电信数据网安全域划分与评估范围
置信数据网安全域
划分与评估范围
郭曙光刘建华
疆安邮电学院陕蹶710121
摘要:通过对我阐电信数据两黼络安全和信息安全巾所存在酶一些褥题黪分孝厅,又结合了目前毫倍数据丽实际孛一般网络拓扑结构状况,本文对电信数据网安全评估中的安全域划分和评估范围两个问题进行了阐述,并进一步指出下一步安全评估工作巾这两者在实际评估工作中的具体应用思路。
关链谣:毫售数擐瓣;安全镡链;安全域;评接范瀚
0萼l言
嫒羯安全域昀撬念,便予簿量不霹妁安全需求、藏黪,鼓电信数据网作为电信网络的重腰组成部分,随着其网络、而确定如何采用访问控制、权限控制。它是在数据网全局安用户以及信息流量的不断增长,它的网络安全与信息安全问全策略的统一指导下,根据子系统的工作腾性、组成设备、所题嚣益突溱。诸如瓣绦复联醅逶傣黪安全|霹瑟、应雳系统黪携带豹僖患洼凌、健溪主体、安全嚣标等,褥整个鼹终系统整体安全问题、系统设备的物理安全问题、用户安全问题和
划分成不同的安全域,将不同子系统中爨有相近安全属性的数据安全阉题等。要熊决这些安全阔题就必须从电信数据网组成部分归纳在嗣一个安全域中。一个安全域内可进一步被盼安全标准、系统安全体系框架、评估模型、安全指标体系窝1分淹若予安垒子域,安全子域氇可继续依次遂一步缨侥。和安全保障体系等方丽入手进行研究。
因此安全域是一个逻辑范围成区域,在某一个范围或区域中但如暴没有一个终构渍晰、可靠实用、扩震灵活的电信采用通用的安全策略,因此可通过安全策略的角度进行安全数据网系统安全体系缭构,依然沿袭各套子系统的安全建设区域的翊分。
自成体系、分散单干的常规做法,即使选用最先进的安全设电信数据网的物理结构组成要素有以下四个:终端设备、畚,那么瞧只能是搭建了一个空巾楼阉,无法扶摄本上减弱传输系统、交换蘩点、疆络技术。掇据瀚国电信网秘麓实际整个系统所受到的安全威胁和隐患。因此,克服和改造电信情况和前面的分析,可将其划分为核心鼷区域、汇聚瑶区域、数据网络系统中传统的网络整体结构的划分不清晰才是电信接入层区域三个大的安全域,每个安全域的具体功能不同,数据涎终安全酶善要王粪。霆既为规翔、建设繇谬绩一个完具体蠢#下:
善的电信数据网系统安全体系结构,本文对电信数据网的安(1)核心层区域:主要放置核心交换设备,负责完成网全域及评估范围问题做一些简要论述。
络各汇聚节点之间的互联及完成高效的数据传输、交换、转l电信数据圈安全域描述及划分
发及辫鸯分发等秘麓;
目前我国电信数据网是由分屡次的区域性子系统组成,(2)汇聚层区域:主要放置汇接设备和交换设备,负责所有这些子系统纵向与横向之间,进行数据僚息交换和资源将各种接入业务集中起来,除了进行局部数据的交换、转发共享,稠赢提供服务,互相{l、充,形成电信逐营、管理、服浚外,通过高速接口将数据输送霸核心臻去,在燹大的范围务的统一整体。依据电信数据网自身的分层次的区域性结构内进行数据的路内以及处理等功能;
精点和其掰处的运营环境,进行安全域划分,扶丽有针对性(3)接入层区域:主要放置各种接入设备及其交换设备,明确各层区域电信数据黼的安全目的和安全要求,评估出电提供各种标准接隧将数据接入到网络中,完成基本的娩务系信数据网资产及其所需的安全保障是否满足现襄的安全需求。
统之问的隔离和安全性控制、认证管理等功能。
潭羹作鸯篱分:郭曙光(1972一>,舅,蕊安邮电学院傣患与控裁系,磷究方寓:圈绦处理、信息蜜全。
一刘建华(1
963-),男,西安邮电学院倍息与控制系,高工,研究方向:信息安奄。
2∞7。10丽增敲篝誊茔技柬与魑用93
万方数据
具体而言,电信数据网系统安全域划分如图1所示。根据电信数据网的安全域划分模型和具体功能的描述,电信数据网的安全评估对象所面临的威胁和脆弱性应当包括:核心层区域、汇聚层区域、接入层区域的总和。而最可能受到攻击并会造成严重破坏后果的主体应是电信数据网的核心层区域的核心网络设备和关键资产。
图1电信数据网安全域划分
2电信数据网的评估范围
为了能够有效了解整个电信数据网系统的安全需求,有必要对安全评估范围作进一步的界定,从而就可构建一套系统安全体系结构来进行数据网安全防范和评估。
结合电信数据网安全区域划分、国际标准ISO7498.2《信息处理系统开放系统互连基本参考模型第2部分:安全体系结构》以及计算机网络的体系结构,本文给出一个三维结构的安全评估范围框架,具体如图2所示。
图2电信网安全评估范围的三维结构框架
94丽晤各安呈技7It与应用20叮.10
万方数据
第一维(x轴)是安全功能,依据国际标准Iso7498—2《信息处理系统开放系统互连基本参考模型第2部分:安全体系结构》,给出了被保护对象的基本安全功能需求,包括身份认证、访问控制、数据保密性、数据完整性、抗抵赖、可靠性、可用性和安全审计。
第二维(Y轴)是系统单元,给出了电信数据网基本组成的体系结构,包括物理平台、系统平台、通信平台、网络平台和应用平台。
第三维(z轴)是网络结构,电信数据网中从网络分层的概念上可以分为核心层、汇聚层和接入层三大安全区域。在每一个网络区域层面上,都应提供防护、检测和快速反应的安全模型,并提供一系列安全措施。
每一个网络层次有相对应的系统单元;每一个系统单元对应于某一个协议层次,需要采取若干种安全功能才能保证该系统单元的安全。
3下一步工作
通过对前面的安全区域划分和评估范围的具体描述,在下一步电信数据网安全实际评估工作中,首先就应该在前述基础上构建出电信数据网的安全评估框架体系,结合所确定
的评估对象,即关键资产进行确定它隶属的安全区域;然后根据网络的体系结构确定其所处的平台位置(某一确定资产有可能同时隶属几个平台);最后再考虑这一资产在某平台上的八个安全维度的具体状况,从一些相关的国际安全评估标准,如CC标准或BS7799标准的安全要求中进行具体安全指标参数的提取。这样就可对整个电信数据网的安全状况有个较明晰的评价基础,至于评估中的八个安全维度用到具体指标参数的提取及量化、不同安全域、不同网络体系结构的不同平台所占具体权重和资产所处体系结构中的等级化等问题将是下一步工作的重点内容。
参考文献
[1]程学东.电信网网络安全评估指标体系研究.现代电信技术.
2005.8.
[2】Datanetworksandopensystemcommunications—security.
[3】Infomation
pmcessingsystem—OpenSystemsInterconnec—
tion—BasicReferenceModel—Part2:Securityarchitecture.
电信数据网安全域划分与评估范围
作者:作者单位:刊名:英文刊名:年,卷(期):引用次数:
郭曙光, 刘建华
西安邮电学院,陕西,710121
网络安全技术与应用
NETWORK SECURITY TECHNOLOGY & APPLICATION2007,(10)0次
参考文献(3条)
1. 程学东 电信网网络安全评估指标体系研究[期刊论文]-现代电信科技 2005(8)2. Data networks and open system communications-security
3. Information processing system--Open Systems Interconnec-tion--Basic Reference Model--Part2:Security architecture
相似文献(9条)
1.会议论文 黄文华. 侯红霞. 郭曙光. 范九伦 基于ITU-T X.805的电信数据网安全性评估方法研究 2007
电信数据网的安全评估旨在从评估的角度为数据网提出安全要求,保护其安全运行。本文针对电信数据网的安全性评估方法进行了研究。主要阐述了电信数据网安全评估的基本思想,以ITU-T X.805的安全体系框架为基础建立了我国电信数据网安全评估框架,提出了基于安全框架的电信数据网安全评估指标提取方法。在此基础上,研究了基于指标体系的电信数据网安全性等级划分方法。文章为我国电信数据网进行安全评估、划分安全等级确定了基本框架,提供了评估工具和理论依据。
2.期刊论文 赵庆兰. 范九伦. 刘建华. ZHAO Qinglan. FAN Jiulun. LIU Jianhua 我国电信数据网安全评估指标获取方法 -现代电子技术2007,30(20)
安全评估是解决我国电信数据网安全问题的一项重要措施,而安全评估指标的获取是安全评估体系的基础.为对我国电信数据网进行安全评估,结合我国电信数据网实际情况,在提出电信数据网安全指标框架体系的基础上,给出了安全评估指标参数的获取方法,并指出了进一步的研究方向.
3.期刊论文 郭曙光. 范九伦. 刘建华. Guo Shuguang. Fan Jiulun. Liu Jianhua 电信数据网安全指标提取方法探讨 -中国新通信2006,8(23)
数据网安全评估指标是安全评估的工具,是反映电信数据网安全属性的标志.结合我国电信数据网实际情况和ITU-T X.805标准,提出了电信数据网安全指标框架体系;在此基础上,给出了电信数据网安全评估指标的提取方法;最后,指出下一步的工作内容.
4.期刊论文 黄文华. 郭曙光. HUANG Wenhua. GUO Shuguang 电信数据网安全性评估指标参数提取方法的研究 -现代电子技术2007,30(20)
阐述了电信数据网安全评估的基本思想,以ITU-T X.805的安全体系框架为基础,分析了我国电信数据网的安全框架,对安全评估指标参数的提取方法进行了详细分析,提出了具体的提取流程,并讨论了相关的几个问题.
5.期刊论文 郭曙光. 张蕊莉. Guo Shuguang. Zhang Ruili 电信数据网的资产分类概述 -网络安全技术与应用2007(3)
在对电信数据网进行安全评估迫在眉睫之时,首要问题是确定需要评估的对象.本文结合目前我国电信网实际情况,对数据网中需要评估的资产进行了分类概述,主要从物理资产、服务资产和信息资产及其它们之间的相互关系角度出发进行分类,从而为下一步的评估工作做好准备.
6.会议论文 赵锋 电信数据网安全评估准则的研究 2007
提出电信数据网的安全评估框架,重点讨论了电信数据网安全评估准则、电信数据网安全等级划分原理、电信数据网安全评估过程、电信数据网安全评估工具。最后,指出了电信数据网安全评估发展趋势。
7.期刊论文 赵锋. Zhao Feng 电信数据网安全评估准则的研究 -电信工程技术与标准化2007,20(5)
提出电信数据网的安全评估框架,重点讨论了电信数据网安全评估准则、电信数据网安全等级划分原理、电信数据网安全评估过程、电信数据网安全评估工具.最后,指出了电信数据网安全评估发展趋势.
8.会议论文 雷博. 刘建华 基于模糊综合决策的电信数据网设备等级划分原理 2006
电信数据网设备等级划分是进行电信数据网安全评估的重要步骤,是研究等级化电信数据网安全评估的重要分支.对于电信数据网而言,决定一个设备级别的因素众多,采用简单的决策无法得到准确的结果,考虑采用多层次模糊综合评判来对网络中的设备进行分级.提出了一种基于模糊综合决策的电信数据网设备等级划分的方法,并给出了实施说明.
9.期刊论文 赵锋. 刘建华. 范九伦. ZHAO Feng. LIU Jianhua. Fan Jiulun 电信数据网分布式评估系统的设计和实现 -现代电子技术2008,31(13)
针对目前使用通用准则进行电信数据网安全评估所面临复杂性高、效率低、代价大的问题,讨论了使用通用准则对电信数据网进行安全风险评估的评估框架和评估过程,设计和实现了基于J2EE的分布式通用准则评估系统TDNStudio.实验结果表明该系统能够显著地提高评估效率、减少评估代价,保证评估结果的客观性和正确性.
本文链接:http://d.g.wanfangdata.com.cn/Periodical_wlaqjsyyy200710041.aspx
下载时间:2010年4月24日