关于计算机网络安全评估技术的探究.pdfVIP

Science technologyview IT论坛 科 技 视 界 2011年8月第22期 关于计算机网络安全评估技术的探究 解 艳 (宝鸡职业技术学院 陕西 宝鸡 721013) 摘【 ]Intemet的发展已经渗透到现今社会的各个领域，随着信息化建设的逐步深入，网络安全、信息安全的重要性也日 益显著。计算机网络安全问题单凭技术是无法得到彻底解决的，它的解决更应该站在系统工程的角度来考虑。在这项系统工程 中，网络安全评估技术占有重要的地位，它是网络安全的基础和前提。 【关键词】网络；安全；评估技术 网络安全评估又叫安全评价。一个组织的信息系统经常 EAL7。该标准主要保护信息的保密性、完整性和可用性三大 会面临内部和外部威胁的风险。安全评估利用大量安全性行 特性。评估对象包括信息技术产品或系统．不论其实现方式 业经验和漏洞扫描的最先进技术，从内部和外部两个角度 。 是硬件、固件还是软件。 对系统进行全面的评估。 2 网络安全评估方法 1 网络安全评估标准 目前网络安全评估方法有很多，有的通过定性的评价给 网络安全评估标准简介： 出IT系统的风险情况，有的是通过定量的计算得到IT系统 1．1 TCSEC 的风险值，从系统的风险取值高低来衡量系统的安全性 现 TCSEC标准是计算机系统安全评估的第一个正式标准． 在最常用的还是综合分析法，它是以上两种方式的结合．通 具有划时代的意义。该准则于1970年由美国国防科学委员 过两种方法的结合应用，对系统的风险进行定性和定量的评 会提出，并于1985年 12月由美国国防部公布。TCSEC安全 价。下面介绍几种常见方法。 要求由策略(Policy)、保障(Assuerance)类和可追究性(Account． 2．1 确定性评估(点估计) ability)类构成。TCSEC将计算机系统按照安全要从 由低到高 确定性评估要求输入为单一的数据，比如50％为置信区 分为四个等级。四个等级包括D、c、B和A．每个等级下面又 间的上限值 ，假设当输入的值大于该值时，一般是表示 “最坏 分为七个级别：D1、cl、c2、B1、B2、B3和 A1七个类别，每一 的情况”。确定性评估应用比较简单，节省时间．在某些情况 级别要求涵盖安全策略、责任 、保证、文档四个方面。 下可以采用该方法。点估计的不足在于对风险情况缺乏全 TCSEC安全概念仅仅涉及防护，而缺乏对安全功能检查 面、深入的理解。 和如何应对安全漏洞方面问题的研究和探讨 ，因此TCSEC有 2．2 可能性评估 (概率评估) 很大的局限性。它运用的主要安全策略是访问控制机制。 可能性评估要求输入在一个区间范围内的数据，通过该 1．2 IrSEC 数据分布情况和概率来作出判断，其结果的准确性比较依靠 ITSEC在 1990年由德国信息安全局发起 。该标准的制 评估者的能力和安全知识水平。 定 ．有利于欧共体标准一体化．也有利于各国在评估结果上 2_3 故障树分析法(FAT) 的互认。该标准在TCSEC的基础上 ，首次提出了信息安全 故障树分析法是一种树形图。也是一种逻辑因果关系 CIA概念 (保密性、完整性、可用性)。ITSEC的安全功能要求 图。它从顶事件逐级向下分析各 自的直接原因事件，用逻辑 从F1一F10共分为 1O级 ，其中15级分别于TCSEC的D—A 门符号连接上下事件，从上到下开始分析直至所要求的分析 对应，6—10级的定义为：F6：数据和程序的完整性；F7：