电信运营企业的安全基线与等级保护.docVIP

摘要　简要介绍了电信网络的安全问题与标准化工作，并从两个方面对电信网络的安全保护进行了阐述（一是安全基线，二是等级保护），最后对二者进行了比较分析。 1、引言 　　电信网络作为国民经济的基础设施，与国民经济各领域的联系日益紧密，网络安全问题对整个国民经济信息化进程有着举足轻重的战略意义。电信网络安全是国家信息安全的一个重要组成部分，越来越受到社会各领域的重点关注。关于电信网络的安全保护，有两种思考方法，一种是从安全基线的角度考虑问题，另一种是从等级保护的角度考虑安全问题，本文将对此作一简略阐述和比较分析。 2、电信网络的安全问题与标准化工作 　　从狭义的安全定义来说，传统的电信网络一般认为是没有安全问题的，这是因为一方面网络传输采用TDM专线，用户采用面向连接的通道进行通信，其他用户很难搭线盗听；另一方面，采用独立的信令网，信令网的安全可靠保证了网络的安全。电信网络所存在的威胁和脆弱性大部分来自网络自身的可用性问题。 　　随着软交换，IMS等新技术的采用，承载网的分组化，用户终端的智能化，使得电信网络变得越来越复杂，特别是下一代网络继承了分组IP网络的主要安全问题，包括DoS攻击、病毒蠕虫木马的入侵、信息窃取、地址欺骗等。因此电信网络的安全问题变得越来越重要，也吸引了包括运营商、设备商和用户在内的众多专家关注。解决电信网络的安全问题，一是靠技术，二是靠管理。 　　国内外的标准化组织正在加紧工作，制定电信网络安全管理方面的标准。中国通信标准化协会（CCSA）下属网络与信息安全技术工作委员会（TC8），正在制定信息安全运行管理、网络与信息安全服务、网络安全应急响应方面的标准，近期也启动了电信网安全需求、网络安全风险评估方面的项目，还将开展X.1051采标、网络安全应急处理等相关标准研究。除此之外，CCSA在2006年10月成立了“电信网安全防护特设项目组”，在半年多的时间内，完成了“电信网和互联网安全防护体系”的20多个标准的起草工作。 　　国标电联标准化委员会第17组（ITU-T SG17）负责安全方面的标准，已发布的ITU-TX.1051（信息安全管理系统——电信需求ISMS-T）日益成为SG17组安全管理标准领域的一个基础标准。ISMS-T是BS 7799和ISO 17799的系列标准在电信领域的延伸和具体化。目前在SG17组，已经规划了相当数量的标准预留编号，为ISMS-T标准进行系列深入研究和后续的标准化作好了准备。国内TC8的标准《信息安全运行管理系统总体架构》也提交到了SG17。 　　另外一个制定信息安全管理方面标准的组织是ISO/IEC JTC 1/SC27，已发布的标准有ISO/IEC 17799和27001，正在开发的有27000系列的其它标准，以及18028系列（IT网络安全）。 3、安全基线 　　3.1　安全基线概念 　　安全基线，是借用“基线”的概念。字典上对“基线”的解释是：一种在测量、计算或定位中的基本参照。如海岸基线，是水位到达的水位线。类比于“木桶理论”，可以认为安全基线是安全木桶的最短板，或者说，是最低的安全要求。 　　3.2　安全运行管理系统 　　目前，电信运营企业在网络与信息系统的安全管理上仍然存在不足，无论是管理模式还是技术手段，都不能很好地适应业务发展对网络和信息安全提出的挑战。建立信息安全运行管理系统（ISMS-T），进行集中统一的安全运行管理，是应对这一挑战的方式。信息安全管理体系的建立和维护应遵循PDCA管理循环（见图1），在计划（P）阶段提供风险评估和安全策略功能，在执行（D）阶段提供安全对象风险管理以及流程管理功能，在检查（C）阶段提供系统安全监控、事件审计、残余风险评估功能，在改进（A）阶段提供安全事件管理功能。而定义安全基线，可以帮助运营企业理清安全管理问题，提供安全管理手段，提高管理水平。 图1　PDCA模型 　　3.3　X.sbno近期进展 　　ITU-T SG17组2005年10月成立了“网络运营商安全基线”焦点组，计划在2005～2008研究期内完成网络运营商安全基线（Security Baseline for Network Operators）建议X.sbno。该建议定义一个安全基线，可以让网络运营商对照评估自己的网络和信息安全状况，其范围包括有哪些现有安全标准，针对具体需求该应用哪个标准，何时、如何应用这些标准。该建议书描述了一个网络运营商与其他实体（包括其他运营商、用户、执法机构）合作对付安全威胁时应该采取的态度和能力。该建议书也可被多个运营商用来互相评估。 　　2006年3月30日，焦点组在莫斯科举行了第一次会议，拟定了一个调查表，向全球100多个运营商发放，看看安全基线中应包含哪些问题。在开发安全基线建议X.sbno时，焦点组参考了这次调查的结果。X.s