电信网网络安全评估指标体系研究
[导读]分析影响电信网网络安全的因素;然后提出了电信网网络安全框架体系,最后,指出了今后的改进方向
·具有导向性。指标应能反映网络安全的客观需求以及国家、行业监管部门政策措施的落实。
·具有可延续性。除选择反映现实的网络安全水平的指标外,还应选择能反映未来网络发展趋势的指标,以保证指标体系在时间上有可持续性。
2.指标类型
按照网络安全评估指标的特性和不同的划分方法,评估指标可分为主观指标与客观指标,或状态性指标与措施性指标。
·主观指标是指“定性指标”,反映对评估对象的意见、满意度。客观指标又称“定量指标”,有确定的数量属性,原始数据真实完整,不同对象之间具有明确的可比性。
·状态性指标是指能够通过一段时间内网络运行的状态结果来评估网络安全水平的指标。措施性指标是保障网络安全的技术、设施、管理等方面所采取措施的指标。
3.网络安全的目标要求与评估指标
网络安全的目标要求包括8个方面:
·网络授权、访问的管理与控制;
·网络管理、控制的抗抵赖保障;
·网络管理、控制的数据保密性保障;
·网络管理、控制的传送安全保障;
·网络管理、控制的数据完整性保障;
·网络管理、控制的数据可用性保障;
·网络管理、控制的数据私密性保证;
·物理安全保障。
网络安全目标要求是网络安全评估的出发点,在网络安全的各个构成部分,网络安全目标要求有着具体的指代和内涵,即在网络安全框架模型的不同层面、不同侧面的各个安全纬度,有其相应的安全目标要求。而这些安全目标要求可以通过一个或多个指标来评估。图2表示出了上述关系。
图2网络安全评估指标的分析提炼过程
按照上述思路进行分析研究形成如表1的指标体系,本文不对具体指标进行解释。
表1网络安全评估指标
|
安全层面 |
一级 |
二级 |
三级 |
|
业务网安全 |
网络控制 |
拓扑健壮性指标 |
待研究 |
|
网络管理 |
认证与访问控制指标 | ||
|
网络用户 |
业务失败频率 | ||
|
传输网安全 |
可靠性 |
抗毁性指标 | |
|
抗物理安全 |
设备物理安全 |
抗电磁干扰指标 | |
|
环境安全 |
大气、土壤环境指标 |
六、网络安全评估指标在网络安全评估中的应用
网络安全评估是一项复杂的工作,涉及网络安全管理、技术、运行以及评估标准、评估实施等诸多方面,存在着国家、电信运营企业、用户等多角度的不同需求。网络安全评估标准还要随着网络的变化而不断地完善和发展。网络安全评估指标体系的研究、建立同样面临着这些问题,需要开展持续的阶段性研究,针对各种变化适时地加以改进。
1.网络安全评估的类型
网络安全评估类型主要有以下几种:安全风险评估、安全检查/检测、系统安全保障等级评估和安全认证。
2.问题和风险
网络安全评估的风险是客观存在的,有时是不可避免的。网络安全评估是一个新生事物,尚处在不断发展之中,评估的标准、方法需要不断完善,同时也与评估机构的素质密切相关。
利用评估指标进行电信网网络安全评估需要注意的主要问题在于:
·评估指标的科学性、全面性和可操作性。即考虑的指标是否科学反映网络安全性的各方面;指标的含义是否明确,是否具备现实收集渠道,便于定量分析。
·收集的数据是否全面、准确、有时效。评估指标尤其是量化的评估指标离不开网络安全相关的数据资料,如果收集的数据不全则不能全面衡量网络的安全,而错误的数据则会导致评估结果出现偏差和误导。
3.评估指标的数据获取
评估指标统计计算的数据来源是与网络安全相关的各类数据。数据获取是保证安全评估得以正常进行的基础和前提。数据获取的成功与否,直接关系到整个安全评估工作的质量。为了保证所获取的数据的质量,应坚持准确性、全面性、时效性的原则。
根据安全评估的目的和数据获取的原则,数据的来源主要有问卷调查表、使用辅助工具、从文档资料以及网络运行管理活动中获取。
