高 敏，郭長茂

（1.中國電信股份有限公司廣東研究院 廣州 510630；2.中國電信股份有限公司廣東分公司 廣州 510081）

1 引言

隨著信息技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)面臨的風險呈現(xiàn)復雜多變和難以預測的趨勢。電信網(wǎng)絡(luò)承擔著大范圍的公眾通信需求，其安全狀況對于社會穩(wěn)定、人民生活等方面具有重要意義。目前，安全管理、安全防范成為電信運營商重點關(guān)注的問題。

安全風險評估、風險管理是網(wǎng)絡(luò)安全管理和保障的基礎(chǔ)和手段，但是目前相關(guān)的人員素質(zhì)、管理手段和支撐手段都仍待提高。為了提高電信網(wǎng)絡(luò)的安全防護能力，保障網(wǎng)絡(luò)安全穩(wěn)定和可靠運行，加強安全風險評估及管理工作勢在必行。

2 目前風險評估及風險管理工作難點

（1）風險評估過程復雜，評估工作量大

風險評估是指對信息資產(chǎn)在技術(shù)、管理等方面存在的脆弱性、威脅、風險發(fā)生概率、安全事件影響等安全風險情況進行分析，找出安全風險，有針對性地提出改進措施的活動。

風險評估過程遵循從風險評估準備、風險要素識別、風險分析、風險結(jié)果判定的一個標準過程（如圖1所示），比較復雜。

圖1 風險評估流程

嚴格按照流程進行評估，工作量非常大，而且對運維人員的素質(zhì)要求很高。目前很多評估人員不了解風險評估整個流程，認識比較片面，只做了整個流程中的一兩項，如認為漏洞掃描就是風險評估。還有些人員對復雜流程望而生畏，不知從何著手。另外一個方面，目前評估的內(nèi)容不完整，比如在評估準備階段，缺少對評估對象的影響分析及風險規(guī)避措施制定；在風險要素識別階段，脆弱性只考慮了技術(shù)方面沒有考慮管理方面等。

（2）風險動態(tài)管理難度大

風險評估并不是孤立的一次工作，特別是運維階段的風險評估工作，需要定期或不定期地多次舉行。風險必須進行動態(tài)管理，通過跨時間、跨系統(tǒng)等綜合分析新風險的產(chǎn)生原因和規(guī)避措施。但是目前各個網(wǎng)絡(luò)和系統(tǒng)不同時期的風險情況分散在不同的文檔記錄中，很難做到關(guān)聯(lián)和對比分析。

（3）安全策略執(zhí)行符合度較難評估

安全制度要求提出后，由于要求點較廣，在大規(guī)模網(wǎng)絡(luò)中評估實際的執(zhí)行情況，了解風險與策略要求的符合度，存在一定難度且消耗大量人力。而且多個管理部門提出的安全要求和制度，部分有重疊和交錯，如果逐個評估，對應的同一控制措施需要進行多次評估，重復工作較多。

（4）現(xiàn)有支撐手段有限

在電信運營商現(xiàn)有網(wǎng)絡(luò)中，一般只部署入侵檢測系統(tǒng)、防火墻、基線檢查工具、掃描器等技術(shù)檢測或防御類的系統(tǒng)，這些系統(tǒng)只能提供某一方面的技術(shù)檢測結(jié)果，缺乏綜合分析、運算和流程管控手段。

因此，隨著安全工作進一步深入，急需建設(shè)一套系統(tǒng)專門進行風險的管理工作，完成風險評估計算、風險動態(tài)管理、安全策略管理、風險與策略符合性比對等工作。一方面減輕運維人員評估的工作量；另一方面規(guī)范評估的過程，保證評估內(nèi)容完整性和準確性，并且提供多維度關(guān)聯(lián)、比對和匯總分析。

3 風險與策略管理系統(tǒng)框架設(shè)計

本文設(shè)計了一種風險與策略管理系統(tǒng)框架，采用風險與安全策略管理相結(jié)合的方法，綜合多方面采集數(shù)據(jù)，建立多維度評估及比對規(guī)則庫，實現(xiàn)風險評估計算、風險管理、策略管理等多種綜合功能。

系統(tǒng)基本框架設(shè)計分為4個層面，結(jié)構(gòu)如圖2所示。

（1）采集接口

通過數(shù)據(jù)采集接口，為評估實施和數(shù)據(jù)比對提供必要的輸入，采集的數(shù)據(jù)包括企業(yè)安全策略要求、安全標準和法規(guī)、人工評估結(jié)果（調(diào)查問卷、文檔檢查、網(wǎng)絡(luò)架構(gòu)等檢查結(jié)果數(shù)據(jù)）、專業(yè)工具分析結(jié)果（如漏掃工具、基線符合比對工具、入侵檢測系統(tǒng)、防火墻日志、4A平臺、綜合告警平臺等結(jié)果數(shù)據(jù)）、資產(chǎn)數(shù)據(jù)等。

圖2 風險與策略系統(tǒng)框架

采集采用兩種模式：一種是周期性自動或人工觸發(fā)系統(tǒng)間的接口采集；另一種是提供導入或輸入手段給用戶實現(xiàn)人工評估數(shù)據(jù)或制度等文檔數(shù)據(jù)的輸入，如調(diào)查問卷結(jié)果、文檔檢查結(jié)果、安全策略文檔的導入等。

（2）評估基本庫

整合采集接口采集的數(shù)據(jù)，進行數(shù)據(jù)的抽取、轉(zhuǎn)換和綜合，在數(shù)據(jù)層形成評估基本庫。該庫是系統(tǒng)的基礎(chǔ)部分，包括策略集合、威脅集合、脆弱性集合和資產(chǎn)管理4個模塊。

·策略集合：將企業(yè)安全策略、安全標準和法規(guī)等要求逐點進行分解，細化到可映射到具體的控制要求的顆粒。

·威脅集合：將人工評估和系統(tǒng)導入與威脅相關(guān)的檢查結(jié)果進行轉(zhuǎn)換和整合入庫，包括威脅的來源、種類、發(fā)生可能性等。與之相關(guān)的系統(tǒng)包括入侵檢測系統(tǒng)、防火墻日志、綜合告警平臺、4A平臺等。

·脆弱性集合：將人工評估和系統(tǒng)導入的脆弱性數(shù)據(jù)進行轉(zhuǎn)換和整合，包括漏洞掃描結(jié)果、基線符合檢查結(jié)果、人工評估發(fā)現(xiàn)管理弱點、物理及網(wǎng)絡(luò)架構(gòu)脆弱性等。

·資產(chǎn)管理：將資產(chǎn)基本信息及業(yè)務價值、影響力、可用性等屬性和賦值進行整合入庫。

（3）評估規(guī)則庫、風險與控制措施映射庫、策略與控制措施映射庫

在業(yè)務邏輯層面建立評估規(guī)則庫、風險與控制措施映射庫、策略與控制措施映射庫。

評估規(guī)則庫：依托管理、主機、網(wǎng)絡(luò)、數(shù)據(jù)庫、中間件應用、物理等方面的評估標準、知識和評估準則，建立不同類別評估規(guī)則，將資產(chǎn)、威脅、脆弱性等風險要素及其構(gòu)成因子識別與計算方法、風險計算算法等固化在系統(tǒng)中，將其轉(zhuǎn)化為可量化評價指標。

風險與控制措施映射庫：建立具體風險與控制措施對應庫，為風險目標值下的控制措施選擇提供相關(guān)數(shù)據(jù)。

策略與控制措施映射庫：將上級管理要求、安全框架、法規(guī)的每一細分點映射至控制措施（包括管理及技術(shù)方面）。

（4）評估與比對處理

在控制層面，根據(jù)風險評估流程完成各個指標綜合計算，策略要求與評估結(jié)果的比對，風險目標值下的控制措施選取等。將評估和比對的流程、方法固化在系統(tǒng)里。

（5）用戶可視化及交換式界面

該層次主要負責數(shù)據(jù)及報表等最終呈現(xiàn)，提供用戶與平臺交互的功能。

4 風險與策略管理系統(tǒng)功能模塊設(shè)計

風險與策略管理系統(tǒng)設(shè)計提供風險評估、風險管理、策略管理、匯總分析、系統(tǒng)管理5個方面的功能，通過報表、圖型、報告、儀表盤等多種形式向用戶呈現(xiàn)，示意見圖3。

（1）風險評估模塊

·風險評估流程管控：按照風險評估標準流程，對每個網(wǎng)絡(luò)或系統(tǒng)的風險評估過程進行管控，規(guī)范流程中各個階段的動作必須執(zhí)行以及相關(guān)數(shù)據(jù)輸入和輸出。

·風險評估中間和結(jié)果數(shù)據(jù)呈現(xiàn)：以報表、圖形、儀表盤、報告等形式展現(xiàn)風險評估的中間及結(jié)果數(shù)據(jù)。

·風險與控制措施選?。焊鶕?jù)某一風險提供相應控制措施；呈現(xiàn)系統(tǒng)風險修復優(yōu)先級；根據(jù)風險值下降的目標提供用戶多種控制措施的選取。

·風險與策略符合度比對：將風險評估結(jié)果和安全策略的符合度進行比對，除了風險值與安全策略要求比對外，由于安全策略已經(jīng)細化到與之相關(guān)的控制措施對應，該項功能應展示該風險對應的策略要求但并未實施的控制措施。

（2）風險管理模塊

·風險要素管理：提供風險要素以及其構(gòu)成因子的管理，如資產(chǎn)的管理、高危漏洞分布與管理等。

·風險跨時間、跨系統(tǒng)維度管理：針對某網(wǎng)絡(luò)或系統(tǒng)不同時間維度風險對比分析或趨勢分析，掌握風險的變化情況；通過對不同系統(tǒng)的比對，呈現(xiàn)不同設(shè)備的風險差別。

·風險的監(jiān)控與預警：設(shè)定風險目標值，當風險超過預定值時進行相關(guān)預警，以便及時采取下一步控制措施。

圖3 風險與策略功能模塊

·風險分布統(tǒng)計：能針對某一風險，統(tǒng)計其分布在哪些網(wǎng)絡(luò)和系統(tǒng)，以便發(fā)現(xiàn)某一風險時，能快速找到修復的對象。

（3）策略管理

·策略全生命周期流程管控：對安全策略進行生命周期（創(chuàng)建、草稿、復審、發(fā)布等）管理，策略的發(fā)布需要進行一定的流程，同時涉及不同崗位人員的審批，最終的發(fā)布后還包括意見的收集與修訂等。

·安全策略執(zhí)行符合度：從策略執(zhí)行的維度出發(fā)，能展現(xiàn)各個網(wǎng)絡(luò)或系統(tǒng)安全策略執(zhí)行符合情況，顯示哪些策略在哪些網(wǎng)絡(luò)或系統(tǒng)中未滿足情況。

·策略與控制措施映射管理：提供安全策略細化后與控制措施的映射關(guān)系查詢、管理等功能。

（4）匯總分析

提供不同等級、網(wǎng)絡(luò)、地域多維度風險匯總與分析，能根據(jù)不同等級保護級別、網(wǎng)絡(luò)或系統(tǒng)類型、地域分布進行風險匯總、統(tǒng)計和分析，反映某一類別網(wǎng)絡(luò)或系統(tǒng)的風險總體情況以及缺陷分布所在情況，展現(xiàn)風險在時間維度上趨勢分布。

（5）系統(tǒng)管理模塊

提供本系統(tǒng)相關(guān)用戶與權(quán)限、進程管理、數(shù)據(jù)庫管理等功能。

5 結(jié)束語

鑒于現(xiàn)有系統(tǒng)在網(wǎng)絡(luò)及系統(tǒng)安全風險管理上的局限性，結(jié)合電信網(wǎng)絡(luò)風險評估和風險管理工作需求，提出了一種風險與策略管理系統(tǒng)框架結(jié)構(gòu)，并設(shè)計該系統(tǒng)具體各個功能模塊，為電信網(wǎng)絡(luò)運營商網(wǎng)絡(luò)及系統(tǒng)安全風險管理系統(tǒng)的建設(shè)提供參考思路。

1 中華人民共和國信息產(chǎn)業(yè)部.YD/T 1730-2008電信網(wǎng)和互聯(lián)網(wǎng)安全風險評估實施指南，2008

2 中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局、中國國家標準化管理委員會.GB/Z 24364-2009信息安全技術(shù) 信息安全風險管理指南，2009

3 安慶權(quán)，王希忠，馬遙.信息安全風險評估系統(tǒng)的設(shè)計.信息技術(shù)，2011（6）