隨著因特網應用的快速增長,網絡上的安全隱患不斷出現,非法竊取網絡資源、非法使用網絡業務、拒絕服務、蠕蟲病毒、木馬病毒,甚至惡意攻擊與破壞等事件也層出不窮。這些安全問題給網絡運營商、業務提供商和用戶造成了巨大的損失,使人們深刻地認識到基于IP技術的因特網應用存在著嚴重的安全問題。網絡的開放性和IP網絡固有的脆弱性,使得攻擊者很容易利用網絡的弱點發起各種各樣的攻擊。特別是隨著下一代網絡(NGN)的興起,Everything over IP正在成為各種網絡技術發展的基礎,國際標準組織(ISO/IEC)、國際電信聯盟電信標準化部門(ITU-T)、歐洲電信標準化組織(ETSI)等所研究的NGN,都是基于IP技術實現的。因此,盡管NGN技術還還在發展過程之中,但是其安全問題已經受到高度重視,幾乎每個標準組織都有專門的安全研究組在開展研究工作,一些標準組織還在其制定的每個技術標準中,都要求包含“Security Consideration”章節。包括對NGN安全基礎、 NGN安全需求、安全體系架構、安全機制進行了研究。
為此,ITU-T在2003年10月制定了X.805標準,即ITU-T X.805(10/2003)《提供端到端通信的系統的安全架構》。X.805定義了一種用于提供端到端網絡安全性的網絡安全架構,該架構可以獨立于網絡的底層技術應用于端到端安全性的各種網絡。建議書定義了提供端到端安全性所必需的一般安全相關架構要素,本建議書的目的是作為開發端到端網絡安全的詳細建議的基礎。欲詳細了解ITU-T X.805建議書請詳見附件1。
附件1:ITU-T X.805(10/2003)《提供端到端通信的系統的安全架構》
X.805全面地規定了信息網絡端到端安全服務體系的架構模型。這一模型包括3層3面8個維度,即應用層、業務層和傳送層,管理平面、控制平面和用戶平面,認證、可用性、接入控制、不可抵賴、機密性、數據完整性、私密性和通信安全,如圖1所示。X.805模型各個層(或面)上的安全相互獨立,可以防止一個層(或面)的安全被攻破而波及到其他層(或面)的安全。這個模型從理論上建立了一個抽象的網絡安全模型,可以作為發展一個特定網絡安全體系架構的依據,指導安全策略、安全事件處理和網絡安全體系架構的綜合制定和安全評估。因此,這個模型目前已經成為開展信息網絡安全技術研究和應用的基礎。
圖1:X.805標準端到端安全服務體系的架構模型
在X.805標準的指導下,通過對NGN網絡面臨的安全威脅和弱點進行分析,NGN安全需求大致可以分為安全策略,認證、授權、訪問控制和審計,時間戳與時間源,資源可用性,系統完整性,操作、管理、維護和配置安全,身份和安全注冊,通信和數據安全,隱私保證,密鑰管理,NAT/防火墻互連,安全保證,安全機制增強等需求。這些需求釋義被匯總于下表1中。
表1:X.805規定的NGN各種安全需求釋義
發展中國家和發達國家的許多組織可能難以實施ITU-T X.805建議書中描述的高級維度。因此,ITU-T在2016年10月又制定了ITU-T建議書X.1039(10/2016)《實施ITU-T X.805安全維度的技術安全措施》,旨在提供一套安全措施來實施高層次的維度。它還提供了可用于提高組織安全響應能力的安全措施的技術實施指導。本建議書中描述的一系列安全措施可以幫助組織管理信息安全風險并實施技術層面。本建議書的讀者包括但不限于負責實施組織信息安全維度的人員。
欲更多了解標準化組織關于信息網絡安全方面法規介紹的請進入。
