趙　蓓， 杜雪濤， 薛　姍， 吳日切夫（中國移動通信集團設(shè)計院有限公司，北京 100080）

聯(lián)網(wǎng)系統(tǒng)通用安全評測的標準化進展及解決方案

趙蓓， 杜雪濤， 薛姍， 吳日切夫
（中國移動通信集團設(shè)計院有限公司，北京 100080）

本文跟蹤了國內(nèi)外信息系統(tǒng)安全評測標準的研究進展和特點，提出了聯(lián)網(wǎng)系統(tǒng)通用能力技術(shù)要求和全面評測規(guī)范相結(jié)合的解決方案，有效提高聯(lián)網(wǎng)系統(tǒng)安全評測的全面性和高效性。

通用安全能力； 安全評測； 評測規(guī)范

隨著移動互聯(lián)網(wǎng)的迅猛發(fā)展，越來越多的通信企業(yè)的各類系統(tǒng)與設(shè)備可以從互聯(lián)網(wǎng)直接訪問和維護。在帶來便利性的同時，也存在一定的安全風險。從全球網(wǎng)絡安全態(tài)勢看，網(wǎng)絡攻擊日益組織化、自動化和趨利化。通信行業(yè)所負責國家級通信基礎(chǔ)設(shè)施和所承載的海量用戶信息成為黑客的天然攻擊焦點。歷年第三方信息安全監(jiān)測組織公布的相關(guān)安全問題數(shù)據(jù)中，電信業(yè)相關(guān)聯(lián)網(wǎng)系統(tǒng)和設(shè)備的安全風險也居高不下。這些漏洞中甚至包括一些對系統(tǒng)和業(yè)務有重大危害的高危漏洞。

聯(lián)網(wǎng)系統(tǒng)和設(shè)備的安全風險具有通用性，因此有必要對聯(lián)網(wǎng)系統(tǒng)的安全問題進行全面和深入的研究。提高聯(lián)網(wǎng)系統(tǒng)的安全能力，需要從規(guī)劃、開發(fā)、建設(shè)、維護和管理等一系列方面全面進行，系統(tǒng)安全評測是安全管控的關(guān)鍵節(jié)點。通過對聯(lián)網(wǎng)系統(tǒng)和設(shè)備的通用安全性進行技術(shù)評測，發(fā)現(xiàn)安全短板是提升通信企業(yè)系統(tǒng)與網(wǎng)絡的安全能力的有效方法。

1　信息系統(tǒng)安全評測標準化進展

信息系統(tǒng)的安全防護能力指信息系統(tǒng)能夠抵抗內(nèi)、外部惡意人員對信息系統(tǒng)的攻擊和破壞，一直以來信息系統(tǒng)安全防護能力的建設(shè)和評測都是安全研究的重點。國內(nèi)外標準組織發(fā)布和更新相關(guān)規(guī)范，指導信息系統(tǒng)的安全防護能力的提高。

在這些相關(guān)安全規(guī)范和標準中，以國際標準化組織的ISO/IEC 27000，美國國家標準與技術(shù)研究院的NIST SP800等系列標準具有典型指導意義。

1.1ISO/IEC 27000系列

ISO/IEC 27000標準是國際標準化組織專門為信息安全管理體系建立的一系列相關(guān)標準的稱呼，已經(jīng)預留了ISO/ IEC 27000到ISO/IEC 27059共 60個標準號，到目前為止，正式發(fā)布的信息安全管理體系 （ISMS）標準有8個，其中兩個已經(jīng)轉(zhuǎn)化成國家標準。

ISO/IEC 27000系列標準基本可以分為四部分。第一部分是要求和支持性指南，是信息安全管理體系的基礎(chǔ)和基本要求；第二部分是有關(guān)認證認可和審核的指南，面向認證機構(gòu)和審核人員；第三部分是面向?qū)ｉT行業(yè)的信息安全管理要求，如金融業(yè)、電信業(yè)或者專門應用于某個具體的安全域；第四部分是應用于健康行業(yè)的標準ISO 27799，以及一些處于研究階段，如供應鏈安全、存儲安全等。

收稿日期：2015-09-08

圖1　ISO/IEC 27001控制結(jié)構(gòu)

ISO/IEC 27000系列已發(fā)布的標準中，對信息系統(tǒng)安全能力評測密切相關(guān)的包括：

ISO/IEC 27002：2013是《信息技術(shù) 安全技術(shù) 信息安全管理實用規(guī)則》，是ISO/IEC 27000系列最核心的兩個標準之一。它從信息安全管理的最佳實踐提出控制目標和措施。

ISO/IEC 27003是《信息安全管理體系實施指南》，該標準給出了ISMS實施的關(guān)鍵成功因素，按照PDCA的模型，明確了計劃、實施、檢查、糾正每個階段的活動內(nèi)容和詳細指南。

ISO/IEC 27005是《信息安全風險管理》，該標準描述了信息安全風險管理的要求，可以用于風險評估，識別安全需求，可以用于風險評估，識別安全需求，支撐信息安全管理體系的建立和維持。

ISO/IEC 27001控制結(jié)構(gòu)如圖1所示。

1.2NIST SP800系列

美國國家標準與技術(shù)研究院（NIST）發(fā)布的一系列關(guān)于信息安全的技術(shù)指南文件，NIST SP800系列已經(jīng)出版了100多本同信息安全相關(guān)的正式文件， 形成了從規(guī)劃、風險管理、安全意識培訓和教育以及安全控制措施的一整套信息安全管理體系。雖然 NIST SP800系列并不作為正式法定標準，但在實際工作中，已經(jīng)成為美國和國際安全界廣泛認可的事實標準和權(quán)威指南。

NIST SP800系列共分為訪問控制、認證認可&安全評估、系統(tǒng)&通信保護、系統(tǒng)&信息完整性、系統(tǒng)&服務獲取等17個族，每個族下面包含各自系列的相關(guān)規(guī)范。其中，與系統(tǒng)安全能力要求與評測密切相關(guān)的包括：

SP800-53《聯(lián)邦信息系統(tǒng)安全控制措施評估指南》，該指南描述了信息系統(tǒng)安全控制措施， 為不同級別的系統(tǒng)推薦了不同強度的安全控制集（包括管理、技術(shù)和運行類）。為幫助機構(gòu)對它們的信息系統(tǒng)選擇合適的安全控制集。

SP800-115《信息安全評估與測試技術(shù)指南》，描述了機構(gòu)在進行評估時可能用到的技術(shù)測試、檢測方法和相關(guān)技術(shù)，為評估人員在系統(tǒng)和網(wǎng)絡上關(guān)于執(zhí)行和潛在影響提供了深刻的理解。

SP800—128《信息系統(tǒng)安全配置管理指南》，為負責管理和執(zhí)行聯(lián)邦信息系統(tǒng)計算環(huán)境安全的機構(gòu)提供指南，包括信息的處理、存儲和通過外部或者面向服務的計算環(huán)境（如云計算環(huán)境提供者）進行傳輸?shù)陌踩?/p>

1.3CCSA "電信網(wǎng)和互聯(lián)網(wǎng)安全防護體系"系列

中國通信標準化協(xié)會（CCSA）發(fā)布了“電信網(wǎng)和互聯(lián)網(wǎng)安全防護體系”系列標準，從技術(shù)和管理兩個方面分析電信網(wǎng)和互聯(lián)網(wǎng)存在的脆弱性，在設(shè)備等級保護定級的基礎(chǔ)上，規(guī)定了電信網(wǎng)和互聯(lián)網(wǎng)安全防護工作的要求，即安全防護要求和安全防護檢測要求。

該系列標準根據(jù)電信網(wǎng)和互聯(lián)網(wǎng)全程全網(wǎng)的特點，分為固定通信網(wǎng)、移動通信網(wǎng)、互聯(lián)網(wǎng)、增值業(yè)務網(wǎng)、非核心生產(chǎn)單元等類別，目前已發(fā)布44個標準。其中，互聯(lián)網(wǎng)包括經(jīng)營性互聯(lián)網(wǎng)信息服務單位、互聯(lián)網(wǎng)接入服務單位等。增值業(yè)務網(wǎng)包括消息網(wǎng)、智能網(wǎng)等業(yè)務平臺以及業(yè)務管理平臺。

該系列標準根據(jù)不同系統(tǒng)的備案等級，制訂了不同的防護要求和檢測要求，滿足了相關(guān)部委的安全要求。從歷年的安全案例看，互聯(lián)網(wǎng)滲透有“一點突破，全網(wǎng)皆失”的特點，只有全面提升攻擊暴露面設(shè)備和系統(tǒng)的安全能力，才能夠保障電信網(wǎng)絡的整體安全。

2　聯(lián)網(wǎng)系統(tǒng)通用安全能力技術(shù)方案

通過對聯(lián)網(wǎng)系統(tǒng)和設(shè)備的通用安全風險進行分析，并對這些安全風險進行歸納和總結(jié)，從網(wǎng)絡結(jié)構(gòu)、設(shè)備、平臺及軟件和應用系統(tǒng)等角度對聯(lián)網(wǎng)系統(tǒng)應具備的通用安全能力提出技術(shù)要求，從而在設(shè)計和維護中盡量避免或降低安全風險。同時，制定全面明確的風險評測方案，避免聯(lián)網(wǎng)系統(tǒng)帶病運行，為通信服務及業(yè)務的安全性和持續(xù)性提供保障。

2.1安全模型

從聯(lián)網(wǎng)系統(tǒng)及設(shè)備所涉及的各類軟硬件資源出發(fā)，依據(jù)不同類型資源的耦合度，將其劃分為4個層次：網(wǎng)絡、設(shè)備、平臺及軟件和系統(tǒng)。通用安全能力模型各層次的的主要組成部分如圖2所示。

圖2　通用安全能力模型

網(wǎng)絡結(jié)構(gòu)安全：聯(lián)網(wǎng)系統(tǒng)服務器需部署在精心設(shè)計的網(wǎng)絡安全域，并采取適當?shù)陌踩胧?/p>

設(shè)備安全：網(wǎng)絡設(shè)備應進行安全配置，以便保護聯(lián)網(wǎng)系統(tǒng)的安全。

平臺及軟件安全：聯(lián)網(wǎng)系統(tǒng)在開發(fā)中使用的軟件平臺和第三方組件，這些平臺和組件中的漏洞將直接影響到聯(lián)網(wǎng)系統(tǒng)的安全性。

應用系統(tǒng)安全：應用系統(tǒng)軟件應具備足夠的安全措施，保護聯(lián)網(wǎng)系統(tǒng)業(yè)務和數(shù)據(jù)的安全性。

2.2技術(shù)要求

2.2.1網(wǎng)絡結(jié)構(gòu)安全

網(wǎng)絡結(jié)構(gòu)安全指在網(wǎng)絡拓撲、安全域方面具備相應的安全能力，根據(jù)系統(tǒng)內(nèi)部網(wǎng)絡結(jié)構(gòu)特點，按照統(tǒng)一的管理和控制原則劃分不同的子網(wǎng)或網(wǎng)段，設(shè)備依照功能劃分及其重要性等因素分區(qū)部署。建立與網(wǎng)絡拓撲設(shè)計相同的實際網(wǎng)絡架構(gòu)，并對網(wǎng)絡設(shè)備的運行狀態(tài)進行監(jiān)控；網(wǎng)絡結(jié)構(gòu)安全從網(wǎng)絡拓撲、安全域方面進行安全評估，重點評估物理鏈路、數(shù)據(jù)路徑、流量控制、安全域劃分及隔離防護策略等信息安全技術(shù)要求。

2.2.2設(shè)備安全

設(shè)備安全能力要求主要包括：進行適當?shù)馁~號和口令安全管理，以及賬號授權(quán)管理；適當配置設(shè)備日志功能，記錄用戶對設(shè)備的操作以及相關(guān)安全事件，并保證日志的安全性；保障設(shè)備傳輸協(xié)議安全以及設(shè)備控制界面/接口的安全；主機操作系統(tǒng)應進行安全配置，定期系統(tǒng)安全維護，并安裝殺毒軟件；主機系統(tǒng)應避免安裝其它威脅系統(tǒng)安全的軟件。

2.2.3平臺及軟件安全

平臺及軟件從軟件架構(gòu)上可以分為Web軟件、中間件、第三方組件、數(shù)據(jù)庫等。其中，第三方組件包括在線編輯器、Web框架以及其它第三方組件。對采用的軟件平臺及第三方組件應登記并定期跟蹤相關(guān)的漏洞通告，依據(jù)官方建議采取相應處置措施并修補漏洞。數(shù)據(jù)庫安全應從數(shù)據(jù)庫版本，數(shù)據(jù)庫權(quán)限管理，數(shù)據(jù)庫賬號口令、數(shù)據(jù)庫訪問控制、常見數(shù)據(jù)庫漏洞、數(shù)據(jù)庫日志等6個方面加強安全控制措施。

2.2.4應用系統(tǒng)安全

應用系統(tǒng)安全主要包括賬戶及口令安全、權(quán)限控制、會話管理3個方面的安全技術(shù)要求。

（1）賬戶及口令安全：包括操作系統(tǒng)賬戶、Web系統(tǒng)賬戶、第三方系統(tǒng)賬戶等，重點評測這些賬戶的口令復雜度、登錄頁面安全性、登錄錯誤次數(shù)限制等。

（2）權(quán)限控制：包括訪問控制、WAP鑒權(quán)、上傳目錄權(quán)限和短信接口濫用等。

（3）會話管理：包括會話超時、會話終止、會話標識管理等。

2.3評測規(guī)范

聯(lián)網(wǎng)系統(tǒng)的安全能力評測中，比較突出的問題就是過分依賴自動化測試工具。如果主要使用自動化測試工具完成評測，測試的全面性和深度都會有一定欠缺。僅提供安全能力的技術(shù)要求，還不能夠幫助安全人員完成全面的安全能力評測。通過對當前安全漏洞和檢測方法的總結(jié)，提供適當?shù)脑u測規(guī)范將對聯(lián)網(wǎng)系統(tǒng)的安全能力提升起到積極作用。評測規(guī)范對各類技術(shù)要求涉及的安全漏洞的測試方法進行了詳細的描述，主要涉及的評測方法包括3個方面。

（1） 自動化評測工具可以完成的評測項，推薦主流評測工具完成。

（2）需要手工完成的評測項，給出具體的評測步驟，保證僅具有計算機基礎(chǔ)知識的人員可以根據(jù)評測步驟描述完成評測項。

（3）需要在工具的輔助下進行半自動測試的評測項，提供典型評測思路，指導評測人員更加全面的完成評測。

3　總結(jié)

聯(lián)網(wǎng)系統(tǒng)涉及到電信企業(yè)的業(yè)務和基礎(chǔ)設(shè)施，暴露在黑客等惡意人員的攻擊面下，有效提高聯(lián)網(wǎng)系統(tǒng)的安全能力，才能保障電信業(yè)務的持續(xù)穩(wěn)定開展。本文介紹了對國內(nèi)外相關(guān)標準和規(guī)范的進展和特點，提出了通用安全能力評測方案，通過建立全面的技術(shù)要求，并結(jié)合精細化的評測規(guī)范，對保護聯(lián)網(wǎng)系統(tǒng)的安全性有著特別重要的意義。

［1］ 張震， 張洪剛. 面向電信運營商的系統(tǒng)漏洞分級體系研究［J］. 電信工程技術(shù)與標準化， 2010，23（9）：35-38.

［2］ 嚴霄鳳， 高熾揚. 美國聯(lián)邦信息安全風險管理框架及其相關(guān)標準研究［J］. 信息安全與通信保密， 2009，（2）：13-16.

The standardization progress and solution of security assessment of networking system

ZHAO Bei， DU Xue-tao， XUE Shan， WU Ri-qiefu
（China Mobile Group Design Institute Co.， Ltd.， Beijing 100080， China）

This paper tracked the research progress and characteristics of information system security evaluation standards at home and abroad. The general technical requirements and comprehensive evaluation standard is put forward， so that the network system security evaluation and effi ciency is comprehensively improved.

general security capability； security assessment； evaluate pecifi cation

TN918

A

1008-5599（2015）12-0050-04