（信息与通信工程专业论文）基于cc的网络安全评估模型.pdf

1 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 签名： 己丛 日期：州秒年岁月珍日 论文使用授权 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名： 之么 导师签名： 日期：7 j i-ii-iir一。 卜 一一， 摘要 摘要 信息技术的快速发展，使得网络安全问题日趋严重。如何保证和评估网络安 全成为了安全工作的中心。目前国内外制定很多信息系统的评估标准。其中通用 标准( c c ) 是最具权威的。本文对c c 标准和网络安全评估方法进行了深入研究。 希望在传统的网络风险评估方法和模型之外，探讨一种新的评估方法和模型，为 网络安全评估提供一种新的思路。 本文首先对网络安全的现状和趋势进行了简单描述。对当前网络安全评估方 法，模型和标准进行研究和分析，提出了基于c c 通用准则的网络安全评估模型。 用安全等级的方法来表述网络的安全性。通过对c c 标准深入研究和网络安全原理 的分析，提出了网络安全功能导出模型：首先分析评估对象的安全策略，威胁和 安全目的；然后结合c c 安全功能类导出评估对象的安全功能需求。并且通过该模 型导出了防火墙，数据库和w e b 服务器的安全功能要求。同时，本文对分布式系 统中的安全功能要求进行了研究。 通过对评估方法和量化评估方法的研究，提出了网络安全评估模型：采用层 次分析法( a h p ) 确定安全组件的权重；通过评估安全组件的满足度，得到评估对 象的安全等级；最后采用加权平均法得到整个网络的安全等级。文章的最后通过 评估一个业务系统安全等级，来演示本文提出的评估模型。 关键词：安全评估，安全功能，安全等级，通用标准 -ii i 一11r n o w a d a y s ，t h ef a s td e v e l o p m e n to fi tm a k e sn e t w o r ks e c u r i t yi s s u e sb e c o m i n g i n e r e a s i n g l ys e r i o u s h o wt oe n s u r ea n de v a l u a t i o no fn e t w o r ks e c u r i t yh a sb e c o m et h e i s s u eo fi n f o r m a t i o ns e c u r i t y m a n yc o u n t r i e sh a v ed e v e l o p e de v a l u a t i o nc r i t e r i ao f i n f o r m a t i o ns y s t e m s t h ec o m m o nc r i t e r i o ni st h em o s ta u t h o r i t a t i v e i nt h i sp a p e r , c c s t a n d a r d sa n dn e t w o r ks e c u r i t ya s s e s s m e n t sm e t h o d sh a v eb e e ns t u d i e di n d e p t h an e w a s s e s s m e n tm o d e li sp r o p o s e di nt h ep a p e r , e x c e p tf o rt h et r a d i t i o n a lm e t h o d sa n dm o d e l o fn e t w o r kr i s ka s s e s s m e n t i h o p et op r o v i d en e wi d e a s f o rn e t w o r ks e c u r i t y a s s e s s m e n t i nt h e p a p e r , t h en e t w o r ks e c u r i t ys t a t u sa n dt r e n d so fi sd e c r y p t e db r i e f l y m e t h o d o l o g i e s ，m o d e l sa n ds t a n d a r d so fn e t w o r ks e c u r i t ya s s e s s m e n ta r es t u d i e da n d a n a l y s i s e d t h em o d e lo fn e t w o r ks e c u r i t yb a s eo nc ci sp r o p o s e d t h ep a p e ru s et h e s a f e t yl e v e lt od e s c r i b es e c u r i t ys t a t e m e n to fn e t w o r k t h r o u g hs t u d yo nt h ec ca n d n e t w o r ks e c u r i t yp r i n c i p l e s ，t h em o d e lo fp r o d u c i n gs e c u r i t yf u n c t i o ni sp r o p o s e d ：f i r s t ， t h es e c u r i t yp o l i c yo fo b j e c t ，t r e a ta n ds e c u r i t yt a r g e ti sa n a l y s i s ，a n dt h e nt h es e c u r i t y f u n c t i o n a lr e q u i r e m e n t so fo b j e c ti sg a i n e d t h r o u g ht h em o d e l ，t h es e c u r i t yf u n c t i o n a l r e q u i r e m e n t so ff i r e w a l l ，d a t a b a s ea n dw e b s e r v e r sa r eg a i n e d a tt h es a m et i m e ， s e c u r i t yf u n c t i o n a lr e q u i r e m e n t so ft h ed i s t r i b u t e ds y s t e m sa r es t u d i e d t h r o u g ht h e s t u d yo fa s s e s s m e n tm e t h o d sa n dq u a n t i t a t i v ee v a l u a t i o nm e t h o d ，n e t w o r ks e c u r i t y e v a l u a t i o nm o d e li sp r o p o s e d 1 1 1 er i g h to ft h es a f e t yc o m p o n e n ti s g a i n e d ，t h r o u g h a n a l y t i ch i e r a r c h yp r o c e s s t h r o u g ha s s e s s i n gt h ed e g r e eo fm e e t i n gs e c u r i t y c o m p o n e n t sr e q u i r e m e n t s ，t h el e v e lo ft a r g e to fe v a l u a t i o ni sg a i n e d f i n a l l yt h el e v e lo f t h en e t w o r ki s g m n e du s i n gt l l ew 萌g h t e da v e r a g e a tl a s t ，t h r o u g he v a l u a t i o na b u s i n e s ss y s t e m ，t h ea s s e s s m e n tm o d e lp r e s e n t e di nt h i sp a p e ri sd e m o n s t r a t e d k e y w o r d s ：s e c u r i t ye v a l u a t i o n ，s e c u r i t yf u n c t i o n ，l e v e lo fs e c u r i t y , c c i i lr - 目录 目录 第一章前言。1 1 1 网络安全现状及趋势1 1 2 本文研究内容和方法4 1 3 本文的结构5 第二章网络安全评估方法研究 2 1 信息安全评估标准6 2 2 信息安全评估方法1 2 2 3 信息安全评估工具1 3 2 4 本章小结15 第三章基于c c 的安全功能模型1 6 3 1 通用标准的内容与结构1 6 3 2 基于c e m 的评估过程一2 0 3 3c c 标准的不足和评估难点。2 2 3 4 安全功能导出模型2 3 3 5 网络安全功能要求2 7 3 5 1 防火墙安全功能要求2 8 3 5 2 数据库管理软件安全功能要求3 2 3 5 3w e b 服务器安全功能要求3 5 3 6 分布式t o e 的安全功能要求3 7 3 7 本章小结4 0 第四章基于c c 的网络安全综合评估4 l 4 1 网络安全综合评估模型4 1 i i i 一 旦墨 一 4 2 安全功能组件评估”4 2 4 3 确定安全功能组件权重4 7 4 4 确定t o e 安全等级4 9 4 5 确定资产安全价值4 9 4 6 计算网络安全等级5 1 4 7 本章小结5 2 第五章实例演示5 3 5 1 业务系统网络结构5 3 5 2 业务系统评估5 4 5 3 本章小结”5 7 第六章总结与展望5 8 致谢”6 0 参考文献6 1 攻硕期间取得的研究成果6 4 i v 第一章前言 第一章前言 网络安全评估就是对网络安全状况的描述。网络给我们的生活，工作，学习， 和娱乐提供了一个平台，是当今社会不可缺少的一部分，如果网络不安全，将对 个人，组织乃至国家造成巨大的影响和损失。网络安全是各项活动和工作的保障， 在2 0 1 0 年的全国两会上明确的提出要确保我国的网络安全和网络健康。由此可以 看出网络安全的重要性。如何评估网络安全的状况以及如何提高网络安全性将是 网络安全领域最关键的问题。 1 1 网络安全现状及趋势 如果你是计算机的使用者，可能你遇到这样的问题： 1 在上网页的时候，经常会弹出广告，色情内容和其他网站的连接等。让 你无法查看你想要的东西。 2 只要电脑一上网就很可能中毒。如“我爱你”、“红色代码 及“尼姆达 等。据统计这些病毒每年都会造成全球12 5 亿美元的损失，并且目前 的目的数量还在几何增加。 3 u 盘里会出现a u t o r u n i n f , r e c y c l e r , r a v m o n e e x e 等病毒文件。不知道它 们是从何而来，而且无法删除。 4 发现自己的计算机运行的很慢，你的任何操作都没有反应，可能会怀疑 自己的计算机感染病毒和木马了。 5 目前市面上有很多查毒软件，国外的有：卡巴斯基，诺顿和m c a f e e 等，国内有：江民，金山和瑞星等，该如何选择查毒软件是一个很头疼 的问题 6 如果你有网上购物的经验，那么对网上银行就不陌生了。网络上经常发 生盗取他人银行账号和身份信息的情况。该如何避免自己的银行账号不 被盗取是你网上购物应该首选考虑的问题。 上述问题可能只是你的问题的一部分，当你使用计算机上网时，就注定了你 会有这些问题，甚至更多的问题。这些现象的根源从何而来。不言而喻，是我们 进入了不安全的网络。网络的安全漏洞和病毒造成了诸如此类的问题。网络安全 电子科技大学硕士学位论文 问题是你面临的根本问题。 根据最近的网络安全报告，总结了目前我国的网络安全现状和趋势 网络攻击更频繁：2 0 0 9 年多半的企业遭遇过网络攻击。与自然灾害、恐怖袭 击和传统犯罪相比，一半的企业表示网络攻击最让他们烦恼。4 0 的企业表示，网 网络攻击更加频繁，并且其攻击手段更加有效。几乎所有的企业表示，在未来几 年里将不断提高组织内部的安全防护措施。卡巴斯基最新公布的网络常见攻击手 段如图1 1 。 图1 - 1 网络常见攻击手段 流氓软件：赛门铁克2 0 0 9 年1 1 月1 日公布了最新流氓软件数据，今年一共 发现了四千多万次的流氓软件。这些软件伪装成合法的安全软件，并声称可以预 防病毒和恶意软件的攻击。相反它们不但没有提供安全保护，还会利用其它的软 件或蠕虫病毒来破坏你的电脑。 病毒变化多，数量多：网络中的病毒可以说是无孔不入，它可以在你的电脑 里，网站上或是在你的u 盘中。以多种形式扩散，从单一的病毒到复合式病毒， 再到病毒代理下载。过去只要不用盗版软件，不要随便在网络上下载东西，不乱 运行程序，就不会中毒。但是现在，只要你的计算机接入到互联网。你的电脑就 会感染病毒病。2 0 0 9 年瑞星公布了新增病毒和木马的数量为2 0 6 8 4 2 2 3 个如图1 2 所示，与2 0 0 8 年相比增加了一半。全国共有7 6 0 0 万台计算机感染病毒，与2 0 0 8 年感染量相比增加了1 3 8 。 邮件携带病毒或恶意软件：大家都非常熟悉垃圾邮件，基本上每个人的邮箱 不定期的都会收到这种东西。通常采用欺骗的手段来让你打开，比如，假装成你 的朋友，给发邮件；提供打折消息；提供假发票等。当你不经意间打开该邮件， 你就中毒了。2 0 0 9 年1 0 月到1 2 月间，超过十分之一的垃圾邮件附带了病毒或垃 2 第一章前言 圾邮件，网络中垃圾邮件的数量增加了8 倍。 近几年新增电脑瘸毒木马数量对比 z 拿o o 7 警登孕黪譬鹫蠹臻霉鬈攀磐篓耋：毒饕 2 a ，：。、0 ：? 0 ：二0 - i ，：0j ；：，：。 蓬 ? ，? 二7 j ：，：；! 一、：! ，、j ”r t j ，7 一 7 “矗 7 0 。7 。r ：一j 一、一：，。 r 。v 1 3 8 s 1 9 b 啪 ：搿 ：? ：yj j ? ，：j ，? 。二j - j ， 。 “a 、 ：、。 ，- ：? 一，2 ，、 i o 嘲砖 ，一r 一：? 避，j ? 气：。砖一j ： w 默 o 姗：一：一? o 。，、jo ，j 。_ - j 蘑 1 土s 丘丘，n 口一 s n 7 4 - 2 哇o 】5 叵2 搴；o s 4 二 ! 醮茹o r 疆涵茹蹴灞函鬻蕞弱菝：；i i 嗣函兹盈章鱼魄函琵。 瑚婢搁o 年铷i 磷鞠。戽拍牌如碑鞠i o 蛘 - 算囔 电子科技大学硕士学位论文 中“白眼瞎”。其造成的威胁是极其严重的。 网络战可以分为平时和战时两种 1 1 1 2 】。1 平时网络战是指：在双方不发生有 军事和常规战争情况下，对敌对方发起的对政府网络信息系统，金融网络信息系 统、交通网络信息系统等破坏的行动。通常是网络病毒、拒绝服务和黑客等方式 发动攻击。2 战时网络战是在战争状态下，对敌方发动全方位的网络系统攻击( 包 括军事网络) 。美军在海湾战争中就是利用网络信息站，破坏了伊拉克的信息系统， 使得战争还没真正打响，美军就已经赢得了这场战争。 从上述的网络安全的趋势来看，网络安全越来越关系到整个国家的安危。如 何评估目前网络安全的现状，如何提高网络安全性，将是我国需要解决的重要问 题。我国信息系统安全评估的研究是近几年才起步的，目前主要工作集中于组织 架构和业务体系的建立，相应的标准体系和技术体系还处于研究阶段 3 】，比如信 息安全风险评估调查报告、信息安全风险评估研究报告和关于加强信息安 全风险评估工作的建议等，并在实践中总结并制定了信息安全技术信息安全 风险评估规范。 就信息系统的安全性评估而言，无论国外还是国内，标准的选择，安全模型 的研究、安全要素的提取、评估方法的研究、评估实施的过程、一直都是研究的 重点 4 。 1 2 本文研究内容和方法 主要是对c c 标准和网络安全评估方法进行了深入研究。阅读了大量相关资料。 对当前网络安全评估方法，模型，标准进行研究和分析。对目前网络现在和趋势 进行了简单描述。提出了基于c c 通用准则的网络安全评估模型。其思想是用安全 等级的方法来表述网络的安全状况。通过对c c 标准深入研究和网络安全原理的分 析，制定了网络安全功能导出模型：其过程是，首先分析评估对象的安全策略， 威胁和安全目的；然后结合c c 安全功能类导出评估对象的安全功能需求。并且通 过该模型导出了防火墙，数据库和w e b 服务器的安全功能要求。同时，本文对分 布式系统中的安全功能要求进行了研究。 通过对评估方法和量化评估方法的研究，提出了网络安全评估模型：采用层 次分析法( a h p ) 确定安全组件的权重；通过评估安全组件的满足度，得到评估对 象的安全等级；最后采用加权平均得到整个网络的安全等级。希望在传统的网络 风险评估方法和模型之外，探讨一种新的评估方法和模型，为网络安全评估提供 4 第一章前言 一种新的选择。 1 3 本文的结构 本文一共有五个章节组成。 第一章，前言。在这一章，主要分析了目前我国的网络安全情况和趋势。 概括的介绍了本文的研究内容和方法。 第二章，网络安全评估方法研究。研究和总结了的信息系统评估标准，方法， 工具和技术。 第三章，基于c c 的安全功能模型。通过对c c 的研究和学习，提出了安全功 能导出模型。运用该模型导出了防火墙，w e b 服务器和数据库的安全功能组件。 最后分析了在分布式系统中，安全功能的要求。 第四章，基于c c 的网络安全综合评估。 第五章，实例演示。采用本文提出的模型和方法，对一个业务系统进行评估。 演示本文评估模型的实施过程。 5 电子科技大学硕士学位论文 第二章网络安全评估方法研究 这一章主要介绍了信息系统的评估标准，评估方法和常用的安全工具。并总 结了各种标准和方法的优缺点。 2 1 信息安全评估标准 简单的说信息安全就是指保护信息的安全。对于网络而言，就是保护网络的 硬件、软件及其系统中的数据。也就是保护数据的三个安全属性( 可用性，完整 性和保密性) 。非授权用户或i t 产品不能破坏、更改或者泄露网络中的安全信息。 信息安全技术也可以称作i c t ( i n f o r m a t i o na n dc o m m u n i c a t i o n st e c h n o l o g y ) 信息和通信技术。该技术主要是对信息的收集、识别、提取、传输、和利用。主 要包括传感技术、计算机技术和通信技术。网络安全保护的主体就是网络当中 关键信息( 用户数据，客户信息和公司资料等) ，而信息安全评估标准则是评估 信息安全的灵魂。信息安全标准是信息系统安全的前提和保证。它对信息技术起 到规范和指导的作用。目前大部分的标准是由国际化标准机构或多个国家联合制 定的。国际化的标准组织主要有 5 6 7 ：国际标准化组织i s o ( i n t e r n a t i o n a l o r g a n i z a t i o nf o rs t a n d a r d i z a t i o n ) 其领域覆盖军事，经济和科技，是国际上 最大的标准组织；a n s i ( a m e r i c a nn a t i o n a ls t a n d a r d si n s t i t u t e ) 美国国家标 准学会是首个是非赢利性质的民间标准化团体；i e c 国际电工委员会 ( i n t e r n a t i o n a le l e c t r ot e c h n i c a lc o m m i s s i o n ) i e c 是世界上成立最早的非政 府性国际电工标准化机构；i e e e 美国电气电子工程师学会( i n s t i t u t eo f e l e c t r i c a la n de l e c t r o n i c se n g i n e e r s ) i e e e 的标准主要对象是电气与电子设 备等；i t u ( i n t e r n a t i o n a lt e l e c o m m u n i c a t i o nu n i o n ) 国际电信联盟；b s i ( b r i t i s h s t a n d a r d si n s t i t u t i o n ) 英国标准学会；d i n ( d e t a c h e si n s t i t u t ef u rn o r m ) 德国标准化学会；a f n o r ( a s s o c i a t i o nf r a n g o i s ed en o r m a l i z a t i o n ) 法国标准 化协会；n i a p ( n a t i o n a li n f o r m a t i o na s s u r a n c ep a r t n e r s h i p ) 国际资讯担保 组织；n i s t ( n a t i o n a li n s t i t u t eo fs t a n d a r d sa n dt e c h n o l o g y ) 美国国家标准 技术研究院和我国c a s ( c h i n aa s s o c i a t i o nf o rs t a n d a r d i z a t i o n ) 中国标准化 协会，它是我国唯一的标准化专业协会。 6 第二章网络安全评估方法研究 当前国内外主要的信息安全评估标准包括：i a t f ( i n f o r m a t i o na s s u r a n c e t e c h n i c a lf r a m e w o r k ) 信息保证技术框架；t c s e c ( t r u s t e dc o m p u t e rs y s t e m e v a l u a t i o nc r i t e r i a ) 可信计算机系统安全评估准则；t n i ( t r u s t e dn e t w o r k i n t e r p r e t a t i o n ) 可信网络解释；i t s e c ( i n f o r m a t i o nt e c h n o l o g ys e c u r i t y e v a l u a t i o nc r i t e r i a ) 信息技术安全评估标准；信息安全管理标准 ( i s 0 2 7 0 0 1 ) ；计算机信息系统安全保护等级划分准则；c c ( c o m m o nc r i t e r i a ) 信息技术安全通用准则；s s e c m m ( s y s t e ms e c u r i t ye n g i n e e r i n gc a p a b i l i t y m a t u r i t ym o d e l ) 系统安全工程能力成熟度模型；信息安全管理指南( i s o i e c t r l 3 3 3 5 ) 信息系统安全保护等级应用指南和信息安全管理体系标准 8 9 ( b s7 7 9 9 i s 01 7 7 9 9 ) ；计算机信息系统安全等级保护管理要求( g 忻 3 9 1 2 0 0 2 ) ：计算机信息系统安全等级保护划分准则( g b 1 7 8 5 9 1 9 9 9 ) ；信息技 术安全性评估准则( g b t1 8 3 3 6 2 0 0 1 ) ；信息安全技术信息安全风险评估规范 ( g b 厂r 2 0 9 8 4 2 0 0 7 ) 。 t c s e c 可信计算机系统安全评估准则是根据国防信息系统的保密需要于 1 9 8 3 年制定的 1 0 。是首部用于信息安全评估的标准。提出了( b e l l l a p a d u l a ) 安全模型。第一次使用了第三方利用技术分析和测试手段获取评估证据来证明开 发者正确有效地实现了标准要求的安全功能。t c s e c 安全要求由策略( p o l i c y ) 、保 障( a s s u r a n c e ) 类和可追究性( a c c o u n t a b i l i t y ) 类构成。其中，策略类包含安全策略和 标记两点要求，保障类有保障和持续保护两点要求，可追究性有标识和可追究性 两点要求，。t c s e c 将计算机系统按照安全要求从低到高划分为四个等级。四个等 级包括d 、c 、b 和a 。每个等级下面又分为七个级别：d 1 、c 1 、c 2 、b 1 、b 2 、 b 3 和a 1 七个类别，每一级别要求涵盖安全策略、责任、保证、文档四个方面。 为了适应信息技术的发展，后来又将“可信网络解释”( t n d 和“可信数据库解释 ( t d i ) 解释性文件加入到t c s e c 中，使其使用范围延伸到民用信息技术产品。 t c s e c 安全概念仅仅涉及防护，而缺乏对安全功能检查和如何应对安全漏洞方 面问题的研究和探讨。它运用的主要安全策略是访问控制机制。但由于该准则只 考虑信息系统的保密性问题，而缺乏对信息系统的完整性，可用性问题检查和如 何应对安全漏洞方面问题的研究。所以t c s e c 有很大的局限性。 i t s e c 信息技术安全评估标准在1 9 9 0 由德国信息安全局发起 1 1 。该标 准的制定，有利于欧共体的标准一体化，也有利于各国在评估结果上的互认。作 为多国安全评估标准的综合产物，适用于军队和民用信息技术产品。它以超越 t c s e c 为目的。该标准将安全性要求划分为“安全执行功能”与“保障 两部分， 7 电子科技大学硕士学位论文 并且首次提出了信息安全c i a 概念( 保密性，完整性，可用性) ，在t c s e c 基础 上，有了很大的提高。安全执行功能指为满足安全需求而采取的一系列技术安全 措施，如安全审计，访问控制、鉴别、密码保护等，主要目的是使系统的c i a 得 到满足；保障是指为了确保安全执行功能正确实现及其有效性的而采取的非技术 安全措施。i t s e c 的安全功能要求从f 1 - f 1 0 共分为1 0 级，其中1 5 级分别与 t c s e c 的d a 相对应，6 1 0 级的定义为：f 6 - 数据和程序的完整性；f 8 ：数据 通信完整胜；f 7 ：系统可用性；f 9 ：数据通信保密性；f 1 0 包括机密性和完整性。 保证要求分为6 级：e 1 ：测试；e 2 ：能够访问详细设计和源码；e 3 ：设计与源码 明显对应；e 4 ：配置控制和可控交付；e 5 ：详细的脆弱性分析；e 6 ：设计与源码在 形式上一致。 i t s e c 的适用领域非常广泛，包括军队、政府和商业等部门。可以说i t s e c 是信息安全的研究和评估里程碑。把可信计算机的概念提高到可信信息技术的高 度上认识。 s s e - c m m ( 系统安全工程能力成熟度模型) 起源于能力成熟度模型( c m m ) ， 它是由美国国家安全局提出的，专门应用于系统安全工程。目的是建立和完善一 套成熟的、可度量的安全工程过程。于2 0 0 2 年被国际标准化组织接收为国际标准。 确保了在处理硬件、软件、系统和组织安全问题的工程实施活动之后，所应具有 的各种依据，使得产品、系统、服务更具可信性。目前，s s e c m m 模型已经成为系 统安全工程的通用方法。虽然s s e - c m m 是一个清晰的信息安全工程模型。但是这 并不意味它与其它过程方法相隔离，相反，它认为可以向其中不断添加其它的安 全过程。这说明s s e - c m m 是一个开放性的标准，可以不断的完善。s e - c m m 模型及 其评定方法汇集了工业界常见的实施方法。国内部分有实力的安全公司已经开始 应用这一模型。 信息安全管理体系标准也叫b s 7 7 9 9 ，是最具有代表性的信息安全管理体 系。由英国标准协会制定国标准协会( b s i ) 提出。b s 7 7 9 9 信息安全管理体系标准由 两部分内容组成，包括：b s 7 7 9 9 - 1 信息安全管理体系实施指南；b s 7 7 9 9 - 2 信 息安全管理体系认证标准。最初版本是1 9 9 5 年英国标准协会颁布的 b s 7 7 9 9 - 1 ：1 9 9 5 信息安全管理实施细则。1 9 9 9 年，b s 7 7 9 9 一l ：1 9 9 5 修订后再次 由英国标准协会颁布，b s 7 7 9 9 - 2 信息安全管理体系规范也在同年颁布。2 0 0 0 年， b s 7 7 9 9 第一部分成为i s 0 1 7 7 9 9 国际标准，该标准被信息界喻为“滴水不漏的信息 安全管理标准 。b s7 7 9 9 旨在为信息安全风险评估提供具有可实施性的方向指导， 它涵盖了信息安全风险评估的方法、步骤和主要内容。同时，b s 7 7 9 9 为了给信息 8 第二章网络安全评估方法研究 安全管理体系的建立、实施和改进提供依据，还引入p d c a 过程模型，把信息安 全评估向管理体系进行融合。目前，b s7 7 9 9 具有相当广泛的的认可度，被国际上 很多国家采用。 与c c 相比，b s 7 7 9 9 侧重i t 安全管理的过程和方法；c c 更侧重于对系统和产 品的技术和安全措施的评估；而s s e - c m m 则侧重于i t 产品的安全工程过程管理。 信息安全管理标准是信息系统安全管理的指南。用户可以参照该标准制 定安全管理计划和实施步骤。它和b s7 7 9 9 相同都是侧重i t 安全管理。但是它对 安全管理的过程描述的更加细致，更加可操作。 t n i ( 可信网络解释) 是由美国国防部计算机安全评估中心在t c s e c 的基础上 于1 9 8 7 年发布的。有两个部分构成，第一部分针对网络系统评估；第二个部分主 要讲网络服务中的安全问题。 信息安全管理指南( g u i d e l i n e sf o rt h em a n a g e m e n to fi ts e c u r i t y ，简称 g m i t s ) ，也叫i s o i e ct r1 3 3 3 5 ，是由国际标准化组织于1 9 9 6 年制定的。该标 准由以下五部分组成：i s o i e c1 3 3 3 5 1 ：信息安全的概念和模型( c o n c e p ma n d m o d e l sf o ri ts e e u n t y ) ； i s o i e c1 3 3 3 6 - 2 ：信息安全的管理和计划( m a n a g i n ga n d p l a n n i n gi ts c u r i t y ) ；i s o i e c1 3 3 3 5 3 ：信息安全管理技术( t e c h n i q u e sf o rt h e m a n a g e m e n to fi ts c u r i t y ) ；i s o i e c 13 3 3 5 - 4 ：安全措施的选择( s e l e c t i o no f s a f e g u a r d s ) ；i s o i e c1 3 3 3 5 5 ：网络安全管理指南( m a n a g e m e n tg u i d a n c eo nn e t w o r k s e c u r i t y ) 。 g m i t s 的第一部分非常清晰地描述信息安全相关概念和模型，因而可以很容 易地把它们进行组合从而形成一套比较完整的信息安全概念体系；该标准的可操 作性强，信息安全机构很容易参考这个标准制定自己的信息安全计划；标准对信 息安全风险分析和管理过程细节的描述非常到位，具有参考意义；该标准提出的 防护措施可以使得信息安全管理和建设信息安全防护体系变得十分容易 信息保证技术框架为保护企业及信息基础设施提供了技术指南。提出了 信息系统的结构：计算环境、区域边界、网络和基础设施、支撑基础设施。本文 对网络资产的划分，就是按照该框架来识别的。 c c 1 1 标准是由美国发起的。英国、法国、德国等国共同参与和制定的。是 当前信息系统安全认证方面最权威的标准。c c 由三部分组成：简介和一般模型、 安全功能要求和安全保证要求。第一部分定义了信息安全评估的一般概念和原理： 安全功能要求定义了信息产品需要满足的安全功能要求；安全保证要求是能使系 统达到安全功能要求的保证组件的集合，功能类和保证类以类( c l a s s e s ) 族 9 电子科技大学硕士学位论文 f f a m i l i e s ) 一组件( c o m p o n e n t s ) 的结构来描述。c c 提出了从低到高的七个安全保证等 级( e v a l u a t i o na s s u r a n c el e v e l s ，e a l ) ，从e a l1 到e a l 7 。该标准主要保护信息 的保密性、完整性和可用性三大特性。评估对象包括信息技术产品或系统，不论 其实现方式是硬件、固件还是软件。c c 作为评估信息技术产品和系统安全性的基 础准则，即给出了i t 系统和产品的安全技术要求，有对i t 产品的开发过程提高了 保障。第二部分的安全功能类，提出了安全i t 产品的保护措施和技术要求。第三 部分提出的安全保障类，则是以工程的思想对i t 产品的整个生命周期提出的安全 保障要求，能够指导产品或系统的开发、生产、集成、运行、维护等。 目前国外已经成了评估机构对i t 产品和系统进行c c 评估。美国的n i a p ( 国 家信息保障联盟) 是专门评估i t 产品和系统的评估机构，c c 的评估业务全部由 n i a p 完成。n i a p 是由美国标准技术研究所和国家安全局于1 9 9 7 年成立。通过n i a p 来满足国内i t 生产者和消费者的安全测试以及评估需求。目前国外的很多i t 产 品都取得了n i a p 的评估认证。为了与国外同步，我国在2 0 0 1 年制定了与c c 相对 应的国家标准( g b t1 8 3 3 6 ) 。但是，我国目前还没有相应的评估机构来实施c c 评估，使得我国还没有依照c c 标准来评估的i t 产品。 计算机信息系统安全等级保护划分准则，于1 9 9 9 年9 月由国家质量技术 监督局发布，为国家标准g b 1 7 8 5 9 1 9 9 9 。该标准是在美国标准的t c s e c 及t n i 的基础上，结合我国国情设计，为信息安全相关部分提供执法依据，为信息安全 相关产品研制提供技术支持，为信息安全建设提供技术指导。该标准根据信息系 统安全性从低到高划分为五个等级： 1 用户自主保护级：本级通过隔离用户与数据，使的计算机信息系统具备自主安 全保护的能力。它具有多种形式的访问控制能力，即为用户提供可行的访问手 段，又保护了用户和用户组的信息，避免非法用户对授权用户数据的读写与破 坏。 2 系统审计保护级：与用户自主保护级相比，本级的计算机信息系统可信计算基 实施了更细致和深度的自主访问控制，它通过审计安全性事件、登录规程和隔 离资源，使安全事件与用户对应起来，使用户对自己的行为负责。 3 安全标记保护级：本级的具有系统审计保护级的所有功能。此外，还提供有关 安全策略模型、数据标记；具有准确地标记输出信息的能力；消除通过测试发 现的任何错误，其安全保障能力进一步加强。 4 结构化保护级：本级的计算机信息系统可信计算基建立在形式化安全策略模型 之上，此外，还要考虑隐蔽通道。它要求将第三级系统中的自主和强制访问控 l o 第二章网络安全评估方法研究 制扩展到所有主体与客体。本级必须结构化为关键保护元素和非关键保护元 素。计算机信息系统可信计算基的接口也必须明确定义，使其设计与实现能经 受更充分的测试和更完整的复审。加强了鉴别机制；支持系统管理员和操作员 的职能；增强了配置管理控制。系统具有相当的抗渗透能力。 5 访问验证保护级：本级在第四级的基础上增加了访问监控器需求。访问监控器 仲裁主体对客体的全部访问。访问监控器本身是抗篡改的。计算机信息系统可 信计算基在构造时，省去去了信息系统实施安全策略来说并非必要的代码，以 满足访问监控器需求；在设计和实现时，将其复杂性降低到最小程度。支持安 全管理员职能；当发生与安全相关的事件时发出信号，扩充其安全审计机制； 提供系统恢复机制。系统具有很高的抗渗透能力。 计算机信息系统安全等级保护管理要求g a t3 9 1 2 0 0 2 于2 0 0 2 年，由中 华人民共和国公安部发布。该标准明确提出了六个层次的安全管理要求：管理层、 物理层、网络层、系统层、应用层和运行层。该标准的制定是以国际标准i s o i e c t r1 3 3 3 5 标准为基础，并结合计算机信息系统安全过程。提出了比i s o i e ct r 1 3 3 3 5 更为详尽的信息系统安全过程要求，还对i s o i e ct r1 3 3 3 5 某些过程进行 了提炼，吸收了i s o i e ct r1 3 3 3 5 的管理概念，并将管理要求与计算机信息系 统安全保护等级划分准则g b l 7 8 5 9 1 9 9 9 划分的五个等级相对应，从而使得对安 全管理的评估和检查更加合理和高效。 信息技术安全性评估准则g b t1 8 3 3 6 于2 0 0 1 年3 月由国家质量技术监督 局发布，是由c c 安全准则i s o i e c l 5 4 0 8 翻译而来。但是，我国目前还没有相应 的评估机构来实施c c 评估，使得我国还没有依照c c 标准来评估的i t 产品。 信息安全技术信息安全风险评估规范，即g b t 2 0 9 8 4 2 0 0 7 于2 0 0 6 年是 由国家信息中心、公安部第三研究所等共同编写。由全国信息安全标准化委员会 主任办公会讨论通过。该标准提出了风险评估的基本概念、要素关系、分析原理、 实施流程和评估方法，以及风险评估在信息系统生命周期不同阶段的实施要点和 工作形式。并且提出了资产、威胁、风险、脆弱性和安全措施的这些评估要素以 及业务战略、资产价值、安全需求、安全事件、残余风险等相关属性本标准适用 于规范组织开展的风险评估工作。该标准的制定，使得我国风险管理、安全技术、 规范和认证形成了一套信息系统风险评估技术规范。 电子科技大学硕士学位论文 2 2 信息安全评估方法 目前对信息系统安全评估方法的有很多，有的通过定性的评价给出i t 系统的 风险情况，有的是通过定量的计算得到i t 系统的风险值，从系统的风险取值高低 来衡量系统的安全性 1 3 1 4