网络安全评估系统的分析和研究.pdfVIP

·178· 第二十次全国计算机安全学术交流会论文 网络安全评估系统的分析与研究 王 宁 中国航天二院706所 摘 要：目前信息系统安全性评估技术受到广泛重视，但是国内不仅缺乏信息系统安全性评 估理论的研究，也没有安全性评估自动化系统。本文对国外先进的安全性评估系统 工具、RiskWatch评估工具、XACTA工具，着重介绍了这些工具的功能和评估具体 实现过程。 关键词：安全评估 风险评估 定量评估 定性评估 1、概述 XACTA工具。本文着重介绍了这些工具的功能和评 信息系统安全性评估正日益得到重视，2003年估具体实现过程。 9月中央办公厅、国务院办公厅转发了《国家信息化 领导小组关于加强信息安全保障工作的意见》，文件 2、Asset-1评估工具分析 要求采取必要措施进行信息安全风险的防范，国家 信息中心成立了信息安全风险评估课题组进行相关 2．1工具介绍 研究和标准制定工作，中国信息协会信息安全专业 Institute 委员会2004年年会议题也是“信息安全风险评估”。 ofStandardsand 目前国内各大安全厂商纷纷推出信息安全风险 全性自我评估向导)为标准制定的用于安全性自我评 评估服务，都是由安全工程师凭借经验、借助已有漏 估的自动化工具。工具的主要功能是进行信息系统安 洞扫描工具、结合人工调查得出评估结论，但相关风 全性的自评估，采用形式是通过用户手动操作进行自 险评估基础理论还比较薄弱，更缺乏成熟的安全性 评估，达到收集系统安全性相关信息的目的，工具最 评估自动化工具。但是国外在信息系统安全性评估 终生成安全性自评估报告。最终生成的报告只能达到 方面的研究开始比较早，目前已经有了成熟的评估 与用户提供的信息同级的准确性，工具并不能引导分 工具。 析或验证自评估提供信息的关联性、准确性(即工具 要开发自主的安全性评估系统，必须首先明确 不具有分析功能)。 评估系统功能。因此我们从分析国外先进评估系统 2．2功能分析 人手，在研究分析国外先进技术的基础上，结合实际 根据NIST安全性自我评估向导，将安全级别分 工作经验、以及相关理论研究基础，再进行自主评估 为五级：一般、策略、实施、测试、检验。此工具的每个 系统的设计和开发。 调查问题都相当于一个命题，陈述为了确保系统的安 实．际工作申我们亡泛胡瓶畅二国刿，成熟的舶舔——每!性j应该做到‘的相式：事项了用．户梵r予伺黼回‘答就是 统安全性分析评估软件系统，共有十余种，经过筛 选择系统对于此项命题的安全程度为上述五级中篚 选，我们挑选具有典型代表性、成熟的六个产品进行 哪些级别。最后通过统计在某一级别上问题命题和纫 大会论文 ·179· 别选定，来统计系统的安全措施达到的安全级别。 面临的威胁、存在的脆弱性、缺陷； ·同时衡量系统各方面的风险等级、并指明风险 3、CC评估工具分析 等级对系统作业带来的直接影响； ·为降低风险推荐防护措施和建议；生成详尽的 Information CC评估工具有NIAP(National