[論文關鍵詞]網絡 安全 評估技術
[論文摘要]Internet的發展已經滲透到現今的各個領域,隨着信息化建設的逐步深入,網絡安全、信息安全的重要性也日益顯著。網絡安全問題單憑技術是無法得到徹底解決的,它的解決更應該站在系統工程的角度來考慮。在這項系統工程中,網絡安全評估技術佔有重要的地位,它是網絡安全的基礎和前提。
網絡安全評估又叫安全評價。一個組織的信息系統經常會面臨內部和外部威脅的風險。安全評估利用大量安全性行業經驗和漏洞掃描的最先進技術。從內部和外部兩個角度。對系統進行全面的評估。
1 網絡安全評估標準
網絡安全評估標準簡介:
1.1 TCSEC
TCSEC標準是計算機系統安全評估的第一個正式標準,具有劃時代的意義。該準則於1970年由美國國防科學委員會提出,並於1985年12月由美國國防部公佈。TCSEC安全要求由策略(Policy)、保障(Assuerance)類和可追究性(Account-ability)類構成。TCSEC將計算機系統按照安全要從由低到高分爲四個等級。四個等級包括D、C、B和A,每個等級下面又分爲七個級別:D1、c1、c2、B1、B2、B3和A1七個類別,每一級別要求涵蓋安全策略、責任、保證、文檔四個方面。
TCSEC安全概念僅僅涉及防護,而缺乏對安全功能檢查和如何應對安全漏洞方面問題的研究和探討,因此TCSEC有很大的侷限性。它運用的主要安全策略是訪問控制機制。
1.2 1TSEC
ITSEC在1990年由德國信息安全局發起,該標準的制定,有利於歐共體標準一體化,也有利於各國在評估結果上的互認。該標準在TCSEC的基礎上,首次提出了信息安全CIA概念(保密性、完整性、可用性)。1TSEC的安全功能要求從F1~F10共分爲10級,其中1~5級分別於TCSEC的D-A對應,6~10級的定義爲:F6:數據和程序的完整性;F7:系統可用性;F8:數據完整性;F9:數據通信保密性;F10:包括機密性和完整性。
1.3 CC
CC標準是由美國發起的,英國、法國、德國等國共同參與制定的,是當前信息系統安全認證方面最權威的標準。CC由三部分組成:見解和一般模型、安全功能要求和安全保證要求。CC提出了從低到高的七個安全保證等級,從EALl到EAL7。該標準主要保護信息的保密性、完整性和可用性三大特性。評估對象包括信息技術產品或系統,不論其實現方式是硬件、固件還是軟件。
2 網絡安全評估方法
目前網絡安全評估方法有很多,有的通過定性的評價給出IT系統的風險情況,有的是通過定量的計算得到IT系統的風險值,從系統的風險取值高低來衡量系統的安全性。現在最常用的還是綜合分析法,它是以上兩種方式的結合,通過兩種方法的結合應用,對系統的風險進行定性和定量的評價。下面介紹幾種常見方法。
2.1 確定性評估(點估計)
確定性評估要求輸入爲單一的數據,比如50%爲置信區間的上限值,假設當輸入的值大於該值時,一般是表示“最壞的情況”。確定性評估應用比較簡單,節省時間,在某些情況下可以採用該方法。點估計的不足在於對風險情況缺乏全面、深入的理解。
2.2 可能性評估(概率評估)
可能性評估要求輸入在一個區間範圍內的數據,通過該數據分佈情況和概率來作出判斷,其結果的準確性比較依靠評估者的'能力和安全知識水平。
2.3 故障樹分析法(FAT)
故障樹分析法是一種樹形圖,也是一種因果關係圖。它從頂事件逐級向下分析各自的直接原因事件,用邏輯門符號連接上下事件,從上到下開始分析直至所要求的分析深度。
3 網絡安全評估工具
在信息系統的評估中,我們經常會用到問卷和檢查列表等。這些只能用於風險評估的某些過程。目前,各大安全公司都先後推出自己的評估工具,使得信息系統的安全評估更加的自動化。常見的評估工具主要有下列幾種: