信息安全风险管理理论在IP城域网的应用

随着宽带网络和用户规模的不断增长，用户对宽带接入业务的高可用性要求不断增强，对电信运营商在IP城域、接入网络和支撑系统提出了更高的安全性要求。本文从信息安全管理的理念、方法学和相关技术入手，结合电信IP城域网，提出电信IP城域网安全管理、风险评估和加固的实践方法建议。

　　关键字（Keywords）：

　　安全管理、风险、弱点、评估、城域网、IP、AAA、DNS

　　1 信息安全管理概述

　　普遍意义上，对信息安全的定义是“保护信息系统和信息，防止其因为偶然或恶意侵犯而导致信息的破坏、更改和泄漏，保证信息系统能够连续、可靠、正常的运行”。所以说信息安全应该理解为一个动态的管理过程，通过一系列的安全管理活动来保证信息和信息系统的安全需求得到持续满足。这些安全需求包括“保密性”、“完整性”、“可用性”、“防抵赖性”、“可追溯性”和“真实性”等。

　　信息安全管理的本质，可以看作是动态地对信息安全风险的管理，即要实现对信息和信息系统的风险进行有效管理和控制。标准ISO15408－1（信息安全风险管理和评估规则），给出了一个非常经典的信息安全风险管理模型，如下图一所示：

　　图一 信息安全风险管理模型

　　既然信息安全是一个管理过程，则对PDCA模型有适用性，结合信息安全管理相关标准BS7799(ISO17799）,信息安全管理过程就是PLAN-DO-CHECK-ACT（计划－实施与部署－监控与评估－维护和改进）的循环过程。

　　图二 信息安全体系的“PDCA”管理模型

　　2 建立信息安全管理体系的主要步骤

　　如图二所示，在PLAN阶段，就需要遵照BS7799等相关标准、结合企业信息系统实际情况，建设适合于自身的ISMS信息安全管理体系，ISMS的构建包含以下主要步骤：

　　（1） 确定ISMS的范畴和安全边界

　　（2） 在范畴内定义信息安全策略、方针和指南

　　（3） 对范畴内的相关信息和信息系统进行风险评估

　　a） Planning（规划）

　　b） Information Gathering（信息搜集）

　　c） Risk Analysis（风险分析）

　　u Assets Identification & valuation(资产鉴别与资产评估）

　　u Threat Analysis（威胁分析）

　　u Vulnerability Analysis（弱点分析）

　　u 资产/威胁/弱点的映射表

　　u Impact & Likelihood Assessment（影响和可能性评估）

　　u Risk Result Analysis（风险结果分析）

　　d） Identifying & Selecting Safeguards（鉴别和选择防护措施）

　　e） Monitoring & Implementation（监控和实施）

　　f） Effect estimation（效果检查与评估）

　　（4） 实施和运营初步的ISMS体系

　　（5） 对ISMS运营的过程和效果进行监控

　　（6） 在运营中对ISMS进行不断优化

　　3 IP宽带网络安全风险管理主要实践步骤

　　目前，宽带IP网络所接入的客户对网络可用性和自身信息系统的安全性需求越来越高，且IP宽带网络及客户所处的信息安全环境和所面临的主要安全威胁又在不断变化。IP宽带网络的运营者意识到有必要对IP宽带网络进行系统的安全管理，以使得能够动态的了解、管理和控制各种可能存在的安全风险。
   由于网络运营者目前对于信息安全管理还缺乏相应的管理经验和人才队伍，所以一般采用信息安全咨询外包的方式来建立IP宽带网络的信息安全管理体系。此类咨询项目一般按照以下几个阶段，进行项目实践：

　　3.1 项目准备阶段。

　　a） 主要搜集和分析与项目相关的背景信息；

　　b） 和客户沟通并明确项目范围、目标与蓝图；

　　c） 建议并明确项目成员组成和分工；

　　d） 对项目约束条件和风险进行声明；

　　e） 对客户领导和项目成员进行意识、知识或工具培训；

　　f） 汇报项目进度计划并获得客户领导批准等。

　　3.2 项目执行阶段。

　　a） 在项目范围内进行安全域划分；

　　b） 分安全域进行资料搜集和访谈，包括用户规模、用户分布、网络结构、路由协议与策略、认证协议与策略、DNS服务策略、相关主机和数据库配置信息、机房和环境安全条件、已有的安全防护措施、曾经发生过的安全事件信息等；

　　c） 在各个安全域进行资产鉴别、价值分析、威胁分析、弱点分析、可能性分析和影响分析，形成资产表、威胁评估表、风险评估表和风险关系映射表；

　　d） 对存在的主要风险进行风险等级综合评价，并按照重要次序，给出相应的防护措施选择和风险处置建议。

　　3.3 项目总结阶段

　　a） 项目中产生的策略、指南等文档进行审核和批准；

　　b） 对项目资产鉴别报告、风险分析报告进行审核和批准；

　　c） 对需要进行的相关风险处置建议进行项目安排；

　　4 IP宽带网络安全风险管理实践要点分析

　　运营商IP宽带网络和常见的针对以主机为核心的IT系统的安全风险管理不同，其覆盖的范围和影响因素有很大差异性。所以不能直接套用通用的风险管理的方法和资料。在项目执行的不同阶段，需要特别注意以下要点：

　　4.1 安全目标

　　充分保证自身IP宽带网络及相关管理支撑系统的安全性、保证客户的业务可用性和质量。

　　4.2 项目范畴

　　应该包含宽带IP骨干网、IP城域网、IP接入网及接入网关设备、管理支撑系统：如网管系统、AAA平台、DNS等。

　　4.3 项目成员

　　应该得到运营商高层领导的明确支持，项目组长应该具备管理大型安全咨询项目经验的人承担，且项目成员除了包含一些专业安全评估人员之外，还应该包含与宽带IP相关的“业务与网络规划”、“设备与系统维护”、“业务管理”和“相关系统集成商和软件开发商”人员。

　　4.4 背景信息搜集：

　　背景信息搜集之前，应该对信息搜集对象进行分组，即分为IP骨干网小组、IP接入网小组、管理支撑系统小组等。分组搜集的信息应包含：

　　a） IP宽带网络总体架构

　　b） 城域网结构和配置

　　c） 接入网结构和配置

　　d） AAA平台系统结构和配置

　　e） DNS系统结构和配置

　　f） 相关主机和设备的软硬件信息

　　g） 相关业务操作规范、流程和接口

　　h） 相关业务数据的生成、存储和安全需求信息

　　i） 已有的安全事故记录

　　j） 已有的安全产品和已经部署的安全控制措施

　　k） 相关机房的物理环境信息

　　l） 已有的安全管理策略、规定和指南

　　m） 其它相关

　　4.5 资产鉴别

　　资产鉴别应该自顶向下进行鉴别，必须具备层次性。最顶层可以将资产鉴别为城域网、接入网、AAA平台、DNS平台、网管系统等一级资产组；然后可以在一级资产组内，按照功能或地域进行划分二级资产组，如AAA平台一级资产组可以划分为RADIUS组、DB组、计费组、网络通信设备组等二级资产组；进一步可以针对各个二级资产组的每个设备进行更为细致的资产鉴别，鉴别其设备类型、地址配置、软硬件配置等信息。

　　4.6 威胁分析

　　威胁分析应该具有针对性，即按照不同的资产组进行针对性威胁分析。如针对IP城域网，其主要风险可能是：蠕虫、P2P、路由攻击、路由设备入侵等；而对于DNS或AAA平台，其主要风险可能包括：主机病毒、后门程序、应用服务的DOS攻击、主机入侵、数据库攻击、DNS钓鱼等。

　　4.7 威胁影响分析

　　是指对不同威胁其可能造成的危害进行评定，作为下一步是否采取或采取何种处置措施的参考依据。在威胁影响分析中应该充分参考运营商意见，尤其要充分考虑威胁发生后可能造成的社会影响和信誉影响。

　　4.8 威胁可能性分析

　　是指某种威胁可能发生的概率，其发生概率评定非常困难，所以一般情况下都应该采用定性的分析方法，制定出一套评价规则，主要由运营商管理人员按照规则进行评价。

　　4.9 风险处置

　　针对IP城域网风险分析结果，在进行风险处置建议的时候，需要综合考虑以下多方面的因素：效用、成本、对业务、组织和流程的影响、技术成熟度等。