agency)共6国7方在已有标准的基础上于1996年共同制定和提出了《通用信息技术安全评估标准》(CC,Common Criteria for IT Security Evaluation),之后被正式批准为通行的国际信息安全评估标准ISO/ICE 15408。英国标准协会(BSI,British Standard Institute)于1995年制定了《信息安全管理体系标准》(BS7799/ISO 17799),BS7799 分为两个部分,第一部分信息安全管理实施细则被ISO吸纳成为ISO/IEC 17799,第二部分信息安全管理体系规范被ISO吸纳成为ISO/IEC 27001。美国NIST从2000年起颁布了一系列安全风险评估相关标准NIST SP800,包括《IT系统安全自评估指南》(SP 800-26),《IT系统风险管理指南》(SP 800-30),《联邦IT系统最小安全控制》(SP 800-53)等。另外,国际上较为认可的风险评估理论标准有《IT安全管理指南》(1SO/IEC 13335)、澳大利亚/新西兰的《风险管理标准》(AS/NZS 4360)、卡内基梅隆大学提出的《信息安全工程能力成熟度模型》(SSE-CMM,System Security Engineering Capability Maturity Model)等。以上标准在指导和规范信息系统风险评估中起着至关重要的作用,对风险评估给予了明确的定义和指导,但是不同程度地存在一定的局限性,例如TCSEC,CTCPEC,ITSEC侧重于技术方面的实现,对于管理层面没有给与足够的重视,CC提倡安全工程的思想,从安全功能和安全保证两方面在各个环节确保产品的安全,是目前相对比较全面的评估准则。BS7799影响面非常广、被接受程度相对较高,标准中涵盖内容很广,但是缺乏技术测量精度,具体操作困难,而且没有考虑到安全控制项目的权重。
在静态风险评估模型方面,研究各方根据信息安全的特点,从不同的角度提出了各种信息安全模型。如CC,ISO13335中分别提出了信息安全风险评估模型,并在模型中给出了信息安全风险评估的要素。CC中包含的风险评估要素包括攻击者、威胁、漏洞、资产、风险、措施、属主等;ISO13335中包含的风险评估要素包括资产、资产价值、威胁、脆弱性、风险、防护需求、防护措施等。美国戴明博士提出的动态信息系统风险评估模型PDCA体现了动态、持续、改进的风险评估过程。这些风险评估模型提供了对信息系统实施保护的基本策略和机制,在一定程度上科学、有效地指导了信息系统安全风险评估的研究与实施。
在静态风险评估方法方面,从不同的角度,安全风险评估的方法分类不同。从具体操作角度,可分为问卷调查、人员访谈、现场调查、手工检查和自动工具分析等方法。从实施依据角度,可分为基于模型、基于过程、基于规则、基于目标的评估方法。从计算方法区分,可分为定性风险评估方法、定量风险评估方法、定性和定量结合的风险评估方法。这些方法对评估过程给与了较好的指导,可结合使用,例如定性和定量评估的操作方法可以是检查列表、问卷调查、人员访谈等。