信息安全管理系列之二十七 网络空间安全相关标准ITU -T X.1205 探析

谢宗晓（南开大学商学院）

信息安全管理系列之二十七 网络空间安全相关标准ITU -T X.1205 探析

谢宗晓（南开大学商学院）

谢宗晓 博士

“十二五”国家重点图书出版规划项目《信息安全管理体系丛书》执行主编。自2003年起，从事信息安全风险评估与信息安全管理体系的咨询与培训工作。目前，已发表论文55篇，出版专著12本。

信息安全管理系列之二十七

ITU-T（国际电信联盟的下属机构）是最大的国际标准输出组织之一。在之前的讨论中，我们就引用了X.1205对“网络安全”的定义，实际上，X.1200-X.1299的主题都是Cyberspace security，因此，在下文中，我们先对ITU-T X.1205进行了初步的介绍。

谢宗晓（特约编辑）

ITU-T X.1205是网络空间安全/网络安全相关的重要标准之一，本文介绍了该标准的主要内容，对其进行了综述，并简要说明了应用中的问题，最后给出了进一步阅读的指南。

网络安全 网络空间安全 信息安全

1 概述与主要内容

ITU-T①ITU-T，国际电信联盟（International Telecommunication Union）电信标准分支机构, ITU-T是国际电信联盟管理下的专门制定电信标准的分支机构。X.1205建议书（Recommendation ITU-T X.1205）的标题为：网络安全概述（Overview of cybersecurity），X系列的标题为：数据网、开放系统通信和安全性（Data network, open system communications and security）。ITU-T X.1205建议书由第17研究组②SG 17 – Security，目前诸多工作都集中在网络安全，例如，Cybersecurity Information Exchange （CYBEX）。（2005—2008）完成，并由世界电信标准化全会（World Telecommunication Standardization Assembly，WTSA）③每四年一届的WTSA确定 ITU-T 各研究组的研究课题，再由各研究组制定有关这些课题的建议书。但是从2001年开始，大部分标准都是走“备选批准程序（Alternative Approval Process，AAP）”。现在可以在平均2个月或最短5周内获得批准。大部分标准均采用了这种批准方式。只有那些涉及监管问题的标准不在此列，它们采用“传统批准程序（Traditional Approval Process，TAP）”。批准于2008年4月18日。

ITU-T X.1205建议书正文的主要内容只有两章，第7章：网络安全，以及第8章：可行的网络保护战略。

在第7章中定义了“网络安全”词汇。ITU-T X.1205也强调了风险管理原则，并认为“网络环境的任何部分都可被视为安全风险，而这种风险通常被认为是综合威胁评估的结果”。该标准中风险得出的逻辑与ISO/IEC 27005稍有出入[1]，而且由于翻译问题，建议最好中英文对照阅读④例如，vulnerability in this recommendation refers to a weakness that could be exploited by an attacker. 这句话在中文版中为“本建议书提到的薄弱环节是指攻击者可以利用的弱点”。vulnerability更多的情况下翻译为“脆弱性”。。在第7章中，以ITU-T X.800为基础，描述了网络威胁及其应对。同时，以ITU-T X.805，描述了端到端的通信安全。这两者只是对已有的标准进行了回顾和应用。

但是到第8章则直接转入到网络（network）保护战略，讨论的并不是网络（cyber）。其中讨论的重点实际是与网络（network）相关的安全保护，包括了策略管理、访问控制和流量加密等各个方面的内容，比较而言，内容比较狭义[1]。

在ITU-T X.1205建议书中，更有意义的可能是其3个附录。

附录Ⅰ是攻击者采用的技术，其中将安全威胁分为10类，如表1所示。

表1 安全威胁

此外，该附录还描述了4类安全威胁，包括：应用层攻击、网络层攻击、未经授权的访问和窃听。

附录Ⅱ列举了各种网络安全技术，主要引用ISO/ IEC 10828⑤ISO/IEC 18028已经作废，新版本编号为ISO/IEC 27033。。网络安全技术如表2所示。

表2 网络安全技术

续表2

附录Ⅲ给出了网络安全示例，重点讨论了4类：保障远程访问安全性、保障IP电话安全性、保障远端办公室安全性以及保障无线局域网的安全性。同时，该附录中也强调安全是难以测试、预测和实施的，不存在万用良方（one-size-fits-all）。

2 评价与应用

ITU-T X.1205在描述网络安全的时候，用的词汇不是“网络空间（cyberspace）”，而是“网络环境（cyber environment）”。例如，ITU-T X.1205 原文7.1节（pp.7）中描述：

网络安全的目的在于保证网络环境的安全，是一种众多公共和私营机构的利益攸关方均可参与的系统，并为了安全采用多种组件和不同方式。因此，可以从以下的角度理解网络安全：

——可用于保护互联网络（包括计算机、设备、硬件、存储信息和经转信息）免受未经授权的访问、篡改、盗窃、中断或其他威胁的一系列策略和行动。

——对上述策略和行动进行持续地评估和监测，以便在威胁性质不断演变情况下维持安全质量。

也就是说，在，ITU-T X.1205中，并没有强调“网络安全（cybersecurity）”是“网络空间安全（cyberspace security）”的缩写或同义词[2][3]，而是用了含义更模糊的词汇“网络环境”。网络环境在其中定义为：包括用户、网络、装置、各种软件、程序、存储和传送过程中的信息、应用、服务以及与网络（network）直接或间接连接的系统（pp.2）。在正文中，对网络环境也有解释：网络环境包括在计算设备上运行的软件、在这些设备上存储（以及传送）的信息或这些设备生成的信息。容纳这些设备的设施和建筑也是网络环境的一部分。网络安全必须将这些因素考虑在内（pp.6）。可见，网络环境包括了信息，也包括了信息处理设施，是一个比较全面的概念。但这种描述方式常见于ISO/IEC 27032：2012等标准，ITU-T X.1205在原文7.2中给出了比较清晰的描述，以解释什么是网络安全环境，如下所述：

每个企业、电信服务提供商、网络运营商或服务提供商都有一套独特的商业需求，并为满足这些需求而逐步形成了自己的网络环境（networking environment）⑥ITU-T X.1205词汇应用并不是非常规范，在术语定义中用的是cyber environment（网络环境），但是在解释的时候出现了另一个词汇networking environment（网络环境），中间还出现了一个cybersecurity environment（网络安全环境）。虽然有点混乱，不过对照中英文版本，基本意思还比较清楚。（pp.7）。

例如，“封闭企业”在站址之间采用逻辑（即帧中继）或物理专线，为需要访问互联网的雇员有选择地提供远程接入，并通过（负责建立一种安全环境的）服务提供商提供的互联网数据中心实现在线状态。该机构还为（在旅馆工作的）远端雇员提供常规拨号接入。公司在雇员当中采用无外部接入的专用电子邮件以及无线局域网。

“扩展企业”或电信服务提供商、网络运营商或服务提供商可通过互联网的IP VPN给予远端雇员和办公室接入支持，提供高速和低成本的连接。包括提供通用互联网接入（如提供可与外部世界互通的内部电子邮件系统）。

“开放企业”的业务模式通过允许合作伙伴、提供商和客户访问企业管理的互联网数据中心，甚至允许有选择地访问内部数据库和应用（如供应链管理系统的一部分），使互联网得到利用。内部和外部用户可利用有线或移动装置，从家中、远端办公室或其他网络接入企业网，但这类企业的安全要求不同于其他企业。详见图1。

图1 ITU-T X.1205中的通用企业类型

综上所述，严格意义上讲，ITU-T X.1205所讨论的“网络安全”，跟本文所讨论的“网络空间安全”在概念上有所不同。此外，在ISO/IEC 27000标准族以讨论“信息安全”为主的时代，ITU-T的相关标准用的词汇更常见的是“ICT安全（Information and Communication Technology Security）”。这可能是由于ITU的组织性质，在实践中，一般也不会专门区分这几个词汇，在本文前面的讨论中，我们也没有专门辨析其区别。

此外，虽然ITU-T X.1205没有给出具体的实施指南，只是对网络安全进行了概述，但是附录Ⅲ的网络安全示例在实践中还是有很大的借鉴意义。这个示例演示了不同的网络（network）环境与不同的安全目标下，如何保障网络安全。

3．进一步阅读

ITU-T X.1200 ～X.1299为Cyberspace security，包括ITU-T X.1205⑦ITU-T X.1200～X.1299为Cyberspace security，这是ISO/IEC 27032: 2012附录C的标注。我们未能在ITU的官网上找到印证，对已经公布的X系列标准进行了逐个确认，至少可以保证在这个编号范围的标准确实是与安全相关的。但是其中的子标题并不统一，例如，ITU-T X.1207为电信安全（Telecommunication security），ITU-T X.1208为网络空间安全（Cyberspace security），最近发布的一般标识为网络空间安全-网络安全（Cyberspace security - Cybersecurity）。。表3为网络安全相关的，编号在ITU-T X.1200～X.1299之间的主要标准。

表3 ITU-T发布的网络安全相关标准

[1]谢宗晓，甄杰，董坤祥，等. 网络空间安全管理[M]. 北京：中国质检出版社/中国标准出版社，2016.

[2]谢宗晓. 信息安全、网络安全及赛博安全相关词汇辨析[J]. 中国标准导报，2015（12）：30-32.

[3]谢宗晓. 关于网络空间（cyberspace）及其相关词汇的再解析[J]. 中国标准导报，2016（02）：26-28.

ITU-T X.1205 is an important standard for cyberspace security/cybersecurity. This paper given its main content, summary, and problems during the implementation. At last, we proposed guide for further reading.

cybersecurity, cyberspace security, information security

⑧ITU-T X.1209标识为网络空间安全-计算机网络安全，实际对应的英文也是Cyberspace security – Cybersecurity，应该是翻译问题。查阅时间为2016年8月1日15:39。其他建议书也存在这种情况，例如ITU-T X.1211。整体而言，ITU-T发布的中文版标准阅读需要对照英文理解。

Introduction of Cybersecurity Related Standards: ITU -T X.1205

Xie Zongxiao ( Business School, Nankai University )