随着因特网应用的快速增长,网络上的安全隐患不断出现,非法窃取网络资源、非法使用网络业务、拒绝服务、蠕虫病毒、木马病毒,甚至恶意攻击与破坏等事件也层出不穷。这些安全问题给网络运营商、业务提供商和用户造成了巨大的损失,使人们深刻地认识到基于IP技术的因特网应用存在着严重的安全问题。网络的开放性和IP网络固有的脆弱性,使得攻击者很容易利用网络的弱点发起各种各样的攻击。特别是随着下一代网络(NGN)的兴起,Everything over IP正在成为各种网络技术发展的基础,国际标准组织(ISO/IEC)、国际电信联盟电信标准化部门(ITU-T)、欧洲电信标准化组织(ETSI)等所研究的NGN,都是基于IP技术实现的。因此,尽管NGN技术还还在发展过程之中,但是其安全问题已经受到高度重视,几乎每个标准组织都有专门的安全研究组在开展研究工作,一些标准组织还在其制定的每个技术标准中,都要求包含“Security Consideration”章节。包括对NGN安全基础、 NGN安全需求、安全体系架构、安全机制进行了研究。
为此,ITU-T在2003年10月制定了X.805标准,即ITU-T X.805(10/2003)《提供端到端通信的系统的安全架构》。X.805定义了一种用于提供端到端网络安全性的网络安全架构,该架构可以独立于网络的底层技术应用于端到端安全性的各种网络。建议书定义了提供端到端安全性所必需的一般安全相关架构要素,本建议书的目的是作为开发端到端网络安全的详细建议的基础。欲详细了解ITU-T X.805建议书请详见附件1。
附件1:ITU-T X.805(10/2003)《提供端到端通信的系统的安全架构》
X.805全面地规定了信息网络端到端安全服务体系的架构模型。这一模型包括3层3面8个维度,即应用层、业务层和传送层,管理平面、控制平面和用户平面,认证、可用性、接入控制、不可抵赖、机密性、数据完整性、私密性和通信安全,如图1所示。X.805模型各个层(或面)上的安全相互独立,可以防止一个层(或面)的安全被攻破而波及到其他层(或面)的安全。这个模型从理论上建立了一个抽象的网络安全模型,可以作为发展一个特定网络安全体系架构的依据,指导安全策略、安全事件处理和网络安全体系架构的综合制定和安全评估。因此,这个模型目前已经成为开展信息网络安全技术研究和应用的基础。
图1:X.805标准端到端安全服务体系的架构模型
在X.805标准的指导下,通过对NGN网络面临的安全威胁和弱点进行分析,NGN安全需求大致可以分为安全策略,认证、授权、访问控制和审计,时间戳与时间源,资源可用性,系统完整性,操作、管理、维护和配置安全,身份和安全注册,通信和数据安全,隐私保证,密钥管理,NAT/防火墙互连,安全保证,安全机制增强等需求。这些需求释义被汇总于下表1中。
表1:X.805规定的NGN各种安全需求释义
发展中国家和发达国家的许多组织可能难以实施ITU-T X.805建议书中描述的高级维度。因此,ITU-T在2016年10月又制定了ITU-T建议书X.1039(10/2016)《实施ITU-T X.805安全维度的技术安全措施》,旨在提供一套安全措施来实施高层次的维度。它还提供了可用于提高组织安全响应能力的安全措施的技术实施指导。本建议书中描述的一系列安全措施可以帮助组织管理信息安全风险并实施技术层面。本建议书的读者包括但不限于负责实施组织信息安全维度的人员。
欲更多了解标准化组织关于信息网络安全方面法规介绍的请进入。
