1  引言

    我國電信數據網是關系到國家安全的基礎設施，是國家推動信息化發展的重要手段，其地位和重要性是不言而喻的。要解決電信數據網的安全問題，就必須依據電信數據網自身的結構特點和其所處的運營環境，由內而外、有的放矢，有針對性地明確電信數據網的安全風險、安全要求、采取的具體安全措施，評估出當前電信數據網資產及其保障是否滿足現實的安全需求。

    風險評估是解決安全問題的首要環節，是信息系統安全的起點和著眼點，只有首先經過風險評估，識別系統安全的威脅、薄弱點和影響，才能有針對性地解決信息系統安全中的有關問題。

    目前的信息系統安全評估方面的準則，無論是國際上的TCSEC準則、ITSEC準則、CC和BS7799準則等，還是國內的GB17895-1999準則和GB/T18336準則，其核心都是對安全產品或系統進行評測的標準或準則。這些安全測評準則一般都是用現行的技術評測現行的產品或系統。然而，系統中的安全風險、影響和脆弱性都是動態的，而這些相對靜態的準則必然具有其局限性。系統安全工程能力成熟度模型（SSE-CMM）是針對信息系統安全工程領域提出的具有較高可靠性的模型，其最關注的是安全工程過程域，是以動態的觀點來管理、控制系統中動態的風險、影響和脆弱性。因此有必要基于SSE-CMM模型對我國數據網的風險評估過程進行深入的研究。

    本文將根據電信行業數據網的實際情況與需要，結合SSE-CMM的風險評估模型，對其進行安全風險評估方案分析。

    2  SSE-CMM風險評估簡介

    SSE-CMM模型是CMM在系統安全工程這個具體領域應用而產生的一個分支，是美國國家安全局領導開發的，專門用于系統安全工程的能力成熟度模型。SSE-CMM第一版于1996年10月出版，1999年4月，SSE-CMM模型和相應評估方法2.0版發布。2002年被國際標準化組織采納成為國際標準即ISO/IEC21827：2002《信息技術系統安全工程——成熟度模型》。我國國家質量監督檢驗檢疫總局和國家標準化管理委員會于2006年3月14日通過了GB/T20261-2006《信息技術系統安全工程能力成熟度模型》的國家標準，并于同年7月1日正式執行。

    為了將安全工程思想變為一種有效的工程規范，在SSE-CMM模型中，將各種系統安全工程任務抽象、劃分為11個有明顯特征的子任務(即過程域PA)。這11個過程域又可劃分為風險過程、工程過程和保證過程3類，這3類過程也被稱作SSE-CMM的三大安全焦點。

    在SSE-CMM的三大焦點中，風險過程的位置比較特殊。就其作用而言，風險過程為工程過程提供了基本的安全需求信息，同時也為安全工程的結果提供了有效的評估手段。根據模型，那些足以成為風險的事件由三個組成部分：威脅、系統脆弱性和事件造成的影響。一般而言，這三種因素必須全都存在才足以造成風險（風險值大于零）。模型中定義了四個風險過程域：PA02評估影響、PA03評估安全風險、PA04評估威脅和PA05評估脆弱性。具體關系如圖1所示。

   

  圖1  SSE-CMM風險評估模型

    可以看出，這個模型將風險評估的流程及風險評估中的各因素（威脅、脆弱性、影響、風險）的關系闡述得淋漓盡致，具有極強的指導作用和可實施性。

    3  數據網層次結構

    目前，我國電信數據網的結構主要是一種分層結構，分別為核心層、匯聚層和接入層。每個層的具體功能如下：

    （1）核心層：主要放置核心交換設備，負責完成網絡各匯聚節點之間的互聯及完成高效的數據傳輸、交換、轉發及路由分發等功能；

    （2）匯聚層：主要放置匯聚設備和交換設備，負責將各種接入業務集中起來，除了進行局部數據的交換、轉發以外，通過高速接口將數據輸送到核心層去，在更大的范圍內進行數據的路由以及處理等功能；

    （3）接入層：主要放置各種接入設備及其交換設備，提供各種標準接口將數據接入到網絡中，完成基本的業務系統之間的隔離和安全性控制、認證管理等功能。

    從圖2數據網三層結構圖可以明顯看到的是，核心層、匯聚層、接入層之間的具體功能和其關鍵資產所擔負的業務使命有明顯的差異，如果評估中等同視之，顯然是不合理的。

    圖2  我國數據網分層結構

    4  數據網風險評估方案

    雖然目前國內外有眾多的風險評估模型和方案可供參考，但是一味生搬硬套去應用，顯然不能有效地適應我國數據網風險評估的實際情況，因此本文依據SSE-CMM風險評估模型和數據網實際情況提出一種新的風險評估方案。

    在SSE-CMM模型中定義了四個與風險相關的過程：PA02評估影響、PA03評估安全風險、PA04評估威脅和PA05評估脆弱性。這四個的關系是：

    首先，通過PA04，PA05，PA02這三個過程的具體基本實踐分別得到系統的威脅、脆弱性和影響信息，然后利用PA03評估風險過程獲得系統的風險信息。

    針對電信數據網，首先利用SSE-CMM模型構建數據網系統的安全方案的核心子框架——風險信息獲取過程。當得到數據網系統的風險信息后，相應的會對風險采取對應的風險控制措施。因此，我們通過針對不同優先級的風險信息提出具體安全措施，然后依據這些安全措施對現行數據網安全執行情況進行調查評估，最終得到一個較為客觀的風險現狀評估。

    其次，針對數據網的三層結構：核心層、匯聚層和接入層，考慮到這三個層在整個數據網系統中的主要功能和作用有較明顯的差異，安全影響因素的關鍵資產所擔負的使命也有較大區別，因此我們將利用這三層結構構建整個電信數據網的風險評估大框架模型。

    第三，結合以上兩點考慮，對我國電信數據網以某端局作為節點，大框架依據我國數據網三層分層結構，每個節點采用風險信息獲取核心子框架，最終完成我國數據網安全風險評估方案的整體框架構建。具體示意圖見圖3。

  

    圖3  電信數據網安全風險評估方案框架

    在這個數據網安全風險評估方案框架中，首先，評估前根據SSE-CMM風險評估模型的PA04，PA05，PA02過程域分別獲得某分局子節點的威脅信息、脆弱性信息和影響信息，并結合PA03過程域的基本實踐和此三者相關信息得到該子節點的風險信息；再利用得到的風險信息可獲取相應采取的安全措施；評估時只需對照現有實施的安全措施與應采取的安全措施，通過一些風險定量和定性分析方法來得到該子節點的不足和殘余風險等信息。其次，方案框架又借鑒數據網分層結構和同一層子節點的不同功能、重要性，在評估時進一步給其配以合理的權重來得到較為客觀的整個數據網系統的風險狀況。因此，本方案既可得到整個數據網系統和其子節點系統的風險情況，又可得到其相關過程域的能力成熟度信息；既利用了SSE-CMM風險評估模型的科學性、全面性和更有利于減緩風險的特點，又結合了我國電信數據網三層分層結構的實際狀況，體現了一定的合理性和客觀性。

    5  幾點說明

    5.1風險評估不等同于威脅評估

    威脅評估是安全工作的最基本出發點（因為安全一定是為了對抗某種風險），但如果不考慮脆弱性與影響的評估，仍然不能體現出安全的相對性與動態性（適度安全），更不能反映威脅對系統造成危害的實質（威脅是外因，脆弱性是系統固有的內因，外因要通過內因起作用），因而也不可能對安全需求做出定性和定量的準確判斷。

    5.2安全措施

    為了簡化模型，方案給出的安全措施僅對應于風險。但要強調的一點是安全措施可針對威脅、脆弱性、影響和風險自身。還要指出的一點是，采取的安全措施面臨不能減緩所有風險，或徹底根除某個具體風險的可能。所以，某些風險在一定程度上是可容忍的。由于風險的不確定性特點，判斷是否接受風險便成為一個非常專業的問題，這將是后續工作的一個難點。

    5.3風險結果的量化

    通過風險信息和安全措施將得到數據網當前狀況的風險量化等級，而這個等級如何與我國計算機信息系統實行的安全等級保護相對應？本方案建議安全措施的采取可參照公安部在吸收了CC、結合國情的基礎上頒布的與GB17859項配套的GA/T390《計算機信息系統安全等級保護通用技術要求》標準，其過程中還應結合我國電信數據網自身的一些特點進行適當的增加和刪減，這樣才可以給出令人信服和較為客觀的風險安全量化等級。

    5.4持續改良特性

    在風險信息獲取過程中依舊保留SSE-CMM風險評估模型的不斷監控特點，各個過程域評估時均有監控實時變化的基本實踐。這些新的變化將不斷影響相應安全措施的實施，相反安全措施在實施過程中也將不斷帶來新的安全事件，又會影響風險信息的新變化，這將形成一個不斷改良整個數據網安全系統的螺旋式上升過程。

    總之，風險評估作為一個系統的過程，完善的策劃過程十分重要。本文結合了我國電信數據網三層分層結構的不同功能和重要性和SSE-CMM風險評估模型，提出新的安全風險評估方案模型框架，對我國電信數據網的風險評估將具有一定實際指導價值。

    當然，本文僅僅基于SSE-CMM風險評估模型對我國電信數據網一些重要的因素做了粗淺的分析，希望能夠對數據網進行風險評估時的具體實施提供一點參考。建立適應我國國情、科學、系統的風險評估框架，使風險評估能夠利用更科學的方法不斷提高水平，從而促進我國信息安全保障體系的建立和完善，是一項非常有價值的工作，目前還有大量的工作需要進一步探討。