關(guān)于計算機網(wǎng)絡(luò )安全評估技術(shù)的探究

　　[論文摘要]Internet的發(fā)展已經(jīng)滲透到現今的各個(gè)領(lǐng)域，隨著(zhù)信息化建設的逐步深入，網(wǎng)絡(luò )安全、信息安全的重要性也日益顯著(zhù)。網(wǎng)絡(luò )安全問(wèn)題單憑技術(shù)是無(wú)法得到徹底解決的，它的解決更應該站在系統工程的角度來(lái)考慮。在這項系統工程中，網(wǎng)絡(luò )安全評估技術(shù)占有重要的地位，它是網(wǎng)絡(luò )安全的基礎和前提。 

網(wǎng)絡(luò )安全評估又叫安全評價(jià)。一個(gè)組織的信息系統經(jīng)常會(huì )面臨內部和外部威脅的風(fēng)險。安全評估利用大量安全性行業(yè)經(jīng)驗和漏洞掃描的最先進(jìn)技術(shù)。從內部和外部?jì)蓚�(gè)角度。對系統進(jìn)行全面的評估。

　　1　網(wǎng)絡(luò )安全評估標準

網(wǎng)絡(luò )安全評估標準簡(jiǎn)介：

1.1　TCSEC
TCSEC標準是計算機系統安全評估的第一個(gè)正式標準，具有劃時(shí)代的意義。該準則于1970年由美國國防科學(xué)委員會(huì )提出，并于1985年12月由美國國防部公布。TCSEC安全要求由策略(Policy)、保障(Assuerance)類(lèi)和可追究性(Account-ability)類(lèi)構成。TCSEC將計算機系統按照安全要從由低到高分為四個(gè)等級。四個(gè)等級包括D、C、B和A，每個(gè)等級下面又分為七個(gè)級別：D1、c1、c2、B1、B2、B3和A1七個(gè)類(lèi)別，每一級別要求涵蓋安全策略、責任、保證、文檔四個(gè)方面。
TCSEC安全概念僅僅涉及防護，而缺乏對安全功能檢查和如何應對安全漏洞方面問(wèn)題的研究和探討，因此TCSEC有很大的局限性。它運用的主要安全策略是訪(fǎng)問(wèn)控制機制。

1.2 1TSEC
ITSEC在1990年由德國信息安全局發(fā)起，該標準的制定，有利于歐共體標準一體化，也有利于各國在評估結果上的互認。該標準在TCSEC的基礎上，首次提出了信息安全CIA概念(保密性、完整性、可用性)。1TSEC的安全功能要求從F1～F10共分為10級，其中1～5級分別于TCSEC的D-A對應，6～10級的定義為：F6：數據和程序的完整性；F7：系統可用性；F8：數據完整性；F9：數據通信保密性；F10：包括機密性和完整性。

1.3　CC
CC標準是由美國發(fā)起的，英國、法國、德國等國共同參與制定的，是當前信息系統安全認證方面最權威的標準。CC由三部分組成：見(jiàn)解和一般模型、安全功能要求和安全保證要求。CC提出了從低到高的七個(gè)安全保證等級，從EALl到EAL7。該標準主要保護信息的保密性、完整性和可用性三大特性。評估對象包括信息技術(shù)產(chǎn)品或系統，不論其實(shí)現方式是硬件、固件還是軟件。

　　2　網(wǎng)絡(luò )安全評估方法
　　
目前網(wǎng)絡(luò )安全評估方法有很多，有的通過(guò)定性的評價(jià)給出IT系統的風(fēng)險情況，有的是通過(guò)定量的計算得到IT系統的風(fēng)險值，從系統的風(fēng)險取值高低來(lái)衡量系統的安全性�，F在最常用的還是綜合分析法，它是以上兩種方式的結合，通過(guò)兩種方法的結合應用，對系統的風(fēng)險進(jìn)行定性和定量的評價(jià)。下面介紹幾種常見(jiàn)方法。

2.1　確定性評估(點(diǎn)估計)
確定性評估要求輸入為單一的數據，比如50％為置信區間的上限值，假設當輸入的值大于該值時(shí)，一般是表示“最壞的情況”。確定性評估應用比較簡(jiǎn)單，節省時(shí)間，在某些情況下可以采用該方法。點(diǎn)估計的不足在于對風(fēng)險情況缺乏全面、深入的理解。

2.2　可能性評估(概率評估)
可能性評估要求輸入在一個(gè)區間范圍內的數據，通過(guò)該數據分布情況和概率來(lái)作出判斷，其結果的準確性比較依靠評估者的能力和安全知識水平。

2.3　故障樹(shù)分析法(FAT)
故障樹(shù)分析法是一種樹(shù)形圖，也是一種因果關(guān)系圖。它從頂事件逐級向下分析各自的直接原因事件，用邏輯門(mén)符號連接上下事件，從上到下開(kāi)始分析直至所要求的分析深度。

　　3　網(wǎng)絡(luò )安全評估工具

在信息系統的評估中，我們經(jīng)常會(huì )用到問(wèn)卷和檢查列表等。這些只能用于風(fēng)險評估的某些過(guò)程。目前，各大安全公司都先后推出自己的評估工具，使得信息系統的安全評估更加的自動(dòng)化。常見(jiàn)的評估工具主要有下列幾種：

3.1　Asset－1
Asset-1評估工具是以NIST SP800-26為標準制定的用于安全性自我評估的自動(dòng)化工具。工具的主要功能是進(jìn)行信息系統安全性的白評估，采用形式是通過(guò)用戶(hù)手動(dòng)操作進(jìn)行自評估，達到收集系統安全性相關(guān)信息的目的，工具最終生成安全性自評估報告。最終生成的報告只能達到與用戶(hù)提供的信息的準確性，工具并不能引導分析或驗證自我評估提供信息的關(guān)聯(lián)性、準確性。
根據NIST安全性自我評估向導，將安全級別分為五級：一般、策略、實(shí)施、測驗、。此工具的每個(gè)問(wèn)題都相當于一個(gè)命題，陳述為了確保系統的安全性應該做到的相關(guān)事項，用戶(hù)對于問(wèn)題的回答就是選擇系統對于此項命題的安全程度為上述五級中的哪些級別。最后通過(guò)統計在某一級別上問(wèn)題命題和級別選定，來(lái)統計系統的安全措施達到的安全級別。

3.2　CC評估工具
CC評估工具由NIAP發(fā)布，由兩部分組成：CC PKB和CC ToolBox。
CC PKB是進(jìn)行CC評估的支持數據庫，基于A(yíng)ccess構建。使用Access VBA開(kāi)發(fā)了所有庫表的程序，在管理主窗體中可以完成所有表的記錄修改、增加、刪除，管理主窗體以基本表為主，并體現了所有庫表之間的主要連接關(guān)系，通過(guò)連接關(guān)系可以對其他非基本表的記錄進(jìn)行增刪改。
CC ToolBox是進(jìn)行CC評估的主要工具，主要采用頁(yè)面調查形式，用戶(hù)通過(guò)依次填充每個(gè)頁(yè)面的調查項來(lái)完成評估，最后生成關(guān)于評估所進(jìn)行的詳細調查結果和最終評估報告。
CC評估系統依據CC標準進(jìn)行評估，評估被測達到CC標準的程度，評估主要包括PP評估、TOE評估等。

3.3　COBRA風(fēng)險管理工具
安全風(fēng)險分析管理和評估是保證IT安全的一個(gè)重要方法，它是組織安全的重要基礎。1991年，C＆A Systems SecurityLtd推出了自動(dòng)化風(fēng)險管理工具COBRA 1版本。用于風(fēng)險管理評估。隨著(zhù)COBRA的發(fā)展，目前的產(chǎn)品不僅僅具有風(fēng)險管理功能，還可以用于評估是否符合BS7799標準，是否符合組織自身制定的安全策略。COBRA系列工具包括風(fēng)險咨詢(xún)工具、ISO17799／BS7799咨詢(xún)工具、策略一致性分析工具、數據安全性咨詢(xún)工具。
COBRA采用調查表的形式，在PC機上使用，基于知識庫，類(lèi)似專(zhuān)家系統的模式。它評估威脅、脆弱性的相關(guān)重要性，并生成合適的改進(jìn)建議。最后針對每類(lèi)風(fēng)險形成文字評估報告、風(fēng)險等級，所指出的風(fēng)險自動(dòng)與給系統造成的影響相聯(lián)系。
COBRA風(fēng)險評估過(guò)程比較靈活，一般都包括問(wèn)題表構建、風(fēng)險評估、產(chǎn)生報告。每部分分別由問(wèn)題表構建、風(fēng)險評估、產(chǎn)生報告生成三個(gè)子系統完成。

3.4　RiskPAC評估工具
RiskPAC是CSCI公司開(kāi)發(fā)的，對組織進(jìn)行風(fēng)險評估、業(yè)務(wù)影響分析的工具，它完成定量和定性風(fēng)險評估。
RiskPAC將風(fēng)險分為幾個(gè)級別，即低級、中級、高級等，針對每個(gè)級別都有不同的風(fēng)險描述，根據不同風(fēng)險級別問(wèn)題的構造和回答，完成風(fēng)險評估。
RiskPAC包括兩個(gè)獨立的工具：?jiǎn)?wèn)題設計器和調查管理器。其中問(wèn)題表設計器進(jìn)行業(yè)務(wù)分析和風(fēng)險評估的調查表設計，調查管理器就是將已選定的調查表以易用的形式提供給用戶(hù)，供用戶(hù)選擇相應答案，根據答案做出分析評估結論。

3.5　RiskWatch工具
使用RiskWatch風(fēng)險分析工具，用戶(hù)可以根據實(shí)際需求定制風(fēng)險分析和脆弱性評估過(guò)程，而其他風(fēng)險評估工具都沒(méi)有提供此項功能。RiskWatch通過(guò)兩個(gè)特性：定量和定性風(fēng)險分析、預制風(fēng)險分析模板，為用戶(hù)提供這種定制功能。

　　4　

網(wǎng)絡(luò )安全評估是在網(wǎng)絡(luò )安全領(lǐng)域里最關(guān)鍵的問(wèn)題。目前，國內外還沒(méi)形成對網(wǎng)絡(luò )設備的安全性評估的統一的標準，只是在網(wǎng)絡(luò )安全的其他方面有所提及到，但也都不沒(méi)有明確。所以說(shuō)網(wǎng)絡(luò )設備的安全性評估這個(gè)問(wèn)題在今后相當長(cháng)的一段時(shí)間中還需要我們網(wǎng)絡(luò )工作人員及相關(guān)的專(zhuān)家在實(shí)際工作中和研究中對網(wǎng)絡(luò )設備的安全性多多關(guān)注，以便盡早的在這一方面形成一定的評斷標準，填補這方面的空白。

參考文獻

[1]馮登國，張陽(yáng)，張玉清，信息安全風(fēng)險評估綜述，北京：學(xué)報，2004(7)
[2]上官曉麗，羅鋒盈，胡嘯，等，國際信息安全管理標準的相關(guān)研究，北京：信息技術(shù)與標準化，2004(11)
[3]胡錚，網(wǎng)絡(luò )與信息安全，北京：清華大學(xué)出版社，2006

相關(guān)論文查閱：大學(xué)生論文、工商財務(wù)論文、經(jīng)濟論文、教育論文  熱門(mén)畢業(yè)論文   

【計算機網(wǎng)絡(luò )安全評估技術(shù)的探究】相關(guān)文章：

電網(wǎng)風(fēng)險評估探究03-27

計算機病毒檢測技術(shù)探究論文02-18

計算機技術(shù)的應用及發(fā)展探究論文11-09

電子計算機技術(shù)與通信技術(shù)融合探究03-28

探究計算機技術(shù)的發(fā)展和應用論文02-18

關(guān)于計算機語(yǔ)言編譯技術(shù)的探究論文12-02

計算機網(wǎng)絡(luò )安全技術(shù)的探討論文03-05

試論計算機無(wú)線(xiàn)網(wǎng)絡(luò )安全技術(shù)12-11

高職計算機基礎教學(xué)的探究03-28