高 敏，郭長(zhǎng)茂

（1.中國(guó)電信股份有限公司廣東研究院 廣州 510630；2.中國(guó)電信股份有限公司廣東分公司 廣州 510081）

1 引言

隨著信息技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)面臨的風(fēng)險(xiǎn)呈現(xiàn)復(fù)雜多變和難以預(yù)測(cè)的趨勢(shì)。電信網(wǎng)絡(luò)承擔(dān)著大范圍的公眾通信需求，其安全狀況對(duì)于社會(huì)穩(wěn)定、人民生活等方面具有重要意義。目前，安全管理、安全防范成為電信運(yùn)營(yíng)商重點(diǎn)關(guān)注的問(wèn)題。

安全風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理是網(wǎng)絡(luò)安全管理和保障的基礎(chǔ)和手段，但是目前相關(guān)的人員素質(zhì)、管理手段和支撐手段都仍待提高。為了提高電信網(wǎng)絡(luò)的安全防護(hù)能力，保障網(wǎng)絡(luò)安全穩(wěn)定和可靠運(yùn)行，加強(qiáng)安全風(fēng)險(xiǎn)評(píng)估及管理工作勢(shì)在必行。

2 目前風(fēng)險(xiǎn)評(píng)估及風(fēng)險(xiǎn)管理工作難點(diǎn)

（1）風(fēng)險(xiǎn)評(píng)估過(guò)程復(fù)雜，評(píng)估工作量大

風(fēng)險(xiǎn)評(píng)估是指對(duì)信息資產(chǎn)在技術(shù)、管理等方面存在的脆弱性、威脅、風(fēng)險(xiǎn)發(fā)生概率、安全事件影響等安全風(fēng)險(xiǎn)情況進(jìn)行分析，找出安全風(fēng)險(xiǎn)，有針對(duì)性地提出改進(jìn)措施的活動(dòng)。

風(fēng)險(xiǎn)評(píng)估過(guò)程遵循從風(fēng)險(xiǎn)評(píng)估準(zhǔn)備、風(fēng)險(xiǎn)要素識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)結(jié)果判定的一個(gè)標(biāo)準(zhǔn)過(guò)程（如圖1所示），比較復(fù)雜。

圖1 風(fēng)險(xiǎn)評(píng)估流程

嚴(yán)格按照流程進(jìn)行評(píng)估，工作量非常大，而且對(duì)運(yùn)維人員的素質(zhì)要求很高。目前很多評(píng)估人員不了解風(fēng)險(xiǎn)評(píng)估整個(gè)流程，認(rèn)識(shí)比較片面，只做了整個(gè)流程中的一兩項(xiàng)，如認(rèn)為漏洞掃描就是風(fēng)險(xiǎn)評(píng)估。還有些人員對(duì)復(fù)雜流程望而生畏，不知從何著手。另外一個(gè)方面，目前評(píng)估的內(nèi)容不完整，比如在評(píng)估準(zhǔn)備階段，缺少對(duì)評(píng)估對(duì)象的影響分析及風(fēng)險(xiǎn)規(guī)避措施制定；在風(fēng)險(xiǎn)要素識(shí)別階段，脆弱性只考慮了技術(shù)方面沒(méi)有考慮管理方面等。

（2）風(fēng)險(xiǎn)動(dòng)態(tài)管理難度大

風(fēng)險(xiǎn)評(píng)估并不是孤立的一次工作，特別是運(yùn)維階段的風(fēng)險(xiǎn)評(píng)估工作，需要定期或不定期地多次舉行。風(fēng)險(xiǎn)必須進(jìn)行動(dòng)態(tài)管理，通過(guò)跨時(shí)間、跨系統(tǒng)等綜合分析新風(fēng)險(xiǎn)的產(chǎn)生原因和規(guī)避措施。但是目前各個(gè)網(wǎng)絡(luò)和系統(tǒng)不同時(shí)期的風(fēng)險(xiǎn)情況分散在不同的文檔記錄中，很難做到關(guān)聯(lián)和對(duì)比分析。

（3）安全策略執(zhí)行符合度較難評(píng)估

安全制度要求提出后，由于要求點(diǎn)較廣，在大規(guī)模網(wǎng)絡(luò)中評(píng)估實(shí)際的執(zhí)行情況，了解風(fēng)險(xiǎn)與策略要求的符合度，存在一定難度且消耗大量人力。而且多個(gè)管理部門提出的安全要求和制度，部分有重疊和交錯(cuò)，如果逐個(gè)評(píng)估，對(duì)應(yīng)的同一控制措施需要進(jìn)行多次評(píng)估，重復(fù)工作較多。

（4）現(xiàn)有支撐手段有限

在電信運(yùn)營(yíng)商現(xiàn)有網(wǎng)絡(luò)中，一般只部署入侵檢測(cè)系統(tǒng)、防火墻、基線檢查工具、掃描器等技術(shù)檢測(cè)或防御類的系統(tǒng)，這些系統(tǒng)只能提供某一方面的技術(shù)檢測(cè)結(jié)果，缺乏綜合分析、運(yùn)算和流程管控手段。

因此，隨著安全工作進(jìn)一步深入，急需建設(shè)一套系統(tǒng)專門進(jìn)行風(fēng)險(xiǎn)的管理工作，完成風(fēng)險(xiǎn)評(píng)估計(jì)算、風(fēng)險(xiǎn)動(dòng)態(tài)管理、安全策略管理、風(fēng)險(xiǎn)與策略符合性比對(duì)等工作。一方面減輕運(yùn)維人員評(píng)估的工作量；另一方面規(guī)范評(píng)估的過(guò)程，保證評(píng)估內(nèi)容完整性和準(zhǔn)確性，并且提供多維度關(guān)聯(lián)、比對(duì)和匯總分析。

3 風(fēng)險(xiǎn)與策略管理系統(tǒng)框架設(shè)計(jì)

本文設(shè)計(jì)了一種風(fēng)險(xiǎn)與策略管理系統(tǒng)框架，采用風(fēng)險(xiǎn)與安全策略管理相結(jié)合的方法，綜合多方面采集數(shù)據(jù)，建立多維度評(píng)估及比對(duì)規(guī)則庫(kù)，實(shí)現(xiàn)風(fēng)險(xiǎn)評(píng)估計(jì)算、風(fēng)險(xiǎn)管理、策略管理等多種綜合功能。

系統(tǒng)基本框架設(shè)計(jì)分為4個(gè)層面，結(jié)構(gòu)如圖2所示。

（1）采集接口

通過(guò)數(shù)據(jù)采集接口，為評(píng)估實(shí)施和數(shù)據(jù)比對(duì)提供必要的輸入，采集的數(shù)據(jù)包括企業(yè)安全策略要求、安全標(biāo)準(zhǔn)和法規(guī)、人工評(píng)估結(jié)果（調(diào)查問(wèn)卷、文檔檢查、網(wǎng)絡(luò)架構(gòu)等檢查結(jié)果數(shù)據(jù)）、專業(yè)工具分析結(jié)果（如漏掃工具、基線符合比對(duì)工具、入侵檢測(cè)系統(tǒng)、防火墻日志、4A平臺(tái)、綜合告警平臺(tái)等結(jié)果數(shù)據(jù)）、資產(chǎn)數(shù)據(jù)等。

圖2 風(fēng)險(xiǎn)與策略系統(tǒng)框架

采集采用兩種模式：一種是周期性自動(dòng)或人工觸發(fā)系統(tǒng)間的接口采集；另一種是提供導(dǎo)入或輸入手段給用戶實(shí)現(xiàn)人工評(píng)估數(shù)據(jù)或制度等文檔數(shù)據(jù)的輸入，如調(diào)查問(wèn)卷結(jié)果、文檔檢查結(jié)果、安全策略文檔的導(dǎo)入等。

（2）評(píng)估基本庫(kù)

整合采集接口采集的數(shù)據(jù)，進(jìn)行數(shù)據(jù)的抽取、轉(zhuǎn)換和綜合，在數(shù)據(jù)層形成評(píng)估基本庫(kù)。該庫(kù)是系統(tǒng)的基礎(chǔ)部分，包括策略集合、威脅集合、脆弱性集合和資產(chǎn)管理4個(gè)模塊。

·策略集合：將企業(yè)安全策略、安全標(biāo)準(zhǔn)和法規(guī)等要求逐點(diǎn)進(jìn)行分解，細(xì)化到可映射到具體的控制要求的顆粒。

·威脅集合：將人工評(píng)估和系統(tǒng)導(dǎo)入與威脅相關(guān)的檢查結(jié)果進(jìn)行轉(zhuǎn)換和整合入庫(kù)，包括威脅的來(lái)源、種類、發(fā)生可能性等。與之相關(guān)的系統(tǒng)包括入侵檢測(cè)系統(tǒng)、防火墻日志、綜合告警平臺(tái)、4A平臺(tái)等。

·脆弱性集合：將人工評(píng)估和系統(tǒng)導(dǎo)入的脆弱性數(shù)據(jù)進(jìn)行轉(zhuǎn)換和整合，包括漏洞掃描結(jié)果、基線符合檢查結(jié)果、人工評(píng)估發(fā)現(xiàn)管理弱點(diǎn)、物理及網(wǎng)絡(luò)架構(gòu)脆弱性等。

·資產(chǎn)管理：將資產(chǎn)基本信息及業(yè)務(wù)價(jià)值、影響力、可用性等屬性和賦值進(jìn)行整合入庫(kù)。

（3）評(píng)估規(guī)則庫(kù)、風(fēng)險(xiǎn)與控制措施映射庫(kù)、策略與控制措施映射庫(kù)

在業(yè)務(wù)邏輯層面建立評(píng)估規(guī)則庫(kù)、風(fēng)險(xiǎn)與控制措施映射庫(kù)、策略與控制措施映射庫(kù)。

評(píng)估規(guī)則庫(kù)：依托管理、主機(jī)、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)、中間件應(yīng)用、物理等方面的評(píng)估標(biāo)準(zhǔn)、知識(shí)和評(píng)估準(zhǔn)則，建立不同類別評(píng)估規(guī)則，將資產(chǎn)、威脅、脆弱性等風(fēng)險(xiǎn)要素及其構(gòu)成因子識(shí)別與計(jì)算方法、風(fēng)險(xiǎn)計(jì)算算法等固化在系統(tǒng)中，將其轉(zhuǎn)化為可量化評(píng)價(jià)指標(biāo)。

風(fēng)險(xiǎn)與控制措施映射庫(kù)：建立具體風(fēng)險(xiǎn)與控制措施對(duì)應(yīng)庫(kù)，為風(fēng)險(xiǎn)目標(biāo)值下的控制措施選擇提供相關(guān)數(shù)據(jù)。

策略與控制措施映射庫(kù)：將上級(jí)管理要求、安全框架、法規(guī)的每一細(xì)分點(diǎn)映射至控制措施（包括管理及技術(shù)方面）。

（4）評(píng)估與比對(duì)處理

在控制層面，根據(jù)風(fēng)險(xiǎn)評(píng)估流程完成各個(gè)指標(biāo)綜合計(jì)算，策略要求與評(píng)估結(jié)果的比對(duì)，風(fēng)險(xiǎn)目標(biāo)值下的控制措施選取等。將評(píng)估和比對(duì)的流程、方法固化在系統(tǒng)里。

（5）用戶可視化及交換式界面

該層次主要負(fù)責(zé)數(shù)據(jù)及報(bào)表等最終呈現(xiàn)，提供用戶與平臺(tái)交互的功能。

4 風(fēng)險(xiǎn)與策略管理系統(tǒng)功能模塊設(shè)計(jì)

風(fēng)險(xiǎn)與策略管理系統(tǒng)設(shè)計(jì)提供風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理、策略管理、匯總分析、系統(tǒng)管理5個(gè)方面的功能，通過(guò)報(bào)表、圖型、報(bào)告、儀表盤等多種形式向用戶呈現(xiàn)，示意見(jiàn)圖3。

（1）風(fēng)險(xiǎn)評(píng)估模塊

·風(fēng)險(xiǎn)評(píng)估流程管控：按照風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)流程，對(duì)每個(gè)網(wǎng)絡(luò)或系統(tǒng)的風(fēng)險(xiǎn)評(píng)估過(guò)程進(jìn)行管控，規(guī)范流程中各個(gè)階段的動(dòng)作必須執(zhí)行以及相關(guān)數(shù)據(jù)輸入和輸出。

·風(fēng)險(xiǎn)評(píng)估中間和結(jié)果數(shù)據(jù)呈現(xiàn)：以報(bào)表、圖形、儀表盤、報(bào)告等形式展現(xiàn)風(fēng)險(xiǎn)評(píng)估的中間及結(jié)果數(shù)據(jù)。

·風(fēng)險(xiǎn)與控制措施選取：根據(jù)某一風(fēng)險(xiǎn)提供相應(yīng)控制措施；呈現(xiàn)系統(tǒng)風(fēng)險(xiǎn)修復(fù)優(yōu)先級(jí)；根據(jù)風(fēng)險(xiǎn)值下降的目標(biāo)提供用戶多種控制措施的選取。

·風(fēng)險(xiǎn)與策略符合度比對(duì)：將風(fēng)險(xiǎn)評(píng)估結(jié)果和安全策略的符合度進(jìn)行比對(duì)，除了風(fēng)險(xiǎn)值與安全策略要求比對(duì)外，由于安全策略已經(jīng)細(xì)化到與之相關(guān)的控制措施對(duì)應(yīng)，該項(xiàng)功能應(yīng)展示該風(fēng)險(xiǎn)對(duì)應(yīng)的策略要求但并未實(shí)施的控制措施。

（2）風(fēng)險(xiǎn)管理模塊

·風(fēng)險(xiǎn)要素管理：提供風(fēng)險(xiǎn)要素以及其構(gòu)成因子的管理，如資產(chǎn)的管理、高危漏洞分布與管理等。

·風(fēng)險(xiǎn)跨時(shí)間、跨系統(tǒng)維度管理：針對(duì)某網(wǎng)絡(luò)或系統(tǒng)不同時(shí)間維度風(fēng)險(xiǎn)對(duì)比分析或趨勢(shì)分析，掌握風(fēng)險(xiǎn)的變化情況；通過(guò)對(duì)不同系統(tǒng)的比對(duì)，呈現(xiàn)不同設(shè)備的風(fēng)險(xiǎn)差別。

·風(fēng)險(xiǎn)的監(jiān)控與預(yù)警：設(shè)定風(fēng)險(xiǎn)目標(biāo)值，當(dāng)風(fēng)險(xiǎn)超過(guò)預(yù)定值時(shí)進(jìn)行相關(guān)預(yù)警，以便及時(shí)采取下一步控制措施。

圖3 風(fēng)險(xiǎn)與策略功能模塊

·風(fēng)險(xiǎn)分布統(tǒng)計(jì)：能針對(duì)某一風(fēng)險(xiǎn)，統(tǒng)計(jì)其分布在哪些網(wǎng)絡(luò)和系統(tǒng)，以便發(fā)現(xiàn)某一風(fēng)險(xiǎn)時(shí)，能快速找到修復(fù)的對(duì)象。

（3）策略管理

·策略全生命周期流程管控：對(duì)安全策略進(jìn)行生命周期（創(chuàng)建、草稿、復(fù)審、發(fā)布等）管理，策略的發(fā)布需要進(jìn)行一定的流程，同時(shí)涉及不同崗位人員的審批，最終的發(fā)布后還包括意見(jiàn)的收集與修訂等。

·安全策略執(zhí)行符合度：從策略執(zhí)行的維度出發(fā)，能展現(xiàn)各個(gè)網(wǎng)絡(luò)或系統(tǒng)安全策略執(zhí)行符合情況，顯示哪些策略在哪些網(wǎng)絡(luò)或系統(tǒng)中未滿足情況。

·策略與控制措施映射管理：提供安全策略細(xì)化后與控制措施的映射關(guān)系查詢、管理等功能。

（4）匯總分析

提供不同等級(jí)、網(wǎng)絡(luò)、地域多維度風(fēng)險(xiǎn)匯總與分析，能根據(jù)不同等級(jí)保護(hù)級(jí)別、網(wǎng)絡(luò)或系統(tǒng)類型、地域分布進(jìn)行風(fēng)險(xiǎn)匯總、統(tǒng)計(jì)和分析，反映某一類別網(wǎng)絡(luò)或系統(tǒng)的風(fēng)險(xiǎn)總體情況以及缺陷分布所在情況，展現(xiàn)風(fēng)險(xiǎn)在時(shí)間維度上趨勢(shì)分布。

（5）系統(tǒng)管理模塊

提供本系統(tǒng)相關(guān)用戶與權(quán)限、進(jìn)程管理、數(shù)據(jù)庫(kù)管理等功能。

5 結(jié)束語(yǔ)

鑒于現(xiàn)有系統(tǒng)在網(wǎng)絡(luò)及系統(tǒng)安全風(fēng)險(xiǎn)管理上的局限性，結(jié)合電信網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理工作需求，提出了一種風(fēng)險(xiǎn)與策略管理系統(tǒng)框架結(jié)構(gòu)，并設(shè)計(jì)該系統(tǒng)具體各個(gè)功能模塊，為電信網(wǎng)絡(luò)運(yùn)營(yíng)商網(wǎng)絡(luò)及系統(tǒng)安全風(fēng)險(xiǎn)管理系統(tǒng)的建設(shè)提供參考思路。

1 中華人民共和國(guó)信息產(chǎn)業(yè)部.YD/T 1730-2008電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南，2008

2 中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局、中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).GB/Z 24364-2009信息安全技術(shù) 信息安全風(fēng)險(xiǎn)管理指南，2009

3 安慶權(quán)，王希忠，馬遙.信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)的設(shè)計(jì).信息技術(shù)，2011（6）