电信网安全防护体系研究及标准化进展

admin

摘要　针对电信网安全等级保护、安全风险评估和灾难备份及恢复三部分工作的基本概念以及实施步骤进行了说明，分析了在电信网安全防护体系中，这三者之间的关系，并介绍了相关标准的进展情况。
1、引言
　　《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）和《2006～2020年国家信息化发展战略》（中办发[2006]11号）的出台，标志着我国已经把信息安全保障工作提高到了空前重要的战略地位，同时也明确了我国信息安全保障工作的发展战略。
　　在27号文和11号文中，明确提出了信息安全保障工作的内容分为三部分：安全等级保护、安全风险评估以及灾难备份及恢复。同时，27号文也明确了“国家公用通信网”包括通常所指“基础电信网络（固定网络）”、“移动通信网”、“公用互联网”和“卫星通信网”等基础电信网络。为了将安全保障的工作落实到基础电信网络，我们充分研究了安全等级保护、安全风险评估以及灾难备份及恢复三部分内容，将其有机结合，形成了基础电信网络的安全防护体系。本文分别针对基础电信网络安全防护工作的三部分内容及安全防护体系进行详细分析，并介绍了电信网安全防护标准的进展情况。
　　在本文后续内容中，如没有歧义，为方便起见，将基础电信网络统称为电信网。
2、安全等级保护
　　2.1　基本概念
　　（1）电信网的安全等级：电信网重要程度的表征。重要程度从电信网及其相关系统受到破坏后，对国家安全、社会秩序、经济建设、公共利益、网络和业务运营商造成的损害来衡量。
　　（2）电信网安全等级保护：指对电信网分等级实施安全保护。
　　众所周知，安全没有绝对。因此，电信网安全等级保护工作就是要根据电信网重要程度的不同，对其进行重点保护和有效保护，增强安全保护工作的整体性、针对性和实效性，使电信网的安全建设能够突出重点、统一规范、科学合理。
　　2.2　安全等级保护实施
　　实施电信网安全等级保护工作就是要对电信网进行安全等级划分，从而明确针对不同等级的保障电信网安全的最基本要求，并将这些要求落实到电信网中，从而使电信网具有最基本的安全防护能力，确保其安全性和可靠性。
　　电信网生命周期包括5个阶段：启动阶段、设计阶段、实施阶段、运维阶段和废弃阶段。电信网安全等级保护工作贯穿于电信网生命周期的各个阶段，是一个不断循环和不断提高的过程。针对新建电信网和已建电信网，其安全等级保护工作的实施过程是基本相同的，只是在电信网生命周期中的切入点不同。
　　电信网安全等级保护的实施过程包括5个阶段：
　　（1）安全等级确定：根据电信网受到破坏后，对国家安全、社会秩序、经济建设、公共利益、网络和业务运营商造成的损害程度来确定安全等级。
　　（2）安全规划设计：进一步分析电信网安全保护现状与安全等级保护要求之间的差距，确定安全需求，设计合理的、满足安全等级保护要求的总体安全方案，制定出安全建设规划。
　　（3）安全实施：将安全规划设计阶段设计的安全总体方案落实到电信网中，形成安全技术和管理体系。
　　（4）安全运维：由于电信网处于不断地变化发展中，因此在电信网安全运维阶段，需要根据安全等级保护的需要对安全技术和管理体系不断调整和持续改进，确保电信网满足相应等级的安全要求。
　　当电信网发生变更时，首先需要确定是局部变更还是重大变更。如果只是局部变更，带来的影响不大，只需对已实施的电信网安全技术和管理体系进行调整。如果发生的是重大变更，则需要重新开始安全防护工作，即从安全等级确定阶段重新进行安全防护工作。
　　（5）安全资产终止：在安全资产终止阶段对信息、设备、介质进行终止处理时，防止敏感信息的泄露，保障电信网和互联网及相关系统的安全。
3、安全风险评估
　　3.1　基本概念
　　（1）电信网安全风险：人为或自然的威胁利用电信网存在弱性导致安全事件的发生及其对组织造成的影响。
　　（2）电信网安全风险评估：指运用科学的方法和手段，系统地分析电信网所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度。为进一步提出有针对性的抵御威胁的防护对策和安全措施，防范和化解电信网安全风险，将风险控制在可接受的水平，最大限度地保障电信网的安全提供科学依据。
　　电信网安全风险评估工作是以资产为出发点、以威胁为触发点、以技术、管理以及运行等方面存在的脆弱性为诱因，充分考虑电信网已经采取的安全措施，评估安全事件发生的概率以及可能造成的损失，从电信网风险管理的角度提出预防性措施的过程。
　　3.2　安全风险评估实施
　　电信网安全风险评估工作就是要充分了解电信网的安全现状以及存在的风险，为进一步规避损失、采取安全防护措施提供依据，从而保证电信网的安全可靠运行。
　　如同电信网安全等级保护工作，电信网安全风险评估应贯穿于电信网生命周期的各阶段中，在生命周期不同阶段的安全风险评估原则和方法是一致的。
　　电信网安全风险评估的实施过程包括以下几个步骤：
　　（1）风险评估准备：风险评估的准备是整个风险评估过程有效性的保证。风险评估的实施过程，会受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响。因此，在风险评估实施前，需要获得上级领导部门的支持和相关部门的配合，需要明确风险评估的对象、目标、内容、依据和方法等，需要组建相应的团队。
　　（2）资产识别：资产指电信网中有价值的资源。风险评估的实施对象就是电信网中各种有形和无形的资源。资产的识别就是根据资产的安全状况对于组织的重要性为资产赋值的过程。电信网资产赋值需要综合考虑资产的社会影响力、业务价值和可用性3个安全属性。
　　（3）威胁识别：威胁是一种对资产构成潜在破坏的可能性因素，是客观存在的。在对威胁进行识别时，要充分考虑技术、环境以及人为的因素，分析威胁出现的频率。
　　（4）脆弱性识别：脆弱性是对一个或多个资产弱点的总称，是资产本身存在的。脆弱性识别以资产为核心，从技术和管理两个方面，分析资产存在的脆弱性以及脆弱性的严重程度。在脆弱性识别过程中需要注意的是，资产的脆弱性具有隐蔽性，有些脆弱性只有在一定条件和环境下才能显现，而且一些不正确的、起不到应有作用的或没有正确实施的安全措施本身也可能是脆弱性。
　　（5）风险计算：在完成资产识别、威胁识别、脆弱性识别后，通过分析威胁出现的频率和存在的脆弱性得出安全事件发生的可能性，通过分析脆弱性严重程度和资产价值得出安全事件一旦发生可能造成的损失，最后通过安全事件发生的可能性和安全事件的损失计算电信网的风险值。
　　（6）已有安全措施的确认：在电信网安全风险评估的过程中，应对已采取的安全措施的有效性进行确认。继续保持有效的安全措施，防止安全措施的重复实施。对于确认为不适当的安全措施应核实是否取消，或者用更合适的安全措施替代。
　　（7）风险分析：在得到电信网资产的风险值之后，结合资产已经采取的安全措施判断其风险是否在可以接受的范围内，如在可接受范围内，应保持已有的安全措施；如果不在可接受的范围外，则需要制定风险处理计划并采取新的安全措施降低、控制风险，将风险控制在可接受的水平。
4、灾难备份及恢复
　　4.1　基本概念
　　（1）电信网灾难：由于各种原因，造成电信网故障或瘫痪，使电信网支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。
　　（2）电信网灾难备份：为了电信网灾难恢复而对相关网络要素进行备份的过程。
　　（3）电信网灾难恢复：为了将电信网从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态，而设计的活动和流程。
　　电信网灾难备份及恢复工作就是要从管理和技术的角度出发，分析电信网不同等级的安全需求，平衡效益与成本，制定灾难备份及恢复策略。在此基础上实现灾难备份技术方案，构建并执行灾难恢复预案，提高电信网抵御灾难的能力，尽可能减小因灾难引起的各种损失，从而增强电信网和互联网的安全防护能力和持续作业能力，确保已有的电信网在灾难发生后，在确定的时间内可以恢复和继续运行。
　　4.2　灾难备份及恢复实施
　　针对电信网不同网络、不同相关系统、不同重要级别的业务，灾难备份及恢复工作所要达到的目标是不同的。电信网灾难备份及恢复工作应根据安全等级保护确定的安全等级以及安全风险分析的相关结果进行需求分析，制定、实现相应的灾难备份及恢复策略，并构建灾难恢复预案，这是一个循环改进的过程。
　　在电信网灾难备份及恢复过程中，需要考虑6个资源要素：冗余系统、冗余设备及冗余链路，冗余路由，备份数据，人员和技术支持能力，运行维护管理能力，灾难恢复预案。
　　电信网灾难备份及恢复的实施过程如下：
　　（1）需求分析：在需求分析阶段，根据安全等级保护工作所确定的安全等级确定电信网灾难备份及恢复的等级，根据不同等级的灾难备份及恢复要求，充分考虑风险评估的结果，依据防范或控制风险的可行性和残余风险的可接受程度，明确灾难备份及恢复的目标及需要考虑的资源要素。
　　（2）策略制定：根据电信网灾难备份及恢复的等级和目标，充分考虑实施资源要素的成本和灾难可能造成的损失之间的关系，确定电信网灾难备份及恢复的策略，在策略制定过程中应明确资源要素的获取方式和具体要求。
　　（3）策略实现：从6个不同的资源要素入手，实现所制定的灾难备份及恢复策略。电信网灾难备份及恢复策略的实现包括4个关键部分：灾难备份技术方案，人员和技术支持能力，运行维护管理能力以及灾难恢复预案。
5、安全防护体系
　　安全等级保护、安全风险评估、灾难备份与恢复三部分工作有机结合，互为依托、互为补充，共同构成了电信网安全防护体系。电信网安全等级保护、安全风险评估和灾难备份及恢复工作应随着电信网的发展变化而动态调整，适应国家对电信网的安全要求。
　　5.1　安全等级保护与安全风险评估
　　安全等级保护是指导电信网安全防护工作的基础管理原则，其核心内容是根据电信网的重要程度进行安全等级划分，并针对不同的等级，提出安全要求。因为电信网风险评估中进行资产识别时要考虑的两个资产安全属性社会影响力和业务价值，与电信网进行安全保护等级确定时要考虑的两个定级要素社会影响力和所提供服务的重要性具有非常强的关联性。因此，电信网风险评估中所识别而确定的资产价值要与电信网安全保护的等级相适应，而风险评估中的资产识别也是确定安全等级的参考依据。电信网的安全风险评估过程要充分考虑安全等级保护工作提出的安全要求，判断电信网的安全状况与安全等级保护要求之间的差距，判断网络在现有安全防护措施基础上残存的风险是否可接受，并根据安全等级保护的要求不断完善安全保护措施。因此，安全风险评估工作也是开展安全等级保护工作的重要手段，安全措施的规划、设计、建设实施和运行维护等过程都离不开安全风险评估。
　　5.2　安全等级保护与灾难备份及恢复
　　电信网安全等级保护工作是依据电信网的重要程度，对网络进行分等级的保护、管理和响应。因此，电信网安全等级保护工作体现了上级主管部门对电信网的安全保护水平要求，直接影响到灾难备份及恢复工作的设计和规划。电信网的安全保护等级决定了灾难备份和恢复的实施等级。电信网灾难备份及恢复是对电信网安全等级保护要求的落实，通过灾难备份及恢复工作对灾难事件进行预防和补救，确保灾难发生后，能够及时实现电信网及其业务功能的恢复，保障电信网及其业务运行能够满足安全等级保护的要求。
　　5.3　安全风险评估与灾难备份与恢复
　　电信网的安全风险评估工作预测发生灾难的可能性以及灾难发生造成的影响，为灾难备份及恢复工作提供参考，依据防范或控制风险的可行性和残余风险的可接受程度，确定对风险的防范和控制措施，进而确定灾难恢复的目标并制定合理可行的灾难恢复预案。灾难备份及恢复是对电信网可能存在的安全事件的预防、补救措施，确保当灾难发生后，可以将电信网及其业务功能从灾难造成的故障或瘫痪状态恢复到可接受状态。
6、标准化工作
　　为了尽快将27号文和11号文对安全等级保护、安全风险评估和灾难备份及恢复工作的要求尽快落实到电信网中，中国通信标准化协会（CCSA）于2006年10月18日成立了“电信网安全防护特设组”进行电信网安全防护系列标准的制定。通过多次标准会议讨论，到目前为止形成了如图1所示的电信网安全防护标准体系。

图1　电信网安全防护标准体系

　　整个电信网安全防护标准体系分为三层，第一层为安全防护管理指南，是整个安全防护体系的总体指导性文件，明确了电信网安全防护的定义、目标、原则，并说明了安全防护体系中的角色划分以及体系组成。
　　第二层从宏观的角度明确了如何进行安全防护的三项工作，规范了安全防护体系中安全等级保护、安全风险评估、灾难备份及恢复等三部分工作的原则、流程、方法、步骤等。
　　第三层明确了电信网安全防护工作的具体要求，包括安全防护要求和安全防护检测要求两部分。安全防护要求明确了电信网及相关系统需要落实的安全管理和技术措施，涵盖了安全等级保护、安全风险评估、灾难备份及恢复等三部分内容。而与安全防护要求相对应的安全防护检测要求则为主管部门或主管部门授权的具有安全防护检测服务资质的检测机构提供了对电信网安全防护工作进行检查的方法，以此确认网络和业务运营商、设备制造商在安全防护工作实施过程中是否满足了相关安全防护要求。
　　根据电信网的特点，为了突出全程全网的概念，第三层文件按照电信业务网及其相关系统来组织。电信业务网包括固定通信网、移动通信网、互联网和增值业务网，其中增值业务网体现为消息网、智能网等业务平台以及业务管理平台。同时，将固定通信网、移动通信网、互联网的共同部分抽取出来作为其相关系统，包括接入网，传送网，IP承载网，信令网，同步网，支撑网等。其中，接入网包括各种有线、无线和卫星接入网等，传送网包括光缆，波分，SDH，卫星等，而支撑网则包括业务支撑和网管系统。对于用户终端来言，由于移动智能卡是由运营商发放并管理的，因此纳入移动通信网安全防护范围，而固定终端、互联网终端、以及移动手机等用户终端设备属于用户管理并使用的设备，因此不在电信网安全防护范围之内。随着电信网的发展，安全防护体系第三层的内容将进一步丰富和完善。