聯網系統通用安全評測的標準化進展及解決方案

趙　蓓， 杜雪濤， 薛　姍， 吳日切夫（中國移動通信集團設計院有限公司，北京 100080）

聯網系統通用安全評測的標準化進展及解決方案

趙蓓， 杜雪濤， 薛姍， 吳日切夫
（中國移動通信集團設計院有限公司，北京 100080）

本文跟蹤了國內外信息系統安全評測標準的研究進展和特點，提出了聯網系統通用能力技術要求和全面評測規范相結合的解決方案，有效提高聯網系統安全評測的全面性和高效性。

通用安全能力； 安全評測； 評測規范

隨著移動互聯網的迅猛發展，越來越多的通信企業的各類系統與設備可以從互聯網直接訪問和維護。在帶來便利性的同時，也存在一定的安全風險。從全球網絡安全態勢看，網絡攻擊日益組織化、自動化和趨利化。通信行業所負責國家級通信基礎設施和所承載的海量用戶信息成為黑客的天然攻擊焦點。歷年第三方信息安全監測組織公布的相關安全問題數據中，電信業相關聯網系統和設備的安全風險也居高不下。這些漏洞中甚至包括一些對系統和業務有重大危害的高危漏洞。

聯網系統和設備的安全風險具有通用性，因此有必要對聯網系統的安全問題進行全面和深入的研究。提高聯網系統的安全能力，需要從規劃、開發、建設、維護和管理等一系列方面全面進行，系統安全評測是安全管控的關鍵節點。通過對聯網系統和設備的通用安全性進行技術評測，發現安全短板是提升通信企業系統與網絡的安全能力的有效方法。

1　信息系統安全評測標準化進展

信息系統的安全防護能力指信息系統能夠抵抗內、外部惡意人員對信息系統的攻擊和破壞，一直以來信息系統安全防護能力的建設和評測都是安全研究的重點。國內外標準組織發布和更新相關規范，指導信息系統的安全防護能力的提高。

在這些相關安全規范和標準中，以國際標準化組織的ISO/IEC 27000，美國國家標準與技術研究院的NIST SP800等系列標準具有典型指導意義。

1.1ISO/IEC 27000系列

ISO/IEC 27000標準是國際標準化組織專門為信息安全管理體系建立的一系列相關標準的稱呼，已經預留了ISO/ IEC 27000到ISO/IEC 27059共 60個標準號，到目前為止，正式發布的信息安全管理體系 （ISMS）標準有8個，其中兩個已經轉化成國家標準。

ISO/IEC 27000系列標準基本可以分為四部分。第一部分是要求和支持性指南，是信息安全管理體系的基礎和基本要求；第二部分是有關認證認可和審核的指南，面向認證機構和審核人員；第三部分是面向專門行業的信息安全管理要求，如金融業、電信業或者專門應用于某個具體的安全域；第四部分是應用于健康行業的標準ISO 27799，以及一些處于研究階段，如供應鏈安全、存儲安全等。

收稿日期：2015-09-08

圖1　ISO/IEC 27001控制結構

ISO/IEC 27000系列已發布的標準中，對信息系統安全能力評測密切相關的包括：

ISO/IEC 27002：2013是《信息技術 安全技術 信息安全管理實用規則》，是ISO/IEC 27000系列最核心的兩個標準之一。它從信息安全管理的最佳實踐提出控制目標和措施。

ISO/IEC 27003是《信息安全管理體系實施指南》，該標準給出了ISMS實施的關鍵成功因素，按照PDCA的模型，明確了計劃、實施、檢查、糾正每個階段的活動內容和詳細指南。

ISO/IEC 27005是《信息安全風險管理》，該標準描述了信息安全風險管理的要求，可以用于風險評估，識別安全需求，可以用于風險評估，識別安全需求，支撐信息安全管理體系的建立和維持。

ISO/IEC 27001控制結構如圖1所示。

1.2NIST SP800系列

美國國家標準與技術研究院（NIST）發布的一系列關于信息安全的技術指南文件，NIST SP800系列已經出版了100多本同信息安全相關的正式文件， 形成了從規劃、風險管理、安全意識培訓和教育以及安全控制措施的一整套信息安全管理體系。雖然 NIST SP800系列并不作為正式法定標準，但在實際工作中，已經成為美國和國際安全界廣泛認可的事實標準和權威指南。

NIST SP800系列共分為訪問控制、認證認可&安全評估、系統&通信保護、系統&信息完整性、系統&服務獲取等17個族，每個族下面包含各自系列的相關規范。其中，與系統安全能力要求與評測密切相關的包括：

SP800-53《聯邦信息系統安全控制措施評估指南》，該指南描述了信息系統安全控制措施， 為不同級別的系統推薦了不同強度的安全控制集（包括管理、技術和運行類）。為幫助機構對它們的信息系統選擇合適的安全控制集。

SP800-115《信息安全評估與測試技術指南》，描述了機構在進行評估時可能用到的技術測試、檢測方法和相關技術，為評估人員在系統和網絡上關于執行和潛在影響提供了深刻的理解。

SP800—128《信息系統安全配置管理指南》，為負責管理和執行聯邦信息系統計算環境安全的機構提供指南，包括信息的處理、存儲和通過外部或者面向服務的計算環境（如云計算環境提供者）進行傳輸的安全。

1.3CCSA "電信網和互聯網安全防護體系"系列

中國通信標準化協會（CCSA）發布了“電信網和互聯網安全防護體系”系列標準，從技術和管理兩個方面分析電信網和互聯網存在的脆弱性，在設備等級保護定級的基礎上，規定了電信網和互聯網安全防護工作的要求，即安全防護要求和安全防護檢測要求。

該系列標準根據電信網和互聯網全程全網的特點，分為固定通信網、移動通信網、互聯網、增值業務網、非核心生產單元等類別，目前已發布44個標準。其中，互聯網包括經營性互聯網信息服務單位、互聯網接入服務單位等。增值業務網包括消息網、智能網等業務平臺以及業務管理平臺。

該系列標準根據不同系統的備案等級，制訂了不同的防護要求和檢測要求，滿足了相關部委的安全要求。從歷年的安全案例看，互聯網滲透有“一點突破，全網皆失”的特點，只有全面提升攻擊暴露面設備和系統的安全能力，才能夠保障電信網絡的整體安全。

2　聯網系統通用安全能力技術方案

通過對聯網系統和設備的通用安全風險進行分析，并對這些安全風險進行歸納和總結，從網絡結構、設備、平臺及軟件和應用系統等角度對聯網系統應具備的通用安全能力提出技術要求，從而在設計和維護中盡量避免或降低安全風險。同時，制定全面明確的風險評測方案，避免聯網系統帶病運行，為通信服務及業務的安全性和持續性提供保障。

2.1安全模型

從聯網系統及設備所涉及的各類軟硬件資源出發，依據不同類型資源的耦合度，將其劃分為4個層次：網絡、設備、平臺及軟件和系統。通用安全能力模型各層次的的主要組成部分如圖2所示。

圖2　通用安全能力模型

網絡結構安全：聯網系統服務器需部署在精心設計的網絡安全域，并采取適當的安全措施。

設備安全：網絡設備應進行安全配置，以便保護聯網系統的安全。

平臺及軟件安全：聯網系統在開發中使用的軟件平臺和第三方組件，這些平臺和組件中的漏洞將直接影響到聯網系統的安全性。

應用系統安全：應用系統軟件應具備足夠的安全措施，保護聯網系統業務和數據的安全性。

2.2技術要求

2.2.1網絡結構安全

網絡結構安全指在網絡拓撲、安全域方面具備相應的安全能力，根據系統內部網絡結構特點，按照統一的管理和控制原則劃分不同的子網或網段，設備依照功能劃分及其重要性等因素分區部署。建立與網絡拓撲設計相同的實際網絡架構，并對網絡設備的運行狀態進行監控；網絡結構安全從網絡拓撲、安全域方面進行安全評估，重點評估物理鏈路、數據路徑、流量控制、安全域劃分及隔離防護策略等信息安全技術要求。

2.2.2設備安全

設備安全能力要求主要包括：進行適當的賬號和口令安全管理，以及賬號授權管理；適當配置設備日志功能，記錄用戶對設備的操作以及相關安全事件，并保證日志的安全性；保障設備傳輸協議安全以及設備控制界面/接口的安全；主機操作系統應進行安全配置，定期系統安全維護，并安裝殺毒軟件；主機系統應避免安裝其它威脅系統安全的軟件。

2.2.3平臺及軟件安全

平臺及軟件從軟件架構上可以分為Web軟件、中間件、第三方組件、數據庫等。其中，第三方組件包括在線編輯器、Web框架以及其它第三方組件。對采用的軟件平臺及第三方組件應登記并定期跟蹤相關的漏洞通告，依據官方建議采取相應處置措施并修補漏洞。數據庫安全應從數據庫版本，數據庫權限管理，數據庫賬號口令、數據庫訪問控制、常見數據庫漏洞、數據庫日志等6個方面加強安全控制措施。

2.2.4應用系統安全

應用系統安全主要包括賬戶及口令安全、權限控制、會話管理3個方面的安全技術要求。

（1）賬戶及口令安全：包括操作系統賬戶、Web系統賬戶、第三方系統賬戶等，重點評測這些賬戶的口令復雜度、登錄頁面安全性、登錄錯誤次數限制等。

（2）權限控制：包括訪問控制、WAP鑒權、上傳目錄權限和短信接口濫用等。

（3）會話管理：包括會話超時、會話終止、會話標識管理等。

2.3評測規范

聯網系統的安全能力評測中，比較突出的問題就是過分依賴自動化測試工具。如果主要使用自動化測試工具完成評測，測試的全面性和深度都會有一定欠缺。僅提供安全能力的技術要求，還不能夠幫助安全人員完成全面的安全能力評測。通過對當前安全漏洞和檢測方法的總結，提供適當的評測規范將對聯網系統的安全能力提升起到積極作用。評測規范對各類技術要求涉及的安全漏洞的測試方法進行了詳細的描述，主要涉及的評測方法包括3個方面。

（1） 自動化評測工具可以完成的評測項，推薦主流評測工具完成。

（2）需要手工完成的評測項，給出具體的評測步驟，保證僅具有計算機基礎知識的人員可以根據評測步驟描述完成評測項。

（3）需要在工具的輔助下進行半自動測試的評測項，提供典型評測思路，指導評測人員更加全面的完成評測。

3　總結

聯網系統涉及到電信企業的業務和基礎設施，暴露在黑客等惡意人員的攻擊面下，有效提高聯網系統的安全能力，才能保障電信業務的持續穩定開展。本文介紹了對國內外相關標準和規范的進展和特點，提出了通用安全能力評測方案，通過建立全面的技術要求，并結合精細化的評測規范，對保護聯網系統的安全性有著特別重要的意義。

［1］ 張震， 張洪剛. 面向電信運營商的系統漏洞分級體系研究［J］. 電信工程技術與標準化， 2010，23（9）：35-38.

［2］ 嚴霄鳳， 高熾揚. 美國聯邦信息安全風險管理框架及其相關標準研究［J］. 信息安全與通信保密， 2009，（2）：13-16.

The standardization progress and solution of security assessment of networking system

ZHAO Bei， DU Xue-tao， XUE Shan， WU Ri-qiefu
（China Mobile Group Design Institute Co.， Ltd.， Beijing 100080， China）

This paper tracked the research progress and characteristics of information system security evaluation standards at home and abroad. The general technical requirements and comprehensive evaluation standard is put forward， so that the network system security evaluation and effi ciency is comprehensively improved.

general security capability； security assessment； evaluate pecifi cation

TN918

A

1008-5599（2015）12-0050-04