口TELECOMMUNICATIONSNETWORKTECHNOLOGYNo.9NETWORKTECHNOLOGY电信运营企业的安全基线与等级保护桑梓勤摘要简要介绍了电信网络的安全问题与标准化工作,并从两个方面对电信网络的安全保护进行了阐述(一是安全基线,二是等级保护),最后对二者进行了比较分析。关键词电信网络安全基线等级保护安全防护引言2电信网络的安全问题与标准化工作电信网络作为国民经济的基础设施,与国民经济各领域的联系日益紧密,网络安全问题对整个国民经济信息化进程有着举足轻重的战略意义电信网络安全是国家信息安全的一个重要组成部分,越来越受到社会各领域的重点关注。关于电信网络的安全保护,有两种思考方法,一种是从安全基线的角度考虑问题,另一种是从等级保护的角度考虑安全问题,本文将对此作一简略阐述和比较分析。从狭义的安全定义来说,传统的电信网络一般认为是没有安全问题的,这是因为一方面网络传输采用TDM专线,用户采用面向连接的通道进行通信,其他用户很难搭线盗听;另一方面,采用独立的信令网,信令网的安全可靠保证了网络的安全。电信网络所存在的威胁和脆弱性大部分来自网络自身的可用性问题。随着软交换,IMS等新技术的采用,承载网的分组化,用户终端的智能化,使得电信网络变得越来越应安全措施的实施,相反安全措施在实施过程中也将不断带来新的安全事件,又会影响风险信息的新变化,这将形成一个不断改良整个数据网安全系统的螺旋式上升过程二总之,风险评估作为一个系统的过程,完善的策划过程十分重要。本文结合了我国电信数据网三层分层结构的不同功能、重要性和SSE一CMM风险评估模型,提出新的安全风险评估方案模型框架,对我国电信数据网的风险评估将具有一定实际指导价值。当然,本文仅仅基于SSE一CMM风险评估模型对我国电信数据网一些重要的因素做了粗浅的分析,希望能够对数据网进行风险评估时的具体实施提供一点参考。建立适应我国国情、科学、系统的风险评估框架,使风险评估能够利用更科学的方法不断提高水平,从而促进我国信息安全保障体系的建立和完善,是一项非常有价值的工作,目前还有大量的工作需要进一步探讨。参考文献1TheAssuraneeAPProaehesWorkingGrouP.SSE一CMMModelDeseriPtzonDoeumentversion2.0.httP://w.sse一cmm.org2冯登国,张阳,张玉清.信息安全风险评估综述.通信学报.2004,vol.Zs(7)3刘芳,戴葵,王志英.信息系统安全性评估研究综述.计算机上程与科学.2004,24(9):Pp.19一234程学东.电信网网络安全评估指标体系研究.现代电信技术,2005,8(8)5沈昌祥.信息安全工程导论.电子工业出版社2003(收稿日期:2007一08一27)桑梓勤武汉邮电科学研究院网络研究部技术总监,〔学博士,高级]_程师网络技术《电信网技术》2007年9月第9期口复杂,特别是下一代网络继承了分组IP网络的主要安全问题,包括DoS攻击、病毒蠕虫木马的入侵、信息窃取、地址欺骗等。因此电信网络的安全问题变得越来越重要,也吸引了包括运营商、设备商和用户在内的众多专家关注。解决电信网络的安全问题,一是靠技术,二是靠管理。国内外的标准化组织正在加紧工作,制定电信网络安全管理方面的标准。中国通信标准化协会(CCSA)下属网络与信息安全技术工作委员会(TCS),正在制定信息安全运行管理、网络与信息安全服务、网络安全应急响应方面的标准,近期也启动了电信网安全需求、网络安全风险评估方面的项目,还将开展X.1051采标、网络安全应急处理等相关标准研究。除此之外,CCSA在2006年or月成立了“电信网安全防护特设项目组”,在半年多的时间内,完成了“电信网和互联网安全防护体系”的20多个标准的起草工作。国标电联标准化委员会第17组(ITU一TSG17)负责安全方面的标准,已发布的rU一TX.105l(信息安全管理系统—电信需求ISMS一T旧益成为S1G7组安全管理标准领域的一个基础标准。ISMS一T3.1安全基线概念安全基线,是借用“基线”的概念。字典上对“基线”的解释是:一种在测量、计算或定位中的基本参照。如海岸基线,是水位到达的水位线。类比于“木桶理论”,可以认为安全基线是安全木桶的最短板,或者说,是最低的安全要求。.32安全运行管理系统目前,电信运营企业在网络与信息系统的安全管理上仍然存在不足,无论是管理模式还是技术手段,都...
