內容提要：網絡平安漏洞網絡平安評估標準網絡平安評估方法網絡平安檢測評估系統簡介小結7.1網絡平安漏洞1.網絡平安漏洞威脅〔1〕平安漏洞的定義漏洞是在硬件、軟件、協議的具體實現或系統平安策略上存在的缺陷，可以使攻擊者在未授權的情況下訪問或破壞系統。漏洞的產生有其必然性，這是因為軟件的正確性通常是通過檢測來保障的。而“檢測只能發現錯誤，證明錯誤的存在，不能證明錯誤的不存在〞。返回本章首頁返回本章首頁可以按照風險等級對平安漏洞進行歸類，表7-1，7-2，7-3對漏洞分類方法進行了描述。返回本章首頁表7-1漏洞威脅等級分類嚴重度等級影響度低嚴重度:漏洞難以利用，并且潛在的損失較少。1低影響度:漏洞的影響較低，不會產生連帶的其他安全漏洞。中等嚴重度:漏洞難以利用，但是潛在的損失較大，或者漏洞易于利用，但是潛在的損失較少。2中等影響度:漏洞可能影響系統的一個或多個模塊，該漏洞的利用可能會導致其他漏洞可利用。高嚴重度:漏洞易于利用，并且潛在的損失較大。3高影響度:漏洞影響系統的大部分模塊，并且該漏洞的利用顯著增加其他漏洞的可利用性。

返回本章首頁表7-2漏洞威脅綜合等級分類嚴重等級影響等級123112322343345表7-3漏洞威脅等級分類描述等級描述1低影響度，低嚴重度2低影響度，中等嚴重度；中等影響度，低嚴重度3低影響度，高嚴重度；高影響度，低嚴重度；中等影響度，中等嚴重度4中等影響度，高嚴重度；高影響度，中等嚴重度5高影響度，高嚴重度2.網絡平安漏洞的分類方法按漏洞可能對系統造成的直接威脅分類按漏洞的成因分類返回本章首頁〔1〕按漏洞可能對系統造成的直接威脅分類可以分為：遠程管理員權限；本地管理員權限；普通用戶訪問權限；權限提升；讀取受限文件；遠程拒絕效勞；本地拒絕效勞；遠程非授權文件存取；口令恢復；欺騙；效勞器信息泄露；其它漏洞。返回本章首頁〔2〕按漏洞的成因分類可以分為：輸入驗證錯誤類；訪問驗證錯誤類；競爭條件類；意外情況處置錯誤類；設計錯誤類；配置錯誤類；環境錯誤類。返回本章首頁返回本章首頁返回本章首頁返回本章首頁返回本章首頁返回本章首頁7.2網絡平安評估標準1.網絡平安評估標準的開展歷程〔1〕首創而孤立的階段〔2〕普及而分散的階段〔3〕集中統一階段

返回本章首頁返回本章首頁圖7-1測評標準的開展演變歷程返回本章首頁表7-7各標準的等級劃分對照表CCTCSECFCITSECCTCPECGB17859-1999…DE0T0…EAL1……T11：用戶自主保護EAL2C1E1T22：系統審計保護EAL3C2T1E2T33：安全標記保護EAL4B1T2E3T44：結構變化保護……T3……………T4………EAL5B2T5E4T55：訪問驗證保護EAL6B3T6E5T6…EAL7AT7E6T7…2.TCSEC、ITSEC和CC的根本構成〔1〕TCSEC的根本構成TCSEC主要由以下四個方面進行描述：平安策略模型〔SecurityPolicyModel〕可追究性〔Accountability〕保證〔Assurance〕文檔〔Documentation〕

返回本章首頁返回本章首頁TCSEC的平安級別類別級別名稱主要特征AA驗證設計形式化的最高級描述和驗證形式化的隱蔽通道分析非形式化的代碼對應證明BB3安全區域訪問控制高抗滲透能力B2結構化保護形式化模型/隱通道約束面向安全的體系結構較好的抗滲透能力B1標識的安全保護強訪問控制安全標識CC2受控制的訪問控制單獨的可追究性廣泛的審計蹤跡C1自主安全保護自主訪問控制DD低級保護相當于無安全功能的個人微機TCSEC根據所采用的平安策略、系統所具備的平安功能將系統分為四類七個平安級別。〔2〕ITSEC的根本構成TSEC也定義了7個平安級別，即E6：形式化驗證；E5：形式化分析；E4：半形式化分析；E3：數字化測試分析；E2：數字化測試；E1：功能測試；E0：不能充分滿足保證。返回本章首頁ITSEC的平安功能分類為：標識與鑒別、訪問控制、可追究性、審計、客體重用、精確性、效勞可靠性、數據交換。其保證那么分為：有效性〔Effectiveness〕和正確性〔Correctness〕。返回本章首頁返回本章首頁CC的功能要求和保證要求均以類-族-組件的結構表述。功能要求包括11個功能類〔平安審計、通信、密碼支持、用戶數據保護、標識和鑒別、平安管理、隱秘、TSF保護、資源利用、TOE訪問、可信路徑、信道〕。保證要求包括7個保證類〔配置管理、交付和運行、開發、指導性文件、生命周期支持、測試、脆弱性評定〕。返回本章首頁CC的評估等級共分7級：EAL1到EAL7，分別為功能測試，結構測試，系統測試和檢驗，系統設計、測試和評審，半形式化設計和測試，半形式化驗證的設計和測試，形式化驗證的設計和測試。返回本章首頁返回本章首頁CC結構關系圖7.3網絡平安評估方法返回本章首頁返回本章首頁〔1〕CEM評估一般原那么CEM評估應該遵循適當、公正、客觀的原那么，要求評估結果滿足可重復和可再現的特點，且評估結果是可靠的。CEM假定代價合理，方法可以不斷演進，評估結果可重用。返回本章首頁〔2〕CEM評估模型CEM評估，都可用以下圖的模型來表示。返回本章首頁返回本章首頁返回本章首頁返回本章首頁評估活動的分解〔5〕評估結果評估人員在評估過程中，需要作出不同層次的裁決，評估人員的裁決可以有三種不同的結果，分別為：不確定、通過或失敗。

返回本章首頁2.基于指標分析的網絡平安綜合評估模型〔1〕綜合評估概要為全面了解目標網絡系統的平安性能的狀況，需要對各個方面的指標或工程進行測試或評估，必須將全體評估工程的評估結果進行綜合，才能得到關于目標網絡信息系統的平安性能的最終評價。返回本章首頁為完成網絡系統平安狀況的綜合評估，首先要從最低層的工程入手，然后由低到高，確定出每個層次工程的評估結果，最后將第一層工程的評估結果綜合在一起，得出目標網絡系統平安狀況的綜合評估結果。對同一層次上的〔局部的〕評估項的評估結果的綜合，可以有多種方法，如采用加權平均，模糊綜合評價等。返回本章首頁〔2〕歸一化處理定量指標的歸一化對定量指標進行歸一化處理方法可分成三類：①線段，②折線，③曲線。使用哪一種方法做歸一化處理取決于具體的測試項的特點，適用于某一測試項的歸一化方法不一定適用于其它工程。返回本章首頁定性評估項的量化和歸一化定性評估項的結果通常以等級的形式給出，如“很差、較差、一般、較好、很好〞。對于定性評估項的最筒單的定性評估結果，即評估結果為“是〞或“否〞的情況，量化和歸一化可采用直截了當法，即“是〞指定為“1〞，“否〞指定為“0〞。返回本章首頁當定性指標采用“很差、較差、一般、較好、很好〞的方式描述時，可根據它們的次序粗略地分配一個整數來實現結果的量化，如使用“1、2、3、4、5〞與之對應。這些量化后的結果“1、2、3、4、5〞可分別采用“0.1、0.3、0.5、0.7、0.9〞或“a、b、c、d、e〞作為它們的歸一化值，其中0≤a≤0.2，0.2≤b≤0.4，0.4≤c≤0.6，0.6≤d≤0.8，0.8≤e≤1。返回本章首頁〔3〕綜合評估方法所有評估項的評估結果經過綜合便可得到對系統的總的評價。對于同一個層次上的評估項〔指標〕，綜合評估過程是一個從多維空間到一個線段中的點或評價等級論域中的等級的映射過程。返回本章首頁如果評估項之間是層次關系，那么綜合評估過程的任務是將該層次結構中的全部評估項映射到上面的線段A，或等級論域L。即：f：(H)→A〔或f：〔H〕→L〕其中，H表示評估項之間的層次結構返回本章首頁典型的綜合評估方法有：加權算數平均加權幾何平均混合平均

返回本章首頁在綜合評估過程中，對某些評估項來說，使用加權算數平均對其進行綜合比較適宜，而對另一些評估項來說，使用加權幾何平均可能更好。這種情況是由評估項的固有性質決定的。某一評估項的評估值可能是決定性的，以至于根本上主要依靠它作出最終評價，也可能不那么重要。返回本章首頁3.基于模糊評價的網絡平安狀況評估模型在評估實踐中，經常遇到一些評估項，它們的評估結果難于以定量的方式表達。模糊數學特別適合于用來處理定性的評估工程。例如：系統評估中的大局部工程根本都是定性的。模糊數學可用來處理這些評估結果，并形成總的評價。返回本章首頁7.4網絡平安檢測評估系統簡介計算機網絡信息系統平安檢測評估系統的開展非常迅速，現在已經成為計算機網絡信息系統平安解決方案的重要組成局部。我們以ISS公司的InternetScanner為例來介紹網絡平安檢測評估系統。返回本章首頁1.InternetScanner7.0簡介InternetScanner是ISS公司開發的網絡平安評估工具，可以對網絡漏洞進行分析和提供決策支持。InternetScanner可以對計算機網絡信息系統進行全面的檢測和評估。返回本章首頁返回本章首頁InternetScanner的掃描評估過程返回本章首頁〔1〕定義掃描會話〔Session〕InternetScanner利用會話〔Session〕來定義哪些設備需要被掃描。創立了某個新的會話時，其中會包含以下三個屬性：用來定義掃描測試內容的策略〔Policy〕；用來定義掃描范圍的KEY文件；按IP地址定義的需要被掃描的設備組；返回本章首頁〔2〕定義掃描策略掃描策略〔Policy〕是用來定義InternetScanner掃描系統時利用攻擊庫里的哪些攻擊方式來嘗試攻擊系統。獲得策略定義的方法有如下兩種：