《管理信息化电信信息技术中的安全》由会员分享,可在线阅读,更多相关《管理信息化电信信息技术中的安全(96页珍藏版)》请在金锄头文库上搜索。
1、电信和信息技术安全关于电信安全的若干议题综述及相关ITU-T建议书应用简介致 谢很多作者为编写本手册做出了贡献,他们或者参与制定了相关ITU-T建议书,或者参与了ITU-T研究组的会议、讲习班和研讨会。特别要归功于下列人员:Lakshmi Raman 女士贡献了第6.4节及第2章的部分文字,后一部分还经过了Messrs Herb Bertine和Rao Vasireddy审校;第3章威胁和风险的资料既来自ITU-T 的工作,也来自Shannon的表述;第5章和第6.5节的文字基于Wisekey 的一般资料和David Chadwick教授的大力支持,尤其是对第6.5.2节Salford的 E处
2、方应用 (以及Policy资料)的描述;第6.1节关于VoIP 和ITUTH.323 系统的文字来源于 Packetizer和Euchner,以及Martin Euchner先生的贡献;第6.2节文字来自于ITU-T J.169,Eric Rosenfeld先生在第6.1.2节对其还作了述评;第6.3 节文字基于ITU-T T.30和T.36中的资料。还要感谢众多不知名的审评人员。附件C中的资料来自回复ITU-T 第17工作组安全调查问卷的不同ITU-T研究组的众多专家,附件B基于ITU-T 课题10/17专家尤其是Sndor Mazgon先生维护的安全相关建议书纲要。 国际电联 2003版权
3、所有。未经过国际电联事先书面许可,不得以任何形式复制其中任何部分。目录致谢目录iii前言v概述vii1手册范围12基本安全体系结构和尺度12.1保密和数据机密性22.2认证22.3完整性32.4不可否认32.5X.805描述的其他尺度33脆弱性、威胁和风险34安全框架的要求45X.509的PKI和特权管理55.1秘密和公共密钥加密55.2公共密钥证书75.3公共密钥基础设施85.4特权管理基础设施86应用106.1使用H.323系统的VoIP106.1.1多媒体和VoIP中的安全问题146.1.2VoIP安全是如何规定的166.2IP同轴电缆通信系统186.2.1IP同轴电缆通信中的安全问题1
4、96.2.2IP同轴电缆通信中的安全机制196.3安全传真传送226.3.1使用HKM 和HFX的传真安全236.3.2使用RSA的传真安全246.4网络管理应用256.4.1网络管理体系结构256.4.2管理层面和基础设施层的交叉276.4.3管理层面和服务层的交叉276.4.4管理层面和应用层的交叉296.4.5通用安全管理服务306.5E处方306.5.1E健康应用的 PKI 和PMI考虑316.5.2Salford的E处方系统327结论 34参考资料35附件A: 安全术语36A.1常用安全相关缩写词36A.2常用安全相关定义43A.3其他ITU-T术语和定义资料59附件B: ITU-T
5、安全相关建议书分类目录60B.1本手册覆盖的安全方面.60B.2本手册未覆盖的安全方面 (可靠性和外部设备物理保护)76附件C: 研究组和安全相关课题清单80ITU-T安全构建模块88前 言长期以来一直局限于银行、航空或军事应用等领域的数字安全的问题现在已逐渐变成人民群众每个人的事。数字安全问题日渐受到重视的现象可能受到电子邮件传播病毒或黑客窃取信用卡信息等新闻标题的影响。但这种影响并非问题的全部答案。随着计算和联网已如水和电一样成为日常生活的重要组成部分,数字安全不仅被专家们议论, 还越来越多地被政府、公司和消费者谈论。此外,如果我们的商务活动和个人生活的众多方面越来越依赖计算机和网络,毫无
6、疑问, 人们会要求这些系统应该安全运行。 同样, 人们应该把安全作为一个深思熟虑的过程, 应用于从系统设想和系统布署设计到制订系统的安装、运营及使用的政策和实际操作规程的全过程。在制定标准时, 对安全的考虑必须始终是初始工作的一部分,而不应作为事后的补救措施 否则, 系统的易受攻击的弱点就会由此产生。标准化委员会的角色就是认真听取那些市场及经验中已知的问题,尽可能地提供对它们的解决办法,颁布规范或指南, 以帮助运用者和用户使各项通信系统和各种服务能够足够牢靠地运行和使用。多年来, 国际电信联盟的标准化部门ITU-T一直积极参与电信和信息技术安全研究。但是, 鉴于各种信息繁多, 人们并不总是很容
7、易弄清楚哪些已被研究,以及到哪里去找相关资料。本手册尝试将所有已知的信息综合在一起, 以方便人们的检索。我向ITU 电信标准化局的工程师们表示赞赏, 他们在来自ITU 成员的有关专家们的支持下完成了本手册的大部分章节, 任务艰巨, 成绩显著。本手册旨在为技术人员、中层管理人员以及负责制订和执行电信规则的相关人员提供一份指南, 帮助他们实际运用安全功能。 本手册通过几个应用实例,提供了对安全问题一些事项的解释, 偏重强调ITU-T建议书是如何处理这些事项的。我相信, 本手册将成为关注安全事项人士的有用指南, 我们欢迎读者对本手册提出意见和建议, 以便改进我们今后的版本的编辑。 国际电信联盟 电信
8、标准化局主任 赵厚麟2003年12月,日内瓦概 要通信产业适应日了越来越全球化的商务环境的需要,在几乎所有的产业部门促进了生产率的提高,并成为促进全球沟通的桥梁。这一通信基础设施如此高效主要归因于ITU-T等标准化组织制定的标准。标准不仅保证了现有的网络高效而且为下一代网络打下了基础。但是,尽管标准在继续满足终端用户和产业的需要,随着开放界面和协议日益增长的使用、新角色的多元化、应用和平台的不断分化、未经充分测试的实现导致对网络恶意使用的机会不断增长。近年来,全球网络上都观察到安全侵害(诸如病毒、存储数据机密性被破坏)泛滥,经常造成巨大的损失效果。问题是,如何在支持开放的通信基础设施的同时不牺
9、牲其上交换的信息。答案在于标准组织在各个通信基础设施领域中与安全威胁的斗争的努力。这种规定体现在从协议规范和应用的细节直到网络管理。本安全手册的目的在于突出并提供对ITU-T有时与其他标准组织共同 制定的众多的建议书鸟瞰的视角,以保障通信基础设施及相关服务和应用的安全。为涵盖安全问题的多个方面,必须建立一个框架体系以形成一个讨论这些概念用的统一的词汇表。第2章总结了在ITU-T建议书X.805中定义的体系要素以及已被定义的涵盖网络应用端到端安全的8个尺度 保密、数据机密性、认证、完整性、不可抵赖性、访问控制、通信安全及可用性。这些通用原则用于指导和理解其他章节的具体问题。主要要素包括安全层、安
10、全层面和用于任何层和层面结合的尺度。第3章介绍了讨论安全的三个关键术语:脆弱性、威胁和风险,描述了三个术语不同的特性,并给出了一些例证。本章的关键是注意安全风险如何来自于脆弱性和威胁的结合。第4章在前几章的基础上定义了基础要求以形成安全框架。战胜威胁实现安全的关键要素是制定认证、访问控制、数据加密等机制、算法及安全措施。第5章定义了公共密钥概念相关的机制和权限管理基础设施,这些机制和基础设施可用于很多不同的终端用户应用。在这个框架、体系和机制之外,ITU-T在其建议书中制定了几个系统和服务的安全规定。因此,本手册重要的焦点在于应用,如第6章所见。在这第一版中包括一组应用,包括IP (H.323
11、 和 IP同轴通信系统)上的语音和多媒体应用、健康保护和传真。在布署体系以及如何制定协议满足安全需求方面对这些应用进行了描述。在提供应用信息的安全之外,还需要保障网络和网络服务管理的安全。针对网络管理方面的安全规定的标准示例也在第6章。 此外,此手册版本含有与安全及其他本文档涉及的话题相关的,从ITU-T相关建议书及其他来源例如ITU-T SANCHO 数据库和ITU-T 第17研究组制定的通信系统安全概略)中抽取的缩写词和定义的列表,在附件A里。本手册还提供了最新版本的ITU-T 安全方面的建议书目录,附件B广泛且更进一步展示了ITUT 安全方面工作的幅度。在附件C中我们总结了ITU-T每个
12、研究组所做的安全相关工作,这些资料不断更新并可在www.itu.int/ITU-T查到。总之, ITU-T不仅积极参与了IP相关技术研究,而且积极满足安全需求极其多变的众多工业部门的需求。本手册显示了ITU-T建议书如何提供了在一般性的框架体系和特定系统和应用方面 已在全球为网络和服务提供所实施的解决方案。1 手册范围本手册概述了通信和信息技术中的安全问题,描述了实践问题并指明了ITU-T如何处理当前应用中安全的不同方面。手册具有教材的性质:它把ITU-T 建议书中与安全相关的材料收集在一起并分别解释其相互关系。在这第一版中,手册并未涵盖安全所有的方面,尤其是与可用性有关的部分 尽管ITU-T
13、有许多可提供,以及ITU-T也很积极参与的环境性损害方面。而且,所选问题以已经完成的工作为基础,而不是以正在进行的工作为基础,本手册以后的版本再处理这部分问题。本手册的目标读者是工程师、产品经理、学生、专业人员和希望更好理解实际应用中安全问题的管制机构。2基本安全体系结构和尺度建议书X.805定义了分布式应用实现端到端安全的体系和尺度的框架。基本的原则及定义适用于所用应用,尽管诸如威胁、弱点的细节以及应对或防治的对策根据应用需求的不同而不同。 安全体系定义基于层和层面两个主要概念。安全层讨论对构成端到端网络的网络元素和系统的要求。为保证端到端的安全在各层实现,在区分跨不同层的要求时使用了分层的
14、方法。这三层是:基础设施层、服务层和应用层。定义这些层的好处之一是在不同应用提供端到端安全时允许重复使用。每一层的弱点不同,因此针对性措施也根据每层需求来定义。基础设施层包括网络传输设施和单独的网络元素。属于基础设施层的成分的例子有单独的路由器、交换机和服务器以及其间的通信链路。服务层讨论提供给用户的网络服务的安全。这些服务从基础连接服务例如租用线服务延伸到增值服务例如即时消息。应用层讨论用户使用的基于网络的应用的要求。这些应用可能简单如电子邮件,也可能复杂如用于石油勘探或汽车设计等的使用非常高端视频转换的综合视频实现。这一框架的第二轴线是讨论网络中实施的活动的安全。本安全框架定义了三个安全层面表示三种网络中发生的
