高 敏，郭长茂

（1.中国电信股份有限公司广东研究院 广州 510630；2.中国电信股份有限公司广东分公司 广州 510081）

1 引言

随着信息技术的飞速发展，网络面临的风险呈现复杂多变和难以预测的趋势。电信网络承担着大范围的公众通信需求，其安全状况对于社会稳定、人民生活等方面具有重要意义。目前，安全管理、安全防范成为电信运营商重点关注的问题。

安全风险评估、风险管理是网络安全管理和保障的基础和手段，但是目前相关的人员素质、管理手段和支撑手段都仍待提高。为了提高电信网络的安全防护能力，保障网络安全稳定和可靠运行，加强安全风险评估及管理工作势在必行。

2 目前风险评估及风险管理工作难点

（1）风险评估过程复杂，评估工作量大

风险评估是指对信息资产在技术、管理等方面存在的脆弱性、威胁、风险发生概率、安全事件影响等安全风险情况进行分析，找出安全风险，有针对性地提出改进措施的活动。

风险评估过程遵循从风险评估准备、风险要素识别、风险分析、风险结果判定的一个标准过程（如图1所示），比较复杂。

图1 风险评估流程

严格按照流程进行评估，工作量非常大，而且对运维人员的素质要求很高。目前很多评估人员不了解风险评估整个流程，认识比较片面，只做了整个流程中的一两项，如认为漏洞扫描就是风险评估。还有些人员对复杂流程望而生畏，不知从何着手。另外一个方面，目前评估的内容不完整，比如在评估准备阶段，缺少对评估对象的影响分析及风险规避措施制定；在风险要素识别阶段，脆弱性只考虑了技术方面没有考虑管理方面等。

（2）风险动态管理难度大

风险评估并不是孤立的一次工作，特别是运维阶段的风险评估工作，需要定期或不定期地多次举行。风险必须进行动态管理，通过跨时间、跨系统等综合分析新风险的产生原因和规避措施。但是目前各个网络和系统不同时期的风险情况分散在不同的文档记录中，很难做到关联和对比分析。

（3）安全策略执行符合度较难评估

安全制度要求提出后，由于要求点较广，在大规模网络中评估实际的执行情况，了解风险与策略要求的符合度，存在一定难度且消耗大量人力。而且多个管理部门提出的安全要求和制度，部分有重叠和交错，如果逐个评估，对应的同一控制措施需要进行多次评估，重复工作较多。

（4）现有支撑手段有限

在电信运营商现有网络中，一般只部署入侵检测系统、防火墙、基线检查工具、扫描器等技术检测或防御类的系统，这些系统只能提供某一方面的技术检测结果，缺乏综合分析、运算和流程管控手段。

因此，随着安全工作进一步深入，急需建设一套系统专门进行风险的管理工作，完成风险评估计算、风险动态管理、安全策略管理、风险与策略符合性比对等工作。一方面减轻运维人员评估的工作量；另一方面规范评估的过程，保证评估内容完整性和准确性，并且提供多维度关联、比对和汇总分析。

3 风险与策略管理系统框架设计

本文设计了一种风险与策略管理系统框架，采用风险与安全策略管理相结合的方法，综合多方面采集数据，建立多维度评估及比对规则库，实现风险评估计算、风险管理、策略管理等多种综合功能。

系统基本框架设计分为4个层面，结构如图2所示。

（1）采集接口

通过数据采集接口，为评估实施和数据比对提供必要的输入，采集的数据包括企业安全策略要求、安全标准和法规、人工评估结果（调查问卷、文档检查、网络架构等检查结果数据）、专业工具分析结果（如漏扫工具、基线符合比对工具、入侵检测系统、防火墙日志、4A平台、综合告警平台等结果数据）、资产数据等。

图2 风险与策略系统框架

采集采用两种模式：一种是周期性自动或人工触发系统间的接口采集；另一种是提供导入或输入手段给用户实现人工评估数据或制度等文档数据的输入，如调查问卷结果、文档检查结果、安全策略文档的导入等。

（2）评估基本库

整合采集接口采集的数据，进行数据的抽取、转换和综合，在数据层形成评估基本库。该库是系统的基础部分，包括策略集合、威胁集合、脆弱性集合和资产管理4个模块。

·策略集合：将企业安全策略、安全标准和法规等要求逐点进行分解，细化到可映射到具体的控制要求的颗粒。

·威胁集合：将人工评估和系统导入与威胁相关的检查结果进行转换和整合入库，包括威胁的来源、种类、发生可能性等。与之相关的系统包括入侵检测系统、防火墙日志、综合告警平台、4A平台等。

·脆弱性集合：将人工评估和系统导入的脆弱性数据进行转换和整合，包括漏洞扫描结果、基线符合检查结果、人工评估发现管理弱点、物理及网络架构脆弱性等。

·资产管理：将资产基本信息及业务价值、影响力、可用性等属性和赋值进行整合入库。

（3）评估规则库、风险与控制措施映射库、策略与控制措施映射库

在业务逻辑层面建立评估规则库、风险与控制措施映射库、策略与控制措施映射库。

评估规则库：依托管理、主机、网络、数据库、中间件应用、物理等方面的评估标准、知识和评估准则，建立不同类别评估规则，将资产、威胁、脆弱性等风险要素及其构成因子识别与计算方法、风险计算算法等固化在系统中，将其转化为可量化评价指标。

风险与控制措施映射库：建立具体风险与控制措施对应库，为风险目标值下的控制措施选择提供相关数据。

策略与控制措施映射库：将上级管理要求、安全框架、法规的每一细分点映射至控制措施（包括管理及技术方面）。

（4）评估与比对处理

在控制层面，根据风险评估流程完成各个指标综合计算，策略要求与评估结果的比对，风险目标值下的控制措施选取等。将评估和比对的流程、方法固化在系统里。

（5）用户可视化及交换式界面

该层次主要负责数据及报表等最终呈现，提供用户与平台交互的功能。

4 风险与策略管理系统功能模块设计

风险与策略管理系统设计提供风险评估、风险管理、策略管理、汇总分析、系统管理5个方面的功能，通过报表、图型、报告、仪表盘等多种形式向用户呈现，示意见图3。

（1）风险评估模块

·风险评估流程管控：按照风险评估标准流程，对每个网络或系统的风险评估过程进行管控，规范流程中各个阶段的动作必须执行以及相关数据输入和输出。

·风险评估中间和结果数据呈现：以报表、图形、仪表盘、报告等形式展现风险评估的中间及结果数据。

·风险与控制措施选取：根据某一风险提供相应控制措施；呈现系统风险修复优先级；根据风险值下降的目标提供用户多种控制措施的选取。

·风险与策略符合度比对：将风险评估结果和安全策略的符合度进行比对，除了风险值与安全策略要求比对外，由于安全策略已经细化到与之相关的控制措施对应，该项功能应展示该风险对应的策略要求但并未实施的控制措施。

（2）风险管理模块

·风险要素管理：提供风险要素以及其构成因子的管理，如资产的管理、高危漏洞分布与管理等。

·风险跨时间、跨系统维度管理：针对某网络或系统不同时间维度风险对比分析或趋势分析，掌握风险的变化情况；通过对不同系统的比对，呈现不同设备的风险差别。

·风险的监控与预警：设定风险目标值，当风险超过预定值时进行相关预警，以便及时采取下一步控制措施。

图3 风险与策略功能模块

·风险分布统计：能针对某一风险，统计其分布在哪些网络和系统，以便发现某一风险时，能快速找到修复的对象。

（3）策略管理

·策略全生命周期流程管控：对安全策略进行生命周期（创建、草稿、复审、发布等）管理，策略的发布需要进行一定的流程，同时涉及不同岗位人员的审批，最终的发布后还包括意见的收集与修订等。

·安全策略执行符合度：从策略执行的维度出发，能展现各个网络或系统安全策略执行符合情况，显示哪些策略在哪些网络或系统中未满足情况。

·策略与控制措施映射管理：提供安全策略细化后与控制措施的映射关系查询、管理等功能。

（4）汇总分析

提供不同等级、网络、地域多维度风险汇总与分析，能根据不同等级保护级别、网络或系统类型、地域分布进行风险汇总、统计和分析，反映某一类别网络或系统的风险总体情况以及缺陷分布所在情况，展现风险在时间维度上趋势分布。

（5）系统管理模块

提供本系统相关用户与权限、进程管理、数据库管理等功能。

5 结束语

鉴于现有系统在网络及系统安全风险管理上的局限性，结合电信网络风险评估和风险管理工作需求，提出了一种风险与策略管理系统框架结构，并设计该系统具体各个功能模块，为电信网络运营商网络及系统安全风险管理系统的建设提供参考思路。

1 中华人民共和国信息产业部.YD/T 1730-2008电信网和互联网安全风险评估实施指南，2008

2 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会.GB/Z 24364-2009信息安全技术 信息安全风险管理指南，2009

3 安庆权，王希忠，马遥.信息安全风险评估系统的设计.信息技术，2011（6）