第6章计算机网络安全技术

计算机网络工程王晓燕网络安全概述网络安全是Internet必须面对的一个实际问题网络安全是一个综合性的技术网络安全具有两层含义：保证内部局域网的安全（不被非法侵入）保护和外部进行数据交换的安全常常从如下几个方面综合考虑整个网络的安全保护网络物理线路不会轻易遭受攻击有效识别合法的和非法的用户实现有效的访问控制保证内部网络的隐蔽性有效的防伪手段，重要的数据重点保护对网络设备、网络拓扑的安全管理病毒防范提高安全防范意识网络安全关注的范围网络安全学习内容了解网络安全一些基本概念掌握AAA技术掌握防火墙技术掌握VPN技术第6章计算机网络安全技术（1）网络安全威胁：包括窃听、破坏、重发、假冒、拒绝服务、网络病毒（2）网络安全技术分类：包括身份验证技术、网络数据完整性技术、网络活动审计技术、信息伪装技术（3）数据加密技术：包括私密密钥加密、公开密钥加密、信息摘要算法（4）身份验证技术：包括身份认证、数字签名、哈希函数（5）跟踪审计技术：包括侵检测技术、WindowsNT系统入侵检测（6）防火墙技术：包括防火墙的含义、种类、结构（7）网络安全风险评估：包括风险评估对象、风险评估方法（8）网络安全技术新发展：包括结构标准化、应用综合化、自我完善趋势6.1网络安全威胁网络安全：用一组规则约束所有的网络活动，只有被允许的活动才能正常进行，所有不允许的活动都被禁止。对网络造成威胁的活动：网络窃听、完整性破坏、数据修改、重发（重放）、假冒、服务否认（拒绝服务）、计算机（网络）病毒6.1网络安全威胁（1）网络窃听在广域网上，每个节点都能读取网上的数据。互联网体系结构允许监视器接收网上传输的所有数据帧而不考虑帧的传输目的地址。这个特性使得窃取网上的数据以及非授权访问很容易发生且不易被发现。（2）完整性破坏当信息系统被有意或者无意修改和破坏时，就会发生数据完整性破坏。6.1网络安全威胁（3）数据修改数据修改是在非授权和不能监测的方式下对数据的改变。当节点修改进入网中的帧并传送修改的版本时就发生了数据修改。（4）重发重复一份报文或报文的一部分，以便产生一个被授权的效果。当节点拷贝发送到其他节点的报文并在其后重新发送他们，如果不能监测重发，节点依据此报文的内容接受某些操作，如关闭网络，则将会出现严重的后果。6.1网络安全威胁（5）假冒当一个实体假扮成另一个实体时，就发生了假冒。很多网络适配器都允许网帧的源地址由节点自己来选取或改变，这就使假冒变得容易。（6）拒绝服务当一个授权实体不能获得对网络资源的访问或当紧急操作被推迟时，就发生了服务否认。6.1网络安全威胁造成服务否认原因A、网络部件的物理损坏B、使用不正确的网络协议C、超载（7）计算机（网络）病毒人为编制的隐藏在计算机中很难被发现且具有特定破坏能力的程序或代码。计算机网络安全的另一种分类方法：截取：攻击者从网络上窃听他人的通信内容中断：攻击者有意中断在网络上的通信篡改：攻击者故意篡改网络上的通信内容伪造：攻击者伪造信息在网络上传输这四类威胁可划分两大类：即被动攻击和主动攻击。源站目的站截获源站目的站中断源站目的站篡改源站目的站伪造被动攻击主动攻击在被动攻击中，攻击者只是观察和分析某一个协议数据单元PDU，而不干扰信息流。这种被动攻击又称为通信量分析。主动攻击是指攻击者对某个连接中通过的PDU进行各种处理。如：有选择的更改、删除、延迟这些PDU。从类型上看，主动攻击又可分为三种：更改报文流、拒绝报文服务、伪造连接初始化。

对于主动攻击，可以采取适当的措施加以检测。但对于被动攻击，通常却是检测不出来的。对付被动攻击可采取数据加密技术，而对于主动攻击则需将加密技术与适当的鉴别技术相结合。还有一种特殊的主动攻击就是恶意程序的攻击，主要有：计算机病毒、计算机蠕虫、特洛伊木马、逻辑炸弹。根据这些特点，可得出计算机网络通信安全的五个目标：1、防止分析出报文内容。2、防止通信量分析。3、检测更改报文流。4、检测拒绝报文服务。5、检测伪造初始化连接。6.2网络安全技术分类网络安全技术可以分为四大类（1）身份验证技术（2）网络数据完整性技术（3）网络活动审计技术（4）信息伪装技术

6.2.1身份验证技术含义身份验证包括身份识别和身份认证。身份识别是用户向系统出示自己的身份证明过程。身份认证是系统查核用户的身份证明过程。二者合称为身份验证，是判明和确认通信双方真实身份的两个重要环节。常用的身份验证方法有：用户名＼口令、一次性口令、数字签名、数字证书、PAP认证(PasswordAuthenticationProtocol)CHAP认证以及集中式安全服务器等。6.2.2数据完整性技术含义保持网络的物理完整性，维护数据的机密性，提供安全视图，保障安全通信。方法：访问控制列表，网络地址翻译NAT技术，防火墙和加密技术。数据加密技术是网络安全技术的基石。数据加密是指将一个信息（明文）经过加密密钥和加密函数转换，变成无意义的另一个信息（密文），而接收方则将此密文经过解密函数、解密密钥还原成明文。访问控制1.含义是指网络系统对访问它的用户所实施的控制。2.组成元素（1）可访问对象（2）访问用户（3）访问类型OIDUIDTYPEa5Write3.访问控制列表ACL（AccessControlList）6.2.2数据完整性技术防火墙技术防火墙是一个或一组网络设备，用来在两个或多个网络之间加强访问控制。其目的是保护一个网络不受来自另外一个网络的攻击。图6-1防火墙网络6.2.3跟踪审计技术跟踪审计技术：可以验证网络安全策略是否得当；确认安全策略是否贯彻执行，并及时报告各种情况；记录遭到的攻击；检测是否有配置错误而导致的安全漏洞；统计是否有滥用网络以及其他异常现象等.方法：记帐/日志、网络监控、入侵检测与防止、可疑活动的实时报警等。6.2.4信息伪装技术是90年代兴起的密码技术信息伪装技术就是将需要保密的信息，隐藏于一个非机密信息的内容之中，使得它在外观形式上仅仅是一个含有普通内容的信息。在我们所使用的媒体中，可以用来隐藏信息的形式很多，只要是数字化信息中的任何一种数字媒体都可以，涉及文本、音频、视频等信息的伪装，主要有数字水印、隐像技术、隐声技术等6.3数据加密技术6.3.1传统加密算法代换密码法、数字密码法、置换密码法6.3.2私密密钥加密算法秘密密钥加密算法是一种对称密钥体制，明文P的加密过程Ek和解密过程Dk使用同一个秘密密钥K，并具有Dk（Ek(P)）=P的特性。这类算法又称为共享密钥加密算法。虽然它与传统加密算法在理论上没有区别，但由于是采用计算技术来实现，结构做得非常复杂，并有较长的密钥，不但速度快而且难破译，所以使用非常普及。这类算法的典型代表是DES算法。DES(DataEncriptionStandard）算法是在56位二进制密钥控制下对64位二进制数据块进行初始置换、逆置换和16次复杂的乘积迭代变换，最后获得64位密文。6.3.3公开密钥加密算法特点：加密密钥（即公开密钥）PK是公开信息，加密算法E和解密算法D也是公开的，而解密密钥（即秘密密钥）SK是保密的。虽然SK是由PK决定的，但是不能根据PK计算出SK（1）用PK对明文X加密后，在用SK解密即得明文X，即DSK（EPK（X））＝X。且加密和解密得运算可以对调，即EPK（DSK（X））＝X（2）加密密钥不能用来解密，即DPK（EPK（X））<>X（3）在计算机上可以容易得产生PK和SK，但从PK不可能推导出SK6.3.3公开密钥加密算法RSA算法原理：寻求两个大素数容易，而将他们的乘积分解开则极其困难。加密密钥PK=（e，N）PK公开解密密钥SK=（d，N）d保密N为两个大素数p和q的乘积（p,q一般未100位以上的十进制素数）X表示明文，Y表示密文，则加、解密算法加密：Y=XemodN解密：X=YdmodNRSA系统非常适用于制作数字特征和加密应用，并常用于制作公开保密密钥，用于公开密钥加密系统。Diffie-Hellman算法原理：计算有限域上对数的整数解要比其上的指数解困难的多应用：能方便的通过网络产生只能由源节点和目的节点使用的独特密码例子：一种基于IP的简单的密钥管理方案图6-2不安全网络上的SKIP例子源结点使用自己的专用部分和目的结点D的公用部分计算密钥(Kd)s=(gdmodp)s＝gdsmodp目的结点使用自己的专用部分和源结点S的公用部分计算密钥(Ks)d=(gsmodp)d＝gsdmodp缺点实现比较困难，速度慢（比秘密密钥慢10-100倍）改进图6-3组合密钥系统6.3.4信息摘要算法又称安全Hash算法，包括SHA（SecureHashAlgorithm）或MD5（StandardsforMessageDigest）。信息摘要算法由RonRivest设计。采用单向散列函数将需要加密的任意长度的信息P，摘要成一串固定长度(如128位)的密文MD(P)。6.3.4信息摘要算法信息摘要算法具有如下特征：（1）给定P，很容易计算MD（P），但给定MD（P），却很难找到P。（2）不同的信息的摘要总是不同的，而同样的明文的“摘要”必定是一致的。这样，这串摘要便可以成为验证明文是否是“真身”的指纹了。如图6-4所示。图6-4信息摘要用于数字签名的过程返回（1）用户用散列函数制作原始信息摘要，然后用专用密钥对摘要加密（2）原始信息和加密的摘要发送到目的地（3）目的地接收后，使用与发送地相同的信息摘要函数对收到的信息制作摘要，同时对收到的信息摘要解密（4）将该两摘要进行比较，如相等则知文本无错，否则文本被篡改6.4身份验证技术身份认证的目的（1）保证信息的完整性（2）鉴别通信对方的真实身份6.4.1身份认证信息验证信息的验证是指利用前述秘密密钥，公开密钥和信息摘要等加密算法对信息进行加密、解密，都可以实现对信息完整性验证。目前最常用的信息完整性验证的算法是信息摘要算法，如MD5用户鉴别验证通信对方的真实身份6.4.2用户鉴别方法1.基于共享秘密密钥的鉴别基于共享秘密密钥的用户鉴别即所谓“口令－响应方式”。A发送一随机口令给B，B收到该口令后利用共享秘密密钥对它进行转换，并将结果(响应)返回给A。A再将其进行反转换，并与原口令进行比较，如相同则证明了B的身份，否则拒绝连接。同样B也可对A进行上述鉴别。2.基于公开密钥的鉴别A用B的公开密钥EB加密自己的用户名和标识IDA后发送给B，只有B能解密该消息。B再选一密钥Ks，IDB和IDA用EA加密后送A。A通过IDA列确认B，然后用B给的Ks加密IDB送B，B通过该IDB就可确认A收到自己的消息了。3.基于信息摘要的鉴别如图6－44.基于密钥分配中心的鉴别在所有使用密钥的系统中，必须要有一个密钥分配中心(KDC)来对系统中的密钥进行管理。利用它具有系统中每个用户的共享密钥的条件与用户共同实现用户鉴别。A选择一会话密钥Ks，告诉KDC它用Ks与B通信，A用它与KDC的共享秘密密钥KA加密。KDC解密后将A的身份和Ks用它与B的共享秘密密钥KB加密后送B，B即获得了会话对象A和会话密钥Ks认证中心在迅速发展起来的电子商务中，需要一个具有权威性和公正性的第三方来提供电子交易的认证服务，签发数字证书、数字时戳，并能确认用户身份的服务机构，这就是认证中心(CertificationAuthority，CA)。CA通常是企业性的服务机构，主要业务是受理数字凭证的申请、签发及对数字凭证的管理用户鉴别方式数字时戳（DigitalTime-Stamp，DTS）DTS是一经加密后形成的凭证文件。它包括需加时戳的文件摘要，DTS收到文件的日期和时间以及DTS的数字签名三个部分。用户鉴别方式2.数字凭证（DigitalID，DigitalCertificate）(1)含义：数字凭证又称数字证书，是由CA颁发的一种电子手段，用来证实用户的身份和对网络资源的访问权限。数字凭证的格式由CCITTx．509标准规定，主要包含凭证拥有者姓名、凭证拥有的公共密钥及其有效期、颁发数字凭证的单位、数字凭证序列号、颁发单位数字签名。(2)类型：目前数字凭证有三种类型：个人凭证、单位凭证和软件凭证。(3)标椎：随着电子商务的发展，近年来推出不少更有效的安全交易标准，如安全超文本传输协议(s-HTTP)、安全套接层协议(SSL)、安全交易技术协议(STT)，安全电子交易协议(SET)等，为连接过程提供鉴别、保密、完整性确认和不可否认性服务。6.4.2数字签名数字签名（1）发送者对报文的签名，接受者能够核实，而发送者时候不能抵赖。（2）接受者不能伪造对报文的签名。签名：发送者A用其秘密解密密钥SKA和解密算法D对报文X进行运算，将结果DSKA(X)传送给接收者B。B用已知的A的公开加密密钥PKA和加密算法E得出PEKA(DSKA(X))＝X)。由于A的解密密钥SKA只有A知道，所以除A外无人能够产生密文DSKA（X）。这样，报文就被A签名了。鉴别：假若A要抵赖曾发报文X给B，B可将X及DSKA(X)出示给第三者。第三者很容易用PKA去证实A确实发X给B。反之，若B将X伪造成X’，则B不敢在第三者前出示DSKA(X’)。这样就证明了B伪造了报文。特点：对传送的报文X本身却未保密。具有保密性的数字签名DEDEXDSKA(X)EPKBDSKA(X)SKA秘密密钥A签名PKB公开密钥B加密SKB秘密密钥B解密PKA公开密钥A核实签名DSKB(X)X返回6.5跟踪审计技术6.5.1入侵检测技术入侵检测的概念入侵检测就是通过专用的软件工具检查网络系统中存在的会威胁系统安全的脆弱性的过程。入侵监测系统处于防火墙之后对网络活动进行实时检测。许多情况下，由于可以记录和禁止网络活动，所以入侵监测系统是防火墙的延续。它们可以和你的防火墙和路由器配合工作。

入侵检测的对象(1)存在后门(backdoor，程序员在程序中设置的特殊源代码，使得用户可以绕过正常的认证过程而进入系统内部)的软件程序。(2)软件系统中的配置错误(3)不安全的管理性错误(4)破坏性恶意程序入侵检测的工具扫描器扫描器工作原理扫描器分为本地扫描器和远程扫描器。(1)本地扫描器是运行于目标节点的进程，它可以查看文件被修改的时间，查看文件的内容，从而发现配置错误或黑客所做的更改。本地扫描器还可以检查补丁程序，从而核实系统所做的补救措施是否被真正落实。(2)远程扫描器主要用于检查网络和系统分布处理所导致的脆弱性，依靠发送网络数据包来检测系统。入侵响应与防御（1）防御入侵的准备工作：制定应急计划、人员分工、必要的物质条件（大容量的硬盘）、日志等（2）发现与检测：根据扫描器或其他监控系统的雨景功能和日志，发现入侵者，并记录其行为特征和恶意操作（3）入侵响应：针对入侵行为迅速估计面临的形势，应当首先采取的应急措施，进一步分析入侵原因，制定全面的响应策略，及时向相关人员报警，尽快恢复原位（4）针对入侵监测采取新的防范措施6.5.2网络系统入侵检测举例WindowsNT事件查看器的界面如图6-5所示。图6-5系统日志系统日志如图6-6所示。图6-6系统日志安全日志安全日志如图6-7所示图6-7安全日志应用程序日志应用程序日志如图6-8所示。图6-8应用程序日志事件日志设置WindowsNT事件日志设置界面如图6-9所示。图6-96.6防火墙技术6.6.1防火墙的含义所谓防火墙，就是一个或一组系统，用来在两个或多个网络间加强访问控制。它是一个网络与其他网络之间的可控网关，通常置于一个私有的、有确认的网络和公开的Internet之间。防火墙的作用：（1）限制用户进入被严格控制的点；（2）防止进攻者更接近其他的防御设备；（3）限制用户离开被严格控制的点。6.6.2防火墙的种类一类是基于包过滤，另一类是基于代理服务。二者的区别：基于包过滤的防火墙直接转发报文，他对用户完全透明，速度快；而基于代理的防火墙则是通过代理服务器来建立连接，他有更强的身份验证和日志功能。包过滤防火墙又称筛选路由器，工作在网络层或者传输层上，有选择的让数据包在内部网络和外部网络之间进行交换。它按照一定的安全策略－信息过滤规则，对进出内部网络的信息进行限制，允许授权信息通过，拒绝非授权信息通过。这种系统的功能是路由器的基本功能加以扩展实现的，在路由器上增加安全控制功能，即包过滤功能。利用IP数据报报头的部分或全部信息来设置包过滤规则。如IP协议类型IP源地址IP目的地址TCP源端口号TCP目的端口号TCP确认号图6-10包过滤防火墙优点：对用户是透明的，即不需要使用用户名和密码来登陆，不要求应用程序做任何改动。缺点(1)由于这种技术允许在内部和外部系统之间直接交换数据部，因此内部网中的所有主机和路由器所允许的全部服务都可能成为攻击目标（2）无法对网络上流动的信息提供全面的控制(3)消耗的系统资源大，影响系统的性能代理服务防火墙代理服务是运行在防火墙主机上的一些特定的应用程序或服务器程序。代理服务器是一种增加了安全功能的应用层网关，位于Internet和Intranet之间，自动截取内部用户访问Internet的请求，验证其有效性，代表用户建立访问外部网络的连接。代理服务器在很大程度上对用户是透明的，如果内外部网络各站点之间的连接被切断了，必须通过代理方可相互连通。采用的方法是在应用层网关上安装代理软件，每个代理模块分别针对不同的应用。例如，远程登陆代理TelnetProxy负责Telnet在防火墙上的转发，文件传输代理FTPProxy负责FTP等等。代理服务器把内部网络完全屏蔽起来，当代理服务器代表用户同Internet建立连接时，可以用自己的IP地址代替内部网络的IP地址转换，这样，所有Intranet中的网站对外部是不可见的，外部网站对Intranet的访问要通过代理服务器，并且需IP地址转换。代理服务器能进行安全控制，但需对每一种服务设计一个代理软件模块来进行安全控制。代理服务防火墙如图6-11所示。图6-11代理服务器6.6.3防火墙的结构双宿主机结构主机过滤结构子网过滤结构双宿主机结构把包过滤和代理服务两种技术结合起来，可以形成新的防火墙，称为双宿主机（Dual-HomedHost)防火墙，所以主机称为堡垒主机(BastionHost)，由它取代路由器执行安全控制功能，负责提供代理服务。注意：在建立双宿主机时，应该关闭操作系统的路由能力，否则从一块网卡到另一块网卡的通信会绕过代理服务器软件，而使双宿主机失去“防火”作用特点：IP层的通信是被阻止的，两个网络之间的通信通过应用层数据共享或代理服务来完成双宿主主机就是配有两个网络接口，并通过这两个接口分别与内部网和外部网相连的一台计算机。提供服务2种方式：（1）允许内部网用户直接登陆到双宿主主机上，即在双宿主主机上为用户分别开设帐号，每个帐号通常有一个口令。（2）在双宿主主机上运行代理服务软件。主机过滤结构在双宿主机结构中，双宿主机直接与内外部网络相连；而在主机过滤结构中，堡垒主机仅与内部网络相连，该堡垒主机具有很好的安全控制机制，任何外部系统对内部网络的操作都必须经过堡垒主机。另外，堡垒主机又通过一台路由器与外部网络相连，过滤路由器过滤规则规定，任何外部网络的主机都只能与网络的堡垒主机建立连接，也可以设计成不允许直接连接，这可以根据某些特定的服务来定。实现了网络层安全（包过滤）和应用层安全（代理服务），它提供的安全性能显然要比包过滤路由器高。采用这种防火墙，使得入侵者想要破坏内部网络的安全性，就必须突破这两个不同的安全层次子网过滤结构这种防火墙由两个包过滤路由器配置而成，它在内部网络与外部网络之间设置一个安全保护网络层，称为“参数网络”或“停火区”（DMZ），在停火区内可设置应用网关，也可以放置各类服务器(HTTP、FTP、DNS等)。一般情况下，外部网和内部网都仅能够访问到“停火区”中的有效资源，而通过DMZ直接进行内外网信息传输是被严格禁止的。图6-14子网过滤结构防火墙子网过滤结构如图6-14所示。连接到外部网的包过滤路由器主要用于防范来自外部网的攻击连接到内部网的包过滤路由器则提供第二层防御，它只接受源于堡垒主机的数据包，负责管理DMZ和内部网之间的访问由于外部路由器只能向外部网通告DMZ网络的存在，外部网上的系统不需要有路由与内部网络相连内部路由器只向内部网通告DMZ网络的存在，内部网络中的系统也不能直接连接到外部网络6.7网络安全风险评估6.7.1风险评估步骤（1）风险识别（2）风险分析（3）风险评价6.7.2风险识别方法识别风险的途径包括核对表基于经验和记录的判断、流程图、集体讨论、系统分析、情况分析和系统工程方法。所使用的方法将取决于所评审的活动的性质和风险的类型。计算机网络安全风险评估对象（1）计算机网络硬件系统（2）计算机网络软件系统6.7.3风险分析方法（1）定性分析法（2）定量分析方法（3）综合方法定性分析法

定性分析方法是被广泛使用的一种风险分析方法，也是出现在大部分标准中的一种方法。它对风险产生的可能性和风险产生的后果基于“低/中/高”这种表达方式，而不是准确的可能性和损失量。

该方法通常只关注威胁事件所带来的损失（Loss），而忽略事件发生的概率（Probability）。多数定性风险分析方法依据组织面临的威胁、脆弱点以及控制措施等元素来决定安全风险等级。在定性评估时并不使用具体的数据，而是指定期望值，如设定每种风险的影响值和概率值为“高”、“中”、“低”。有时单纯使用期望值，并不能明显区别风险值之间的差别。可以考虑为定性数据指定数值。例如，设“高”的值为3，“中”的值为2，“低”的值为1。但是要注意的是，这里考虑的只是风险的相对等级，并不能说明该风险到底有多大。所以，不要赋予相对等级太多的意义，否则将会导致错误的决策。定量分析法定量的评估方法是指运用数量指标来对风险进行评估。一般使用潜伏在事件中的分布状态函数，并将风险定义为分布状态函数的某一函数。但是这种方法存在一个问题，就是数据的不可靠和不精确。对于某些类型的安全威胁，存在可用的信息。例如，可以根据频率数据估计人们所处区域的自然灾害发生的可能性（如洪水和地震）。也可以用事件发生的频率估计一些系统问题的概率，例如系统崩溃和感染病毒。但是，对于一些其他类型的威胁来说，不存在频率数据，影响和概率很难是精确的。此外，控制和对策措施可以减小威胁事件发生的可能性，而这些威胁事件之间又是相互关联的。这将使定量评估过程非常耗时和困难。6.7.4风险评价（1）基线评估（2）详细评估（3）组合评估基线评估采用基线风险评估，组织根据自己的实际情况（所在行业、业务环境与性质等），对信息系统进行安全基线检查（拿现有的安全措施与安全基线规定的措施进行比较，找出其中的差距），得出基本的安全需求，通过选择并实施标准的安全措施来消减和控制风险。所谓的安全基线，是在诸多标准规范中规定的一组安全控制措施或者惯例，这些措施和惯例适用于特定环境下的所有系统，可以满足基本的安全需求，能使系统达到一定的安全防护水平。优缺点：基线评估的优点是需要的资源少，周期短，操作简单，对于环境相似且安全需求相当的诸多组织，基线评估显然是最经济有效的风险评估途径。当然，基线评估也有其难以避免的缺点，比如基线水平的高低难以设定，如果过高，可能导致资源浪费和限制过度，如果过低，可能难以达到充分的安全，此外，在管理安全相关的变化方面，基线评估比较困难。详细风险评估

详细风险评估要求对资产进行详细识别和评价，对可能引起风险的威胁和弱点水平进行评估，根据风险评估的结果来识别和选择安全措施。这种评估途径集中体现了风险管理的思想，即识别资产的风险并将风险降低到可接受的水平，以此证明管理者所采用的安全控制措施是恰当的。

优缺点：组织可以通过详细的风险评估而对信息安全风险有一个精确的认识，并且准确定义出组织目前的安全水平和安全需求；详细评估的结果可用来管理安全变化。当然，详细的风险评估可能是非常耗费资源的过程，包括时间、精力和技术，因此，组织应该仔细设定待评估的信息系统范围，明确商务环境、操作和信息资产的边界。组合评估为了决定选择哪种风险评估途径，首先对所有的系统进行一次初步的高级风险评估，着眼于信息系统的商务价值和可能面临的风险，识别出组织内具有高风险的或者对其商务运作极为关键的信息资产（或系统），这些资产或系统应该划入详细风险评估的范围，而其他系统则可以通过基线风险评估直接选择安全措施。组合评估组合评估将基线和详细风险评估的优势结合起来，既节省了评估所耗费的资源，又能确保获得一个全面系统的评估结果，而且，组织的资源和资金能够应用到最能发挥作用的地方，具有高风险的信息系统能够被预先关注。当然，组合评估也有缺点：如果初步的高级风险评估不够准确，某些本来需要详细评估的系统也许会被忽略，最终导致结果失准

国际评估标准

（1）美国国防部开发的计算机安全标准——可信任计算机标准评价准则（TrustedComputerStandardsEvaluationCriteria，TCSEC），即网络安全橙皮书。6.7.5安全性评估标准类别级别名称主要特征DD低级保护没有安全保护CC1自主安全保护自主存储控制C2受控存储控制单独的可查性，安全标识BB1标识的安全保护强制存取控制，安全标识B2结构化保护面向安全的体系结构，较好的抗渗透能力B3安全区域存取监控、高抗渗透能力AA验证设计形式化的最高级描述和验证我国评价标准1999年10月经过国家质量技术监督局批准发布的《计算机信息系统安全保护等级划分准则》将计算机安全保护划分为以下5个级别。第1级为用户自主保护级（GB1安全级）：它的安全保护机制使用户具备自主安全保护的能力，保护用户的信息免受非法的读写破坏。第2级为系统审计保护级（GB2安全级）：除具备第一级所有的安全保护功能外，要求创建和维护访问的审计跟踪记录，使所有的用户对自己的行为的合法性负责。第3级为安全标记保护级（G