中兴通讯网络交付安全风险评估探析

2020年12月，海外某供应商的软件更新包中被黑客植入后门，并将其命名为SUNBURST，与其相关的攻击事件被称为 UNC2452。本次供应链攻击事件波及范围极大，包括政府部门，关键基础设施以及多家全球500强企业，造成的影响无法估计。该事件后，供应链安全开始进入到公众视野。

中兴通讯，作为全球领先的综合通信信息解决方案提供商－运营商客户的供应链，为全球超过160多个国家和地区的电信运营商客户提供产品与服务，在通信相关的交付领域，不断探索和实践全生命周期的安全风险管理方法，保障客户网络安全。

什么是风险管理

风险管理是一个组织为了降低风险的负面影响而进行决策和实施的过程。 按照NIST（National Institute of Standards and Technology，美国国家标准技术协会)发布的风险评估指南，完整的风险管理过程如下图所示。

1.制定风险框架

确立风险管理策略/方法论，有效指导组织如何评估风险、应对风险和监控风险，从而确立明确的运营决策。

2.评估风险

通过识别组织面临的威胁和组织内外部的脆弱性，并结合即将发生损害的可能性和程度，最终确定风险。

3.响应风险

根据组织风险管理策略和风险偏好（如激进、保守、厌恶等）提供合适的风险应对措施，如风险接受、风险降低和风险转移等。

4.监控风险

基于组织风险管理策略持续有效地监测风险。

风险管理的最终对象是资产。在网络交付领域，需要进行风险管理的资产主要包括产品设备（软硬件）、交付人员、数据（含方案、管理制度）等。资产的脆弱性不仅包含设备自身安全防护和安全管控措施不充分、人员安全意识不足时可能被已有威胁利用的固有弱点，也包含因运营环境、产品功能和技术、工作任务的变化而可能被新威胁利用的紧急弱点。对资产的威胁包含数据篡改、欺骗、伪造等的恶意损害，以及如自然灾害、事故或操作失误在内的无意损害。 资产自身的脆弱性使得威胁资产安全的事件时有发生，从而形成风险。

“不以规矩，不能成方圆”。没有度量的风险管理是无任何指导意义的。当前，中兴通讯基于业界领先的风险评估方法论，从系统的角度出发，按照科学的评估方法和程序对交付领域存在的威胁和脆弱性进行定量识别，并对风险进行合理定级和进行有效的管控，为实施合适的安全防范措施探索出了可落地的安全实践。

中兴通讯风险评估模型

以下是中兴通讯交付领域应用的风险评估模型：

中兴通讯风险评估总体分为4个步骤，各步骤描述如下：

步骤1：评估准备

评估准备是整个风险评估过程有效性的保证，准备阶段主要进行以下动作：

1）确立评估目的

基于评估要支持的决策明确评估目的，如满足组织业务在安全方面持续发展的需要、满足法律法规要求等。

2）确定评估范围

评估范围可以是某一项目、关键业务流程、或与客户网络安全相关的人员、信息、相关处理系统等。

3)确定风险评估期间要采用的评估和分析方法

可参考NIST SP800-30/NIST SP800-37/NIST SP800-53/ISO27001等系列方法论。

步骤2：执行评估

1）识别威胁源等

基于现有流程、工具等识别常见攻击，如SQL注入、蠕虫病毒、窃听、身份假冒。

2）识别脆弱性和触发条件

脆弱性评估的主要目的是了解组织、业务流程和设备易受已知威胁的攻击的性质和程度

3）确定威胁发生的概率

基于网络交付领域安全管理的经验和历史事故，对威胁概率分为了五个层级（非常低、低、中等、高、非常高，分别对应1-5取值），数值越大，表示概率越高：

非常低（1）：威胁极不可能利用脆弱性并给系统或其数据造成损失

低（2）：威胁不太可能会利用脆弱性并给系统或其数据造成损失。

中等（3）：威胁有可能利用脆弱性并给系统或其数据造成损失。

高 （4）：威胁极可能利用脆弱性并给系统或其数据造成损失。

非常高（5）：威胁肯定会利用脆弱性并给系统或其数据造成损失。

4）确定脆弱性被威胁利用后的影响程度

目前对影响程度分为五个层级（非常低、低、中等、高、非常高，分别对应1-5取值）。数值越大，表示影响程度越高：

非常低（1）：如果脆弱性被威胁利用，系统、网络或数据几乎不会有损害。

低（2）：如果脆弱性被威胁利用，系统、网络或数据会有微量的损害。

中等（3）：如果脆弱性被威胁利用，系统、网络或数据会有中等的损害。

高（4）：如果脆弱性被威胁利用，系统、网络或数据会有重要的损害。

非常高（5）：如果脆弱性被威胁利用，系统、网络或数据会有极其重要的损害。

5）确定风险

风险值由威胁的可能性和脆弱性被威胁利用后的影响程度共同确定，矩阵组合如下：

注：对不同等级的风险采用何种举措（如风险降低、风险转移和风险接受等）取决于组织对风险的容忍程度。在中兴通讯交付领域的风险评估实践中，对于中等以及中等以上的风险（即3和3以上的风险）均不可容忍，要求采取风险降低举措。对于中等以下的风险（即3以下的风险）落入风险容忍区，允许采用风险接受等举措。

步骤3：与利益相关者沟通评估结果

通过多种方式（例如，高管简报、风险评估报告、仪表盘）沟通风险评估结果，同时与适当的组织人员共享风险评估期间产生的风险相关信息。

步骤4：持续风险评估

即持续监控导致组织运营和资产等风险变化的风险因素，以便在风险因素发生变化时及时进行策略调整。

实际应用案例

按照上述风险评估方法论，中兴通讯交付人员结合工具、人员访谈、现场勘查和内部自查表等辅助手段从物理环境、管理和技术角度对常见脆弱性、威胁和风险进行了科学评估，并对识别的风险按照对应等级进行了直观的分布，以便与相关利益方进行沟通，如下是在某交付项目中的具体应用。

1）物理环境

2）管理

3）技术

根据以上分析，本次评估所发现的风险等级分布如下：

随着通信设备数量和种类的增多以及网络结构的日益复杂，客户网络面临的威胁和脆弱性也迅速增加，内外部形势的变化均在驱动对安全进行全局考虑和布局。因此，通过应用科学的风险评估方法，围绕“机密性、完整性、可用性”原则，持续对影响客户网络安全的资产进行系统性的风险评估是未来必然趋势。

当前，中兴通讯持续对局点进行风险评估，实践证明，通过应用这种方法，不仅可以使客户、交付人员更加全面识别威胁和脆弱性，也有利于及时识别与正确处理衍生风险，为全面保障客户网络的安全水平发挥了重要、积极的作用。

关键词： 中兴通讯