1  引言

    我國電信數(shù)據(jù)網(wǎng)是關(guān)系到國家安全的基礎(chǔ)設(shè)施，是國家推動信息化發(fā)展的重要手段，其地位和重要性是不言而喻的。要解決電信數(shù)據(jù)網(wǎng)的安全問題，就必須依據(jù)電信數(shù)據(jù)網(wǎng)自身的結(jié)構(gòu)特點和其所處的運營環(huán)境，由內(nèi)而外、有的放矢，有針對性地明確電信數(shù)據(jù)網(wǎng)的安全風(fēng)險、安全要求、采取的具體安全措施，評估出當前電信數(shù)據(jù)網(wǎng)資產(chǎn)及其保障是否滿足現(xiàn)實的安全需求。

    風(fēng)險評估是解決安全問題的首要環(huán)節(jié)，是信息系統(tǒng)安全的起點和著眼點，只有首先經(jīng)過風(fēng)險評估，識別系統(tǒng)安全的威脅、薄弱點和影響，才能有針對性地解決信息系統(tǒng)安全中的有關(guān)問題。

    目前的信息系統(tǒng)安全評估方面的準則，無論是國際上的TCSEC準則、ITSEC準則、CC和BS7799準則等，還是國內(nèi)的GB17895-1999準則和GB/T18336準則，其核心都是對安全產(chǎn)品或系統(tǒng)進行評測的標準或準則。這些安全測評準則一般都是用現(xiàn)行的技術(shù)評測現(xiàn)行的產(chǎn)品或系統(tǒng)。然而，系統(tǒng)中的安全風(fēng)險、影響和脆弱性都是動態(tài)的，而這些相對靜態(tài)的準則必然具有其局限性。系統(tǒng)安全工程能力成熟度模型（SSE-CMM）是針對信息系統(tǒng)安全工程領(lǐng)域提出的具有較高可靠性的模型，其最關(guān)注的是安全工程過程域，是以動態(tài)的觀點來管理、控制系統(tǒng)中動態(tài)的風(fēng)險、影響和脆弱性。因此有必要基于SSE-CMM模型對我國數(shù)據(jù)網(wǎng)的風(fēng)險評估過程進行深入的研究。

    本文將根據(jù)電信行業(yè)數(shù)據(jù)網(wǎng)的實際情況與需要，結(jié)合SSE-CMM的風(fēng)險評估模型，對其進行安全風(fēng)險評估方案分析。

    2  SSE-CMM風(fēng)險評估簡介

    SSE-CMM模型是CMM在系統(tǒng)安全工程這個具體領(lǐng)域應(yīng)用而產(chǎn)生的一個分支，是美國國家安全局領(lǐng)導(dǎo)開發(fā)的，專門用于系統(tǒng)安全工程的能力成熟度模型。SSE-CMM第一版于1996年10月出版，1999年4月，SSE-CMM模型和相應(yīng)評估方法2.0版發(fā)布。2002年被國際標準化組織采納成為國際標準即ISO/IEC21827：2002《信息技術(shù)系統(tǒng)安全工程——成熟度模型》。我國國家質(zhì)量監(jiān)督檢驗檢疫總局和國家標準化管理委員會于2006年3月14日通過了GB/T20261-2006《信息技術(shù)系統(tǒng)安全工程能力成熟度模型》的國家標準，并于同年7月1日正式執(zhí)行。

    為了將安全工程思想變?yōu)橐环N有效的工程規(guī)范，在SSE-CMM模型中，將各種系統(tǒng)安全工程任務(wù)抽象、劃分為11個有明顯特征的子任務(wù)(即過程域PA)。這11個過程域又可劃分為風(fēng)險過程、工程過程和保證過程3類，這3類過程也被稱作SSE-CMM的三大安全焦點。

    在SSE-CMM的三大焦點中，風(fēng)險過程的位置比較特殊。就其作用而言，風(fēng)險過程為工程過程提供了基本的安全需求信息，同時也為安全工程的結(jié)果提供了有效的評估手段。根據(jù)模型，那些足以成為風(fēng)險的事件由三個組成部分：威脅、系統(tǒng)脆弱性和事件造成的影響。一般而言，這三種因素必須全都存在才足以造成風(fēng)險（風(fēng)險值大于零）。模型中定義了四個風(fēng)險過程域：PA02評估影響、PA03評估安全風(fēng)險、PA04評估威脅和PA05評估脆弱性。具體關(guān)系如圖1所示。

   

  圖1  SSE-CMM風(fēng)險評估模型

    可以看出，這個模型將風(fēng)險評估的流程及風(fēng)險評估中的各因素（威脅、脆弱性、影響、風(fēng)險）的關(guān)系闡述得淋漓盡致，具有極強的指導(dǎo)作用和可實施性。

    3  數(shù)據(jù)網(wǎng)層次結(jié)構(gòu)

    目前，我國電信數(shù)據(jù)網(wǎng)的結(jié)構(gòu)主要是一種分層結(jié)構(gòu)，分別為核心層、匯聚層和接入層。每個層的具體功能如下：

    （1）核心層：主要放置核心交換設(shè)備，負責(zé)完成網(wǎng)絡(luò)各匯聚節(jié)點之間的互聯(lián)及完成高效的數(shù)據(jù)傳輸、交換、轉(zhuǎn)發(fā)及路由分發(fā)等功能；

    （2）匯聚層：主要放置匯聚設(shè)備和交換設(shè)備，負責(zé)將各種接入業(yè)務(wù)集中起來，除了進行局部數(shù)據(jù)的交換、轉(zhuǎn)發(fā)以外，通過高速接口將數(shù)據(jù)輸送到核心層去，在更大的范圍內(nèi)進行數(shù)據(jù)的路由以及處理等功能；

    （3）接入層：主要放置各種接入設(shè)備及其交換設(shè)備，提供各種標準接口將數(shù)據(jù)接入到網(wǎng)絡(luò)中，完成基本的業(yè)務(wù)系統(tǒng)之間的隔離和安全性控制、認證管理等功能。

    從圖2數(shù)據(jù)網(wǎng)三層結(jié)構(gòu)圖可以明顯看到的是，核心層、匯聚層、接入層之間的具體功能和其關(guān)鍵資產(chǎn)所擔(dān)負的業(yè)務(wù)使命有明顯的差異，如果評估中等同視之，顯然是不合理的。

    圖2  我國數(shù)據(jù)網(wǎng)分層結(jié)構(gòu)

    4  數(shù)據(jù)網(wǎng)風(fēng)險評估方案

    雖然目前國內(nèi)外有眾多的風(fēng)險評估模型和方案可供參考，但是一味生搬硬套去應(yīng)用，顯然不能有效地適應(yīng)我國數(shù)據(jù)網(wǎng)風(fēng)險評估的實際情況，因此本文依據(jù)SSE-CMM風(fēng)險評估模型和數(shù)據(jù)網(wǎng)實際情況提出一種新的風(fēng)險評估方案。

    在SSE-CMM模型中定義了四個與風(fēng)險相關(guān)的過程：PA02評估影響、PA03評估安全風(fēng)險、PA04評估威脅和PA05評估脆弱性。這四個的關(guān)系是：

    首先，通過PA04，PA05，PA02這三個過程的具體基本實踐分別得到系統(tǒng)的威脅、脆弱性和影響信息，然后利用PA03評估風(fēng)險過程獲得系統(tǒng)的風(fēng)險信息。

    針對電信數(shù)據(jù)網(wǎng)，首先利用SSE-CMM模型構(gòu)建數(shù)據(jù)網(wǎng)系統(tǒng)的安全方案的核心子框架——風(fēng)險信息獲取過程。當?shù)玫綌?shù)據(jù)網(wǎng)系統(tǒng)的風(fēng)險信息后，相應(yīng)的會對風(fēng)險采取對應(yīng)的風(fēng)險控制措施。因此，我們通過針對不同優(yōu)先級的風(fēng)險信息提出具體安全措施，然后依據(jù)這些安全措施對現(xiàn)行數(shù)據(jù)網(wǎng)安全執(zhí)行情況進行調(diào)查評估，最終得到一個較為客觀的風(fēng)險現(xiàn)狀評估。

    其次，針對數(shù)據(jù)網(wǎng)的三層結(jié)構(gòu)：核心層、匯聚層和接入層，考慮到這三個層在整個數(shù)據(jù)網(wǎng)系統(tǒng)中的主要功能和作用有較明顯的差異，安全影響因素的關(guān)鍵資產(chǎn)所擔(dān)負的使命也有較大區(qū)別，因此我們將利用這三層結(jié)構(gòu)構(gòu)建整個電信數(shù)據(jù)網(wǎng)的風(fēng)險評估大框架模型。

    第三，結(jié)合以上兩點考慮，對我國電信數(shù)據(jù)網(wǎng)以某端局作為節(jié)點，大框架依據(jù)我國數(shù)據(jù)網(wǎng)三層分層結(jié)構(gòu)，每個節(jié)點采用風(fēng)險信息獲取核心子框架，最終完成我國數(shù)據(jù)網(wǎng)安全風(fēng)險評估方案的整體框架構(gòu)建。具體示意圖見圖3。

  

    圖3  電信數(shù)據(jù)網(wǎng)安全風(fēng)險評估方案框架

    在這個數(shù)據(jù)網(wǎng)安全風(fēng)險評估方案框架中，首先，評估前根據(jù)SSE-CMM風(fēng)險評估模型的PA04，PA05，PA02過程域分別獲得某分局子節(jié)點的威脅信息、脆弱性信息和影響信息，并結(jié)合PA03過程域的基本實踐和此三者相關(guān)信息得到該子節(jié)點的風(fēng)險信息；再利用得到的風(fēng)險信息可獲取相應(yīng)采取的安全措施；評估時只需對照現(xiàn)有實施的安全措施與應(yīng)采取的安全措施，通過一些風(fēng)險定量和定性分析方法來得到該子節(jié)點的不足和殘余風(fēng)險等信息。其次，方案框架又借鑒數(shù)據(jù)網(wǎng)分層結(jié)構(gòu)和同一層子節(jié)點的不同功能、重要性，在評估時進一步給其配以合理的權(quán)重來得到較為客觀的整個數(shù)據(jù)網(wǎng)系統(tǒng)的風(fēng)險狀況。因此，本方案既可得到整個數(shù)據(jù)網(wǎng)系統(tǒng)和其子節(jié)點系統(tǒng)的風(fēng)險情況，又可得到其相關(guān)過程域的能力成熟度信息；既利用了SSE-CMM風(fēng)險評估模型的科學(xué)性、全面性和更有利于減緩風(fēng)險的特點，又結(jié)合了我國電信數(shù)據(jù)網(wǎng)三層分層結(jié)構(gòu)的實際狀況，體現(xiàn)了一定的合理性和客觀性。

    5  幾點說明

    5.1風(fēng)險評估不等同于威脅評估

    威脅評估是安全工作的最基本出發(fā)點（因為安全一定是為了對抗某種風(fēng)險），但如果不考慮脆弱性與影響的評估，仍然不能體現(xiàn)出安全的相對性與動態(tài)性（適度安全），更不能反映威脅對系統(tǒng)造成危害的實質(zhì)（威脅是外因，脆弱性是系統(tǒng)固有的內(nèi)因，外因要通過內(nèi)因起作用），因而也不可能對安全需求做出定性和定量的準確判斷。

    5.2安全措施

    為了簡化模型，方案給出的安全措施僅對應(yīng)于風(fēng)險。但要強調(diào)的一點是安全措施可針對威脅、脆弱性、影響和風(fēng)險自身。還要指出的一點是，采取的安全措施面臨不能減緩所有風(fēng)險，或徹底根除某個具體風(fēng)險的可能。所以，某些風(fēng)險在一定程度上是可容忍的。由于風(fēng)險的不確定性特點，判斷是否接受風(fēng)險便成為一個非常專業(yè)的問題，這將是后續(xù)工作的一個難點。

    5.3風(fēng)險結(jié)果的量化

    通過風(fēng)險信息和安全措施將得到數(shù)據(jù)網(wǎng)當前狀況的風(fēng)險量化等級，而這個等級如何與我國計算機信息系統(tǒng)實行的安全等級保護相對應(yīng)？本方案建議安全措施的采取可參照公安部在吸收了CC、結(jié)合國情的基礎(chǔ)上頒布的與GB17859項配套的GA/T390《計算機信息系統(tǒng)安全等級保護通用技術(shù)要求》標準，其過程中還應(yīng)結(jié)合我國電信數(shù)據(jù)網(wǎng)自身的一些特點進行適當?shù)脑黾雍蛣h減，這樣才可以給出令人信服和較為客觀的風(fēng)險安全量化等級。

    5.4持續(xù)改良特性

    在風(fēng)險信息獲取過程中依舊保留SSE-CMM風(fēng)險評估模型的不斷監(jiān)控特點，各個過程域評估時均有監(jiān)控實時變化的基本實踐。這些新的變化將不斷影響相應(yīng)安全措施的實施，相反安全措施在實施過程中也將不斷帶來新的安全事件，又會影響風(fēng)險信息的新變化，這將形成一個不斷改良整個數(shù)據(jù)網(wǎng)安全系統(tǒng)的螺旋式上升過程。

    總之，風(fēng)險評估作為一個系統(tǒng)的過程，完善的策劃過程十分重要。本文結(jié)合了我國電信數(shù)據(jù)網(wǎng)三層分層結(jié)構(gòu)的不同功能和重要性和SSE-CMM風(fēng)險評估模型，提出新的安全風(fēng)險評估方案模型框架，對我國電信數(shù)據(jù)網(wǎng)的風(fēng)險評估將具有一定實際指導(dǎo)價值。

    當然，本文僅僅基于SSE-CMM風(fēng)險評估模型對我國電信數(shù)據(jù)網(wǎng)一些重要的因素做了粗淺的分析，希望能夠?qū)?shù)據(jù)網(wǎng)進行風(fēng)險評估時的具體實施提供一點參考。建立適應(yīng)我國國情、科學(xué)、系統(tǒng)的風(fēng)險評估框架，使風(fēng)險評估能夠利用更科學(xué)的方法不斷提高水平，從而促進我國信息安全保障體系的建立和完善，是一項非常有價值的工作，目前還有大量的工作需要進一步探討。