摘 要：針對目前使用通用準(zhǔn)則進(jìn)行電信數(shù)據(jù)網(wǎng)安全評估所面臨復(fù)雜性高、效率低、代價大的問題，討論了使用通用準(zhǔn)則對電信數(shù)據(jù)網(wǎng)進(jìn)行安全風(fēng)險評估的評估框架和評估過程，設(shè)計和實現(xiàn)了基于J2EE的分布式通用準(zhǔn)則評估系統(tǒng)TDNStudio。實驗結(jié)果表明該系統(tǒng)能夠顯著地提高評估效率、減少評估代價，保證評估結(jié)果的客觀性和正確性。

關(guān)鍵詞：通用準(zhǔn)則；評估過程；分布式評估系統(tǒng)；電信數(shù)據(jù)網(wǎng)

Design and Implementation of Telecom Data Network Distributed Evaluation System

ZHAO Feng，LIU Jianhua，F(xiàn)an Jiulun

(Xi′an Institute of Post and Telecommunications，Xi′an，710061，China)

Abstract：Based on the low efficient，high complexity and expensive cost problems for telecom data network evaluation using Common criteria the eveluation scheeme and process of using common criteria evaluate telecom data network is discussed，a distributed common criteria evaluation system of TDNStudio is designed and implemented based on J2EE. Experimental results show that it can significantly improve assessment efficiency，reduce assessment costs，and ensure the objectivity and accuracy of assessment results.

Keywords：common criteria;evaluation process;distributed evaluation system;telecom data network



1 引 言

隨著信息技術(shù)的迅速發(fā)展，信息系統(tǒng)的安全逐漸成為關(guān)注的熱點問題。ISO于1999 年底正式頒布了ISO/IEC15408-1999《通用信息技術(shù)安全評估準(zhǔn)則》(簡稱為通用準(zhǔn)則，Common Criteria)。2001 年3 月，國家質(zhì)量技術(shù)監(jiān)督局正式頒布了援引CC的國家標(biāo)準(zhǔn)GB/T 18336-2001《信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準(zhǔn)則》(下文通稱為CC)。在CC標(biāo)準(zhǔn)的基礎(chǔ)上，我國有關(guān)部門制定了一些信息產(chǎn)品標(biāo)準(zhǔn)如：《信息技術(shù) 包過濾防火墻安全技術(shù)要求》(GB/T 18019-1999)、《信息技術(shù) 應(yīng)用級防火墻安全技術(shù)要求》(GB/T 18020-1999)等?；贑C的信息系統(tǒng)安全評估過程和方法的研究、信息系統(tǒng)安全評估工具系統(tǒng)的開發(fā)是應(yīng)用CC標(biāo)準(zhǔn)于實際的關(guān)鍵。

針對CC標(biāo)準(zhǔn)，國外已經(jīng)研發(fā)了用于評估的工具CC Tools，但該工具僅僅用于幫助用戶按照CC標(biāo)準(zhǔn)自動生成PP(保護(hù)輪廓)和ST(安全目標(biāo))報告。國內(nèi)對其進(jìn)行了部分漢化和擴(kuò)展，但相應(yīng)的工具用于信息系統(tǒng)評估還存在一些問題。

電信數(shù)據(jù)網(wǎng)具有分布式的結(jié)構(gòu)，其節(jié)點眾多，每個節(jié)點可能具有成百上千種設(shè)備，分布在不同的地理位置上。因此對電信數(shù)據(jù)網(wǎng)的評估過程相當(dāng)復(fù)雜，需要采集和保留大量的數(shù)據(jù)，要求評估人員具有豐富的評估經(jīng)驗。在進(jìn)行評估時，要有評估發(fā)起者、評估者、電信設(shè)備和軟件提供商、認(rèn)證機(jī)構(gòu)、被評估機(jī)構(gòu)等各種人員的參與和配合。上述因素意味著有必要開發(fā)一個適合于分布式環(huán)境的CC評估輔助工具系統(tǒng)，來減少評估時間、降低評估復(fù)雜性、節(jié)省資源、提高評估結(jié)果的客觀性和準(zhǔn)確性。為此本文提出了一個基于J2EE的分布式安全評估系統(tǒng)的設(shè)計方案，使用該設(shè)計方案實現(xiàn)了電信數(shù)據(jù)網(wǎng)安全評估系統(tǒng)TDNStudio。實際的電信數(shù)據(jù)網(wǎng)評估模擬表明使用TDNStudio可以明顯降低電信數(shù)據(jù)網(wǎng)評估的復(fù)雜度，縮短評估周期，提高了評估結(jié)果的客觀性和準(zhǔn)確性。

2 電信數(shù)據(jù)網(wǎng)評估過程

電信數(shù)據(jù)網(wǎng)評估過程是在評估標(biāo)準(zhǔn)的指導(dǎo)下，綜合利用相關(guān)評估方法、評估工具，進(jìn)行全方位的評估工作的完整歷程。

2.1 評估的角色

電信數(shù)據(jù)網(wǎng)的安全評估是一個復(fù)雜的過程，需要各種人員的參與。具體包括：評估發(fā)起者、評估者、電信運(yùn)營商、電信設(shè)備制造商和軟件提供商、監(jiān)督和認(rèn)證機(jī)構(gòu)等。評估者指具有資質(zhì)的TDN評估企業(yè)或者政府機(jī)構(gòu);評估發(fā)起者通常是電信運(yùn)營商或者其主管部門;監(jiān)督和認(rèn)證機(jī)構(gòu)指由權(quán)威的電信數(shù)據(jù)網(wǎng)認(rèn)證機(jī)構(gòu)來擔(dān)任。

2.2 評估的過程

基于CC的電信數(shù)據(jù)網(wǎng)評估過程可以分為三個階段：

第一階段：文檔準(zhǔn)備。該階段用于準(zhǔn)備需要的評估文檔，主要包括電信數(shù)據(jù)網(wǎng)的安全目標(biāo)(TDN ST)和待評估的電信數(shù)據(jù)網(wǎng)的相關(guān)文檔。只有這兩個文檔完成后，評估過程才能繼續(xù)。

第二階段：執(zhí)行評估。該階段的主要內(nèi)容是根據(jù)第一階段的文檔，按照電信數(shù)據(jù)網(wǎng)安全評估方法(TDNEM)對TDN進(jìn)行評估，最后得出TDN的評估技術(shù)報告(ETR)以及風(fēng)險分析報告(RAR)。

第三階段：結(jié)論及認(rèn)證。在該階段，評估者把評估技術(shù)報告提交給認(rèn)證者，經(jīng)認(rèn)證者批準(zhǔn)后形成認(rèn)證報告(VR)。風(fēng)險分析報告有助于電信運(yùn)營商改編組織的安全策略來減少安全風(fēng)險，保護(hù)電信數(shù)據(jù)網(wǎng)的資產(chǎn)。

每個階段的不同參與者分別執(zhí)行不同的任務(wù)，共同完成電信數(shù)據(jù)網(wǎng)安全評估的全過程。電信數(shù)據(jù)網(wǎng)安全評估的參與者以及他們之間的相互關(guān)系如圖2所示。

3 TDNStudio系統(tǒng)概述

本系統(tǒng)的實現(xiàn)是基于瀏覽器/HTTP服務(wù)器/業(yè)務(wù)服務(wù)器/數(shù)據(jù)庫服務(wù)器的四層模式。

由于電信網(wǎng)是一個復(fù)雜的系統(tǒng)，在評估過程中需要電信網(wǎng)評估人員、電信數(shù)據(jù)網(wǎng)運(yùn)營人員、評估管理機(jī)構(gòu)以及電信設(shè)備制造商等角色的數(shù)據(jù)輸入，采用四層模式有利于評估的順利進(jìn)行，有利于評估費(fèi)用和代價的減少，有利于評估結(jié)果的客觀公正。作為一個開源的可以在多個平臺下運(yùn)行的數(shù)據(jù)庫服務(wù)器，MySQL在本系統(tǒng)中起了重要的作用。

業(yè)務(wù)服務(wù)器運(yùn)行的EJB或者JSP組件，在Eclipse環(huán)境下用Java語言設(shè)計實現(xiàn)。這些組件包括安全評估模塊、風(fēng)險分析模塊、等級保護(hù)模塊、標(biāo)準(zhǔn)查詢模塊和報表生成模塊，是本系統(tǒng)的核心部分。業(yè)務(wù)服務(wù)器和數(shù)據(jù)庫服務(wù)器之間的通信接口為JDBC。需要參與到評估過程中的各個角色如評估人員、電信網(wǎng)運(yùn)營人員、評估管理機(jī)構(gòu)以及電信設(shè)備生產(chǎn)者等可以通過瀏覽器將與評估相關(guān)的記錄輸入到系統(tǒng)中。系統(tǒng)將這些信息自動保存到MySQL數(shù)據(jù)庫中。

采用J2EE這種分布式的多層設(shè)計模式，解決了對于電信數(shù)據(jù)網(wǎng)這樣的復(fù)雜系統(tǒng)進(jìn)行評估所面對的角色眾多、信息采集困難、評估代價大等問題。

4 TDNStudio的業(yè)務(wù)邏輯

4.1 安全評估模塊

安全評估模塊以基本數(shù)據(jù)系統(tǒng)BDB中評估數(shù)據(jù)庫為基本理論依據(jù)，根據(jù)評估數(shù)據(jù)系統(tǒng)EDB中用戶錄入的調(diào)查數(shù)據(jù)對電信數(shù)據(jù)網(wǎng)進(jìn)行評估。

4.2 風(fēng)險分析模塊

以風(fēng)險分析數(shù)據(jù)庫和漏洞數(shù)據(jù)庫為基礎(chǔ)，根據(jù)電信數(shù)據(jù)網(wǎng)安全評估框架的電信數(shù)據(jù)網(wǎng)風(fēng)險分析方法，對待測評系統(tǒng)進(jìn)行風(fēng)險評估，生成風(fēng)險分析模塊。

漏洞庫實現(xiàn)的一個難點是如何設(shè)計一個界面友好、使用方便、高效的管理信息系統(tǒng)，以使用戶/管理者可以通過良好的人機(jī)交互界面，完成存儲在漏洞庫中的漏洞相關(guān)數(shù)據(jù)的維護(hù)，提供對保存的漏洞相關(guān)數(shù)據(jù)的檢索和使用。

漏洞庫主要由以下模塊構(gòu)成；

(1) 漏洞信息的添加

當(dāng)用戶選擇添加功能時，漏洞庫系統(tǒng)首先生成一個空漏洞描述頁面，等待用戶選擇刻漏洞的種類、輸入描述信息以及對應(yīng)補(bǔ)丁程序、攻擊(測試)程序的名稱。在用戶提交該頁面時，漏洞庫系統(tǒng)使用Request對象獲取用戶輸入的漏洞信息，并且從序列中獲取一個值，結(jié)合用戶填寫的漏洞信息生成該漏洞的惟一標(biāo)識，然后將該漏洞的信息作為一個記錄添加到漏洞庫中去。

(2) 漏洞信息的查詢

用戶可首先選擇漏洞的類型，漏洞庫系統(tǒng)將用戶做出的選擇作為查詢條件，在漏洞存儲數(shù)據(jù)庫中進(jìn)行查詢操作，得到結(jié)果。調(diào)用動態(tài)生成頁面的程序，生成符合用戶查詢條件的漏洞的簡要信息列表，并且以Web頁面的形式將這些查詢結(jié)果返回給用戶

(3) 漏洞信息的更新

漏洞庫系統(tǒng)首先在漏洞存儲數(shù)據(jù)庫中查詢操作描述、漏洞類型描述，生成Web頁面上相應(yīng)的可選項，然后根據(jù)選定的操作系統(tǒng)類型和漏洞類型查詢漏洞描述信息中的漏洞標(biāo)識、漏洞簡要描述、生成漏洞描述的簡要信息列表；根據(jù)用戶對該列表的選擇，漏洞庫系統(tǒng)根據(jù)漏洞惟一標(biāo)識查詢漏洞描述信息，生成該漏洞的詳細(xì)信息描述頁面；用戶可以根據(jù)該頁面，對漏洞存儲數(shù)據(jù)庫中的漏洞描述信息進(jìn)行更新。

(4) 漏洞信息的刪除

漏洞庫系統(tǒng)首先在漏洞存儲數(shù)據(jù)庫中查詢操作系統(tǒng)描述、漏洞類型描述，生成Web 頁面上相應(yīng)的可選項，然后根據(jù)選定的操作系統(tǒng)類型和漏洞類型查詢漏洞描述信息中的漏洞標(biāo)識、漏洞簡要描述、生成漏洞描述的簡要信息列表；根據(jù)用戶對該列表的選擇，漏洞庫系統(tǒng)根據(jù)漏洞惟一標(biāo)識查詢漏洞描述信息，生成該漏洞的詳細(xì)信息描述頁面；用戶可以根據(jù)該頁面，從漏洞存儲數(shù)據(jù)庫中刪除選定的漏洞描述信息。

漏洞庫系統(tǒng)提供相應(yīng)的上載目錄保存補(bǔ)丁程序，然后可以在漏洞信息描述中填寫對應(yīng)所使用的補(bǔ)丁程序名稱：在進(jìn)行漏洞信息查詢時，漏洞庫系統(tǒng)根據(jù)該名稱生成相應(yīng)的超文本鏈接，提供補(bǔ)丁程序的下載。補(bǔ)丁程序的查詢、更新、刪除與漏洞描述信息的對應(yīng)操作相類似。對攻擊(測試)程序信息的添加、查詢、更新、刪除與補(bǔ)丁程序的對應(yīng)操作相類似。

(5) 漏洞信息統(tǒng)計

進(jìn)入編輯模式后，用戶可以點擊數(shù)據(jù)庫統(tǒng)計選項、對漏洞存儲數(shù)據(jù)庫中的漏洞信息進(jìn)行統(tǒng)計，獲得不同操作系統(tǒng)漏洞的概要統(tǒng)計信息。

4.3 等級保護(hù)模塊

以評估數(shù)據(jù)庫中的等級化保護(hù)數(shù)據(jù)庫，利用電信數(shù)據(jù)網(wǎng)安全評估準(zhǔn)則的等級化保護(hù)方案，對待測評系統(tǒng)或者設(shè)備進(jìn)行等級化保護(hù)和認(rèn)證。

4.4 標(biāo)準(zhǔn)查詢模塊

標(biāo)準(zhǔn)查詢模塊與基本數(shù)據(jù)庫中的評估標(biāo)準(zhǔn)庫連接，客戶和評估者可以根據(jù)需要通過標(biāo)準(zhǔn)查詢模塊對評估標(biāo)準(zhǔn)庫進(jìn)行查詢，從而指導(dǎo)評估的順利進(jìn)行。

4.5 報表生成模塊

報表生成模塊用于執(zhí)行評估階段生成相應(yīng)的ETR等文檔。用戶通過這個模塊，可以對相應(yīng)的報表進(jìn)行創(chuàng)建、打開、編輯、排版、關(guān)閉、刪除等操作。

5 TDNStudio的數(shù)據(jù)庫設(shè)計

在數(shù)據(jù)庫系統(tǒng)中包括3個子系統(tǒng)：基本數(shù)據(jù)系統(tǒng)，評估數(shù)據(jù)系統(tǒng)，漏洞數(shù)據(jù)系統(tǒng)。

5.1 基本數(shù)據(jù)系統(tǒng)(BDB)

基本數(shù)據(jù)系統(tǒng)為電信網(wǎng)安全評估提供必須的基礎(chǔ)理論?；鞠到y(tǒng)由評估標(biāo)準(zhǔn)庫和評估規(guī)程庫組成。

(1) 評估標(biāo)準(zhǔn)庫 

評估標(biāo)準(zhǔn)庫用來存儲電信數(shù)據(jù)網(wǎng)安全評估準(zhǔn)則的內(nèi)容。本庫通過與業(yè)務(wù)服務(wù)器的標(biāo)準(zhǔn)查詢模塊建立連接，共同完成為客戶和評估者提供電信數(shù)據(jù)網(wǎng)評估準(zhǔn)則的查詢和訪問。

(2) 評估規(guī)程庫

評估規(guī)程庫作為評估系統(tǒng)在執(zhí)行評估階段的評估方法的主要理論依據(jù)模塊，用于存儲評估所依據(jù)的評估方法和評估規(guī)則。本庫通過與業(yè)務(wù)服務(wù)器的安全評估組件建立連接，提供給評估者所需的評估方法依據(jù)和必須遵守的評估規(guī)程。

5.2 評估數(shù)據(jù)系統(tǒng)(EDB)

(1) 安全評估數(shù)據(jù)庫

評估數(shù)據(jù)系統(tǒng)提供給評估人員、電信網(wǎng)運(yùn)營人員、評估管理機(jī)構(gòu)以及電信設(shè)備生產(chǎn)者提供錄入評估對象的文檔以及相關(guān)的運(yùn)行和生產(chǎn)記錄。同時，評估數(shù)據(jù)系統(tǒng)還用來存儲評估完成后所提交的評估技術(shù)報告ETR以及相關(guān)的文檔。

(2) 風(fēng)險分析數(shù)據(jù)庫

風(fēng)險分析是安全評估的重要內(nèi)容。本數(shù)據(jù)庫為業(yè)務(wù)邏輯中的風(fēng)險分析模塊提供支持，對待測評系統(tǒng)進(jìn)行風(fēng)險分析。(3) 等級化保護(hù)數(shù)據(jù)庫

等級化保護(hù)數(shù)據(jù)庫中主要記錄了設(shè)備屬性表等原始調(diào)查數(shù)據(jù)，業(yè)務(wù)模塊中的等級化保護(hù)模塊，根據(jù)這些屬性，依據(jù)電信數(shù)據(jù)網(wǎng)安全評估準(zhǔn)則(草案)中的等級化保護(hù)方案對待測評系統(tǒng)進(jìn)行等級化保護(hù)。

5.3 漏洞數(shù)據(jù)系統(tǒng)(VDB)

在對電信數(shù)據(jù)網(wǎng)安全域劃分的基礎(chǔ)上，對電信數(shù)據(jù)網(wǎng)的關(guān)鍵資產(chǎn)建立基于MySQL的良好擴(kuò)充性的漏洞數(shù)據(jù)庫。完成系統(tǒng)漏洞相關(guān)數(shù)據(jù)，包括系統(tǒng)漏洞特征描述、應(yīng)對措施(主要是系統(tǒng)補(bǔ)丁程序)、系統(tǒng)安全配置策略等的存儲。漏洞庫是系統(tǒng)安全隱患分析的核心，集中了常見的各類系統(tǒng)漏洞特征和相應(yīng)的應(yīng)對措施、網(wǎng)絡(luò)系統(tǒng)當(dāng)前的脆弱性狀態(tài)，以及和系統(tǒng)漏洞分析應(yīng)對措施相關(guān)的系統(tǒng)安全配置策略，高效地規(guī)劃和組織漏洞數(shù)據(jù)庫是使其能夠充分發(fā)揮作用的關(guān)鍵。

為了使系統(tǒng)具有較強(qiáng)的開放性，我們?yōu)槊恳粭l漏洞都提供了CVE編號。CVE是個行業(yè)標(biāo)準(zhǔn)，為每個漏洞和暴露確定了惟一的名稱和標(biāo)準(zhǔn)化的描述，可以成為評價相應(yīng)入侵檢測和漏洞掃描等工具產(chǎn)品和數(shù)據(jù)庫的基準(zhǔn)。這樣，如果在一個漏洞報告中指明一個漏洞有CVE名稱，就可以快速地在任何其他CVE兼容的數(shù)據(jù)庫中找到相應(yīng)的對應(yīng)信息。

6 結(jié) 語

通用準(zhǔn)則(CC)是信息產(chǎn)品和系統(tǒng)安全評估的最權(quán)威的國際標(biāo)準(zhǔn)。本文對CC應(yīng)用于電信數(shù)據(jù)網(wǎng)的安全評估過程進(jìn)行了分析，設(shè)計和實現(xiàn)了電信數(shù)據(jù)網(wǎng)的分布式評估系統(tǒng)TDNStudio。使用TDNStudio可以提高電

信數(shù)據(jù)網(wǎng)安全評估的效率、縮短評估的周期、提高評估的正確性。

參 考 文 獻(xiàn)

［1］黃元飛. 信息技術(shù)安全性評估準(zhǔn)則研究［D］.成都:四川大學(xué)，2002.

［2］ISO/IEC-15408，Common Methodology for Information Technology Security Evaluation ［S］.1999.

［3］Rubén Prieto-Díaz. The Common Criteria Evaluation Process -Process Explanation，Shortcoming，and Research Opportunities［R］.Commonwealth Information Security Center Technical Report，CISC-TR-2002-003，2002.

［4］GB/T 18336-2001.信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準(zhǔn)則［S］.2001.