信息安全管理系列之二十七 网络空间安全相关标准ITU -T X.1205 探析
2017-04-26谢宗晓南开大学商学院
谢宗晓(南开大学商学院)
信息安全管理系列之二十七 网络空间安全相关标准ITU -T X.1205 探析
谢宗晓(南开大学商学院)
谢宗晓 博士
“十二五”国家重点图书出版规划项目《信息安全管理体系丛书》执行主编。自2003年起,从事信息安全风险评估与信息安全管理体系的咨询与培训工作。目前,已发表论文55篇,出版专著12本。
信息安全管理系列之二十七
ITU-T(国际电信联盟的下属机构)是最大的国际标准输出组织之一。在之前的讨论中,我们就引用了X.1205对“网络安全”的定义,实际上,X.1200-X.1299的主题都是Cyberspace security,因此,在下文中,我们先对ITU-T X.1205进行了初步的介绍。
谢宗晓(特约编辑)
ITU-T X.1205是网络空间安全/网络安全相关的重要标准之一,本文介绍了该标准的主要内容,对其进行了综述,并简要说明了应用中的问题,最后给出了进一步阅读的指南。
网络安全 网络空间安全 信息安全
1 概述与主要内容
ITU-T①ITU-T,国际电信联盟(International Telecommunication Union)电信标准分支机构, ITU-T是国际电信联盟管理下的专门制定电信标准的分支机构。X.1205建议书(Recommendation ITU-T X.1205)的标题为:网络安全概述(Overview of cybersecurity),X系列的标题为:数据网、开放系统通信和安全性(Data network, open system communications and security)。ITU-T X.1205建议书由第17研究组②SG 17 – Security,目前诸多工作都集中在网络安全,例如,Cybersecurity Information Exchange (CYBEX)。(2005—2008)完成,并由世界电信标准化全会(World Telecommunication Standardization Assembly,WTSA)③每四年一届的WTSA确定 ITU-T 各研究组的研究课题,再由各研究组制定有关这些课题的建议书。但是从2001年开始,大部分标准都是走“备选批准程序(Alternative Approval Process,AAP)”。现在可以在平均2个月或最短5周内获得批准。大部分标准均采用了这种批准方式。只有那些涉及监管问题的标准不在此列,它们采用“传统批准程序(Traditional Approval Process,TAP)”。批准于2008年4月18日。
ITU-T X.1205建议书正文的主要内容只有两章,第7章:网络安全,以及第8章:可行的网络保护战略。
在第7章中定义了“网络安全”词汇。ITU-T X.1205也强调了风险管理原则,并认为“网络环境的任何部分都可被视为安全风险,而这种风险通常被认为是综合威胁评估的结果”。该标准中风险得出的逻辑与ISO/IEC 27005稍有出入[1],而且由于翻译问题,建议最好中英文对照阅读④例如,vulnerability in this recommendation refers to a weakness that could be exploited by an attacker. 这句话在中文版中为“本建议书提到的薄弱环节是指攻击者可以利用的弱点”。vulnerability更多的情况下翻译为“脆弱性”。。在第7章中,以ITU-T X.800为基础,描述了网络威胁及其应对。同时,以ITU-T X.805,描述了端到端的通信安全。这两者只是对已有的标准进行了回顾和应用。
但是到第8章则直接转入到网络(network)保护战略,讨论的并不是网络(cyber)。其中讨论的重点实际是与网络(network)相关的安全保护,包括了策略管理、访问控制和流量加密等各个方面的内容,比较而言,内容比较狭义[1]。
在ITU-T X.1205建议书中,更有意义的可能是其3个附录。
附录Ⅰ是攻击者采用的技术,其中将安全威胁分为10类,如表1所示。
表1 安全威胁
此外,该附录还描述了4类安全威胁,包括:应用层攻击、网络层攻击、未经授权的访问和窃听。
附录Ⅱ列举了各种网络安全技术,主要引用ISO/ IEC 10828⑤ISO/IEC 18028已经作废,新版本编号为ISO/IEC 27033。。网络安全技术如表2所示。
表2 网络安全技术
续表2
附录Ⅲ给出了网络安全示例,重点讨论了4类:保障远程访问安全性、保障IP电话安全性、保障远端办公室安全性以及保障无线局域网的安全性。同时,该附录中也强调安全是难以测试、预测和实施的,不存在万用良方(one-size-fits-all)。
2 评价与应用
ITU-T X.1205在描述网络安全的时候,用的词汇不是“网络空间(cyberspace)”,而是“网络环境(cyber environment)”。例如,ITU-T X.1205 原文7.1节(pp.7)中描述:
网络安全的目的在于保证网络环境的安全,是一种众多公共和私营机构的利益攸关方均可参与的系统,并为了安全采用多种组件和不同方式。因此,可以从以下的角度理解网络安全:
——可用于保护互联网络(包括计算机、设备、硬件、存储信息和经转信息)免受未经授权的访问、篡改、盗窃、中断或其他威胁的一系列策略和行动。
——对上述策略和行动进行持续地评估和监测,以便在威胁性质不断演变情况下维持安全质量。
也就是说,在,ITU-T X.1205中,并没有强调“网络安全(cybersecurity)”是“网络空间安全(cyberspace security)”的缩写或同义词[2][3],而是用了含义更模糊的词汇“网络环境”。网络环境在其中定义为:包括用户、网络、装置、各种软件、程序、存储和传送过程中的信息、应用、服务以及与网络(network)直接或间接连接的系统(pp.2)。在正文中,对网络环境也有解释:网络环境包括在计算设备上运行的软件、在这些设备上存储(以及传送)的信息或这些设备生成的信息。容纳这些设备的设施和建筑也是网络环境的一部分。网络安全必须将这些因素考虑在内(pp.6)。可见,网络环境包括了信息,也包括了信息处理设施,是一个比较全面的概念。但这种描述方式常见于ISO/IEC 27032:2012等标准,ITU-T X.1205在原文7.2中给出了比较清晰的描述,以解释什么是网络安全环境,如下所述:
每个企业、电信服务提供商、网络运营商或服务提供商都有一套独特的商业需求,并为满足这些需求而逐步形成了自己的网络环境(networking environment)⑥ITU-T X.1205词汇应用并不是非常规范,在术语定义中用的是cyber environment(网络环境),但是在解释的时候出现了另一个词汇networking environment(网络环境),中间还出现了一个cybersecurity environment(网络安全环境)。虽然有点混乱,不过对照中英文版本,基本意思还比较清楚。(pp.7)。
例如,“封闭企业”在站址之间采用逻辑(即帧中继)或物理专线,为需要访问互联网的雇员有选择地提供远程接入,并通过(负责建立一种安全环境的)服务提供商提供的互联网数据中心实现在线状态。该机构还为(在旅馆工作的)远端雇员提供常规拨号接入。公司在雇员当中采用无外部接入的专用电子邮件以及无线局域网。
“扩展企业”或电信服务提供商、网络运营商或服务提供商可通过互联网的IP VPN给予远端雇员和办公室接入支持,提供高速和低成本的连接。包括提供通用互联网接入(如提供可与外部世界互通的内部电子邮件系统)。
“开放企业”的业务模式通过允许合作伙伴、提供商和客户访问企业管理的互联网数据中心,甚至允许有选择地访问内部数据库和应用(如供应链管理系统的一部分),使互联网得到利用。内部和外部用户可利用有线或移动装置,从家中、远端办公室或其他网络接入企业网,但这类企业的安全要求不同于其他企业。详见图1。
图1 ITU-T X.1205中的通用企业类型
综上所述,严格意义上讲,ITU-T X.1205所讨论的“网络安全”,跟本文所讨论的“网络空间安全”在概念上有所不同。此外,在ISO/IEC 27000标准族以讨论“信息安全”为主的时代,ITU-T的相关标准用的词汇更常见的是“ICT安全(Information and Communication Technology Security)”。这可能是由于ITU的组织性质,在实践中,一般也不会专门区分这几个词汇,在本文前面的讨论中,我们也没有专门辨析其区别。
此外,虽然ITU-T X.1205没有给出具体的实施指南,只是对网络安全进行了概述,但是附录Ⅲ的网络安全示例在实践中还是有很大的借鉴意义。这个示例演示了不同的网络(network)环境与不同的安全目标下,如何保障网络安全。
3.进一步阅读
ITU-T X.1200 ~X.1299为Cyberspace security,包括ITU-T X.1205⑦ITU-T X.1200~X.1299为Cyberspace security,这是ISO/IEC 27032: 2012附录C的标注。我们未能在ITU的官网上找到印证,对已经公布的X系列标准进行了逐个确认,至少可以保证在这个编号范围的标准确实是与安全相关的。但是其中的子标题并不统一,例如,ITU-T X.1207为电信安全(Telecommunication security),ITU-T X.1208为网络空间安全(Cyberspace security),最近发布的一般标识为网络空间安全-网络安全(Cyberspace security - Cybersecurity)。。表3为网络安全相关的,编号在ITU-T X.1200~X.1299之间的主要标准。
表3 ITU-T发布的网络安全相关标准
[1]谢宗晓,甄杰,董坤祥,等. 网络空间安全管理[M]. 北京:中国质检出版社/中国标准出版社,2016.
[2]谢宗晓. 信息安全、网络安全及赛博安全相关词汇辨析[J]. 中国标准导报,2015(12):30-32.
[3]谢宗晓. 关于网络空间(cyberspace)及其相关词汇的再解析[J]. 中国标准导报,2016(02):26-28.
ITU-T X.1205 is an important standard for cyberspace security/cybersecurity. This paper given its main content, summary, and problems during the implementation. At last, we proposed guide for further reading.
cybersecurity, cyberspace security, information security
⑧ITU-T X.1209标识为网络空间安全-计算机网络安全,实际对应的英文也是Cyberspace security – Cybersecurity,应该是翻译问题。查阅时间为2016年8月1日15:39。其他建议书也存在这种情况,例如ITU-T X.1211。整体而言,ITU-T发布的中文版标准阅读需要对照英文理解。
Introduction of Cybersecurity Related Standards: ITU -T X.1205
Xie Zongxiao ( Business School, Nankai University )