信息安全風(fēng)險管理理論在IP城域網(wǎng)中的應(yīng)用

寬帶IP網(wǎng)絡(luò)所接入的客戶對網(wǎng)絡(luò)可用性和自身信息系統(tǒng)的安全性需求越來越高，且IP寬帶網(wǎng)絡(luò)及客戶所處的信息安全環(huán)境和所面臨的主要安全威脅又在不斷變化。IP寬帶網(wǎng)絡(luò)的運(yùn)營者意識到有必要對IP寬帶網(wǎng)絡(luò)進(jìn)行系統(tǒng)的安全管理，以使得能夠動態(tài)的了解、管理和控制各種可能存在的安全風(fēng)險。
由于網(wǎng)絡(luò)運(yùn)營者目前對于信息安全管理還缺乏相應(yīng)的管理經(jīng)驗和人才隊伍，所以一般采用信息安全咨詢外包的方式來建立IP寬帶網(wǎng)絡(luò)的信息安全管理體系。此類咨詢項目一般按照以下幾個階段，進(jìn)行項目實踐：
項目準(zhǔn)備階段：主要搜集和分析與項目相關(guān)的背景信息；和客戶溝通并明確項目范圍、目標(biāo)與藍(lán)圖；建議并明確項目成員組成和分工；對項目約束條件和風(fēng)險進(jìn)行聲明；對客戶領(lǐng)導(dǎo)和項目成員進(jìn)行意識、知識或工具培訓(xùn)；匯報項目進(jìn)度計劃并獲得客戶領(lǐng)導(dǎo)批準(zhǔn)等。
項目執(zhí)行階段：在項目范圍內(nèi)進(jìn)行安全域劃分；分安全域進(jìn)行資料搜集和訪談，包括用戶規(guī)模、用戶分布、網(wǎng)絡(luò)結(jié)構(gòu)、路由協(xié)議與策略、認(rèn)證協(xié)議與策略、DNS服務(wù)策略、相關(guān)主機(jī)和數(shù)據(jù)庫配置信息、機(jī)房和環(huán)境安全條件、已有的安全防護(hù)措施、曾經(jīng)發(fā)生過的安全事件信息等；在各個安全域進(jìn)行資產(chǎn)鑒別、價值分析、威脅分析、弱點(diǎn)分析、可能性分析和影響分析，形成資產(chǎn)表、威脅評估表、風(fēng)險評估表和風(fēng)險關(guān)系映射表；對存在的主要風(fēng)險進(jìn)行風(fēng)險等級綜合評價，并按照重要次序，給出相應(yīng)的防護(hù)措施選擇和風(fēng)險處置建議。
項目總結(jié)階段：項目中產(chǎn)生的策略、指南等文檔進(jìn)行審核和批準(zhǔn)；對項目資產(chǎn)鑒別報告、風(fēng)險分析報告進(jìn)行審核和批準(zhǔn)；對需要進(jìn)行的相關(guān)風(fēng)險處置建議進(jìn)行項目安排。
運(yùn)營商IP寬帶網(wǎng)絡(luò)和常見的針對以主機(jī)為核心的IT系統(tǒng)的安全風(fēng)險管理不同，其覆蓋的范圍和影響因素有很大差異性。所以不能直接套用通用的風(fēng)險管理的方法和資料。在項目執(zhí)行的不同階段，需要特別注意以下要點(diǎn)：安全目標(biāo)--充分保證自身IP寬帶網(wǎng)絡(luò)及相關(guān)管理支撐系統(tǒng)的安全性、保證客戶的業(yè)務(wù)可用性和質(zhì)量；項目范疇--應(yīng)該包含寬帶IP骨干網(wǎng)、IP城域網(wǎng)、IP接入網(wǎng)及接入網(wǎng)關(guān)設(shè)備、管理支撐系統(tǒng)：如網(wǎng)管系統(tǒng)、AAA平臺、DNS等；項目成員--應(yīng)該得到運(yùn)營商高層領(lǐng)導(dǎo)的明確支持，項目組長應(yīng)該具備管理大型安全咨詢項目經(jīng)驗的人承擔(dān)，且項目成員除了包含一些專業(yè)安全評估人員之外，還應(yīng)該包含與寬帶IP相關(guān)的“業(yè)務(wù)與網(wǎng)絡(luò)規(guī)劃”、“設(shè)備與系統(tǒng)維護(hù)”、“業(yè)務(wù)管理”和“相關(guān)系統(tǒng)集成商和軟件開發(fā)商”人員。
背景信息搜集之前，應(yīng)該對信息搜集對象進(jìn)行分組，即分為IP骨干網(wǎng)小組、IP接入網(wǎng)小組、管理支撐系統(tǒng)小組等。分組搜集的信息應(yīng)包含：IP寬帶網(wǎng)絡(luò)總體架構(gòu)、城域網(wǎng)結(jié)構(gòu)和配置、接入網(wǎng)結(jié)構(gòu)和配置、AAA平臺系統(tǒng)結(jié)構(gòu)和配置、DNS系統(tǒng)結(jié)構(gòu)和配置、相關(guān)主機(jī)和設(shè)備的軟硬件信息、相關(guān)業(yè)務(wù)操作規(guī)范、流程和接口、相關(guān)業(yè)務(wù)數(shù)據(jù)的生成、存儲和安全需求信息、已有的安全事故記錄、已有的安全產(chǎn)品和已經(jīng)部署的安全控制措施、相關(guān)機(jī)房的物理環(huán)境信息、已有的安全管理策略、規(guī)定和指南及其它相關(guān)問題。
綜上所述，信息安全風(fēng)險管理理論在IP城域網(wǎng)中的應(yīng)用是非常重要的。我們正是要將這種理論很好的應(yīng)用于現(xiàn)今的網(wǎng)絡(luò)建設(shè)及應(yīng)用當(dāng)中，使得我們當(dāng)前應(yīng)用的網(wǎng)絡(luò)環(huán)境更加得安全、可靠。