基于SSE-CMM的数据网系统安全风险评估方案.docxVIP

基于SSE-CMM的数据网系统安全风险评估方案

1引言

我国电信数据网是关系到国家安全的基础设施，是国家推动信息化发展的重要手段，其地位和重要性是不言而喻的。要解决电信数据网的安全问题，就必须依据电信数据网自身的结构特点和其所处的运营环境，由内而外、有的放矢，有针对性地明确电信数据网的安全风险、安全要求、采取的具体安全措施，评估出当前电信数据网资产及其保障是否满足现实的安全需求。

风险评估是解决安全问题的首要环节，是/zixun/aggregation/32730.html信息系统安全的起点和着眼点，只有首先经过风险评估，识别系统安全的威胁、薄弱点和影响，才能有针对性地解决信息系统安全中的有关问题。

目前的信息系统安全评估方面的准则，无论是国际上的TCSEC准则、ITSEC准则、CC和BS7799准则等，还是国内的GB17895-1999准则和GB/T18336准则，其核心都是对安全产品或系统进行评测的标准或准则。这些安全测评准则一般都是用现行的技术评测现行的产品或系统。然而，系统中的安全风险、影响和脆弱性都是动态的，而这些相对静态的准则必然具有其局限性。系统安全工程能力成熟度模型（SSE-CMM）是针对信息系统安全工程领域提出的具有较高可靠性的模型，其最关注的是安全工程过程域，是以动态的观点来管理、控制系统中动态的风险、影响和脆弱性。因此有必要基于SSE-CMM模型对我国数据网的风险评估过程进行深入的研究。

本文将根据电信行业数据网的实际情况与需要，结合SSE-CMM的风险评估模型，对其进行安全风险评估方案分析。

2SSE-CMM风险评估简介

SSE-CMM模型是CMM在系统安全工程这个具体领域应用而产生的一个分支，是美国国家安全局领导开发的，专门用于系统安全工程的能力成熟度模型。SSE-CMM第一版于1996年10月出版，1999年4月，SSE-CMM模型和相应评估方法2.0版发布。2002年被国际标准化组织采纳成为国际标准即ISO/IEC21827：2002《信息技术系统安全工程——成熟度模型》。我国国家质量监督检验检疫总局和国家标准化管理委员会于2006年3月14日通过了GB/T20261-2006《信息技术系统安全工程能力成熟度模型》的国家标准，并于同年7月1日正式执行。

为了将安全工程思想变为一种有效的工程规范，在SSE-CMM模型中，将各种系统安全工程任务抽象、划分为11个有明显特征的子任务(即过程域PA)。这11个过程域又可划分为风险过程、工程过程和保证过程3类，这3类过程也被称作SSE-CMM的三大安全焦点。

在SSE-CMM的三大焦点中，风险过程的位置比较特殊。就其作用而言，风险过程为工程过程提供了基本的安全需求信息，同时也为安全工程的结果提供了有效的评估手段。根据模型，那些足以成为风险的事件由三个组成部分：威胁、系统脆弱性和事件造成的影响。一般而言，这三种因素必须全都存在才足以造成风险（风险值大于零）。模型中定义了四个风险过程域：PA02评估影响、PA03评估安全风险、PA04评估威胁和PA05评估脆弱性。

可以看出，这个模型将风险评估的流程及风险评估中的各因素（威胁、脆弱性、影响、风险）的关系阐述得淋漓尽致，具有极强的指导作用和可实施性。

3数据网层次结构

目前，我国电信数据网的结构主要是一种分层结构，分别为核心层、汇聚层和接入层。每个层的具体功能如下：

（1）核心层：主要放置核心交换设备，负责完成网络各汇聚节点之间的互联及完成高效的数据传输、交换、转发及路由分发等功能；

（2）汇聚层：主要放置汇聚设备和交换设备，负责将各种接入业务集中起来，除了进行局部数据的交换、转发以外，通过高速接口将数据输送到核心层去，在更大的范围内进行数据的路由以及处理等功能；

（3）接入层：主要放置各种接入设备及其交换设备，提供各种标准接口将数据接入到网络中，完成基本的业务系统之间的隔离和安全性控制、认证管理等功能。

从图2数据网三层结构图可以明显看到的是，核心层、汇聚层、接入层之间的具体功能和其关键资产所担负的业务使命有明显的差异，如果评估中等同视之，显然是不合理的。

4数据网风险评估方案

虽然目前国内外有众多的风险评估模型和方案可供参考，但是一味生搬硬套去应用，显然不能有效地适应我国数据网风险评估的实际情况，因此本文依据SSE-CMM风险评估模型和数据网实际情况提出一种新的风险评估方案。

在SSE-CMM模型中定义了四个与风险相关的过程：PA02评估影响、PA03评估安全风险、PA04评估威胁和PA05评估脆弱性。这四个的关系是：

首先，通过PA04，PA05，PA02这三个过程的具体基本实践分别得到系统的威胁、脆弱性和影响信息，然后利