8i与X.805 – 电信业网络安全
8i与X.805 – 电信业网络安全引子:
前几天艳阳高照,今天早上的纽约却飘了纷纷扬扬的大雪!
住处在布鲁克林,离称作康尼岛的海滩不远,到后来确认是世界第八长悬索桥Verrozano Narrow大桥也是步行的距离。每当端起一杯绿茶、或者一杯咖啡什么的时候,经常能够听见从远处飘来的汽笛声。
望着窗外飘扬的雪花,夏威夷旖旎的风光悄悄爬了进来。那里没有雪,一直像春夏之交的季节那样温暖。2009年11月底在那里举行的IEEE Globecomm会议上,Karl在演讲中介绍了他为主开发的8i模型,颇受启发。
电信业的网络安全与X.805
我们所做的专业领域一般叫做网络安全,或者有时与信息安全、信息网络安全、网络信息安全混在一起叫。而电信业是网络安全的一个重要服务对象或者研究领域。笔者在几年前写过几篇东西来介绍国际电联X.805标准安全模型。该模型很全面地概括了电信业网络安全的三个层面 – 基础设施安全层、服务安全层、应用安全层,三个平面 – 最终用户安全平面 、控制/信号安全平面、管理安全平面,以及八个维度 – 访问控制、认证、不可否认、数据机密性、通讯安全、数据完整性、可用性、隐私。X.805很全面、很具体、也很直观。比传统教科书中的CIA模型要更贴近产业的实践需求。
我们看到X.805在CIA的基础上,将电信业的各种系统和业务活动分成了不同的平面、不同的层次。如果大家原来做路由器、交换机、各种服务器等的安全,在此都可以找到相关的映射分类,很容易找到合作的共同语言,也较为容易确认项目范围、发现遗漏的内容。在安全维度需求上,X.805引入了“隐私”这个较为“现代”的话题,并且将数据机密性和通讯安全分开阐述,以强调他们之间完全不同的角度(如果不太清楚,Google一下吧)
那么什么是8i呢?
夏威夷的八个岛吗?非也。8i指的是电信业基础设施的八大要素 – 它们分别是:人(Human)、方针政策(Policy)、硬件(Hardware)、软件(Software)、网络(Network)、业务载荷(Payload)、环境(Environment)、电力(Power)。哇塞,看到这八个要素,不仅大吃一惊,有几样东西似乎不是网络安全常谈的名词吗,似乎在传统的业务连续性或者灾难恢复什么的才有的吧。你说对了。8i的出发点不是紧紧讨论电信业的基础设施,而是将电信业看做整个国家、或者整体全球经济的基础设施。讨论的是更为广义的“安全”。皮之不存,毛将焉附。
http://sbin.cn/blog/wp-content/uploads/2010/01/8imodel-300x172.png
Karl是8i模型的主创,从他个人简历上可以看到很多“光彩闪耀”的亮点 – Bell Lab Fellow, EWI的Distinguished Fellow,个人在公共网络上独立发现了上千个各种各样的漏洞,领导开发了600+基础设施可靠性和安全方面的最佳实践,他还在帮助IEEE建立电信有关的最佳实践工作小组TIPS ….
为什么把8i和X.805联系在一起呢?
好问题。8i和X.805颇有渊源。它们都是以Bell实验室为主开发的,都是主要面向电信业的,还有,它们都是在帮助解决网络安全问题。
8i模型能做什么?
在上述8个基本要素的基础上,8i模型提出了一个简化的风险评估方法。从大的层面上看,基本上沿用了漏洞、影响(损失)、威胁这几个我们都很熟悉的概念,并将关注点放到了漏洞和影响损失上。作者认为威胁在实际评估过程中,不容易找到有效的方法较为准确的估算,所以不推荐从威胁出发的评估方法。而漏洞和影响损失则可以。这样8个基本要素、漏洞、影响损失构成一个评估矩阵,更为简洁全面地评估ICT基础设施的安全风险。
http://sbin.cn/blog/wp-content/uploads/2010/01/8ithreats-300x213.png
页:
[1]