电信网的安全风险评估研究

在静态风险评估工具方面，目前存在的信息安全评估工具大体可以分成漏洞扫描工具、入侵检测系统IDS、渗透性测试工具、主机安全性审计工具、安全管理评价系统、风险综合分析系统以及相关评估支撑环境工具几类。目前，常见的自动化风险评估工具包括英国的C&A系统安全公司依据ISO 17799推出的风险分析工具软件COBRA（Consultative，Objective and Bi- functional Risk Analysis）；英国政府的中央计算机与电信局于1985年依据BS 7799开发的定量和定性相结合的风险分析工具CRAMM（CCTA Risk Analysis and Management Method）；美国NIST依据NIST SP 800-26发布的安全风险自评估工具ASSET（Automated Security Self-Evaluation Tool）等。还有很多针对性的技术方面的风险评估工具，如Nmap，Nessus等。这些风险评估工具能够有效地提高评估效率，极大地消除了评估主观性，从而使风险评估结果更加客观与真实，但是这些评估工具往往是针对特定标准或者特定的威胁而开发的，所以针对性很强。

（2）国内研究情况

我国对网络和信息安全保障工作高度重视，发布了中办发[2003]27号《国家信息化领导小组关于加强信息安全保障工作的意见》、中办发[2006]11号《2006—2020年国家信息化发展战略》等文件部署安全风险评估等安全工作，但是由于我国关于安全风险评估研究起步的较晚，目前国内整体处于起步和借鉴阶段，大多数研究主要面向信息系统，针对电信网络的特点进行风险评估的研究和应用较少。

我国在安全风险评估的标准研究上还处于跟踪国际标准的初级探索阶段。国家质量技术监督局于2001年依据国际标准CC颁布了GB/T 18336《信息技术 安全技术 信息技术安全性评估准则》，相关的标准还有依据美国的TCSEC及红皮书于1999年发布的GB17859《计算机信息系统安全保护等级划分准则》，等同采用国际标准ISO/IEC 13335-1发布的GB/T 19715《信息技术 信息技术安全管理指南》。中办发[2003]27号文件发布后，我国专门针对信息系统安全风险评估制定标准《信息安全技术 信息安全风险评估规范》和《信息安全风险管理指南》。这些标准主要针对信息系统，在对电信网风险情况进行综合考虑和整体实施风险评估时的可操作性和指导性不足。工业和信息化部组织针对电信网的特点系统地研究电信网的安全要素及其特点，针对各种专业网络（如固定通信网、移动通信网、增值业务网等）研究资产、威胁、脆弱性、安全措施等要素，制定电信网安全风险评估相关的系列标准，从而提高了电信网安全风险评估的可操作性。

在安全风险评估模型、方法和工具方面，我国虽然已经有一些相关的文章和专著，但是也还局限在对已有国际模型、方法和工具的分析和模仿上，缺乏科学、有效、得到广泛认可的方法和工具，尤其针对电信网的业务和网络特点的可操作性强、得到普遍认可的风险评估方法和工具较少。

3.2  动态风险评估

（1）国外研究情况

网络安全动态风险评估是动态地反映网络安全风险的一项技术，也可称为网络安全态势评估。鉴于当前网络的现状、发展以及入侵与攻击行为所造成的巨大损失，国外一些国家的政府部门已经意识到开展网络安全动态风险评估研究的必要性。美国国防部在2005年的财政预算报告中对网络安全动态评估项目进行资助，提出分三个阶段实现网络的安全动态评估：第一阶段完成对大规模复杂网络行为可视化相关技术、工具和方法的研究；第二阶段继续实现和验证可视化原型系统；第三阶段实现可视化算法，实现网络安全的态势感知。美国高级研究和发展机构在2006年的预研计划中，明确指出网络安全态势感知的研究目标，达到以可视化的方式为不同的决策者和分析员提供易访问、易理解的信息保障数据。

国外对动态风险评估研究主要包括动态风险评估的体系架构、工具和关键技术等。

在动态风险评估的体系架构方面，1999年Tim Bass首次提出了网络安全态势感知概念，随即又提出了基于多传感器数据融合的入侵检测框架，并把该框架用于下一代入侵检测系统和网络安全态势感知系统，采用该框架实现入侵行为检测、入侵率计算、入侵者身份和入侵者行为识别、态势评估以及威胁评估等功能。StephenG. Batsell，JasonShifflet等人也提出了类似的模型。美国国防部提出了JDL（Joint Director of Laboratories）模型的网络态势感知总体框架结构，此模型主要包括多源异构数据采集、数据预处理、事件关联和目标识别、态势评估、威胁评估、响应与预警、态势可视化显示以及过程优化控制与管理等功能模块。

动态风险评估由于评估频次高，因此应充分使用自动化工具代替人工劳动，力争做到对实时风险的监控和计算，同时抓住最重要风险来分析。在动态风险评估的工具方面，可依托的工具包括评估威胁的入侵检测系统、异常流量分析系统、日志分析系统等，评估脆弱性的网络扫描器、应用扫描工具等。安全动态风险评估工具还包括：2003 年美国劳伦斯伯克利国家实验室的Stephen Lau开发的The Spinning Cube of Potential Doom系统，该系统在三维空间中用点来表示网络流量信息，极大地提高了网络安全态势感知能力；卡内基梅隆大学软件工程学院的网络态势感知工作小组CERT/NetSA开发出SILK系统，采用集成化思想把现有的Netflow工具集成在一起,提供整个网络的态势感知，从而实现对大规模网络的安全分析。美国国家高级安全系统研究中心（NCASSR，National Center for Advanced Secure Systems Re2search）开发了NVisionIP，VisFlowConnect IP，UCLog+等Internet安全态势感知软件。

在动态风险评估的技术方面，动态风险评估领域涉及到数据采集、数据融合、态势可视化等多项技术，网络动态风险评估的难点主要集中在对态势的正确理解和合理预测上。关于动态风险评估相关技术研究很多，例如在数据采集技术方面，按照数据源分为基于系统配置信息（服务设置系统中存在的漏洞等）和基于系统运行信息（IDS日志中显示的系统所受攻击状况等）两大类数据采集；在数据融合技术方面，Tim Bass首次提出将JDL模型直接运用到网络态势感知领域，这为以后数据融合技术在网络态势感知领域的应用奠定了基础，Christos Siaterlis等人运用数据融合技术设计出检测DDoS攻击的模型；在态势可视化技术方面，H.Koike和K.Ohno专门为分析Snort日志以及Syslog数据开发了SnortView系统，可以实现每2min对视图的一次更新，并可以显示4h以内的报警数据。

安全动态风险评估在体系架构、工具和技术等方面取得了一定的研究成果，但总体来说，网络安全威胁态势评估是一个比较年轻的课题，研究难度大，进展缓慢。

（2）国内研究情况

国内对安全动态风险评估的研究还属于起步阶段，相关研究主要包括动态风险评估的体系架构、相关关键技术等。

在体系架构方面，西安交通大学研究并实现了基于IDS和防火墙的集成化网络安全监控平台，提出了基于统计分析的层次化（从上到下分为系统、主机、服务和攻击/漏洞4个层次）安全态势量化评估模型，采用了自下而上、先局部后整体的评估策略及相应计算方法，此方面也是在动态风险评估领域普遍采用的方法。北京理工大学信息安全与对抗技术研究中心研制了一套基于局域网络的网络安全态势评估系统，由网络安全风险状态评估和网络威胁发展趋势预测两部分组成，用于评估网络设备及结构的脆弱性、安全威胁水平等。
在关键技术方面，安全领域专家冯毅从我军信息与网络安全的角度出发，阐述了我军积极开展网络安全态势感知研究的必要性和重要性，指出了多源传感器数据融合和数据挖掘两项关键技术。国防科技大学的胡华平等人提出了面向大规模网络的入侵检测与预警系统的基本框架及其关键技术与难点问题。另外，国内也有一些科研机构尝试把数据融合技术应用到网络安全领域，提出了应用数据融合技术的网络安全分析评估系统、入侵检测系统等。

总体来说，国内在动态风险评估研究方面取得的成果有限，仍没有成熟的、实用的技术或工具，更缺乏针对电信网进行动态风险评估的相关研究，现有研究成果还存在动态评估的实时性不强、采集的数据不够丰富有效、对风险态势的预测研究不够等诸多问题。

4  结束语

随着电信网的发展和普及，网络的重要性及其对社会的影响越来越大，网络安全问题也越来越突出，并逐渐成为电信网进一步发展所急需解决的关键问题。为提高电信网的安全水平，需将风险评估纳入日常安全工作中，在电信网的规划、建设、运行过程中同步进行安全建设，并评估安全相关工作是否能够满足安全所需，从而最大限度地减少安全事件发生的可能性和安全事件带来的损失。

目前，国内关于电信网安全风险评估（尤其是动态风险评估）的研究工作还处于起步阶段，在方法、工具、评估指标等方面还有很多需要进一步研究的内容，可在充分借鉴国内外关于信息系统静态风险评估已有研究成果的基础上，加强对电信网的安全风险评估相关研究。动态风险评估是安全风险评估工作的必然发展趋势，但是由于相关技术复杂，研究难度大，目前国内外研究缓慢，应加强在相关核心技术、工具等方面的研究，提高我国在此方面的竞争实力。各企业还可根据企业自身情况，将动态风险评估与静态风险评估结合，做到动静结合、评估常态化。