C0Mp liI薹
Sll lJ重薹l
提出改进措施。
2)人力资源耗费严重
由于缺少有效的自动化工具,造成在实际工作 中,需要耗费大量的手工操作,用人力去弥补工 具的不足。例如,安全巡检工作中,要大量使用 PING命令以及登录到被检设备上执行CLI命令获 取需要的数据。再例如,漏洞扫描和配置核查两项 工作虽然分别有成熟的系统支持,但报表是分离的, 合并报表需要手工完成。 3)知识技能要求过高 现在的风险评估工作,需要使用多种专业安全 检测工具,如漏洞扫描器、渗透测试软件、基线检 查工具等,还需要人工辅助检查,评估后会产生大 量的评估结果报告。因此,需要安全评估人员具备 较高的专业技术技能、丰富的知识经验。 4)动态性差 传统的风险评估基本上是静态的,是对某一个 时间点或者相对较短时间的风险情况进行评估,评 估过程在时间上不具有连续性,被评估对象是作为 一个相对静止的对象来评估。评估结果只是某一特 定时间点的风险值。静态风险评估无法反映出两次 评估之间风险的变化状况,评估结果往往具有滞后 性。 4)业务关联性差 传统安全评估工作与其他运维流程没有太多的 关联,彼此之间缺少衔接和信息共享。例如,当一 个业务系统升级后,风险评估流程没有获得业务系 统新版本升级、扩容等变更后的关键变更信息,评 估的基线没有随之变更,评估结果自然不够准确的。 1.3自动化安全风险评估工具研发的构思 在详细分析前述问题的症结之后,我们把安全 风险自评估工作难以开展的原因归结为缺乏一个易 用的、全面的安全风险自评估工具作为支撑手段。 而国外的经验特别是美国政府落实FISMA的经验 证明,可以利用灵活高效的评估工具解决前述安全 风险评估中的问题。因此,我们想到用将离散的评 估工具和安全巡检命令整合成一个综合的高度自动
化的风险评估工具,并且能够根据业务系统的变化
动态生成新的安全基线,满足我们进行安全风险自
评估的工作需求。
2技术特点分析
2.1电信网络安全评估需求特性分析
为了使评估工具更贴近实际工作需要,必须先
分析电信网络安全评估需求特性:
1)综合性
传统的风险评估工具,对风险构成因素覆盖的
深度和广度都远远不够。电信网络的设备组成又非
常繁杂,业务类型众多,因此要求风险评估工具具
备高度的综合性,衡量业务系统的整体风险,而不
是部分风险因素。
2)面向业务
传统的风险评估是面向网元和系统的,很少考
虑业务安全的需求。例如,某个特殊的业务需要开
放某个IP端口,而通用评估标准无法涵盖这些特
定需求。再例如,出于业务安全要求,数据库管理
员的权限不过分集中,在权限配置上有业务的特殊
要求。还有,如果一个业务系统由多个不同角色的
服务器组成,安全评估还应考虑整个业务流程上的
安全需求。防止业务流程漏洞被利用。
3)动态性
随着IT技术的飞速发展,电信业务自身也经
历着飞速变化的时代,相应的对电信网络的攻击手
法也在快速变换。因此,要求安全评估手段也必须
具有良好的动态性并与现实情况相适应。
动态风险评估是对一段时间内的网络或系统的
安全状态进行评估,研究其演化趋势,并将风险与
环境(网络运行情况、安全防护情况、用户特性等)
■曩墨 COM¨!…)UT E:
图2功能整合示意图
3)动态安全基线的管理机制
安全基线就是网络设备的一系列风险因素的满
足合规要求的最低取值所组成的集合。COBRA安
全风险评估工具对业务系统进行动态评估,对每个
设备都建立一个可动态调整的安全基线。动态评估
就是按照固定周期对业务系统进行风险评估,并与
基线进行比较,以确定是否存在风险或修改基线的
必要。下图示动态基线管理的流程。假设当前的基
线是前一次评估结果生成的。前一次评估结果生成
后,管理员对评估结果进行审订,如果有需要修改
的项目,就手工调整并返回到评估结果。如果没有
就保存到基线数据库中。当启动后一次评估并生成
评估结果后,新的评估结果会与基线库中的安全基
线自动进行对比,新评估结果会将与基线的差异用
特殊颜色标识出来。对各项差异进判断,是否接受。
如果有新的评估结果被接受,则保存到基线库形成
新的基线。如果没有任何基线项目需要变更,则生
成新的评估报告。
图5动态基线管理流程
3.2系统功能特性
COBRA安全风险评估工具充分考虑了电信网
络风险评估的需求,并结合中国移动集团内部的安
信息监控、日常巡检等功能整合在一起,形成了一
个高度综合的风险评估工具。
2)以风险为核心整体评估
COBRA安全风险评估工具评估的项目覆盖了
风险因素的各个方面。允许创建和分发综合风险评
估任务、整合输出评估结果报表。风险评估任务包
括漏洞扫描、配置核查和日常巡检三方面内容,创
建任务的时候是以设备为索引的,既要考虑综合性
又要考虑灵活性,既可以创建包含三类工作的综合
任务,也可以创建只包含单一工作的任务。任务创
建后,根据具体的内容自动分发给相应的功能模块
去执行。评估结果报表的输出是以任务为导向的,
既考虑了综合性需要也兼顾了灵活性。对应综合任
务,可以针对其中的子任务输出评估结果报表。
… 曩 薯嵩 1 戮 ’ ’恼 嘲 I ●0 《霁l
渤 蟮曩 涎 厂 —— ———_『— 紫 一
……… ……… n一 —
} 十●* …
图4评估结果界面
2)以面向业务的动态基线为评估方法
COBRA安全风险评估工具中的基线概念有别
于传统意义上的安全基线概念,它综合了各种风险
因素,同时又面向业务并动态变化。
B
; 舯l _舸^ 一
鼬■ -_
嗍蝌 ■ 罐■_ 脚‘
量 j :
翻 ・‘糍哪螨P 叶
m … “Ⅷ№¨ .
§… m撼 }
:薯 ≥薯 董一 。 -- 一 椰
■■t■● ■……,^ ●a#聃
●■0 目Hl聃雌■■删 ;
虹^ I■ ●∞吼 ∞
●■■■■●*目t^■ { @
■■
弗 ■
”
图5基线管理界面
C O B RA对初次上线的设备都会生成一个安全
全运维的管理规定,将漏洞扫描、配置核查、关键 基线,并保存到基线库里。后续的评估都会以这个
O瓢l’Ij r R
lil Ijl差I Y
Security Standards”、Telcordia公司的“Telcordia
Generic Requirements For Network Element/
Network System(NE/NS)Security(GR-8 1 5-
CORE)”、美国国家标准学会的“ANSI Baseline
of Security Requirements for the Management
Plane(T1.276-2003)”。CISCO公司的“Network
Security Baseline”。
2)企业标准
COBRA是广西移动结合自身工作需要,研制
的一个安全评估工具,因此必须参考内部的相关规
范,主要包括: 中国移动网络与信息安全风险评
估管理办法))、 中国移动设备安全功能和配置系列
规范 、 网运中心安全维护作业模板 。
5.2业务标准的获得
COBRA安全风险评估工具的使用过程中,首
先利用评估标准发现潜在风险,再根据业务特征判
定是否为真正的脆弱性,最后确定了业务系统的面 向业务的安全基线。这些面向业务的安全基线就成 为业务系统安全规范的一个重要组成部分。由于各 省公司的业务系统相似,利用COBRA安全风险评 估工具抽象出的业务标准在集团内部具有良好的通 用性和指导作用,因此,COBRA安全风险评估工 具可以作为规范化的工具在集团内部推广使用。 6技术发展趋势 6.1工具化的趋势 近年来,信息安全技术发展的一个最明显的趋 势就是安全操作工具化。例如漏洞挖掘工具、攻击 特征转换到防护策略的工具、代码安全性扫描工具、 渗透测试工具等等。由于网络安全形势日趋复杂, 安全事件成指数增长和攻击手法日新月异,正是在 这种背景下,无论是从业务的需要还是人力资源的 考虑,很多安全操作必须从专业安全人员前移到系 统管理人员。借助安全工具可以将原来的高度依赖 U J .U 27 日口圆圈 1www nsc org CR 知识经验技能的纯手工操作,固化成可重复自动执 行的工具。降低对系统管理人员在安全知识经验技 能方面的要求。安全风险评估工具也已经成为系统 管理人员日常工作的必备工具。 6.2面向业务的趋势 近年来,网络安全的焦点从面向网元明显转向 面向业务。经过多年的积累,面向网元的安全措施 已经没有太多的改进余地。直接面向网元的攻击难 度在不断提高。而随着新的电信业务推出,在应用 层面和业务层面上存在漏洞的概率在急剧增加。对 应用和业务进行攻击仅花费很小的代价就可以取得 事半功倍的效果。 C O B RA安全风险评估工具是这两个趋势充分 体现。尽管COBRA取得了阶段性成功,未来仍有 持续改进的空间。例如随着新业务系统的上线,需 要补充针对新业务的评估指标和方法。再例如,随 着对业务流程的充分梳理和了解,还可以挖掘出更
多的评估指标。另外,新的攻击手法也从反面提示
相应的安全评估方法。
收稿日期:2o1 2—01—1 5
国 /信 呈 引 一 一~ 一一时 ~ ~胁较 ‘堇析 借∞ m呲峨 ~一 一 一~圳 至宝 一№
一~一 一~一一~一一~一一~一~~…蜘 …倒…