全国客户服务:4006-054-001 疑难解答:159-9855-7370(7X24合作/咨询),173-0411-9111/155-4267-2990(售前),座机/传真:0411-83767788,微信:543646
上一张 下一张

核心论文发表网谈计算机网络安全评估技术

摘要:Internet的发展已经渗透到现今社会的各个领域,随着信息化建设的逐步深入,网络安全、信息安全的重要性也日益显着。计算机网络安全问题单凭技术是无法得到彻底解决的,它的

4006-054-001 立即咨询

核心论文发表网谈计算机网络安全评估技术

发布时间:2022-10-05 21:43 热度:

核心论文发表网谈计算机网络安全评估技术

  摘要:Internet的发展已经渗透到现今社会的各个领域,随着信息化建设的逐步深入,网络安全、信息安全的重要性也日益显着。计算机网络安全问题单凭技术是无法得到彻底解决的,它的解决更应该站在系统工程的角度来考虑。在这项系统工程中,网络安全评估技术占有重要的地位,它是网络安全的基础和前提。文章发表在《》上,是核心论文发表网范文,供同行参考。

  网络安全评估又叫安全评价。一个组织的信息系统经常会面临内部和外部威胁的风险。安全评估利用大量安全性行业经验和漏洞扫描的最先进技术。从内部和外部两个角度。对系统进行全面的评估。

  1 网络安全评估标准

  网络安全评估标准简介:

  1.1 TCSEC

  TCSEC标准是计算机系统安全评估的第一个正式标准,具有划时代的意义。该准则于1970年由美国国防科学委员会提出,并于1985年12月由美国国防部公布。TCSEC安全要求由策略(Policy)、保障(Assuerance)类和可追究性(Account-ability)类构成。TCSEC将计算机系统按照安全要从由低到高分为四个等级。四个等级包括D、C、B和A,每个等级下面又分为七个级别:D1、c1、c2、B1、B2、B3和A1七个类别,每一级别要求涵盖安全策略、责任、保证、文档四个方面。

  TCSEC安全概念仅仅涉及防护,而缺乏对安全功能检查和如何应对安全漏洞方面问题的研究和探讨,因此TCSEC有很大的局限性。它运用的主要安全策略是访问控制机制。

  1.2 1TSEC

  ITSEC在1990年由德国信息安全局发起,该标准的制定,有利于欧共体标准一体化,也有利于各国在评估结果上的互认。该标准在TCSEC的基础上,首次提出了信息安全CIA概念(保密性、完整性、可用性)。1TSEC的安全功能要求从F1~F10共分为10级,其中1~5级分别于TCSEC的D-A对应,6~10级的定义为:F6:数据和程序的完整性;F7:系统可用性;F8:数据通信完整性;F9:数据通信保密性;F10:包括机密性和完整性。

  1.3 CC

  CC标准是由美国发起的,英国、法国、德国等国共同参与制定的,是当前信息系统安全认证方面最权威的标准。CC由三部分组成:见解和一般模型、安全功能要求和安全保证要求。CC提出了从低到高的七个安全保证等级,从EALl到EAL7。该标准主要保护信息的保密性、完整性和可用性三大特性。评估对象包括信息技术产品或系统,不论其实现方式是硬件、固件还是软件。

  2 网络安全评估方法

  目前网络安全评估方法有很多,有的通过定性的评价给出IT系统的风险情况,有的是通过定量的计算得到IT系统的风险值,从系统的风险取值高低来衡量系统的安全性。现在最常用的还是综合分析法,它是以上两种方式的结合,通过两种方法的结合应用,对系统的风险进行定性和定量的评价。下面介绍几种常见方法。

  2.1 确定性评估(点估计)

  确定性评估要求输入为单一的数据,比如50%为置信区间的上限值,假设当输入的值大于该值时,一般是表示“最坏的情况”。确定性评估应用比较简单,节省时间,在某些情况下可以采用该方法。点估计的不足在于对风险情况缺乏全面、深入的理解。

  2.2 可能性评估(概率评估)

  可能性评估要求输入在一个区间范围内的数据,通过该数据分布情况和概率来作出判断,其结果的准确性比较依靠评估者的能力和安全知识水平。

  2.3 故障树分析法(FAT)

  故障树分析法是一种树形图,也是一种逻辑因果关系图。它从顶事件逐级向下分析各自的直接原因事件,用逻辑门符号连接上下事件,从上到下开始分析直至所要求的分析深度。

  3 网络安全评估工具

  在信息系统的评估中,我们经常会用到问卷调查和检查列表等。这些只能用于风险评估的某些过程。目前,各大安全公司都先后推出自己的评估工具,使得信息系统的安全评估更加的自动化。常见的评估工具主要有下列几种:

  3.1 Asset-1

  Asset-1评估工具是以NIST SP800-26为标准制定的用于安全性自我评估的自动化工具。工具的主要功能是进行信息系统安全性的白评估,采用形式是通过用户手动操作进行自评估,达到收集系统安全性相关信息的目的,工具最终生成安全性自评估报告。最终生成的报告只能达到与用户提供的信息统计的准确性,工具并不能引导分析或验证自我评估提供信息的关联性、准确性。

  根据NIST安全性自我评估向导,将安全级别分为五级:一般、策略、实施、测验、检验。此工具的每个调查问题都相当于一个命题,陈述为了确保系统的安全性应该做到的相关事项,用户对于问题的回答就是选择系统对于此项命题的安全程度为上述五级中的哪些级别。最后通过统计在某一级别上问题命题和级别选定,来统计系统的安全措施达到的安全级别。

  3.2 CC评估工具

  CC评估工具由NIAP发布,由两部分组成:CC PKB和CC ToolBox。

  CC PKB是进行CC评估的支持数据库,基于Access构建。使用Access VBA开发了所有库表的管理程序,在管理主窗体中可以完成所有表的记录修改、增加、删除,管理主窗体以基本表为主,并体现了所有库表之间的主要连接关系,通过连接关系可以对其他非基本表的记录进行增删改。

  CC ToolBox是进行CC评估的主要工具,主要采用页面调查形式,用户通过依次填充每个页面的调查项来完成评估,最后生成关于评估所进行的详细调查结果和最终评估报告。

  CC评估系统依据CC标准进行评估,评估被测达到CC标准的程度,评估主要包括PP评估、TOE评估等。

  3.3 COBRA风险管理工具

  安全风险分析管理和评估是保证IT安全的一个重要方法,它是组织安全的重要基础。1991年,C&A Systems SecurityLtd推出了自动化风险管理工具COBRA 1版本。用于风险管理评估。随着COBRA的发展,目前的产品不仅仅具有风险管理功能,还可以用于评估是否符合BS7799标准,是否符合组织自身制定的安全策略。COBRA系列工具包括风险咨询工具、ISO17799/BS7799咨询工具、策略一致性分析工具、数据安全性咨询工具。

  COBRA采用调查表的形式,在PC机上使用,基于知识库,类似专家系统的模式。它评估威胁、脆弱性的相关重要性,并生成合适的改进建议。最后针对每类风险形成文字评估报告、风险等级,所指出的风险自动与给系统造成的影响相联系。

  COBRA风险评估过程比较灵活,一般都包括问题表构建、风险评估、产生报告。每部分分别由问题表构建、风险评估、产生报告生成三个子系统完成。

  3.4 RiskPAC评估工具

  RiskPAC是CSCI公司开发的,对组织进行风险评估、业务影响分析的工具,它完成定量和定性风险评估。

  RiskPAC将风险分为几个级别,即低级、中级、高级等,针对每个级别都有不同的风险描述,根据不同风险级别问题的构造和回答,完成风险评估。

  RiskPAC包括两个独立的工具:问题设计器和调查管理器。其中问题表设计器进行业务分析和风险评估的调查表设计,调查管理器就是将已选定的调查表以易用的形式提供给用户,供用户选择相应答案,根据答案做出分析评估结论。

  3.5 RiskWatch工具

  使用RiskWatch风险分析工具,用户可以根据实际需求定制风险分析和脆弱性评估过程,而其他风险评估工具都没有提供此项功能。RiskWatch通过两个特性:定量和定性风险分析、预制风险分析模板,为用户提供这种定制功能。

  4 总结

  网络安全评估是在网络安全领域里最关键的问题。目前,国内外还没形成对网络设备的安全性评估的统一的标准,只是在网络安全的其他方面有所提及到,但也都不没有明确。所以说网络设备的安全性评估这个问题在今后相当长的一段时间中还需要我们网络工作人员及相关的专家在实际工作中和研究中对网络设备的安全性多多关注,以便尽早的在这一方面形成一定的评断标准,填补这方面的空白。

  参考文献

  冯登国,张阳,张玉清,信息安全风险评估综述,北京:通信学报,2004(7)

  上官晓丽,罗锋盈,胡啸,等,国际信息安全管理标准的相关研究,北京:信息技术与标准化,2004(11)

  胡铮,网络与信息安全,北京:清华大学出版社,2006

  投稿须知:《计算机与网络》杂志是学术性通信刊物。介绍国内外无线与有线通信领域和广播电视专业等方面最新科研成果、新技术、新产品和新动态,交流国内生产、科研和使用部门的经验。



核心论文发表网谈计算机网络安全评估技术

相关阅读

试论虚拟参考站(VRS)技术在现代测量中的应用

摘要:虚拟参考站的出现是GPS定位的有一项突破,它标志着GPS的发展进入了一个新阶段,它不仅使GPS提高了精度,同时扩大了...

论析从功能翻译理论看电视软新闻英译

20世纪70年代功能翻译理论在德国蓬勃发展。1971年卡塔琳娜·赖斯 (KatharinaReiss) 在《翻译批评的可能性与局限性》( Possibiliti...

比亚迪E5无法慢充故障诊断

近年来,包括我国在内的世界各国先后发布限时停售传统燃油车的政策。预计10年后,在我国销售的增量新车中,将没有内燃...

太阳能光伏系统的应用

结合某项目的太阳能光伏照明设计,具体阐述并网发电系统的构成及功能,并对光伏发电的效益做一定的分析...

浅析数字化技术在飞机装配中的应用_数字技术论

随着信息时代的到来,数字化技术被广泛应用。数字化技术在飞机装配中的应用显示了许多优势,使我国航空产品的开发发生...

应用SECTION处理AutoCAD和MAPGIS间的数据转换_计算机

本文简要介绍了通过AutoCAD的DXF数据格式与MAPGIS的MPJ数据格式直接转换在地质工作中存在的一些不足之处,重点阐述了AutoCAD的...

公司地址:大连市中山区曼哈顿大厦A座2610室 运营中心:大连市沙河口区金盾路127号 研发中心:大连市西岗区大工西岗科创产业园10层 邮政编码:116029
全国客户服务热线:4006-054-001 业务咨询、合作:159-9855-7370(同微信) / 173-0411-9111 董经理 售后座机 / 传真:0411-83767788 电子邮件:Djy@Jiqunzhihui.com
集群智慧®为我公司注册商标,在商标国际分类第1、7、9、11、20、30、35、36、37、38、40、41、42、44、45类用途中受法律保护,侵权必究。侵权删除:2544906@QQ.com
本企业已通过ISO9001国际质量管理体系认证、ISO45001职业健康安全管理体系认证、ISO14001环境管理体系认证、企业信用等级AAA级认证、科技型中小企业认证、高新技术企业认证。
本站部分服务由本平台认可的第三方服务机构提供,如服务的质量有任何问题,请第一时间向我平台反馈,我们将及时为您解决,平台保障用户的全部权益不受任何损害。
请认准本站网址(www.jiqunzhihui.org.cn),推荐百度搜索“集群智慧云科服”直达本站。
版权所有:大连集群智慧科技服务有限公司 ICP备案:辽ICP备2021010330号-3 增值电信业务经营许可EDI证:辽B2-20230179 手机版