信息安全管理系列之二十七 網(wǎng)絡空間安全相關標準ITU -T X.1205 探析

謝宗曉（南開大學商學院）

信息安全管理系列之二十七 網(wǎng)絡空間安全相關標準ITU -T X.1205 探析

謝宗曉（南開大學商學院）

謝宗曉 博士

“十二五”國家重點圖書出版規(guī)劃項目《信息安全管理體系叢書》執(zhí)行主編。自2003年起，從事信息安全風險評估與信息安全管理體系的咨詢與培訓工作。目前，已發(fā)表論文55篇，出版專著12本。

信息安全管理系列之二十七

ITU-T（國際電信聯(lián)盟的下屬機構(gòu)）是最大的國際標準輸出組織之一。在之前的討論中，我們就引用了X.1205對“網(wǎng)絡安全”的定義，實際上，X.1200-X.1299的主題都是Cyberspace security，因此，在下文中，我們先對ITU-T X.1205進行了初步的介紹。

謝宗曉（特約編輯）

ITU-T X.1205是網(wǎng)絡空間安全/網(wǎng)絡安全相關的重要標準之一，本文介紹了該標準的主要內(nèi)容，對其進行了綜述，并簡要說明了應用中的問題，最后給出了進一步閱讀的指南。

網(wǎng)絡安全 網(wǎng)絡空間安全 信息安全

1 概述與主要內(nèi)容

ITU-T①ITU-T，國際電信聯(lián)盟（International Telecommunication Union）電信標準分支機構(gòu), ITU-T是國際電信聯(lián)盟管理下的專門制定電信標準的分支機構(gòu)。X.1205建議書（Recommendation ITU-T X.1205）的標題為：網(wǎng)絡安全概述（Overview of cybersecurity），X系列的標題為：數(shù)據(jù)網(wǎng)、開放系統(tǒng)通信和安全性（Data network, open system communications and security）。ITU-T X.1205建議書由第17研究組②SG 17 – Security，目前諸多工作都集中在網(wǎng)絡安全，例如，Cybersecurity Information Exchange （CYBEX）。（2005—2008）完成，并由世界電信標準化全會（World Telecommunication Standardization Assembly，WTSA）③每四年一屆的WTSA確定 ITU-T 各研究組的研究課題，再由各研究組制定有關這些課題的建議書。但是從2001年開始，大部分標準都是走“備選批準程序（Alternative Approval Process，AAP）”。現(xiàn)在可以在平均2個月或最短5周內(nèi)獲得批準。大部分標準均采用了這種批準方式。只有那些涉及監(jiān)管問題的標準不在此列，它們采用“傳統(tǒng)批準程序（Traditional Approval Process，TAP）”。批準于2008年4月18日。

ITU-T X.1205建議書正文的主要內(nèi)容只有兩章，第7章：網(wǎng)絡安全，以及第8章：可行的網(wǎng)絡保護戰(zhàn)略。

在第7章中定義了“網(wǎng)絡安全”詞匯。ITU-T X.1205也強調(diào)了風險管理原則，并認為“網(wǎng)絡環(huán)境的任何部分都可被視為安全風險，而這種風險通常被認為是綜合威脅評估的結(jié)果”。該標準中風險得出的邏輯與ISO/IEC 27005稍有出入[1]，而且由于翻譯問題，建議最好中英文對照閱讀④例如，vulnerability in this recommendation refers to a weakness that could be exploited by an attacker. 這句話在中文版中為“本建議書提到的薄弱環(huán)節(jié)是指攻擊者可以利用的弱點”。vulnerability更多的情況下翻譯為“脆弱性”。。在第7章中，以ITU-T X.800為基礎，描述了網(wǎng)絡威脅及其應對。同時，以ITU-T X.805，描述了端到端的通信安全。這兩者只是對已有的標準進行了回顧和應用。

但是到第8章則直接轉(zhuǎn)入到網(wǎng)絡（network）保護戰(zhàn)略，討論的并不是網(wǎng)絡（cyber）。其中討論的重點實際是與網(wǎng)絡（network）相關的安全保護，包括了策略管理、訪問控制和流量加密等各個方面的內(nèi)容，比較而言，內(nèi)容比較狹義[1]。

在ITU-T X.1205建議書中，更有意義的可能是其3個附錄。

附錄Ⅰ是攻擊者采用的技術，其中將安全威脅分為10類，如表1所示。

表1 安全威脅

此外，該附錄還描述了4類安全威脅，包括：應用層攻擊、網(wǎng)絡層攻擊、未經(jīng)授權(quán)的訪問和竊聽。

附錄Ⅱ列舉了各種網(wǎng)絡安全技術，主要引用ISO/ IEC 10828⑤ISO/IEC 18028已經(jīng)作廢，新版本編號為ISO/IEC 27033。。網(wǎng)絡安全技術如表2所示。

表2 網(wǎng)絡安全技術

續(xù)表2

附錄Ⅲ給出了網(wǎng)絡安全示例，重點討論了4類：保障遠程訪問安全性、保障IP電話安全性、保障遠端辦公室安全性以及保障無線局域網(wǎng)的安全性。同時，該附錄中也強調(diào)安全是難以測試、預測和實施的，不存在萬用良方（one-size-fits-all）。

2 評價與應用

ITU-T X.1205在描述網(wǎng)絡安全的時候，用的詞匯不是“網(wǎng)絡空間（cyberspace）”，而是“網(wǎng)絡環(huán)境（cyber environment）”。例如，ITU-T X.1205 原文7.1節(jié)（pp.7）中描述：

網(wǎng)絡安全的目的在于保證網(wǎng)絡環(huán)境的安全，是一種眾多公共和私營機構(gòu)的利益攸關方均可參與的系統(tǒng)，并為了安全采用多種組件和不同方式。因此，可以從以下的角度理解網(wǎng)絡安全：

——可用于保護互聯(lián)網(wǎng)絡（包括計算機、設備、硬件、存儲信息和經(jīng)轉(zhuǎn)信息）免受未經(jīng)授權(quán)的訪問、篡改、盜竊、中斷或其他威脅的一系列策略和行動。

——對上述策略和行動進行持續(xù)地評估和監(jiān)測，以便在威脅性質(zhì)不斷演變情況下維持安全質(zhì)量。

也就是說，在，ITU-T X.1205中，并沒有強調(diào)“網(wǎng)絡安全（cybersecurity）”是“網(wǎng)絡空間安全（cyberspace security）”的縮寫或同義詞[2][3]，而是用了含義更模糊的詞匯“網(wǎng)絡環(huán)境”。網(wǎng)絡環(huán)境在其中定義為：包括用戶、網(wǎng)絡、裝置、各種軟件、程序、存儲和傳送過程中的信息、應用、服務以及與網(wǎng)絡（network）直接或間接連接的系統(tǒng)（pp.2）。在正文中，對網(wǎng)絡環(huán)境也有解釋：網(wǎng)絡環(huán)境包括在計算設備上運行的軟件、在這些設備上存儲（以及傳送）的信息或這些設備生成的信息。容納這些設備的設施和建筑也是網(wǎng)絡環(huán)境的一部分。網(wǎng)絡安全必須將這些因素考慮在內(nèi)（pp.6）。可見，網(wǎng)絡環(huán)境包括了信息，也包括了信息處理設施，是一個比較全面的概念。但這種描述方式常見于ISO/IEC 27032：2012等標準，ITU-T X.1205在原文7.2中給出了比較清晰的描述，以解釋什么是網(wǎng)絡安全環(huán)境，如下所述：

每個企業(yè)、電信服務提供商、網(wǎng)絡運營商或服務提供商都有一套獨特的商業(yè)需求，并為滿足這些需求而逐步形成了自己的網(wǎng)絡環(huán)境（networking environment）⑥ITU-T X.1205詞匯應用并不是非常規(guī)范，在術語定義中用的是cyber environment（網(wǎng)絡環(huán)境），但是在解釋的時候出現(xiàn)了另一個詞匯networking environment（網(wǎng)絡環(huán)境），中間還出現(xiàn)了一個cybersecurity environment（網(wǎng)絡安全環(huán)境）。雖然有點混亂，不過對照中英文版本，基本意思還比較清楚。（pp.7）。

例如，“封閉企業(yè)”在站址之間采用邏輯（即幀中繼）或物理專線，為需要訪問互聯(lián)網(wǎng)的雇員有選擇地提供遠程接入，并通過（負責建立一種安全環(huán)境的）服務提供商提供的互聯(lián)網(wǎng)數(shù)據(jù)中心實現(xiàn)在線狀態(tài)。該機構(gòu)還為（在旅館工作的）遠端雇員提供常規(guī)撥號接入。公司在雇員當中采用無外部接入的專用電子郵件以及無線局域網(wǎng)。

“擴展企業(yè)”或電信服務提供商、網(wǎng)絡運營商或服務提供商可通過互聯(lián)網(wǎng)的IP VPN給予遠端雇員和辦公室接入支持，提供高速和低成本的連接。包括提供通用互聯(lián)網(wǎng)接入（如提供可與外部世界互通的內(nèi)部電子郵件系統(tǒng)）。

“開放企業(yè)”的業(yè)務模式通過允許合作伙伴、提供商和客戶訪問企業(yè)管理的互聯(lián)網(wǎng)數(shù)據(jù)中心，甚至允許有選擇地訪問內(nèi)部數(shù)據(jù)庫和應用（如供應鏈管理系統(tǒng)的一部分），使互聯(lián)網(wǎng)得到利用。內(nèi)部和外部用戶可利用有線或移動裝置，從家中、遠端辦公室或其他網(wǎng)絡接入企業(yè)網(wǎng)，但這類企業(yè)的安全要求不同于其他企業(yè)。詳見圖1。

圖1 ITU-T X.1205中的通用企業(yè)類型

綜上所述，嚴格意義上講，ITU-T X.1205所討論的“網(wǎng)絡安全”，跟本文所討論的“網(wǎng)絡空間安全”在概念上有所不同。此外，在ISO/IEC 27000標準族以討論“信息安全”為主的時代，ITU-T的相關標準用的詞匯更常見的是“ICT安全（Information and Communication Technology Security）”。這可能是由于ITU的組織性質(zhì)，在實踐中，一般也不會專門區(qū)分這幾個詞匯，在本文前面的討論中，我們也沒有專門辨析其區(qū)別。

此外，雖然ITU-T X.1205沒有給出具體的實施指南，只是對網(wǎng)絡安全進行了概述，但是附錄Ⅲ的網(wǎng)絡安全示例在實踐中還是有很大的借鑒意義。這個示例演示了不同的網(wǎng)絡（network）環(huán)境與不同的安全目標下，如何保障網(wǎng)絡安全。

3．進一步閱讀

ITU-T X.1200 ～X.1299為Cyberspace security，包括ITU-T X.1205⑦ITU-T X.1200～X.1299為Cyberspace security，這是ISO/IEC 27032: 2012附錄C的標注。我們未能在ITU的官網(wǎng)上找到印證，對已經(jīng)公布的X系列標準進行了逐個確認，至少可以保證在這個編號范圍的標準確實是與安全相關的。但是其中的子標題并不統(tǒng)一，例如，ITU-T X.1207為電信安全（Telecommunication security），ITU-T X.1208為網(wǎng)絡空間安全（Cyberspace security），最近發(fā)布的一般標識為網(wǎng)絡空間安全-網(wǎng)絡安全（Cyberspace security - Cybersecurity）。。表3為網(wǎng)絡安全相關的，編號在ITU-T X.1200～X.1299之間的主要標準。

表3 ITU-T發(fā)布的網(wǎng)絡安全相關標準

[1]謝宗曉，甄杰，董坤祥，等. 網(wǎng)絡空間安全管理[M]. 北京：中國質(zhì)檢出版社/中國標準出版社，2016.

[2]謝宗曉. 信息安全、網(wǎng)絡安全及賽博安全相關詞匯辨析[J]. 中國標準導報，2015（12）：30-32.

[3]謝宗曉. 關于網(wǎng)絡空間（cyberspace）及其相關詞匯的再解析[J]. 中國標準導報，2016（02）：26-28.

ITU-T X.1205 is an important standard for cyberspace security/cybersecurity. This paper given its main content, summary, and problems during the implementation. At last, we proposed guide for further reading.

cybersecurity, cyberspace security, information security

⑧ITU-T X.1209標識為網(wǎng)絡空間安全-計算機網(wǎng)絡安全，實際對應的英文也是Cyberspace security – Cybersecurity，應該是翻譯問題。查閱時間為2016年8月1日15:39。其他建議書也存在這種情況，例如ITU-T X.1211。整體而言，ITU-T發(fā)布的中文版標準閱讀需要對照英文理解。

Introduction of Cybersecurity Related Standards: ITU -T X.1205

Xie Zongxiao ( Business School, Nankai University )