- 易迪拓培训,专注于微波、射频、天线设计工程师的培养
基于SSE-CMM的数据网系统安全风险评估方案
摘要
基于系统安全工程能力成熟度模型(SSE-CMM)和我国电信数据网系统结构,给出了一种新的电信数据网风险评估方案的模型框架。此方案框架对电信数据网的风险评估具有实际指导价值。
1 引言
我国电信数据网是关系到国家安全的基础设施,是国家推动信息化发展的重要手段,其地位和重要性是不言而喻的。要解决电信数据网的安全问题,就必须依据电信数据网自身的结构特点和其所处的运营环境,由内而外、有的放矢,有针对性地明确电信数据网的安全风险、安全要求、采取的具体安全措施,评估出当前电信数据网资产及其保障是否满足现实的安全需求。
风险评估是解决安全问题的首要环节,是信息系统安全的起点和着眼点,只有首先经过风险评估,识别系统安全的威胁、薄弱点和影响,才能有针对性地解决信息系统安全中的有关问题。
目前的信息系统安全评估方面的准则,无论是国际上的TCSEC准则、ITSEC准则、CC和BS7799准则等,还是国内的GB17895-1999准则和GB/T18336准则,其核心都是对安全产品或系统进行评测的标准或准则。这些安全测评准则一般都是用现行的技术评测现行的产品或系统。然而,系统中的安全风险、影响和脆弱性都是动态的,而这些相对静态的准则必然具有其局限性。系统安全工程能力成熟度模型(SSE-CMM)是针对信息系统安全工程领域提出的具有较高可靠性的模型,其最关注的是安全工程过程域,是以动态的观点来管理、控制系统中动态的风险、影响和脆弱性。因此有必要基于SSE-CMM模型对我国数据网的风险评估过程进行深入的研究。
本文将根据电信行业数据网的实际情况与需要,结合SSE-CMM的风险评估模型,对其进行安全风险评估方案分析。
2 SSE-CMM风险评估简介
SSE-CMM模型是CMM在系统安全工程这个具体领域应用而产生的一个分支,是美国国家安全局领导开发的,专门用于系统安全工程的能力成熟度模型。SSE-CMM第一版于1996年10月出版,1999年4月,SSE-CMM模型和相应评估方法2.0版发布。2002年被国际标准化组织采纳成为国际标准即ISO/IEC21827:2002《信息技术系统安全工程——成熟度模型》。我国国家质量监督检验检疫总局和国家标准化管理委员会于2006年3月14日通过了GB/T 20261-2006《信息技术系统安全工程能力成熟度模型》的国家标准,并于同年7月1日正式执行。
为了将安全工程思想变为一种有效的工程规范,在SSE-CMM模型中,将各种系统安全工程任务抽象、划分为11个有明显特征的子任务(即过程域PA)。这11个过程域又可划分为风险过程、工程过程和保证过程3类,这3类过程也被称作SSE-CMM的三大安全焦点。
在SSE-CMM的三大焦点中,风险过程的位置比较特殊。就其作用而言,风险过程为工程过程提供了基本的安全需求信息,同时也为安全工程的结果提供了有效的评估手段。根据模型,那些足以成为风险的事件由三个组成部分:威胁、系统脆弱性和事件造成的影响。一般而言,这三种因素必须全都存在才足以造成风险(风险值大于零)。模型中定义了四个风险过程域:PA02评估影响、PA03评估安全风险、PA04评估威胁和PA05评估脆弱性。具体关系如图1所示。
图1 SSE-CMM风险评估模型
可以看出,这个模型将风险评估的流程及风险评估中的各因素(威胁、脆弱性、影响、风险)的关系阐述得淋漓尽致,具有极强的指导作用和可实施性。
3 数据网层次结构
目前,我国电信数据网的结构主要是一种分层结构,分别为核心层、汇聚层和接入层。每个层的具体功能如下:
(1)核心层:主要放置核心交换设备,负责完成网络各汇聚节点之间的互联及完成高效的数据传输、交换、转发及路由分发等功能;
(2)汇聚层:主要放置汇聚设备和交换设备,负责将各种接入业务集中起来,除了进行局部数据的交换、转发以外,通过高速接口将数据输送到核心层去,在更大的范围内进行数据的路由以及处理等功能;
(3)接入层:主要放置各种接入设备及其交换设备,提供各种标准接口将数据接入到网络中,完成基本的业务系统之间的隔离和安全性控制、认证管理等功能。
从图2数据网三层结构图可以明显看到的是,核心层、汇聚层、接入层之间的具体功能和其关键资产所担负的业务使命有明显的差异,如果评估中等同视之,显然是不合理的。
图2 我国数据网分层结构
4 数据网风险评估方案
虽然目前国内外有众多的风险评估模型和方案可供参考,但是一味生搬硬套去应用,显然不能有效地适应我国数据网风险评估的实际情况,因此本文依据SSE-CMM风险评估模型和数据网实际情况提出一种新的风险评估方案。
在SSE-CMM模型中定义了四个与风险相关的过程:PA02评估影响、PA03评估安全风险、PA04评估威胁和PA05评估脆弱性。这四个的关系是:
首先,通过PA04,PA05,PA02这三个过程的具体基本实践分别得到系统的威胁、脆弱性和影响信息,然后利用PA03评估风险过程获得系统的风险信息。
针对电信数据网,首先利用SSE-CMM模型构建数据网系统的安全方案的核心子框架——风险信息获取过程。当得到数据网系统的风险信息后,相应的会对风险采取对应的风险控制措施。因此,我们通过针对不同优先级的风险信息提出具体安全措施,然后依据这些安全措施对现行数据网安全执行情况进行调查评估,最终得到一个较为客观的风险现状评估。
其次,针对数据网的三层结构:核心层、汇聚层和接入层,考虑到这三个层在整个数据网系统中的主要功能和作用有较明显的差异,安全影响因素的关键资产所担负的使命也有较大区别,因此我们将利用这三层结构构建整个电信数据网的风险评估大框架模型。
第三,结合以上两点考虑,对我国电信数据网以某端局作为节点,大框架依据我国数据网三层分层结构,每个节点采用风险信息获取核心子框架,最终完成我国数据网安全风险评估方案的整体框架构建。具体示意图见图3。
图3 电信数据网安全风险评估方案框架
在这个数据网安全风险评估方案框架中,首先,评估前根据SSE-CMM风险评估模型的PA04,PA05,PA02过程域分别获得某分局子节点的威胁信息、脆弱性信息和影响信息,并结合PA03过程域的基本实践和此三者相关信息得到该子节点的风险信息;再利用得到的风险信息可获取相应采取的安全措施;评估时只需对照现有实施的安全措施与应采取的安全措施,通过一些风险定量和定性分析方法来得到该子节点的不足和残余风险等信息。其次,方案框架又借鉴数据网分层结构和同一层子节点的不同功能、重要性,在评估时进一步给其配以合理的权重来得到较为客观的整个数据网系统的风险状况。因此,本方案既可得到整个数据网系统和其子节点系统的风险情况,又可得到其相关过程域的能力成熟度信息;既利用了SSE-CMM风险评估模型的科学性、全面性和更有利于减缓风险的特点,又结合了我国电信数据网三层分层结构的实际状况,体现了一定的合理性和客观性。
5 几点说明
5.1 风险评估不等同于威胁评估
威胁评估是安全工作的最基本出发点(因为安全一定是为了对抗某种风险),但如果不考虑脆弱性与影响的评估,仍然不能体现出安全的相对性与动态性(适度安全),更不能反映威胁对系统造成危害的实质(威胁是外因,脆弱性是系统固有的内因,外因要通过内因起作用),因而也不可能对安全需求做出定性和定量的准确判断。
5.2 安全措施
为了简化模型,方案给出的安全措施仅对应于风险。但要强调的一点是安全措施可针对威胁、脆弱性、影响和风险自身。还要指出的一点是,采取的安全措施面临不能减缓所有风险,或彻底根除某个具体风险的可能。所以,某些风险在一定程度上是可容忍的。由于风险的不确定性特点,判断是否接受风险便成为一个非常专业的问题,这将是后续工作的一个难点。
5.3 风险结果的量化
通过风险信息和安全措施将得到数据网当前状况的风险量化等级,而这个等级如何与我国计算机信息系统实行的安全等级保护相对应?本方案建议安全措施的采取可参照公安部在吸收了CC、结合国情的基础上颁布的与GB 17859项配套的GA/T 390《计算机信息系统安全等级保护通用技术要求》标准,其过程中还应结合我国电信数据网自身的一些特点进行适当的增加和删减,这样才可以给出令人信服和较为客观的风险安全量化等级。
5.4 持续改良特性
在风险信息获取过程中依旧保留SSE-CMM风险评估模型的不断监控特点,各个过程域评估时均有监控实时变化的基本实践。这些新的变化将不断影响相应安全措施的实施,相反安全措施在实施过程中也将不断带来新的安全事件,又会影响风险信息的新变化,这将形成一个不断改良整个数据网安全系统的螺旋式上升过程。
总之,风险评估作为一个系统的过程,完善的策划过程十分重要。本文结合了我国电信数据网三层分层结构的不同功能和重要性和SSE-CMM风险评估模型,提出新的安全风险评估方案模型框架,对我国电信数据网的风险评估将具有一定实际指导价值。
当然,本文仅仅基于SSE-CMM风险评估模型对我国电信数据网一些重要的因素做了粗浅的分析,希望能够对数据网进行风险评估时的具体实施提供一点参考。建立适应我国国情、科学、系统的风险评估框架,使风险评估能够利用更科学的方法不断提高水平,从而促进我国信息安全保障体系的建立和完善,是一项非常有价值的工作,目前还有大量的工作需要进一步探讨。
来源:中国联通网站