（计算机科学与技术专业论文）下一代电信网风险分析系统的研究与实现.pdf

北京邮| 乜人学硕- j z i j f 究生毕业论文摘要 下一代电信网风险分析系统的研究与实现 摘要 随着用户需求的改变，通信世界正在经历着从简单的通信方式到 多元化通信方式的巨大变化。基于网络融合的下一代电信网因此被提 了出来。而其异构网络的融合互通的特性会引发更多的安全问题。并 且在网络安全领域里，如何解决网络安全设备产生的海量，多维的安 全信息，并对这些信息做出快速，及时的反应，目前已经成为研究所 在。因此，下一代电信网的网络安全风险评估显得尤为重要。将网络 风险评估技术应用于下一代电信网，可以达到保障安全，及时采取有 效安全措施解决存在的多重安全问题的目的。而在网络安全风险评估 中，风险分析是最重要的环节。因此，下一代电信网的网络风险分析 是下一代电信网网络安全风险评估中的最关键的核心环节。 北京邮电大学网络与交换技术国家重点实验室承担了国家高技 术研究发展计划( 8 6 3 计划) 项目“面向下一代电信网的安全测试评 估技术及工具”( 课题编号：2 0 0 6 a a 0 1 2 4 4 8 ) 。本论文中下一代电信 网风险分析系统的研究与实现是该项目中的重要部分。 本文首先阐述了论文的研究背景，接着对下一代电信网的相关背 景知识进行了概要描述，介绍了网络安全风险评估以及网络安全风险 分析相关内容。参考下一代电信网的安全需求和传统的网络安全风险 分析方法，对其应用于下一代电信网的适应性进行分析，指出了这些 方法的优点以及应用于下一代电信网的不足。在此基础上，结合下一 代电信网的特性，提出了下一代电信网基于业务的层次化风险分析模 型以及基于业务的网络风险量化计算方法。为下一代电信网的风险分 析系统的实现提供了理论基础。接下来，基于所提出的理论模型，本 文给出了下一代电信网风险分析系统的设计和实现方案，方案中不仅 包括对模块以及对象的静态描述，而且包括对象和模块之间处理流程 的动态描述。论文最后描述了下一代电信网风险分析系统的测试过 程。从实践角度印证了模型的正确性和实用化特性。 关键字下一代电信网风险分析业务量化计算 北京邮电人学硕士研究生毕业论文 a b s t r c 盯 r e s e a r c ha n di m p l e m e n to f l u s ka n a l y s i ss y s t e mf o r n e x tg e n e r a t i o nn e t w o r k a b s t r a c t w i t ht h ec h a n g e so fu s e r s r e q u i r e m e n t s ，t h ec o m m u n i c a t i o nw o r l d t e c h n o l o g yi se x p e r i e n c i n gat r e m e n d o u sc h a n g ef r o mt h ee a s ym e a n so f c o m m u n i c a t i o nt ot h ed i v e r s i f i c a t i o no fc o m m u n i c a t i o n n g n ( n e x t g e n e r a t i o nn e t w o r k ) i s p r o p o s e du n d e rt h eb a c k g r o u n do fn e t w o r k i n t e g r a t i o n b u tt h ec o n v e r g e n c ea n dc o n n e c t i o n a b o u th e t e r o g e n e o u s n e t w o r kb r i n gs o m en e ws e c u r i t yp r o b l e m s a n dh o wt os o l v et h e m a s s i v e ，m u l t i - d i m e n s i o n a ls e c u r i t yi n f o r m a t i o nt h a tt h en e t w o r ks e c u r i t y e q u i p m e n t sg e n e r a t e sa n dm a k ef a s t ，t i m e l yr e s p o n s e ，h a sb e c o m et h e r e s e a r c hc o n c e n t r a t i o no ft h en e t w o r ks e c u r i t y t h e r e f o r e ，n g nr i s k a s s e s s m e n ts e e m sp a r t i c u l a r l yi m p o r t a n t i ta c h i e v e st h ep u r p o s e so f p r o t e c t i o no ft h es a f ea n dt a k i n ge f f e c t i v em e a s u r e st o s o l v em u l t i p l e s e c u r i t yp r o b l e m s i nt h ep r o c e s so fn e t w o r kr i s ka s s e s s m e n t ，r i s k a n a l y s i si st h em o s ti m p o r t a n ta s p e c t s t h e r e f o r e ，n g nr i s ka n a l y s i si s t h ec o r eo fn g nr i s ka s s e s s m e n t s t a t ek e yl a b o r a t o r yo fn e t w o r k i n ga n ds w i t c h i n gt e c h n o l o g yo f b e i ji n gu n i v e r s i t yo fp o s t s & t e l e c o m m u n i c a t i o n s ( b u p t ) i sr e s p o n s i b l e f o rt h es t a t e8 6 3p r o j e c t s a f e t ye v a l u a t i o nt e c h n o l o g ya n dt o o l sf o r n g n ”n g nr i s ka n a l y s i ss y s t e mi nt h i sp a p e ri sa l li m p o r t a n tp a r t t h ep a p e rf i r s ti n t r o d u c e st h er e s e a r c hb a c k g r o u n d ，t h ek n o w l e d g eo f n g n ，n e t w o r kr i s ka s s e s s m e n ta n dn e t w o r kr i s ka n a l y s i s w i t ht h e r e f e r e n c eo fn g ns e c u r i t yn e e d sa n dt r a d i t i o n a ln e t w o r kr i s ka n a l y s i s m e t h o d s ，p o i n t so u tt h ea d v a n t a g e so ft h e s em e t h o d s ，a sw e l l a st h e d e f i c i e n c i e sw h e nt h e s em e t h o d sa p p l i e dt on g n 、i t hc o m b i n a t i o no f t h ec h a r a c t e r i s t i c so f n g n ，i tp r o v i d e sn g n r i s ka n a l y s i sm o d e lb a s e do n ! i i 北京邮电大学硕一i j 研究生毕业论文 a b s t r c a t s e r v i c e sa n dt h em e t h o d st oq u a n t i f ya n dc a l c u l a t en e t w o r kr i s kb a s e do n s e r v i c e s t h i sm o d e lp r o v i d e sat h e o r e t i c a lf o u n d a t i o nf o rn g nr i s k a n a l y s i ss y s t e m n e x t ，b a s e do nt h ep r o p o s e dt h e o r e t i c a lm o d e l ，t h i s p a p e rg i v e st h ep r o g r a m so fn g nr i s ka n a l y s i ss y s t e md e s i g na n d i m p l e m e n t a t i o n i tn o to n l yi n c l u d e sas t a t i cd e s c r i p t i o no fm o d u l e sa n d o b j e c t s ，b u ta l s ot h ed y n a m i cd e s c r i p t i o nb e t w e e no b j e c t sa n dm o d u l e s f i n a l l y , t h i sp a p e rd e s c r i b e sn g nr i s ka n a l y s i ss y s t e mt e s t i n gp r o c e s st o c o n f i r mt h ec o r r e c t n e s sa n dp r a c t i c a lf e a t u r e so ft h em o d e lf r o ma p r a c t i c a lp o i n tv i e w k e yw o r d s ：n g n ，r i s k a n a l y s i s ，s e r v i c e s ，q u a n t i f yc a l c u l a t e i v 北京邮电人学硕上研究生毕业论文 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他 教育机构的学位或证书而使用过的材料。与我同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名： 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借 阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它 复制手段保存、汇编学位论文。 本人签名： 士拿日期：丝啤! ：丝 导师签名：= 岛掣么红日期：上= 乙上j 丛一 北京邮电人学硕上研究生毕业论文第一章绪论 1 1 研究背景 第一章绪论 通信作为社会的基础设施，其作用已经渗透到了国民经济和社会生活的各 个方面，能产生巨大的社会效益。随着通信网的发展，社会在“量”和“质”两方面 都对通信网提出了更高的要求。为了更好地满足社会的通信需求，提供安全、可 靠、高效的服务，通信网的安全性和可靠性就已经成为了一个备受关注的问题【i 】。 而随着用户的需求的改变，通信环境正在经历从简单的电报电话通信扩展到 包括语音、数据和多媒体通信在内的多元化通信的巨大变化。下一代电信网的概 念也因此被提出。由于下一代电信网是基于网络融合，即电信网与互联网的融合 的背景下提出的解决方案，因此，计算机网络所面i 临的安全问题，在下一代电信 网中同样需要解决。而计算机网络发展到今天，已经从最开始的简单分时共享系 统( 几台终端连到一台中心计算机) 发展到成为国民经济中关键基础性设施的大 规模复杂环境【2 】。网络的规模增大，导致了网络本身存在的漏洞增加，以及网络 黑客的入侵的可能性的增加。 由此可见，下一代电信网面临的安全问题较之传统电信网的安全问题更加复 杂，主要原因在于传统电信网十分强调网络的高可靠性和可管理性，却很少提及 安全性，而下一代电信网却是一个基于p 的开放式网络，大量采用标准的网络 协议和分布式控制技术。因此，下一代电信网所面临的安全问题会越来越多，其 中主要的安全威胁包括电磁安全，设备安全，链路安全，信令网安全，同步外安 全等等【3 1 。 由于传统的网络安全需要依靠专业的人员对网络环境中的各种安全的各种 格式不一，意义不同的大量报警和日志信息进行综合分析，一方面技术水平要求 很高，需要对各种安全设备的工作原理和属性详细了解，问题的分析难度很大， 并且综合分析的效率很低。并且，随着攻击技术和手段的增加，以及信息安全设 备的不完善，系统的安全状况不可能依靠单一的安全设备进行检测和判断。如何 解决上述网络设备产生的海量、多维的安全信息，并且能够对这些信息做出快速 的，及时的反应，成为目前网络安全领域的研究所在。这同样使得网络安全风险 评估显得极为重要。由于下一代电信网的特性，同样可以将风险评估技术应用于 下一代电信网，进而达到保障安全，及时采取有效安全措施解决存在的多重安全 问题的目的。这也正是本文的研究目的所在。 l 北京邮电人学硕f ：研究生毕业论文第一章绪论 1 2 研究意义 下一代电信网的体系结构引入了许多新的设备，同时也带来了新的安全问 题。因此，下一代电信网将面临比互联网更为严峻的安全挑战。目前国内外对于 下一代电信网安全测评的研究尚处于起步阶段，相关的文献资料特别少。而网络 安全对今天的电信运营商来说已不再是一个生疏的话题。由于电信行业的网络系 统基于互联网体系结构，兼有局域网和广域网的特性，它面临的安全性威胁来自 于方方面面。随着电信网络逐渐向下一代电信网演化，它除了提供基本互联网服 务外，还需提供处于重要地位的增值服务以及主机托管和数据中心服务等，再加 上运营商本身竞争的加大以及客户对服务质量的不断提升，确保下一代电信网的 安全具有深远的意义。 然而传统的，单一的针对出现的问题，采用一些安全防护措施，并以某个问 题的暂时解决为过程结束标志的信息系统安全建设已经远不能适应信息系统安 全防护的发展要求【4 】。下一代电信网同样可以理解为一种广义上的信息系统。对 于其安全问题，采用单一的问题解决方式不仅会造成人员和资金上的浪费，同时 还会具有很大的盲目性。因此，采取准确的风险评估和分析，可以使得网络系统 安全管理人员对整个网络的安全性有了一个更加全面的，系统级的认识，明晰网 络安全可靠程度，便于采用有效安全防护措施防止网络系统被入侵。 在网络安全风险评估过程中，风险评估方法的使用具有举足轻重的地位。具 体的方法主要包括定量的风险评估方法，定性的风险评估方法，定量与定性的风 险评估方法。对于复杂的信息系统而言，采用定量与定性的风险评估方法更加适 合。不仅提供了客观的，科学的分析数据，同时结合风险评估人员的经验，得出 风险评估的结果。但是，定量的风险评估方法是定性的风险评估方法的基础，因 此，获得客观的准确的分析数据是必要的。而目前所存在的风险分析模型均是针 对现有网络所提出的，并不适用于下一代电信网。因此，需要建立一种适用于下 一代电信网的风险分析模型，而目前针对该领域的研究仍旧是一片空白。 1 3 论文组织架构 本文的主要工作是结合现有网络安全风险评估流程以及框架，根据定量化评 估方法，对下一代电信网的风险计算模型进行研究和分析，提出适应于下一代电 信网的风险计算模型。并且对根据该模型设计并实现的风险分析系统，并通过一 系列测试手段保证风险分析系统符合功能需求，完成下一代电信网的风险评估。 本文总共七章，除去结束语部分之外，其余各章的主要内容如下： 北京邮电大学硕上研究生毕业论文 第一章绪论 第一章，绪论。简单介绍论文的研究背景以及意义。、 第二章，背景理论及相关技术介绍。这一章主要概括介绍了下一代电信网 的概念和特征。对网络安全风险评估的要素，流程进行了介绍，指出网络安全风 险分析是网络安全风险评估中重要环节。接着对网络安全风险分析进行描述。 第三章，下一代电信网风险风险分析方法。本章总结了传统的网络安全风险 分析方法，并对这些方法应用于下一代电信网的适应性进行分析。接着基于下一 代电信网的多业务特性，结合传统的网络安全风险方法的优点，提出了下一代电 信网风险分析方法。其中包括基于业务的层次化风险分析模型以及对风险评估的 三个要素，资产，威胁，脆弱性的量化过程和基于业务的网络风险计算过程。为 下一代电信网风险分析系统的设计与实现提供了理论基础。 第四章，下一代电信网风险分析系统的设计。本章先介绍了下一代电信网安 全态势评估系统的架构，下一代电信网风险分析系统在其中的位置；然后具体介 绍了下一代电信网风险分析系统的架构设计，着重描述功能模块的作用；然后从 动态角度对模块的交互进行了描述。 第五章，下一代电信网风险分析系统的实现。本章主要从实现的角度对下一 代电信网风险分析系统进行描述。实现的静态视图给出各个模块的核心类图和主 要数据结构的定义；动态视图描述了在具体的数据处理的实现中，各个模块之间 的协作关系。 第六章，下一代电信网风险分析系统的测试。主要对下一代电信网风险分析 系统的测试情况进行说明，并对测试结果进行展示。 北京邮f 乜人学硕 ：研究生毕业论文第二章背景理论及相关技术介绍 第二章背景理论及相关技术介绍 2 1 下一代电信网概述 下一代电信网是多种通信技术的统称，泛指不同于目前一代的，以i p 技术为 核心，可以同时支持话音、数据和多媒体业务的开放的，融合的网络。其主要目 的是强化网络和业务的独立性，使网络业务可以独立于网络和接入类型之外，能 够独立的演进，方便快捷的提供新业务。 从电信网发展来看，目前所指的下一代电信网应该是第三代电信网。第一代 电信网是以模拟技术为核心的电信网；第二代电信网是以时分复用数据技术为核 心的，但仍然是保持部分模拟技术的混合型的电信网，尽管不彻底，但引入数字 技术是第二代电信网的最大特征；第三代电信网是以分组复用数字技术为核心的 电信网，是一个完全分组数字化的网络。分组数字化是第三代电信网的最大特征。 下一代电信网的特点可以归纳为以下几点：它是一个i p 网络，拥有丰富的 地址资源，能够支持电信网的持续发展。它可以承载现有全部电信业务，并能保 证提供与现有电信业务完全相同的服务质量。它是一个可管理的、可维护的，能 够为运营商提供完备售后服务能力的网络。它是一个安全的网络，一个可信任的 网络，可提供高信任度和安全机制。它具有一条增值的价值链，并具有能在该价 值链上的所有商家赢利的能力。它拥有i n t e m e t 网的灵活性，能提供现有i n t e m e t 的全部业务，并拥有电信网的高稳定性、可靠性和高度的可管理性，能够按运营 者对业务的设计要求自主地调度全部网络资源，保证现有的电信业务，以及今 后可能产生的业务的服务质量。电信网及其业务网系统应该是一个开放式的 体系结构，能方便地生成新业务，并能向第三方运营商提供服纠5 。 下一代电信网是未来国家信息基础设施的网络主体。作为国家通信信息基础 设施网络主体，它是一个安全、可信任，可保证消费者的权益和确保国家安全和 社会稳定，可持续良性发展，有良好的可扩展性，与现有的主流技术可互通、 共存、平滑演进，人人可参与创新的网络平刽引。 4 北京邮电人学硕士研究生毕业论文第二章背景理论及相关技术介绍 2 2 网络安全风险评估 2 2 1 网络安全风险评估的定义和范畴 信息系统的风险评估是指确定在计算机系统和网络中每一种资源确实或遭 到破坏对整个系统造成预计损失数量，是对威胁、脆弱点以及由此带来的风险大 小的评估【4 j 。 网络安全风险评估是信息安全风险评估在网络域上的约束，主要是指依据有 关网络信息安全技术标准，采用科学的技术手段，对网络信息系统及由其处理、 传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程 【7 1 。它同样要评估网络信息系统的脆弱性、网络信息系统面临的威胁以及脆弱性 被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影 响的程度来识别网络信息系统的安全风险。 网络安全风险评估是一个复杂的过程。一个完善的网络安全风险评估架构应 该具备相应的标准体系、技术体系、组织架构、业务体系和法律法规【8 】。网络安 全风险评估是网络信息系统安全保障机制建立过程中的一种评价方法，其结果为 网络信息安全风险管理提供依据。 2 2 2 网络安全风险评估要素 网络信息系统对于所有者来说是一种资产，为所有者创造价值。因此，所有 者对资产进行关注。威胁因素可能对资产产生所有者不期望的后果，造成资产价 值的损失，这些潜在的损失也就是所有者面临的风险。对于所有者来说希望降低 这些不期望的事件对系统带来的损失。对于网络信息系统而言，损失一般包括但 不限于以下几项：失去机密性、失去完整性、失去可用性。下图展示了风险评估 中各要素的关系 北京邮电人学硕i ：研究生毕业论文第二章背景理论及相关技术介绍 图2 - 1 风险评估要素关系图 风险评估各个要素间的相互作用如下图所示： 躐胁 姗 图2 - 2 风险评估要素的相互作用 通过安全措施来对资产加以保护，对脆弱性加以弥补，从而可降低风险。实 施了安全措施后，威胁只能形成残余风险。某些情况下，也可能会有多个脆弱性 被同时利用。脆弱性与威胁是独立的，威胁要利用脆弱性才能造成安全事件。但 有时，某些脆弱性可以没有对应的威胁，这可能是由于这个威胁不在单位考虑的 范围内，或者这个威胁的影响极小，以致忽略不计。采取安全措施的目的是控制 风险，往往需要多个安全措施共同起作用，将残余风险限制在能够接受的程度上。 6 北京邮i 乜人学硕_ 上研究生毕业论文 第二章背景理论及相关技术介绍 2 2 3 网络安全风险评估流程 网络风险评估的过程与信息系统安全风险评估过程类似，主要是综合利用评 估技术、评估方法、评估工具，针对网络展开全方位的评估工作的完整历程。目 前业界广泛采用的流程主要分为四个阶段：评估准备阶段、要素识别阶段、风险 分析阶段和汇报验收阶段。评估活动中的每个阶段的工作内容如下： 1 ) 评估准备阶段 本阶段主要是前期的准备和计划工作，包括明确评估目标，确定评估范围， 组建评估管理与实施团队，对主要业务、组织结构、规章制度和信息系统等进行 初步调研，沟通和确认风险分析方法，协商并确定评估项目的实施方案，并得到 被评估单位的高层许可。 2 ) 要素识别阶段 在准备阶段完成之后，将依靠已经建立起来的评估管理和实施团队，遵照准 备阶段中确定的实施方案进行评估。要进行识别信息安全风险评估的构成要素： 资产、威胁、脆弱性，以及识别和验证以后安全措施的有效性，为下一阶段的风 险分析收集必要的基础数据。 3 ) 风险分析阶段 经过识别之后，已经得到影响被评估信息系统信息安全风险的基本数据，包 括资产、威胁、脆弱性等。接下来根据被评估单位的实际情况制定出一套合理、 清晰的影响及可能性等级判断依据；然后根据这些判断依据，利用定性或定量的 风险分析方法，计算被评估对象的可能受到的潜在影响，从而确定信息安全风险。 风险分析是风险评估过程中一个核心环节，其方法的使用将直接决定网络安全风 险评估的准确性和全面性。 4 ) 汇报和验收阶段 本阶段主要是按照评估方案中所确定的汇报和验收流程，完成最后的评估项 目的总结和验收工作。 另外，由于网络及其所在环境的不断变化，在网络的运行过程中。绝对的措 施并不是存在的；攻击者不断有新的方法绕过或搅乱已经部署和实施的安全措 施；同样网络的变化会带来新的脆弱性等等，所有这些都表明，风险评估的过程 是一个循环反复的过程，应该周期性地网络进行重评估。只有这样，才能够保证 网络的相对安全性。 风险评估流程请参见下图： 7 北京邮电人学硕i ：研究生毕业论文第二章背景理论及相关技术介绍 矾龄弹估趣蔷 i 上 土上 瓷产讥增晚j 辨识别脆弱中l 讥制 i ， l ! 有安今i t 施坡确认 。_。1 、刊n - -一 r 题硷分析风赡汁彝 上_ 评惦过程支杩 保妯已餐的安全措施。么嘻0 入 ；i rl 厂、 1 弋埘7 罗 y 荫 矧定棚峦魄吼砖处 理计助j 许“娩余 风缝 奄亍 卜 详估髓稻支i 苎i y 、，一、 凌施版瓣管瑚 敞勰评估文：件t d 录 2 3 网络安全风险分析 图2 3 风险评估流程 如上所述，网络安全风险分析是网络安全风险评估的核心环节。从广义角度 来讲，它主要是对各种不同范畴、不同性质、不同层次的安全问题，通过归纳、 比较、综合，形成对网络风险的认识的过程。而在风险分析中，分析方法的选择 直接影响分析过程中的每个环节，甚至可以左右最终的分析结果，所以需要根据 系统的具体情况，选择合适的风险分析方法。 根据分析对象集合的性质的不同，可表现为定量分析，定性分析和定量与定 性相结合等三种不同性质的风险分析方法【9 1 。 8 北京邮电大学硕上研究生毕业论文第二章背景理论及相关技术介绍 1 ) 定量分析方法 定量的分析方法是指运用数量指标来对风险进行分析。典型的定量分析方法 有因子分析法、聚类分析法、时序模型、回归模型、等风险图法、决策树法等。 定量的分析方法的优点是用直观的数据来表述评估的结果，看起来一目了 然，而且比较客观，定量分析方法的采用，可以使研究结果更科学，更严密，更 深刻。有时，一个数据所能够说明的问题可能是用一大段文字也不能够阐述清楚 的；但常常为了量化，使本来比较复杂的事物简单化、模糊化了，有的风险因素 被量化以后还可能被误解和曲解。 2 ) 定性分析方法 定性的分析方法主要依据研究者的知识、经验、历史教训、政策走向及特殊 变例等非量化资料对系统风险状况做出判断的过程。它主要以与调查对象的深入 访谈做出个案记录为基本资料，然后通过一个理论推导演绎的分析框架，对资料 进行编码整理，在此基础上做出调查结论。 定性分析方法的优点是避免了定量方法的缺点，可以挖掘出一些蕴藏很深的 思想，使评估的结论更全面、更深刻；但它的主观性很强，对评估者本身的要求 很高。 3 ) 定性与定量相结合的综合分析方法 系统风险评估是一个复杂的过程，需要考虑的因素很多，有些评估要素是可 以用量化的形式来表达，而对有些要素的量化又是很困难甚至是不可能的，所以 我们不主张在风险评估过程中一味地追求量化，也不认为一切都是量化的风险评 估过程是科学、准确的。我们认为定量分析是定性分析的基础和前提，定性分析 应建立在定量分析的基础上才能揭示客观事物的内在规律。定性分析则是灵魂， 是形成概念、观点，做出判断，得出结论所必须依靠的， 在复杂的信息系统风险评估过程中，不能将定性分析和定量分析两种方法简 单的割裂开来，而是应该将这两种方法结合起来，采用综合的分析方法。 2 4 本章小结 本章主要介绍了下一代电信网的概念和特征，从整体上对下一代电信网进行 一个介绍。指出了下代电信网是一个业务驱动型网络。同时对网络安全风险评 估的相关概念，要素，流程。明确了网络安全风险分析在网络安全风险评估中的 重要位置和作用。 9 北京邮电大学硕j ：研究生毕业论文第三章下一代i 【l 信网风险分析方法 第三章下一代电信网风险分析方法 3 1 下一代电信网的安全需求 下一代电信网是基于网络融合的背景下提出的概念，因此，它具有传统电信 网和互联网的特点，但是同时它也面临着更大的安全威胁，对安全的要求也不同。 首先，传统电信网十分强调网络的高可靠性和可管理性，却很少提及安全性， 其原因在于电信网是一个自成体系的封闭的网络，采用专用的协议标准和集中控 制方式，而且用户终端都是没有智能的傻终端，因此被认为是安全的。而下一代 电信网则完全不同，它是一个基于口的开放式的网络，大量采用标准的网络协 议和分布式控制技术，而且终端都是具有高度智能和很强的计算能力。主要体现 为以下几点： 1 ) 传统电信网强调网络的可靠性和可用性，不强调网上应用的安全；下一 代电信网不仅要强调承载网的可靠性和生存性，还要强调业务的可用性和可控 性，而且要保证信息传递的完整性、机密性和不可否认性。 2 ) 下一代电信网按业务层、控制层和承载层进行分离，各层所有的相关设 备采用标准协议，同时下一代电信网采用进行承载，这种开放性和公用性在 一定程度上加大了下一代电信网受到黑客或者病毒程序的攻击和干扰的概率。 3 ) 传统电信网对信令网的安全要求高，一般为独立信令网，信令网的安全 可靠保证了网络的安全；下一代电信网强调网络融合，信令网与传输网用同一张 网进行承载，承载网的安全变得非常重要。 其次，下一代电信网与互联网的安全要求的不同主要体现在以下几点： 1 ) 一般来说，传统互联网运营商只提供网络通路，不提供端到端的网络安 全服务，端到端的安全主要靠互联网用户自己解决；下一代电信网由于强调为用 户提供安全可靠的服务，必须要求网络做到端到端的安全保证。 2 ) 互联网业务基本上是一种基于“尽力而为的机制，对业务的终端不敏 感，可以通过节点冗余、链路冗余、模块冗余等方式，利用路由协议进行收敛， 达到秒级的业务收敛时间，以保证服务的可靠性；而下一代电信网的实时语音业 务不允许出现业务中断，要求承载网具有低于秒级的快速收敛能力，此外还需要 强调系统设备具有高度可靠性。 因此，下一代电信网的安全要求比传统电信网以及互联网的安全要求要高， 需要解决的安全问题更多。其中主要的安全威胁包括电磁安全，设备安全，链路 1 0 北京邮电人学硕上研究生毕业论文第三章下一代电信网风险分析方法 安全，信令网安全，同步外安全等等。而安全问题多以及安全要求高主要是由以 下几个因素造成的【1 0 】： 1 ) 网络提供的多业务以及随之而来的终端智能化为网络带来了更多的安全 隐患。 2 ) 网络规模和容量的不断增加在带来效益的同时也引起设备的复杂化以及 管理的复杂化，随之而来的便是为网络带来了更多的安全隐患。 3 ) 先进的安全技术和设备会因管理不善而崩溃，完善的管理可以在一定程 度上消除技术落后带来的不利因素。因此就网络安全而言，管理比技术更加重要。 4 ) i p 技术的使用一方面位产业带来了新业务、新活力，一方面为网络带来 了新的安全隐患。 3 2 传统的网络安全风险分析方法 3 2 1 传统风险分析方法介绍 当前存在很多网络风险分析方法，这些方法在具体实施阶段和风险的计算方 法方面各有不同。下面就对几种比较主要的传统风险分析方法进行介绍。 1 ) 故障树分析法( f t a f a i l u r et r e ea n a l y s i s ) f t a ( 故障树) 最初是2 0 世纪6 0 年代为便于m i n u t e m a n 火箭系统的分析而 提出的，后来这种方法在航天工业、电子设备、化学工业、机械制造、核工业以 及一般电站的可靠性分析中得到了广泛应用，并且取得了不少成果。目前它主要 用于分析大型复杂系统的可靠性及安全性，被公认为对复杂系统可靠性、安全性 进行分析的一种有效的方法【1 1 】。 故障树分析法是一种t o p d o w n 方法，通过对可能造成系统故障的硬件、软件、 环境、人为因素进行分析，画出故障原因的各种可能组合方式和或其发生概率， 由总体至部分，按树状结构，逐层细化的一种分析方法。故障树分析采用树形图 的形式，把系统的故障与组成系统的部件的故障有机地联系在一起。故障树首先 以系统不希望发生的事件作为目标( 称顶事件) ，然后，按照演绎分析的原则， 从顶事件逐级向下分析各自的直接原因事件( 称基本事件) ，根据彼此间的逻辑 关系，用逻辑门符号连接上下事件，直至所要求的分析深度。所以执行故障树分 析，首先需要故障树建模。故障树建模，就是寻找所研究系统故障和导致系统故 障的诸因素之间逻辑关系，并且用故障树的图形符号( 事件符合与逻辑门符号) ， 抽象表示实际系统故障组合和传递的逻辑关系。在故障树模型构造完成之后，为 了准确计算顶事件发生的概率，需要简化故障树消除多余事件。特别是在故障树 的不同位置存在同一基本事件时，必须利用布尔代数描述并进行整理。然后才能 1 1 北京邮电人学硕。t ：g f 究生毕业论文第三章下一代电信网风险分析方法 计算顶上事件的发生概率，否则就会造成分析上的错误。在计算顶上事件的发生 概率时，采用由底向上的计算方法，需要知道各个底事件的发生概率，当能得知 大部分各个底事件的发生概率的数据时，可参照类似情况对少数缺乏数据的底事 件给出估计值；若相当多的底事件缺乏数据且不能给出估计值时，则不适宜采用 故障树分析方法进行风险定量计算。下图展示了一个故障树实例。 图3 - 1 一个故障树实例 2 ) 故障模式影响及危害性分析方法( f m e c a ，f a i l u r em o d ea n de f f e c t a n a l y s i s ) 故障模式影响及危害性分析方法包含故障模式影响分析和危害性分析两部 分，是一种可靠性、安全性、维修性、保障性分析技术。故障模式影响及危害性 分析方法是一种自底而顶的评估方法，按规定的规则记录产品设计中所有可能的 故障模式，分析每种故障模式对系统工作及状态( 包括整体完好、任务成功、维 修保障、系统安全等) 所产生的影响并确定单点故障，将每种故障模式按其影响 的严重度及发生概率排序，从而发现设计中潜在的薄弱环节，提出可能采取的预 防改进措施( 包括设计、工艺或管理) ，以消除或减少故障发生的可能性，保证 系统的可靠性。 3 ) 概率风险分析以及动态概率风险分析( p r a ，p r o b a b i l i t yr i s ka n a l y s i s ； d p r a ，d y n a m i cp r o b a b i l i t yr i s ka n a l y s i s ) p r a ( 概率风险分析) 和d p r a ( 动态概率风险分析) 是定性分析与定量计 算相结合，以事件树和故障树为核心的分析方法。将其运用到系统安全风险分析 1 2 北京邮电人学硕上研究生毕业论文第三章下一代电信网风险分析方法 领域。其分析步骤如下： 幻识别系统中存在的事件，找出风险源。 b ) 对各风险源考查其在系统安全中的地位及相互逻辑关系，给出系统的风 险源树。 c ) 标识各风险源后果大小及风险概率。 d ) 对风险源通过逻辑及数学方法进行组合，最后得到系统风险的度量。如 果用d p r a 进行分析，则还需要考虑它们在时间上的关系。 p r a 运用主逻辑图( m a s t e rl o g i cd i a g r a m ) 、事件树分析( e t a ) 以及故 障树( f t a ) 综合对风险进行分析，提供一种将系统逐步分解转化为初始事件的 方法，并最终确定导致系统失败的事件组合及失效概率。其分析过程如下所示 风险状态 m l d 分析 f 1 ae t a 底事件的 ( 顶事件) 初始事件事故序列组 故障组合 图3 - 2 p r a 分析过程 d p r a 与p r a 的分析过程基本一样，只不过还需要考虑与时间的关系。 使用p r a 方法，利用基于事故场景的方法分析研究实际系统，可以识别出 系统设计与运行中的薄弱环节、潜在风险及其原因，分析风险所导致的事故序列； 对各种相关因素进行量化与综合，确切描述系统可能发生的危险状态。 4 ) 层次分析法( a h p , a n a l y t i c a lh i e r a r c h y p r o c e s s ) a h p 是一种综合的评估方法。该方法是由美国著名的运筹学专家萨蒂t l 于 2 0 世纪7 0 年代提出来的，是一种定性与定量相结合的多目标决策分析方法。 这一方法的核心是将决策者的经验判断给予量化，从而为决策者提供定量形式的 决策依据。目前该方法已被广泛地应用于尚无统一度量标尺的复杂问题的分析， 解决用纯参数数学模型方法难以解决的决策分析问题。层次分析法把复杂的问题 分解为各个组成因素，将这些因素按支配关系分组形成有序的递阶层次结构，通 过两两比较方式确定层次中诸因素的相对重要性，然后综合人的判断以决定决策 诸因素相对重要性总的顺序【1 2 1 。它的基本步骤如下： 1 ) 系统分解，建立层次结构模型 层次模型的构造是基于分解法的思想，进行对象的系统分解。它的基本层 次有三类：目标层、准则层和指标层，目的是基于系统基本特征建立系统的评估 指标体系。其中目标层表示解决问题的目的，即层次分析要达到的总的目标；准 北京邮i 乜人学硕j j 研究生毕业论文第三章下一代电信嗍风险分析方法 则层表示采用某种措施、方案、政策等来实现预定总目标所涉及的中间环节。指 标层表示选用的解决问题的各种措施、政策、方案等。层次模型如下图所示 目标层 准则层 指标层 图3 3a h p 层次模型 2 ) 构造判断矩阵，通过单层次计算进行安全性判断 判断矩阵的作用是在上一层某一元素约束条件下，对同层次的元素之间相对 重要性进行比较，根据心理学家提出的“人区分信息等级的极限能力为7 2 的研究结论，a h p 方法在对评估指标的相对重要程度进行测量时，引入了九分 位的相对重要的比例标度，构成判断矩阵。计算的中心问题是求解判断矩阵的最 大特征根及其对应的特征向量；通过判断矩阵及矩阵运算的数学方法，确定对于 上一层次的某个元素而言，本层次中与其相关元素的相对风险权值。 3 ) 层次总排序，完成综合判断 计算各层元素对系统目标的合成权重，完成综合判断，进行总排序，以确定 递阶结构图中最底层各个元素在总目标中的风险程度。 3 2 2 适应性分析 在上文的总结和介绍的风险分析方法中，故障树分析方法本身适用于找出各 种失效事件的可能方式以及这些风险的顺序，但是对于复杂系统，大型故障树不 易于理解，包含了复杂的逻辑关系，而且还需要知道各个底事件的发生概率。同 时，对网络风险评估的流程的体现不够明显，从概率角度对网络风险进行计算不 够全面，忽略了例如资产在网络中的重要程度等等信息。故障模式影响及危害性 分析更多的是从设计角度发现系统所存在的薄弱环节，从而确定网络的风险，而 1 4 北京邮电大学硕：l ：研究生毕业论文第三章下一代电信网风险分析方法 缺少从系统外部因素的考虑，例如对系统所接受到的威胁的考虑等等。概率风险 分析以及动态概率风险分析，优点与故障树分析方法类似，并且动态概率风险分 析还加上了时间的因素，但是它们存在的缺点与故障树分析方法也类似，要求数 据的全面性与准确性等等。由于上述方法本身所存在的缺点比较明显，并且实用 性较差，难以适合下一代电信网。 层次分析方法由于具有原理简单，能够将复杂的问题转化为诸多具有结构和 层次关系的简单问题来求解等特点，所以应用得最为广泛，也受到了国内外众多 学者的关注和研究。在此基础上，国内外的众多学者也进行了一定的补充和改进。 如将模糊数学理论结合层次分析法对网络风险进行分卡斤【1 4 】【1 5 】【1 6 1 ，或者借鉴层次 分析法的思想，对网络进行分层，在风险计算时根据自己定义的风险计算公式进 行计算【17 】【1 8 】【1 9 】等等。但是应用于下一代电信网仍具有一定的困难： 传统的层次分析法本身存在一定的缺点。首先，判断矩阵的一致性指标难于 达到。当同一层次上元素很多时，更是如此。此时，容易使决策者做出矛盾和混 乱的判断。尽管层次分析法并不要求判断矩阵具有完全一致性，但要求判断有大 体的一致性却是应该的。因此有必要对判断矩阵进行一致性检验，其一致性指标 要求达到一定标准，否则需要调整矩阵元素数值，直到满足为止。而对一致性差 的判断矩阵的调整往往都凭着大致的估计进行，这就难免带有盲目性。其次，判 断矩阵的一致性与人们决策思维的一致性存在差异，并且判断矩阵的一致性检验 标准目前仅是经验数据，缺乏科学有效的证明。因此，无论是将层次分析法应用 于计算机网络，还是下一代电信网均存在着主观性因素过重的缺点。 将模糊数学的理论运用到层次分析法中，可以简化人们判断目标相对重要性 的复杂程度，并借助模糊判断矩阵实现决策由定性向定量方便、快捷的转化，直 接由模糊矩阵构造模糊一致性判断矩阵，使判断一致性得到解决。这种模糊综合 评价方法在实际应用的过程中，可以针对评价对象在定性和定量上的模糊性，应 用模糊关系合成的原理，根据多个评价因素，对评判事物隶属等级状况进行综合 评价。但是当因素较多时，权重的分配极难确定，缺乏必要的权重量化值，主观 随意性太大。因此，虽然将模糊数学结合层次分析法应用于网络安全风险分析中， 一定程度上解决了层次分析法中判断矩阵的一致性问题，但是在面临复杂或者是 规模较大的问题时，不能够进行妥善解决。 北京邮电人学硕上研究生毕业论文第三章下一代电信网风险分析方法 借鉴层次分析法的思想，对网络进行分层，根据定义的公式对网络风险进行 计算是一种很好的方式。该种类型方法很好地结合了所适用网络的特点，并且从 设计计算公式的角度可以尽量避免计算的主观性。但是，现阶段的该种类型的网 络风险分析方法的适用对象为计算机网络，并不是下一代电信网。在针对计算机 网络的分层模型中，从上到下主要包括四层，分别为网络，主机，服务和威胁。 首先，该模型忽略了脆弱性在网络风险分析中的作用。其次，该模型的主要思想 在于认为主机是网络中的最重要的个体，淡化了业务在网络中的重要性。但是， 结合上文分析，在下一代电信网中，业务是最重要的个体，并且多业务特性也是 下一代电信网的安全问题的重要根源。因此，简单地将该种分层模型应用于下一 代电信网并