探讨关于计算机网络安全评估技术的探究.docVIP

探讨关于计算机网络安全评估技术的探究 　　[论文关键词]网络　安全　评估技术 　　[论文摘要]Internet的发展已经渗透到现今社会的各个领域，随着信息化建设的逐步深入，网络安全、信息安全的重要性也日益显着。计算机网络安全问题单凭技术是无法得到彻底解决的，它的解决更应该站在系统工程的角度来考虑。在这项系统工程中，网络安全评估技术占有重要的地位，它是网络安全的基础和前提。 　　网络安全评估又叫安全评价。一个组织的信息系统经常会面临内部和外部威胁的风险。安全评估利用大量安全性行业经验和漏洞扫描的最先进技术。从内部和外部两个角度。对系统进行全面的评估。 　　1　网络安全评估标准 　　网络安全评估标准简介： 　　1.1　TCSEC 　　TCSEC标准是计算机系统安全评估的第一个正式标准，具有划时代的意义。该准则于1970年由美国国防科学委员会提出，并于1985年12月由美国国防部公布。TCSEC安全要求由策略(Policy)、保障(Assuerance)类和可追究性(Account-ability)类构成。TCSEC将计算机系统按照安全要从由低到高分为四个等级。四个等级包括D、C、B和A，每个等级下面又分为七个级别：D1、c1、c2、B1、B2、B3和A1七个类别，每一级别要求涵盖安全策略、责任、保证、文档四个方面。 　　TCSEC安全概念仅仅涉及防护，而缺乏对安全功能检查和如何应对安全漏洞方面问题的研究和探讨，因此TCSEC有很大的局限性。它运用的主要安全策略是访问控制机制。 　　1.2 1TSEC 　　ITSEC在1990年由德国信息安全局发起，该标准的制定，有利于欧共体标准一体化，也有利于各国在评估结果上的互认。该标准在TCSEC的基础上，首次提出了信息安全CIA概念(保密性、完整性、可用性)。1TSEC的安全功能要求从F1～F10共分为10级，其中1～5级分别于TCSEC的D-A对应，6～10级的定义为：F6：数据和程序的完整性；F7：系统可用性；F8：数据通信完整性；F9：数据通信保密性；F10：包括机密性和完整性。 　　1.3　CC 　　CC标准是由美国发起的，英国、法国、德国等国共同参与制定的，是当前信息系统安全认证方面最权威的标准。CC由三部分组成：见解和一般模型、安全功能要求和安全保证要求。CC提出了从低到高的七个安全保证等级，从EALl到EAL7。该标准主要保护信息的保密性、完整性和可用性三大特性。评估对象包括信息技术产品或系统，不论其实现方式是硬件、固件还是软件。 　　2　网络安全评估方法 　　目前网络安全评估方法有很多，有的通过定性的评价给出IT系统的风险情况，有的是通过定量的计算得到IT系统的风险值，从系统的风险取值高低来衡量系统的安全性。现在最常用的还是综合分析法，它是以上两种方式的结合，通过两种方法的结合应用，对系统的风险进行定性和定量的评价。下面介绍几种常见方法。 　　2.1　确定性评估(点估计) 　　确定性评估要求输入为单一的数据，比如50％为置信区间的上限值，假设当输入的值大于该值时，一般是表示“最坏的情况”。确定性评估应用比较简单，节省时间，在某些情况下可以采用该方法。点估计的不足在于对风险情况缺乏全面、深入的理解。 　　2.2　可能性评估(概率评估) 　　可能性评估要求输入在一个区间范围内的数据，通过该数据分布情况和概率来作出判断，其结果的准确性比较依靠评估者的能力和安全知识水平。 　　2.3　故障树分析法(FAT) 　　故障树分析法是一种树形图，也是一种逻辑因果关系图。它从顶事件逐级向下分析各自的直接原因事件，用逻辑门符号连接上下事件，从上到下开始分析直至所要求的分析深度。 　　3　网络安全评估工具 　　在信息系统的评估中，我们经常会用到问卷调查和检查列表等。这些只能用于风险评估的某些过程。目前，各大安全公司都先后推出自己的评估工具，使得信息系统的安全评估更加的自动化。常见的评估工具主要有下列几种： 　　3.1　Asset－1 　　Asset-1评估工具是以NIST SP800-26为标准制定的用于安全性自我评估的自动化工具。工具的主要功能是进行信息系统安全性的白评估，采用形式是通过用户手动操作进行自评估，达到收集系统安全性相关信息的目的，工具最终生成安全性自评估报告。最终生成的报告只能达到与用户提供的信息统计的准确性，工具并不能引导分析或验证自我评估提供信息的关联性、准确性。 　　根据NIST安全性自我评估向导，将安全级别分为五级：一般、策略、实施、测验、检验。此工具的每个调查问题都相当于一个命题，陈述为了确保系统的安全性应该做到的相关事项，用户对于问题的回答就是选择系统对于此项命题的安全程度为上述五级中的哪些级别。最后通过统计在某一级别上问题命题和级别选定，来统计系统的安全措施达到的安