评价网 > 科教论文 > 工学毕业论文 > 计算机网络论文 > 正文

探讨关于计算机网络安全评估技术的探究

2013-05-14 01:54

　　[关键词]网络　安全　评估技术

　　[论文摘要]Internet的发展已经渗透到现今的各个领域，随着信息化建设的逐步深入，网络安全、信息安全的重要性也日益显著。网络安全问题单凭技术是无法得到彻底解决的，它的解决更应该站在系统工程的角度来考虑。在这项系统工程中，网络安全评估技术占有重要的地位，它是网络安全的基础和前提。 
　　
　　网络安全评估又叫安全评价。一个组织的信息系统经常会面临内部和外部威胁的风险。安全评估利用大量安全性行业经验和漏洞扫描的最先进技术。从内部和外部两个角度。对系统进行全面的评估。
　　
　　1　网络安全评估标准
　　
　　网络安全评估标准简介：
　　
　　1.1　TCSEC
　　TCSEC标准是计算机系统安全评估的第一个正式标准，具有划时代的意义。该准则于1970年由美国国防科学委员会提出，并于1985年12月由美国国防部公布。TCSEC安全要求由策略(Policy)、保障(Assuerance)类和可追究性(Account-ability)类构成。TCSEC将计算机系统按照安全要从由低到高分为四个等级。四个等级包括D、C、B和A，每个等级下面又分为七个级别：D1、c1、c2、B1、B2、B3和A1七个类别，每一级别要求涵盖安全策略、责任、保证、文档四个方面。
　　TCSEC安全概念仅仅涉及防护，而缺乏对安全功能检查和如何应对安全漏洞方面问题的研究和探讨，因此TCSEC有很大的局限性。它运用的主要安全策略是访问控制机制。
　　
　　1.2 1TSEC
　　ITSEC在1990年由德国信息安全局发起，该标准的制定，有利于欧共体标准一体化，也有利于各国在评估结果上的互认。该标准在TCSEC的基础上，首次提出了信息安全CIA概念(保密性、完整性、可用性)。1TSEC的安全功能要求从F1～F10共分为10级，其中1～5级分别于TCSEC的D-A对应，6～10级的定义为：F6：数据和程序的完整性；F7：系统可用性；F8：数据完整性；F9：数据通信保密性；F10：包括机密性和完整性。

　　
　　1.3　CC
　　CC标准是由美国发起的，英国、法国、德国等国共同参与制定的，是当前信息系统安全认证方面最权威的标准。CC由三部分组成：见解和一般模型、安全功能要求和安全保证要求。CC提出了从低到高的七个安全保证等级，从EALl到EAL7。该标准主要保护信息的保密性、完整性和可用性三大特性。评估对象包括信息技术产品或系统，不论其实现方式是硬件、固件还是软件。
　　
　　2　网络安全评估方法
　　
　　目前网络安全评估方法有很多，有的通过定性的评价给出IT系统的风险情况，有的是通过定量的计算得到IT系统的风险值，从系统的风险取值高低来衡量系统的安全性。现在最常用的还是综合分析法，它是以上两种方式的结合，通过两种方法的结合应用，对系统的风险进行定性和定量的评价。下面介绍几种常见方法。
　　
　　2.1　确定性评估(点估计)
　　确定性评估要求输入为单一的数据，比如50％为置信区间的上限值，假设当输入的值大于该值时，一般是表示“最坏的情况”。确定性评估应用比较简单，节省时间，在某些情况下可以采用该方法。点估计的不足在于对风险情况缺乏全面、深入的理解。
　　
　　2.2　可能性评估(概率评估)
　　可能性评估要求输入在一个区间范围内的数据，通过该数据分布情况和概率来作出判断，其结果的准确性比较依靠评估者的能力和安全知识水平。
　　
　　2.3　故障树分析法(FAT)
　　故障树分析法是一种树形图，也是一种因果关系图。它从顶事件逐级向下分析各自的直接原因事件，用逻辑门符号连接上下事件，从上到下开始分析直至所要求的分析深度。
　　
　　3　网络安全评估工具
　　 大学排名
　　在信息系统的评估中，我们经常会用到问卷和检查列表等。这些只能用于风险评估的某些过程。目前，各大安全公司都先后推出自己的评估工具，使得信息系统的安全评估更加的自动化。常见的评估工具主要有下列几种：