探討關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)估技術(shù)的探究

　　[論文關(guān)鍵詞]網(wǎng)絡(luò)　安全　評(píng)估技術(shù)

　　[論文摘要]Internet的發(fā)展已經(jīng)滲透到現(xiàn)今的各個(gè)領(lǐng)域，隨著信息化建設(shè)的逐步深入，網(wǎng)絡(luò)安全、信息安全的重要性也日益顯著。網(wǎng)絡(luò)安全問(wèn)題單憑技術(shù)是無(wú)法得到徹底解決的，它的解決更應(yīng)該站在系統(tǒng)工程的角度來(lái)考慮。在這項(xiàng)系統(tǒng)工程中，網(wǎng)絡(luò)安全評(píng)估技術(shù)占有重要的地位，它是網(wǎng)絡(luò)安全的基礎(chǔ)和前提。 
　　
　　網(wǎng)絡(luò)安全評(píng)估又叫安全評(píng)價(jià)。一個(gè)組織的信息系統(tǒng)經(jīng)常會(huì)面臨內(nèi)部和外部威脅的風(fēng)險(xiǎn)。安全評(píng)估利用大量安全性行業(yè)經(jīng)驗(yàn)和漏洞掃描的最先進(jìn)技術(shù)。從內(nèi)部和外部?jī)蓚�(gè)角度。對(duì)系統(tǒng)進(jìn)行全面的評(píng)估。
　　
　　1　網(wǎng)絡(luò)安全評(píng)估標(biāo)準(zhǔn)
　　
　　網(wǎng)絡(luò)安全評(píng)估標(biāo)準(zhǔn)簡(jiǎn)介：
　　
　　1.1　TCSEC
　　TCSEC標(biāo)準(zhǔn)是計(jì)算機(jī)系統(tǒng)安全評(píng)估的第一個(gè)正式標(biāo)準(zhǔn)，具有劃時(shí)代的意義。該準(zhǔn)則于1970年由美國(guó)國(guó)防科學(xué)委員會(huì)提出，并于1985年12月由美國(guó)國(guó)防部公布。TCSEC安全要求由策略(Policy)、保障(Assuerance)類和可追究性(Account-ability)類構(gòu)成。TCSEC將計(jì)算機(jī)系統(tǒng)按照安全要從由低到高分為四個(gè)等級(jí)。四個(gè)等級(jí)包括D、C、B和A，每個(gè)等級(jí)下面又分為七個(gè)級(jí)別：D1、c1、c2、B1、B2、B3和A1七個(gè)類別，每一級(jí)別要求涵蓋安全策略、責(zé)任、保證、文檔四個(gè)方面。
　　TCSEC安全概念僅僅涉及防護(hù)，而缺乏對(duì)安全功能檢查和如何應(yīng)對(duì)安全漏洞方面問(wèn)題的研究和探討，因此TCSEC有很大的局限性。它運(yùn)用的主要安全策略是訪問(wèn)控制機(jī)制。
　　
　　1.2 1TSEC
　　ITSEC在1990年由德國(guó)信息安全局發(fā)起，該標(biāo)準(zhǔn)的制定，有利于歐共體標(biāo)準(zhǔn)一體化，也有利于各國(guó)在評(píng)估結(jié)果上的互認(rèn)。該標(biāo)準(zhǔn)在TCSEC的基礎(chǔ)上，首次提出了信息安全CIA概念(保密性、完整性、可用性)。1TSEC的安全功能要求從F1～F10共分為10級(jí)，其中1～5級(jí)分別于TCSEC的D-A對(duì)應(yīng)，6～10級(jí)的定義為：F6：數(shù)據(jù)和程序的完整性；F7：系統(tǒng)可用性；F8：數(shù)據(jù)完整性；F9：數(shù)據(jù)通信保密性；F10：包括機(jī)密性和完整性。
　　
　　1.3　CC
　　CC標(biāo)準(zhǔn)是由美國(guó)發(fā)起的，英國(guó)、法國(guó)、德國(guó)等國(guó)共同參與制定的，是當(dāng)前信息系統(tǒng)安全認(rèn)證方面最權(quán)威的標(biāo)準(zhǔn)。CC由三部分組成：見(jiàn)解和一般模型、安全功能要求和安全保證要求。CC提出了從低到高的七個(gè)安全保證等級(jí)，從EALl到EAL7。該標(biāo)準(zhǔn)主要保護(hù)信息的保密性、完整性和可用性三大特性。評(píng)估對(duì)象包括信息技術(shù)產(chǎn)品或系統(tǒng)，不論其實(shí)現(xiàn)方式是硬件、固件還是軟件。
　　
　　2　網(wǎng)絡(luò)安全評(píng)估方法
　　
　　目前網(wǎng)絡(luò)安全評(píng)估方法有很多，有的通過(guò)定性的評(píng)價(jià)給出IT系統(tǒng)的風(fēng)險(xiǎn)情況，有的是通過(guò)定量的計(jì)算得到IT系統(tǒng)的風(fēng)險(xiǎn)值，從系統(tǒng)的風(fēng)險(xiǎn)取值高低來(lái)衡量系統(tǒng)的安全性�，F(xiàn)在最常用的還是綜合分析法，它是以上兩種方式的結(jié)合，通過(guò)兩種方法的結(jié)合應(yīng)用，對(duì)系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行定性和定量的評(píng)價(jià)。下面介紹幾種常見(jiàn)方法。
　　
　　2.1　確定性評(píng)估(點(diǎn)估計(jì))
　　確定性評(píng)估要求輸入為單一的數(shù)據(jù)，比如50％為置信區(qū)間的上限值，假設(shè)當(dāng)輸入的值大于該值時(shí)，一般是表示“最壞的情況”。確定性評(píng)估應(yīng)用比較簡(jiǎn)單，節(jié)省時(shí)間，在某些情況下可以采用該方法。點(diǎn)估計(jì)的不足在于對(duì)風(fēng)險(xiǎn)情況缺乏全面、深入的理解。
　　
　　2.2　可能性評(píng)估(概率評(píng)估)
　　可能性評(píng)估要求輸入在一個(gè)區(qū)間范圍內(nèi)的數(shù)據(jù)，通過(guò)該數(shù)據(jù)分布情況和概率來(lái)作出判斷，其結(jié)果的準(zhǔn)確性比較依靠評(píng)估者的能力和安全知識(shí)水平。
　　
　　2.3　故障樹(shù)分析法(FAT)
　　故障樹(shù)分析法是一種樹(shù)形圖，也是一種因果關(guān)系圖。它從頂事件逐級(jí)向下分析各自的直接原因事件，用邏輯門符號(hào)連接上下事件，從上到下開(kāi)始分析直至所要求的分析深度。
　　
　　3　網(wǎng)絡(luò)安全評(píng)估工具
　　
　　在信息系統(tǒng)的評(píng)估中，我們經(jīng)常會(huì)用到問(wèn)卷和檢查列表等。這些只能用于風(fēng)險(xiǎn)評(píng)估的某些過(guò)程。目前，各大安全公司都先后推出自己的評(píng)估工具，使得信息系統(tǒng)的安全評(píng)估更加的自動(dòng)化。常見(jiàn)的評(píng)估工具主要有下列幾種：
　　
　　3.1　Asset－1
　　Asset-1評(píng)估工具是以NIST SP800-26為標(biāo)準(zhǔn)制定的用于安全性自我評(píng)估的自動(dòng)化工具。工具的主要功能是進(jìn)行信息系統(tǒng)安全性的白評(píng)估，采用形式是通過(guò)用戶手動(dòng)操作進(jìn)行自評(píng)估，達(dá)到收集系統(tǒng)安全性相關(guān)信息的目的，工具最終生成安全性自評(píng)估報(bào)告。最終生成的報(bào)告只能達(dá)到與用戶提供的信息的準(zhǔn)確性，工具并不能引導(dǎo)分析或驗(yàn)證自我評(píng)估提供信息的關(guān)聯(lián)性、準(zhǔn)確性。
　　根據(jù)NIST安全性自我評(píng)估向?qū)�，將安全�?jí)別分為五級(jí)：一般、策略、實(shí)施、測(cè)驗(yàn)、。此工具的每個(gè)問(wèn)題都相當(dāng)于一個(gè)命題，陳述為了確保系統(tǒng)的安全性應(yīng)該做到的相關(guān)事項(xiàng)，用戶對(duì)于問(wèn)題的回答就是選擇系統(tǒng)對(duì)于此項(xiàng)命題的安全程度為上述五級(jí)中的哪些級(jí)別。最后通過(guò)統(tǒng)計(jì)在某一級(jí)別上問(wèn)題命題和級(jí)別選定，來(lái)統(tǒng)計(jì)系統(tǒng)的安全措施達(dá)到的安全級(jí)別。
　　
　　3.2　CC評(píng)估工具
　　CC評(píng)估工具由NIAP發(fā)布，由兩部分組成：CC PKB和CC ToolBox。
　　CC PKB是進(jìn)行CC評(píng)估的支持?jǐn)?shù)據(jù)庫(kù)，基于Access構(gòu)建。使用Access VBA開(kāi)發(fā)了所有庫(kù)表的程序，在管理主窗體中可以完成所有表的記錄修改、增加、刪除，管理主窗體以基本表為主，并體現(xiàn)了所有庫(kù)表之間的主要連接關(guān)系，通過(guò)連接關(guān)系可以對(duì)其他非基本表的記錄進(jìn)行增刪改。
　　CC ToolBox是進(jìn)行CC評(píng)估的主要工具，主要采用頁(yè)面調(diào)查形式，用戶通過(guò)依次填充每個(gè)頁(yè)面的調(diào)查項(xiàng)來(lái)完成評(píng)估，最后生成關(guān)于評(píng)估所進(jìn)行的詳細(xì)調(diào)查結(jié)果和最終評(píng)估報(bào)告。
　　CC評(píng)估系統(tǒng)依據(jù)CC標(biāo)準(zhǔn)進(jìn)行評(píng)估，評(píng)估被測(cè)達(dá)到CC標(biāo)準(zhǔn)的程度，評(píng)估主要包括PP評(píng)估、TOE評(píng)估等。
　　
　　3.3　COBRA風(fēng)險(xiǎn)管理工具
　　安全風(fēng)險(xiǎn)分析管理和評(píng)估是保證IT安全的一個(gè)重要方法，它是組織安全的重要基礎(chǔ)。1991年，C＆A Systems SecurityLtd推出了自動(dòng)化風(fēng)險(xiǎn)管理工具COBRA 1版本。用于風(fēng)險(xiǎn)管理評(píng)估。隨著COBRA的發(fā)展，目前的產(chǎn)品不僅僅具有風(fēng)險(xiǎn)管理功能，還可以用于評(píng)估是否符合BS7799標(biāo)準(zhǔn)，是否符合組織自身制定的安全策略。COBRA系列工具包括風(fēng)險(xiǎn)咨詢工具、ISO17799／BS7799咨詢工具、策略一致性分析工具、數(shù)據(jù)安全性咨詢工具。
　　COBRA采用調(diào)查表的形式，在PC機(jī)上使用，基于知識(shí)庫(kù)，類似專家系統(tǒng)的模式。它評(píng)估威脅、脆弱性的相關(guān)重要性，并生成合適的改進(jìn)建議。最后針對(duì)每類風(fēng)險(xiǎn)形成文字評(píng)估報(bào)告、風(fēng)險(xiǎn)等級(jí)，所指出的風(fēng)險(xiǎn)自動(dòng)與給系統(tǒng)造成的影響相聯(lián)系。
　　COBRA風(fēng)險(xiǎn)評(píng)估過(guò)程比較靈活，一般都包括問(wèn)題表構(gòu)建、風(fēng)險(xiǎn)評(píng)估、產(chǎn)生報(bào)告。每部分分別由問(wèn)題表構(gòu)建、風(fēng)險(xiǎn)評(píng)估、產(chǎn)生報(bào)告生成三個(gè)子系統(tǒng)完成。
　　
　　　3.4　RiskPAC評(píng)估工具
　　RiskPAC是CSCI公司開(kāi)發(fā)的，對(duì)組織進(jìn)行風(fēng)險(xiǎn)評(píng)估、業(yè)務(wù)影響分析的工具，它完成定量和定性風(fēng)險(xiǎn)評(píng)估。
　　RiskPAC將風(fēng)險(xiǎn)分為幾個(gè)級(jí)別，即低級(jí)、中級(jí)、高級(jí)等，針對(duì)每個(gè)級(jí)別都有不同的風(fēng)險(xiǎn)描述，根據(jù)不同風(fēng)險(xiǎn)級(jí)別問(wèn)題的構(gòu)造和回答，完成風(fēng)險(xiǎn)評(píng)估。
　　RiskPAC包括兩個(gè)獨(dú)立的工具：?jiǎn)栴}設(shè)計(jì)器和調(diào)查管理器。其中問(wèn)題表設(shè)計(jì)器進(jìn)行業(yè)務(wù)分析和風(fēng)險(xiǎn)評(píng)估的調(diào)查表設(shè)計(jì)，調(diào)查管理器就是將已選定的調(diào)查表以易用的形式提供給用戶，供用戶選擇相應(yīng)答案，根據(jù)答案做出分析評(píng)估結(jié)論。
　　
　　3.5　RiskWatch工具
　　使用RiskWatch風(fēng)險(xiǎn)分析工具，用戶可以根據(jù)實(shí)際需求定制風(fēng)險(xiǎn)分析和脆弱性評(píng)估過(guò)程，而其他風(fēng)險(xiǎn)評(píng)估工具都沒(méi)有提供此項(xiàng)功能。RiskWatch通過(guò)兩個(gè)特性：定量和定性風(fēng)險(xiǎn)分析、預(yù)制風(fēng)險(xiǎn)分析模板，為用戶提供這種定制功能。
　　
　　4　
　　
　　網(wǎng)絡(luò)安全評(píng)估是在網(wǎng)絡(luò)安全領(lǐng)域里最關(guān)鍵的問(wèn)題。目前，國(guó)內(nèi)外還沒(méi)形成對(duì)網(wǎng)絡(luò)設(shè)備的安全性評(píng)估的統(tǒng)一的標(biāo)準(zhǔn)，只是在網(wǎng)絡(luò)安全的其他方面有所提及到，但也都不沒(méi)有明確。所以說(shuō)網(wǎng)絡(luò)設(shè)備的安全性評(píng)估這個(gè)問(wèn)題在今后相當(dāng)長(zhǎng)的一段時(shí)間中還需要我們網(wǎng)絡(luò)工作人員及相關(guān)的專家在實(shí)際工作中和研究中對(duì)網(wǎng)絡(luò)設(shè)備的安全性多多關(guān)注，以便盡早的在這一方面形成一定的評(píng)斷標(biāo)準(zhǔn)，填補(bǔ)這方面的空白。
　　
　　參考文獻(xiàn)
　　
　　[1]馮登國(guó)，張陽(yáng)，張玉清，信息安全風(fēng)險(xiǎn)評(píng)估綜述，北京：學(xué)報(bào)，2004(7)
　　[2]上官曉麗，羅鋒盈，胡嘯，等，國(guó)際信息安全管理標(biāo)準(zhǔn)的相關(guān)研究，北京：信息技術(shù)與標(biāo)準(zhǔn)化，2004(11)
　　[3]胡錚，網(wǎng)絡(luò)與信息安全，北京：清華大學(xué)出版社，2006

【探討計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)估技術(shù)的探究】相關(guān)文章：

探討西瓜嫁接育苗技術(shù)05-29

水利工程堤防建設(shè)技術(shù)探討05-06

接進(jìn)網(wǎng)技術(shù)綜述與探討(txx8)06-03

技術(shù)師范學(xué)院教育教學(xué)管理探討05-06

醫(yī)務(wù)人員工作滿意度評(píng)估價(jià)值及方法探討05-02

物聯(lián)網(wǎng)與信息通信技術(shù)探討論文（精選6篇）07-26

光纖通信工程技術(shù)研究探討05-03

探討西瓜套種玉米高產(chǎn)高效栽培技術(shù)06-13

通信工程傳輸技術(shù)探討論文（通用16篇）07-27

計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題的原因09-23