信息安全風險管理理論在IP城域網的應用

隨著寬帶網絡和用戶規模的不斷增長，用戶對寬帶接入業務的高可用性要求不斷增強，對電信運營商在IP城域、接入網絡和支撐系統提出了更高的安全性要求。本文從信息安全管理的理念、方法學和相關技術入手，結合電信IP城域網，提出電信IP城域網安全管理、風險評估和加固的實踐方法建議。

　　關鍵字（Keywords）：

　　安全管理、風險、弱點、評估、城域網、IP、AAA、DNS

　　1 信息安全管理概述

　　普遍意義上，對信息安全的定義是“保護信息系統和信息，防止其因為偶然或惡意侵犯而導致信息的破壞、更改和泄漏，保證信息系統能夠連續、可靠、正常的運行”。所以說信息安全應該理解為一個動態的管理過程，通過一系列的安全管理活動來保證信息和信息系統的安全需求得到持續滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴性”、“可追溯性”和“真實性”等。

　　信息安全管理的本質，可以看作是動態地對信息安全風險的管理，即要實現對信息和信息系統的風險進行有效管理和控制。標準ISO15408－1（信息安全風險管理和評估規則），給出了一個非常經典的信息安全風險管理模型，如下圖一所示：

　　圖一 信息安全風險管理模型

　　既然信息安全是一個管理過程，則對PDCA模型有適用性，結合信息安全管理相關標準BS7799(ISO17799）,信息安全管理過程就是PLAN-DO-CHECK-ACT（計劃－實施與部署－監控與評估－維護和改進）的循環過程。

　　圖二 信息安全體系的“PDCA”管理模型

　　2 建立信息安全管理體系的主要步驟

　　如圖二所示，在PLAN階段，就需要遵照BS7799等相關標準、結合企業信息系統實際情況，建設適合于自身的ISMS信息安全管理體系，ISMS的構建包含以下主要步驟：

　　（1） 確定ISMS的范疇和安全邊界

　　（2） 在范疇內定義信息安全策略、方針和指南

　　（3） 對范疇內的相關信息和信息系統進行風險評估

　　a） Planning（規劃）

　　b） Information Gathering（信息搜集）

　　c） Risk Analysis（風險分析）

　　u Assets Identification & valuation(資產鑒別與資產評估）

　　u Threat Analysis（威脅分析）

　　u Vulnerability Analysis（弱點分析）

　　u 資產/威脅/弱點的映射表

　　u Impact & Likelihood Assessment（影響和可能性評估）

　　u Risk Result Analysis（風險結果分析）

　　d） Identifying & Selecting Safeguards（鑒別和選擇防護措施）

　　e） Monitoring & Implementation（監控和實施）

　　f） Effect estimation（效果檢查與評估）

　　（4） 實施和運營初步的ISMS體系

　　（5） 對ISMS運營的過程和效果進行監控

　　（6） 在運營中對ISMS進行不斷優化

　　3 IP寬帶網絡安全風險管理主要實踐步驟

　　目前，寬帶IP網絡所接入的客戶對網絡可用性和自身信息系統的安全性需求越來越高，且IP寬帶網絡及客戶所處的信息安全環境和所面臨的主要安全威脅又在不斷變化。IP寬帶網絡的運營者意識到有必要對IP寬帶網絡進行系統的安全管理，以使得能夠動態的了解、管理和控制各種可能存在的安全風險。
   由于網絡運營者目前對于信息安全管理還缺乏相應的管理經驗和人才隊伍，所以一般采用信息安全咨詢外包的方式來建立IP寬帶網絡的信息安全管理體系。此類咨詢項目一般按照以下幾個階段，進行項目實踐：

　　3.1 項目準備階段。

　　a） 主要搜集和分析與項目相關的背景信息；

　　b） 和客戶溝通并明確項目范圍、目標與藍圖；

　　c） 建議并明確項目成員組成和分工；

　　d） 對項目約束條件和風險進行聲明；

　　e） 對客戶領導和項目成員進行意識、知識或工具培訓；

　　f） 匯報項目進度計劃并獲得客戶領導批準等。

　　3.2 項目執行階段。

　　a） 在項目范圍內進行安全域劃分；

　　b） 分安全域進行資料搜集和訪談，包括用戶規模、用戶分布、網絡結構、路由協議與策略、認證協議與策略、DNS服務策略、相關主機和數據庫配置信息、機房和環境安全條件、已有的安全防護措施、曾經發生過的安全事件信息等；

　　c） 在各個安全域進行資產鑒別、價值分析、威脅分析、弱點分析、可能性分析和影響分析，形成資產表、威脅評估表、風險評估表和風險關系映射表；

　　d） 對存在的主要風險進行風險等級綜合評價，并按照重要次序，給出相應的防護措施選擇和風險處置建議。

　　3.3 項目總結階段

　　a） 項目中產生的策略、指南等文檔進行審核和批準；

　　b） 對項目資產鑒別報告、風險分析報告進行審核和批準；

　　c） 對需要進行的相關風險處置建議進行項目安排；

　　4 IP寬帶網絡安全風險管理實踐要點分析

　　運營商IP寬帶網絡和常見的針對以主機為核心的IT系統的安全風險管理不同，其覆蓋的范圍和影響因素有很大差異性。所以不能直接套用通用的風險管理的方法和資料。在項目執行的不同階段，需要特別注意以下要點：

　　4.1 安全目標

　　充分保證自身IP寬帶網絡及相關管理支撐系統的安全性、保證客戶的業務可用性和質量。

　　4.2 項目范疇

　　應該包含寬帶IP骨干網、IP城域網、IP接入網及接入網關設備、管理支撐系統：如網管系統、AAA平臺、DNS等。

　　4.3 項目成員

　　應該得到運營商高層領導的明確支持，項目組長應該具備管理大型安全咨詢項目經驗的人承擔，且項目成員除了包含一些專業安全評估人員之外，還應該包含與寬帶IP相關的“業務與網絡規劃”、“設備與系統維護”、“業務管理”和“相關系統集成商和軟件開發商”人員。

　　4.4 背景信息搜集：

　　背景信息搜集之前，應該對信息搜集對象進行分組，即分為IP骨干網小組、IP接入網小組、管理支撐系統小組等。分組搜集的信息應包含：

　　a） IP寬帶網絡總體架構

　　b） 城域網結構和配置

　　c） 接入網結構和配置

　　d） AAA平臺系統結構和配置

　　e） DNS系統結構和配置

　　f） 相關主機和設備的軟硬件信息

　　g） 相關業務操作規范、流程和接口

　　h） 相關業務數據的生成、存儲和安全需求信息

　　i） 已有的安全事故記錄

　　j） 已有的安全產品和已經部署的安全控制措施

　　k） 相關機房的物理環境信息

　　l） 已有的安全管理策略、規定和指南

　　m） 其它相關

　　4.5 資產鑒別

　　資產鑒別應該自頂向下進行鑒別，必須具備層次性。最頂層可以將資產鑒別為城域網、接入網、AAA平臺、DNS平臺、網管系統等一級資產組；然后可以在一級資產組內，按照功能或地域進行劃分二級資產組，如AAA平臺一級資產組可以劃分為RADIUS組、DB組、計費組、網絡通信設備組等二級資產組；進一步可以針對各個二級資產組的每個設備進行更為細致的資產鑒別，鑒別其設備類型、地址配置、軟硬件配置等信息。

　　4.6 威脅分析

　　威脅分析應該具有針對性，即按照不同的資產組進行針對性威脅分析。如針對IP城域網，其主要風險可能是：蠕蟲、P2P、路由攻擊、路由設備入侵等；而對于DNS或AAA平臺，其主要風險可能包括：主機病毒、后門程序、應用服務的DOS攻擊、主機入侵、數據庫攻擊、DNS釣魚等。

　　4.7 威脅影響分析

　　是指對不同威脅其可能造成的危害進行評定，作為下一步是否采取或采取何種處置措施的參考依據。在威脅影響分析中應該充分參考運營商意見，尤其要充分考慮威脅發生后可能造成的社會影響和信譽影響。

　　4.8 威脅可能性分析

　　是指某種威脅可能發生的概率，其發生概率評定非常困難，所以一般情況下都應該采用定性的分析方法，制定出一套評價規則，主要由運營商管理人員按照規則進行評價。

　　4.9 風險處置

　　針對IP城域網風險分析結果，在進行風險處置建議的時候，需要綜合考慮以下多方面的因素：效用、成本、對業務、組織和流程的影響、技術成熟度等。