第七章 网络安全检测与评估技术第 7章 网络安全检测与评估 技术内容提要:
网络安全漏洞
网络安全评估标准
网络安全评估方法
网络安全检测评估系统简介
小结第七章 网络安全检测与评估技术
7.1 网络安全漏洞
1,网络安全漏洞威胁
( 1)安全漏洞的定义漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,可以使攻击者在未授权的情况下访问或破坏系统。
漏洞的产生有其必然性,这是因为软件的正确性通常是通过检测来保障的。而,检测只能发现错误,证明错误的存在,不能证明错误的不存在,。
返回本章首页第七章 网络安全检测与评估技术
( 2) 安全威胁的定义安全威胁是指所有能够对计算机网络信息系统的网络服务和网络信息的机密性,可用性和完整性产生阻碍,破坏或中断的各种因素 。
安全威胁可以分为 人为安全威胁 和 非人为安全威胁 两大类 。 安全威胁与安全漏洞密切相关,
安全漏洞的可度量性使得人们对系统安全的潜在影响有了更加直观的认识 。
返回本章首页第七章 网络安全检测与评估技术可以按照风险等级对安全漏洞进行归类,表
7-1,7-2,7-3对漏洞分类方法进行了描述 。
返回本章首页表 7-1 漏洞威胁等级分类严 重 度 等级 影响度低严重度,漏洞难以利用,并且潜在的损失较少。
1 低影响度,漏洞的影响较低,不会产生连带的其他安全漏洞。
中等严重度,漏洞难以利用,但是潜在的损失较大,或者漏洞易于利用,但是潜在的损失较少。
2
中等影响度,漏洞可能影响系统的一个或多个模块,该漏洞的利用可能会导致其他漏洞可利用。
高严重度,漏洞易于利用,并且潜在的损失较大。
3
高影响度,漏洞影响系统的大部分模块,
并且该漏洞的利用显著增加其他漏洞的可利用性。
第七章 网络安全检测与评估技术返回本章首页表 7-2 漏洞威胁综合等级分类严重等级影响等级
1 2 3
1 1 2 3
2 2 3 4
3 3 4 5
第七章 网络安全检测与评估技术表 7-3 漏洞威胁等级分类描述等级 描 述
1 低影响度,低严重度
2 低影响度,中等严重度;中等影响度,低严重度
3 低影响度,高严重度;高影响度,低严重度;中等影响度,中等严重度
4 中等影响度,高严重度;高影响度,中等严重度
5 高影响度,高严重度第七章 网络安全检测与评估技术
2,网络安全漏洞的分类方法
按漏洞可能对系统造成的直接威胁分类
按漏洞的成因分类返回本章首页第七章 网络安全检测与评估技术
( 1)按漏洞可能对系统造成的直接威胁分类可以分为:
远程管理员权限;本地管理员权限;普通用户访问权限;权限提升;读取受限文件;
远程拒绝服务;本地拒绝服务;远程非授权文件存取;口令恢复;欺骗;服务器信息泄露;其它漏洞。
返回本章首页第七章 网络安全检测与评估技术
( 2)按漏洞的成因分类可以分为:
输入验证错误类;访问验证错误类;竞争条件类;意外情况处置错误类;设计错误类;配置错误类;环境错误类。
返回本章首页第七章 网络安全检测与评估技术
3,网络安全漏洞探测技术按照网络安全漏洞的可利用方式来划分,
漏洞探测技术可以分为:信息型漏洞探测和攻击型漏洞探测两种。
按照漏洞探测的技术特征,又可以划分为:
基于应用的探测技术、基于主机的探测技术、
基于目标的探测技术和基于网络的探测技术等。
返回本章首页第七章 网络安全检测与评估技术
( 1)信息型漏洞探测技术信息型漏洞探测技术就是通过探测目标的型号、运行的操作系统版本及补丁安装情况、配置情况、运行服务及其服务程序版本等信息确定目标存在的安全漏洞的探测技术。
该技术具有实现方便、对目标不产生破坏性影响的特点。其不足之处是对于具体某个漏洞存在与否,难以做出确定性的结论。
返回本章首页第七章 网络安全检测与评估技术为提高信息型漏洞探测技术的准确率和效率,许多改进措施也不断地被引入,
顺序扫描技术
多重服务检测技术返回本章首页第七章 网络安全检测与评估技术
( 2)攻击型漏洞探测技术模拟攻击是最直接的漏洞探测技术,其探测结果的准确率也是最高的。
该探测技术的主要思想是模拟网络入侵的一般过程,对目标系统进行无恶意攻击尝试,
若攻击成功则表明相应安全漏洞必然存在。
返回本章首页第七章 网络安全检测与评估技术
( 3)漏洞探测技术按其技术特征可分为:
基于应用的检测技术
基于主机的检测技术
基于目标的漏洞检测技术
基于网络的检测技术返回本章首页第七章 网络安全检测与评估技术
7.2 网络安全评估标准
1,网络安全评估标准的发展历程
( 1)首创而孤立的阶段
( 2) 普及而分散的阶段
( 3) 集中统一阶段返回本章首页第七章 网络安全检测与评估技术返回本章首页
1 9 8 5 年 美 国 可 信 计算 机 系 统 评 估 准 则
( T C S E C )
1 9 9 1 年 欧 洲 信 息 技术 安 全 评 估 准 则
( I T S E C )
1 9 9 0 年 加 拿 大 可 信计 算 机 产 品 评 估 准 则
C T C P E C
1 9 9 1 年 美 国 联 邦准 则 ( F C )
1 9 9 9 年 国 际 标 准
I S O 1 5 4 0 8
1 9 9 6 年 国 际 通 用 准则 ( C C )
图 7-1 测评标准的发展演变历程第七章 网络安全检测与评估技术返回本章首页表 7-7 各标准的等级划分对照表
CC TCSEC FC ITSEC CTCPEC GB17859-1999
… D E0 T0 …
EAL1 … … T1 1:用户自主保护
EAL2 C1 E1 T2 2:系统审计保护
EAL3 C2 T1 E2 T3 3:安全标记保护
EAL4 B1 T2 E3 T4 4:结构变化保护
… … T3 … … …
… … T4 … … …
EAL5 B2 T5 E4 T5 5:访问验证保护
EAL6 B3 T6 E5 T6 …
EAL7 A T7 E6 T7 …
第七章 网络安全检测与评估技术
2,TCSEC,ITSEC和 CC的基本构成
( 1) TCSEC的基本构成
TCSEC主要由以下四个方面进行描述:
安全策略模型( Security Policy Model)
可追究性( Accountability)
保证( Assurance)
文档( Documentation)
返回本章首页第七章 网络安全检测与评估技术返回本章首页
TCSEC的安全级别类别 级别 名 称 主要特征
A A 验证设计形式化的最高级描述和验证形式化的隐蔽通道分析非形式化的代码对应证明
B
B3 安全区域 访问控制高抗渗透能力
B2 结构化保护 形式化模型 /隐通道约束面向安全的体系结构较好的抗渗透能力
B1 标识的安全保护 强访问控制安全标识
C C2
受控制的访问控制单独的可追究性广泛的审计踪迹
C1 自主安全保护 自主访问控制
D D 低级保护 相当于无安全功能的个人微机
TCSEC根据所采用的安全策略、系统所具备的安全功能将系统分为四类七个安全级别。
第七章 网络安全检测与评估技术
( 2) ITSEC的基本构成
TSEC也定义了 7个安全级别,即 E6:形式化验证; E5:形式化分析; E4:半形式化分析; E3:数字化测试分析; E2:数字化测试; E1:功能测试; E0:不能充分满足保证。
返回本章首页第七章 网络安全检测与评估技术
ITSEC的安全功能分类为:标识与鉴别、
访问控制、可追究性、审计、客体重用、精确性、服务可靠性、数据交换。其保证则分为:
有效性( Effectiveness)和正确性
( Correctness)。
返回本章首页第七章 网络安全检测与评估技术
( 3) CC的基本构成
CC分为三部分,相互依存,缺一不可。
其中第 1部分是介绍 CC的基本概念和基本原理,第 2部分提出了安全功能要求,第 3部分提出了非技术的安全保证要求 。
返回本章首页第七章 网络安全检测与评估技术
CC的功能要求和保证要求均以类 -族 -组件的结构表述。
功能要求包括 11个功能类(安全审计、通信、密码支持、用户数据保护、标识和鉴别、
安全管理、隐秘,TSF保护、资源利用,TOE
访问、可信路径、信道) 。
保证要求包括 7个保证类(配置管理、交付和运行、开发、指导性文件、生命周期支持、
测试、脆弱性评定)。
返回本章首页第七章 网络安全检测与评估技术
CC的评估等级共分 7级,EAL1到 EAL7,
分别为功能测试,结构测试,系统测试和检验,
系统设计、测试和评审,半形式化设计和测试,
半形式化验证的设计和测试,形式化验证的设计和测试。
返回本章首页第七章 网络安全检测与评估技术返回本章首页功 能 包为 构 建 P P 或 S T 而 选 取的 一 组 功 能 要 求子 类 C 1
C 2
C 3
C n
功 能 类子 类 C 1
C 2
C 3
C n
功 能 类子 类 C 1
C 2
C 3
C n
功 能 类子 类 C 1
C 2
C 3
C n
保 证 类评 估 保 证 级 1
评 估 保 证 级 2
评 估 保 证 级 3
评 估 保 证 级 n
功 能 要 求保 证 要 求保 护 轮 廓 ( P P )
基 于 一 类 T O E 的 应 用 环 境 规 定 一组 安 全 要 求,并 提 出 应 达 到 哪 一评 估 保 证 级 要 求安 全 目 标 ( S T )
基 于 某 一 特 定 T O E 的 实 现,提 出一 组 安 全 要 求 及 其 具 体 实 现 以 及可 以 达 到 的 评 估 保 证 级 。 可 以 满足 一 个 或 多 个 P P 提 出 的 要 求,也可 以 在 P P 的 基 础 上 增 加 C C 要 求或 其 他 非 C C 要 求 。
选 择 性 扩 充 ( 非 C C ) 安 全 要 求
CC结构关系图第七章 网络安全检测与评估技术
7.3 网络安全评估方法
1,基于通用评估方法 (CEM)的网络安全评估模型
CC作为通用评估准则,本身并不涉及具体的评估方法,信息技术的评估方法论主要由 CEM给出。
CEM主要包括评估的一般性原则,PP评估、
ST评估和 EAL1~ EAL4的评估。 CEM与 CC中的保证要求相对应。
返回本章首页第七章 网络安全检测与评估技术
CEM由两部分组成:
第一部分为简介与一般模型,包括评估的一般原则、评估过程中的角色、评估全过程概况和相关术语解释;
第二部分为评估方法,详细介绍适于所有评估的通用评估任务,PP评估,ST评估、
EALI~ EAL4评估及评估过程中使用的一般技术。
返回本章首页第七章 网络安全检测与评估技术
( 1) CEM评估一般原则
CEM评估应该遵循适当、公正、客观的原则,要求评估结果满足可重复和可再现的特点,
且评估结果是可靠的。
CEM假定代价合理,方法可以不断演进,
评估结果可重用。
返回本章首页第七章 网络安全检测与评估技术
( 2) CEM评估模型
CEM评估,都可用下图的模型来表示。
返回本章首页评 估 证 据评 估 输 出评 估输 入任 务评 估输 入任 务
P P 或 T O E 评 估活 动 ( 细 分 为子 活 动,进 一步 分 为 动 作 )
第七章 网络安全检测与评估技术
( 3) CEM评估任务
CEM中所有的评估都具备的评估任务是评估输入任务和评估输出任务 。
评估输入任务包括配置控制、证据的保护、
处置和保密四个任务,其中 CEM对后两个任务无要求,留给评估体制解决。
评估输出任务包括书写观察报告( OR)
和书写评估技术报告( ETR)两个子任务。
返回本章首页第七章 网络安全检测与评估技术
( 4) CEM评估活动任何一个信息技术安全产品或系统(也可以是 PP)的评估,其核心是评估人员展开的一组评估活动。每一项评估活动可进一步细分为子活动,子活动又进一步细分为动作,而每一个动作又由一个或多个确定的工作单元组成,
如下图所示:
返回本章首页第七章 网络安全检测与评估技术返回本章首页
T O E 评 估 评 估 活 动子 活 动动 作工 作 单 元评估活动的分解第七章 网络安全检测与评估技术
( 5)评估结果评估人员在评估过程中,需要作出不同层次的裁决,评估人员的裁决可以有三种不同的结果,分别为:不确定、通过或失败。
返回本章首页第七章 网络安全检测与评估技术
2,基于指标分析的网络安全综合评估模型
( 1) 综合评估概要为全面了解目标网络系统的安全性能的状况,需要对各个方面的指标或项目进行测试或评估,必须将全体评估项目的评估结果进行综合,才能得到关于目标网络信息系统的安全性能的最终评价。
返回本章首页第七章 网络安全检测与评估技术为完成网络系统安全状况的综合评估,首先要从最低层的项目入手,然后由低到高,确定出每个层次项目的评估结果,最后将第一层项目的评估结果综合在一起,得出目标网络系统安全状况的综合评估结果。
对同一层次上的(局部的)评估项的评估结果的综合,可以有多种方法,如采用加权平均,模糊综合评价等。
返回本章首页第七章 网络安全检测与评估技术
( 2) 归一化处理
定量指标的归一化对定量指标进行归一化处理方法可分成三类:①线段,②折线,③曲线。使用哪一种方法做归一化处理取决于具体的测试项的特点,
适用于某一测试项的归一化方法不一定适用于其它项目。
返回本章首页第七章 网络安全检测与评估技术
定性评估项的量化和归一化定性评估项的结果通常以等级的形式给出,如,很差、较差、一般、较好、很好,。
对于定性评估项的最筒单的定性评估结果,即评估结果为,是,或,否,的情况,
量化和归一化可采用直截了当法,即,是,
指定为,1”,,否,指定为,0”。
返回本章首页第七章 网络安全检测与评估技术当定性指标采用,很差、较差、一般、较好、很好,的方式描述时,可根据它们的次序粗略地分配一个整数来实现结果的量化,如使用,1,2,3,4,5”与之对应。这些量化后的结果,1,2,3,4,5”可分别采用,0.1、
0.3,0.5,0.7,0.9”或,a,b,c,d,e”作为它们的归一化值,其中 0≤a≤0.2,
0.2≤b≤0.4,0.4≤c≤0.6,0.6≤d≤0.8,
0.8≤e≤1。
返回本章首页第七章 网络安全检测与评估技术
( 3) 综合评估方法所有评估项的评估结果经过综合便可得到对系统的总的评价。对于同一个层次上的评估项(指标),综合评估过程是一个从多维空间到一个线段中的点或评价等级论域中的等级的映射过程。
返回本章首页
LIIIfAIIIf nn,,,:,,,,2121 或第七章 网络安全检测与评估技术如果评估项之间是层次关系,则综合评估过程的任务是将该层次结构中的全部评估项映射到上面的线段 A,或等级论域 L。即:
f,(H)→ A(或 f:( H) → L)
其中,H表示评估项之间的层次结构返回本章首页
H
I
1
I
2
I
k
第七章 网络安全检测与评估技术典型的综合评估方法有:
加权算数平均
加权几何平均
混合平均返回本章首页第七章 网络安全检测与评估技术在综合评估过程中,对某些评估项来说,
使用加权算数平均对其进行综合比较合适,而对另一些评估项来说,使用加权几何平均可能更好。这种情况是由评估项的固有性质决定的。
某一评估项的评估值可能是决定性的,以至于基本上主要依靠它作出最终评价,也可能不那么重要。
返回本章首页第七章 网络安全检测与评估技术
3,基于模糊评价的网络安全状况评估模型在评估实践中,经常遇到一些评估项,它们的评估结果难于以定量的方式表达。模糊数学特别适合于用来处理定性的评估项目。
例如:系统评估中的大部分项目基本都是定性的。模糊数学可用来处理这些评估结果,
并形成总的评价。
返回本章首页第七章 网络安全检测与评估技术
7.4 网络安全检测评估系统简介计算机网络信息系统安全检测评估系统的发展非常迅速,现在已经成为计算机网络信息系统安全解决方案的重要组成部分。
我们以 ISS公司的 Internet Scanner为例来介绍网络安全检测评估系统。
返回本章首页第七章 网络安全检测与评估技术
1,Internet Scanner 7.0简介
Internet Scanner是 ISS公司开发的网络安全评估工具,可以对网络漏洞进行分析和提供决策支持。
Internet Scanner可以对计算机网络信息系统进行全面的检测和评估。
返回本章首页第七章 网络安全检测与评估技术
2,Internet Scanner的扫描评估过程
Internet Scanner 有计划和可选择性地对网络通信服务、操作系统、主要的应用系统以及路由器和防火墙等进行探测扫描,查找最容易被用来攻击的漏洞,探测、调查和模拟攻击网络。最后 Internet Scanner 对漏洞情况进行分析,同时提供一系列正确的应采取的措施,提供趋势分析并产生报告和数据。
返回本章首页第七章 网络安全检测与评估技术
Internet Scanner的扫描评估过程返回本章首页
DMZ
E m ail
E m a i l
HTTP I n t e r n e t S c a n n e r
I n t e r n e t
R o u t e r
I n t e r n e t S c a n n e r 网络结构图内部网
Internet Scann er
扫描流向第七章 网络安全检测与评估技术
( 1)定义扫描会话( Session)
Internet Scanner利用会话( Session)
来定义哪些设备需要被扫描。创建了某个新的会话时,其中会包含以下三个属性:
用来定义扫描测试内容的策略( Policy);
用来定义扫描范围的 KEY文件;
按 IP地址定义的需要被扫描的设备组;
返回本章首页第七章 网络安全检测与评估技术
( 2)定义扫描策略扫描策略( Policy)是用来定义 Internet
Scanner扫描系统时利用攻击库里的哪些攻击方式来尝试攻击系统。
获得策略定义的方法有如下两种:
直接利用 Internet Scanner默认设置的策略定义;
点击 Add Policy按钮来自定义策略。
返回本章首页第七章 网络安全检测与评估技术
( 3) 确定被扫描评估的目标确定被扫描主机的方法有如下三种:
利用某个已经存在的主机文件。
利用行输入方式输入某个或多个 IP地址或网段来确定扫描的主机。
ping所有 key文件定义网段范围的所有 IP地址,只要是可以 ping通的设备均会被扫描。
返回本章首页第七章 网络安全检测与评估技术
( 4) 生成报告
Internet Scanner 提供多种类型的报告,
报告的格式也有多种可选。
行政管理人员报告
技术管理人员报告
技术人员报告
用户定制报告返回本章首页第七章 网络安全检测与评估技术
7.5 小结网络安全检测与评估是保证计算机网络系统安全的有效手段。网络安全检测与评估的目的是通过一定的技术手段先于攻击者发现计算机网络系统的安全漏洞,并对计算机网络系统的安全状况作出正确的评价。网络安全检测与评估的主要概念包括网络安全漏洞、网络安全评估标准、网络安全评估方法、网络安全检测评估系统等。
返回本章首页第七章 网络安全检测与评估技术返回本章首页本章到此结束,谢谢!
网络安全漏洞
网络安全评估标准
网络安全评估方法
网络安全检测评估系统简介
小结第七章 网络安全检测与评估技术
7.1 网络安全漏洞
1,网络安全漏洞威胁
( 1)安全漏洞的定义漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,可以使攻击者在未授权的情况下访问或破坏系统。
漏洞的产生有其必然性,这是因为软件的正确性通常是通过检测来保障的。而,检测只能发现错误,证明错误的存在,不能证明错误的不存在,。
返回本章首页第七章 网络安全检测与评估技术
( 2) 安全威胁的定义安全威胁是指所有能够对计算机网络信息系统的网络服务和网络信息的机密性,可用性和完整性产生阻碍,破坏或中断的各种因素 。
安全威胁可以分为 人为安全威胁 和 非人为安全威胁 两大类 。 安全威胁与安全漏洞密切相关,
安全漏洞的可度量性使得人们对系统安全的潜在影响有了更加直观的认识 。
返回本章首页第七章 网络安全检测与评估技术可以按照风险等级对安全漏洞进行归类,表
7-1,7-2,7-3对漏洞分类方法进行了描述 。
返回本章首页表 7-1 漏洞威胁等级分类严 重 度 等级 影响度低严重度,漏洞难以利用,并且潜在的损失较少。
1 低影响度,漏洞的影响较低,不会产生连带的其他安全漏洞。
中等严重度,漏洞难以利用,但是潜在的损失较大,或者漏洞易于利用,但是潜在的损失较少。
2
中等影响度,漏洞可能影响系统的一个或多个模块,该漏洞的利用可能会导致其他漏洞可利用。
高严重度,漏洞易于利用,并且潜在的损失较大。
3
高影响度,漏洞影响系统的大部分模块,
并且该漏洞的利用显著增加其他漏洞的可利用性。
第七章 网络安全检测与评估技术返回本章首页表 7-2 漏洞威胁综合等级分类严重等级影响等级
1 2 3
1 1 2 3
2 2 3 4
3 3 4 5
第七章 网络安全检测与评估技术表 7-3 漏洞威胁等级分类描述等级 描 述
1 低影响度,低严重度
2 低影响度,中等严重度;中等影响度,低严重度
3 低影响度,高严重度;高影响度,低严重度;中等影响度,中等严重度
4 中等影响度,高严重度;高影响度,中等严重度
5 高影响度,高严重度第七章 网络安全检测与评估技术
2,网络安全漏洞的分类方法
按漏洞可能对系统造成的直接威胁分类
按漏洞的成因分类返回本章首页第七章 网络安全检测与评估技术
( 1)按漏洞可能对系统造成的直接威胁分类可以分为:
远程管理员权限;本地管理员权限;普通用户访问权限;权限提升;读取受限文件;
远程拒绝服务;本地拒绝服务;远程非授权文件存取;口令恢复;欺骗;服务器信息泄露;其它漏洞。
返回本章首页第七章 网络安全检测与评估技术
( 2)按漏洞的成因分类可以分为:
输入验证错误类;访问验证错误类;竞争条件类;意外情况处置错误类;设计错误类;配置错误类;环境错误类。
返回本章首页第七章 网络安全检测与评估技术
3,网络安全漏洞探测技术按照网络安全漏洞的可利用方式来划分,
漏洞探测技术可以分为:信息型漏洞探测和攻击型漏洞探测两种。
按照漏洞探测的技术特征,又可以划分为:
基于应用的探测技术、基于主机的探测技术、
基于目标的探测技术和基于网络的探测技术等。
返回本章首页第七章 网络安全检测与评估技术
( 1)信息型漏洞探测技术信息型漏洞探测技术就是通过探测目标的型号、运行的操作系统版本及补丁安装情况、配置情况、运行服务及其服务程序版本等信息确定目标存在的安全漏洞的探测技术。
该技术具有实现方便、对目标不产生破坏性影响的特点。其不足之处是对于具体某个漏洞存在与否,难以做出确定性的结论。
返回本章首页第七章 网络安全检测与评估技术为提高信息型漏洞探测技术的准确率和效率,许多改进措施也不断地被引入,
顺序扫描技术
多重服务检测技术返回本章首页第七章 网络安全检测与评估技术
( 2)攻击型漏洞探测技术模拟攻击是最直接的漏洞探测技术,其探测结果的准确率也是最高的。
该探测技术的主要思想是模拟网络入侵的一般过程,对目标系统进行无恶意攻击尝试,
若攻击成功则表明相应安全漏洞必然存在。
返回本章首页第七章 网络安全检测与评估技术
( 3)漏洞探测技术按其技术特征可分为:
基于应用的检测技术
基于主机的检测技术
基于目标的漏洞检测技术
基于网络的检测技术返回本章首页第七章 网络安全检测与评估技术
7.2 网络安全评估标准
1,网络安全评估标准的发展历程
( 1)首创而孤立的阶段
( 2) 普及而分散的阶段
( 3) 集中统一阶段返回本章首页第七章 网络安全检测与评估技术返回本章首页
1 9 8 5 年 美 国 可 信 计算 机 系 统 评 估 准 则
( T C S E C )
1 9 9 1 年 欧 洲 信 息 技术 安 全 评 估 准 则
( I T S E C )
1 9 9 0 年 加 拿 大 可 信计 算 机 产 品 评 估 准 则
C T C P E C
1 9 9 1 年 美 国 联 邦准 则 ( F C )
1 9 9 9 年 国 际 标 准
I S O 1 5 4 0 8
1 9 9 6 年 国 际 通 用 准则 ( C C )
图 7-1 测评标准的发展演变历程第七章 网络安全检测与评估技术返回本章首页表 7-7 各标准的等级划分对照表
CC TCSEC FC ITSEC CTCPEC GB17859-1999
… D E0 T0 …
EAL1 … … T1 1:用户自主保护
EAL2 C1 E1 T2 2:系统审计保护
EAL3 C2 T1 E2 T3 3:安全标记保护
EAL4 B1 T2 E3 T4 4:结构变化保护
… … T3 … … …
… … T4 … … …
EAL5 B2 T5 E4 T5 5:访问验证保护
EAL6 B3 T6 E5 T6 …
EAL7 A T7 E6 T7 …
第七章 网络安全检测与评估技术
2,TCSEC,ITSEC和 CC的基本构成
( 1) TCSEC的基本构成
TCSEC主要由以下四个方面进行描述:
安全策略模型( Security Policy Model)
可追究性( Accountability)
保证( Assurance)
文档( Documentation)
返回本章首页第七章 网络安全检测与评估技术返回本章首页
TCSEC的安全级别类别 级别 名 称 主要特征
A A 验证设计形式化的最高级描述和验证形式化的隐蔽通道分析非形式化的代码对应证明
B
B3 安全区域 访问控制高抗渗透能力
B2 结构化保护 形式化模型 /隐通道约束面向安全的体系结构较好的抗渗透能力
B1 标识的安全保护 强访问控制安全标识
C C2
受控制的访问控制单独的可追究性广泛的审计踪迹
C1 自主安全保护 自主访问控制
D D 低级保护 相当于无安全功能的个人微机
TCSEC根据所采用的安全策略、系统所具备的安全功能将系统分为四类七个安全级别。
第七章 网络安全检测与评估技术
( 2) ITSEC的基本构成
TSEC也定义了 7个安全级别,即 E6:形式化验证; E5:形式化分析; E4:半形式化分析; E3:数字化测试分析; E2:数字化测试; E1:功能测试; E0:不能充分满足保证。
返回本章首页第七章 网络安全检测与评估技术
ITSEC的安全功能分类为:标识与鉴别、
访问控制、可追究性、审计、客体重用、精确性、服务可靠性、数据交换。其保证则分为:
有效性( Effectiveness)和正确性
( Correctness)。
返回本章首页第七章 网络安全检测与评估技术
( 3) CC的基本构成
CC分为三部分,相互依存,缺一不可。
其中第 1部分是介绍 CC的基本概念和基本原理,第 2部分提出了安全功能要求,第 3部分提出了非技术的安全保证要求 。
返回本章首页第七章 网络安全检测与评估技术
CC的功能要求和保证要求均以类 -族 -组件的结构表述。
功能要求包括 11个功能类(安全审计、通信、密码支持、用户数据保护、标识和鉴别、
安全管理、隐秘,TSF保护、资源利用,TOE
访问、可信路径、信道) 。
保证要求包括 7个保证类(配置管理、交付和运行、开发、指导性文件、生命周期支持、
测试、脆弱性评定)。
返回本章首页第七章 网络安全检测与评估技术
CC的评估等级共分 7级,EAL1到 EAL7,
分别为功能测试,结构测试,系统测试和检验,
系统设计、测试和评审,半形式化设计和测试,
半形式化验证的设计和测试,形式化验证的设计和测试。
返回本章首页第七章 网络安全检测与评估技术返回本章首页功 能 包为 构 建 P P 或 S T 而 选 取的 一 组 功 能 要 求子 类 C 1
C 2
C 3
C n
功 能 类子 类 C 1
C 2
C 3
C n
功 能 类子 类 C 1
C 2
C 3
C n
功 能 类子 类 C 1
C 2
C 3
C n
保 证 类评 估 保 证 级 1
评 估 保 证 级 2
评 估 保 证 级 3
评 估 保 证 级 n
功 能 要 求保 证 要 求保 护 轮 廓 ( P P )
基 于 一 类 T O E 的 应 用 环 境 规 定 一组 安 全 要 求,并 提 出 应 达 到 哪 一评 估 保 证 级 要 求安 全 目 标 ( S T )
基 于 某 一 特 定 T O E 的 实 现,提 出一 组 安 全 要 求 及 其 具 体 实 现 以 及可 以 达 到 的 评 估 保 证 级 。 可 以 满足 一 个 或 多 个 P P 提 出 的 要 求,也可 以 在 P P 的 基 础 上 增 加 C C 要 求或 其 他 非 C C 要 求 。
选 择 性 扩 充 ( 非 C C ) 安 全 要 求
CC结构关系图第七章 网络安全检测与评估技术
7.3 网络安全评估方法
1,基于通用评估方法 (CEM)的网络安全评估模型
CC作为通用评估准则,本身并不涉及具体的评估方法,信息技术的评估方法论主要由 CEM给出。
CEM主要包括评估的一般性原则,PP评估、
ST评估和 EAL1~ EAL4的评估。 CEM与 CC中的保证要求相对应。
返回本章首页第七章 网络安全检测与评估技术
CEM由两部分组成:
第一部分为简介与一般模型,包括评估的一般原则、评估过程中的角色、评估全过程概况和相关术语解释;
第二部分为评估方法,详细介绍适于所有评估的通用评估任务,PP评估,ST评估、
EALI~ EAL4评估及评估过程中使用的一般技术。
返回本章首页第七章 网络安全检测与评估技术
( 1) CEM评估一般原则
CEM评估应该遵循适当、公正、客观的原则,要求评估结果满足可重复和可再现的特点,
且评估结果是可靠的。
CEM假定代价合理,方法可以不断演进,
评估结果可重用。
返回本章首页第七章 网络安全检测与评估技术
( 2) CEM评估模型
CEM评估,都可用下图的模型来表示。
返回本章首页评 估 证 据评 估 输 出评 估输 入任 务评 估输 入任 务
P P 或 T O E 评 估活 动 ( 细 分 为子 活 动,进 一步 分 为 动 作 )
第七章 网络安全检测与评估技术
( 3) CEM评估任务
CEM中所有的评估都具备的评估任务是评估输入任务和评估输出任务 。
评估输入任务包括配置控制、证据的保护、
处置和保密四个任务,其中 CEM对后两个任务无要求,留给评估体制解决。
评估输出任务包括书写观察报告( OR)
和书写评估技术报告( ETR)两个子任务。
返回本章首页第七章 网络安全检测与评估技术
( 4) CEM评估活动任何一个信息技术安全产品或系统(也可以是 PP)的评估,其核心是评估人员展开的一组评估活动。每一项评估活动可进一步细分为子活动,子活动又进一步细分为动作,而每一个动作又由一个或多个确定的工作单元组成,
如下图所示:
返回本章首页第七章 网络安全检测与评估技术返回本章首页
T O E 评 估 评 估 活 动子 活 动动 作工 作 单 元评估活动的分解第七章 网络安全检测与评估技术
( 5)评估结果评估人员在评估过程中,需要作出不同层次的裁决,评估人员的裁决可以有三种不同的结果,分别为:不确定、通过或失败。
返回本章首页第七章 网络安全检测与评估技术
2,基于指标分析的网络安全综合评估模型
( 1) 综合评估概要为全面了解目标网络系统的安全性能的状况,需要对各个方面的指标或项目进行测试或评估,必须将全体评估项目的评估结果进行综合,才能得到关于目标网络信息系统的安全性能的最终评价。
返回本章首页第七章 网络安全检测与评估技术为完成网络系统安全状况的综合评估,首先要从最低层的项目入手,然后由低到高,确定出每个层次项目的评估结果,最后将第一层项目的评估结果综合在一起,得出目标网络系统安全状况的综合评估结果。
对同一层次上的(局部的)评估项的评估结果的综合,可以有多种方法,如采用加权平均,模糊综合评价等。
返回本章首页第七章 网络安全检测与评估技术
( 2) 归一化处理
定量指标的归一化对定量指标进行归一化处理方法可分成三类:①线段,②折线,③曲线。使用哪一种方法做归一化处理取决于具体的测试项的特点,
适用于某一测试项的归一化方法不一定适用于其它项目。
返回本章首页第七章 网络安全检测与评估技术
定性评估项的量化和归一化定性评估项的结果通常以等级的形式给出,如,很差、较差、一般、较好、很好,。
对于定性评估项的最筒单的定性评估结果,即评估结果为,是,或,否,的情况,
量化和归一化可采用直截了当法,即,是,
指定为,1”,,否,指定为,0”。
返回本章首页第七章 网络安全检测与评估技术当定性指标采用,很差、较差、一般、较好、很好,的方式描述时,可根据它们的次序粗略地分配一个整数来实现结果的量化,如使用,1,2,3,4,5”与之对应。这些量化后的结果,1,2,3,4,5”可分别采用,0.1、
0.3,0.5,0.7,0.9”或,a,b,c,d,e”作为它们的归一化值,其中 0≤a≤0.2,
0.2≤b≤0.4,0.4≤c≤0.6,0.6≤d≤0.8,
0.8≤e≤1。
返回本章首页第七章 网络安全检测与评估技术
( 3) 综合评估方法所有评估项的评估结果经过综合便可得到对系统的总的评价。对于同一个层次上的评估项(指标),综合评估过程是一个从多维空间到一个线段中的点或评价等级论域中的等级的映射过程。
返回本章首页
LIIIfAIIIf nn,,,:,,,,2121 或第七章 网络安全检测与评估技术如果评估项之间是层次关系,则综合评估过程的任务是将该层次结构中的全部评估项映射到上面的线段 A,或等级论域 L。即:
f,(H)→ A(或 f:( H) → L)
其中,H表示评估项之间的层次结构返回本章首页
H
I
1
I
2
I
k
第七章 网络安全检测与评估技术典型的综合评估方法有:
加权算数平均
加权几何平均
混合平均返回本章首页第七章 网络安全检测与评估技术在综合评估过程中,对某些评估项来说,
使用加权算数平均对其进行综合比较合适,而对另一些评估项来说,使用加权几何平均可能更好。这种情况是由评估项的固有性质决定的。
某一评估项的评估值可能是决定性的,以至于基本上主要依靠它作出最终评价,也可能不那么重要。
返回本章首页第七章 网络安全检测与评估技术
3,基于模糊评价的网络安全状况评估模型在评估实践中,经常遇到一些评估项,它们的评估结果难于以定量的方式表达。模糊数学特别适合于用来处理定性的评估项目。
例如:系统评估中的大部分项目基本都是定性的。模糊数学可用来处理这些评估结果,
并形成总的评价。
返回本章首页第七章 网络安全检测与评估技术
7.4 网络安全检测评估系统简介计算机网络信息系统安全检测评估系统的发展非常迅速,现在已经成为计算机网络信息系统安全解决方案的重要组成部分。
我们以 ISS公司的 Internet Scanner为例来介绍网络安全检测评估系统。
返回本章首页第七章 网络安全检测与评估技术
1,Internet Scanner 7.0简介
Internet Scanner是 ISS公司开发的网络安全评估工具,可以对网络漏洞进行分析和提供决策支持。
Internet Scanner可以对计算机网络信息系统进行全面的检测和评估。
返回本章首页第七章 网络安全检测与评估技术
2,Internet Scanner的扫描评估过程
Internet Scanner 有计划和可选择性地对网络通信服务、操作系统、主要的应用系统以及路由器和防火墙等进行探测扫描,查找最容易被用来攻击的漏洞,探测、调查和模拟攻击网络。最后 Internet Scanner 对漏洞情况进行分析,同时提供一系列正确的应采取的措施,提供趋势分析并产生报告和数据。
返回本章首页第七章 网络安全检测与评估技术
Internet Scanner的扫描评估过程返回本章首页
DMZ
E m ail
E m a i l
HTTP I n t e r n e t S c a n n e r
I n t e r n e t
R o u t e r
I n t e r n e t S c a n n e r 网络结构图内部网
Internet Scann er
扫描流向第七章 网络安全检测与评估技术
( 1)定义扫描会话( Session)
Internet Scanner利用会话( Session)
来定义哪些设备需要被扫描。创建了某个新的会话时,其中会包含以下三个属性:
用来定义扫描测试内容的策略( Policy);
用来定义扫描范围的 KEY文件;
按 IP地址定义的需要被扫描的设备组;
返回本章首页第七章 网络安全检测与评估技术
( 2)定义扫描策略扫描策略( Policy)是用来定义 Internet
Scanner扫描系统时利用攻击库里的哪些攻击方式来尝试攻击系统。
获得策略定义的方法有如下两种:
直接利用 Internet Scanner默认设置的策略定义;
点击 Add Policy按钮来自定义策略。
返回本章首页第七章 网络安全检测与评估技术
( 3) 确定被扫描评估的目标确定被扫描主机的方法有如下三种:
利用某个已经存在的主机文件。
利用行输入方式输入某个或多个 IP地址或网段来确定扫描的主机。
ping所有 key文件定义网段范围的所有 IP地址,只要是可以 ping通的设备均会被扫描。
返回本章首页第七章 网络安全检测与评估技术
( 4) 生成报告
Internet Scanner 提供多种类型的报告,
报告的格式也有多种可选。
行政管理人员报告
技术管理人员报告
技术人员报告
用户定制报告返回本章首页第七章 网络安全检测与评估技术
7.5 小结网络安全检测与评估是保证计算机网络系统安全的有效手段。网络安全检测与评估的目的是通过一定的技术手段先于攻击者发现计算机网络系统的安全漏洞,并对计算机网络系统的安全状况作出正确的评价。网络安全检测与评估的主要概念包括网络安全漏洞、网络安全评估标准、网络安全评估方法、网络安全检测评估系统等。
返回本章首页第七章 网络安全检测与评估技术返回本章首页本章到此结束,谢谢!
