（计算机应用技术专业论文）pki系统安全保护等级评估工具的研究.pdf

论文独创性声明 本论文是我个人在导师指导f 进行的研究工作及取得的研究成果。论文中除 r 特别加以标注和致谢的地方外，不包含其他人或其它机构已经发表或撰写过的 研究成果。其他同志对本研究的启发和所做的贡献均已在论文中作了明确的声明 并表示了谢意。 作者签名：必日期：半玎 论文使用授权声明 本人完全了解复旦大学有关保留、使用学位论文的规定即：学校有权保留 送交论文的复印件，允许论文被查阅和借阅：学校可以公布论文的全部或部分内 容，可以采用影印、缩印或其它复制手段保存论文。保密的沦文在解密后遵守此 规定。 作者签名：判导师签名 p 系统安全保护等级评估工具的研究 摘要 网络与信息系统是现代社会最重要的信息基础设施，已经渗透到社会的各个 领域。保障网络和信息系统的安全关系到国家的存亡、经济的发展、社会的稳定。 公开密钥基础设施p k i ( p u b l i ck e yi n f r a s t r u c t u r e ) 是保障大型开放式网络环境 下网络和信息系统安全的一种可行有效的措施。 作为一种安全解决方案，p k i 在电子商务、政府办公系统中正在逐步实施和 普及，但同时p k i 也面临着各种威胁与脆弱性，一个p k i 系统自身的安全能否 得到保障，是p k i 系统能否提供安全服务的前提。随着p k i 的逐步实施和普及， 对p k i 自身的安全性要求也越来越高。目前市场上的p k i 产品供应商，由于其 来源不同，技术实力参差不齐，导致p k i 安全性也各不相同，因此客观上需要对 p k i 系统的安全保护进行评估。 目前对p k i 评估的研究正处于探索阶段，国内外在评估标准方面开展了相关 的研究，国外的p k i 评估标准有美国律师协会颁布的p k ia s s e s s m e n t g u i d e l i n e ) 。国内的是中国科学院信息安全国家重点实验室起草的国标草案( p k i 系统安全等级保护评估准则但在评估方法与评估工具方面的研究，无论国内 还是国外都尚处于空白阶段。本文旨在从这两个方面展开研究，做相关初步的探 索与研究。 本文作为国家自然科学基金项目( p k i 安全综合评估体系的研究的一部分， 主要是对p k i 系统安全保护等级工具评估工具的研究。本文主要做了如下工作： 1 分析国标草案( p k i 系统安全等级保护评估准则，并将其转换为问卷调 查所需要的问题； 2 将风险评估方法引入到p k i 安全保护等级评估中来，提出了一种新的等 级评估方法；基于层次分析法的p k i 系统安全保护等级评估方法； 3 设计并实现了一个p k i 系统安全保护等级评估工具卅m s ( q u e s t i o n n a i r em a n a g es y s t e m ) 。 本学位论文受国家自然科学基金项目“p k i 安全综合评价体系的研究”( 项目编 号：6 0 3 7 3 0 2 1 ) 资助。 4 p k i 系统安全保护等级评估工具的研究 关键字：公钥基础设施安全保护等级评估p k i 系统安全等级保护评估准则 q m s 中图分类号：t p 3 9 3 0 8 5 p k i 系统安全保护等缓评估工具的研究 a b s t r a c t c o m p u t e rn e t w o r k sa n di n f o r m a t i o ns y s t e ma r et w om o s ti m p o r t a n t i n f o r m a t i o ni n f r a s t r u c t u r e si nm o d e r ns o c i e t y , a n dt h e yh a v ei n f i l t r a t e di n t oo u r s o c i e t y e n s u r et h es e c u d t yo fc o m p u t e rn e t w o r k sa n di n f o r m a t i o ns y s t e mi s s i g n i f i c a n tt o t h em a i n t e n a n c eo fo n ec o u n t r y , t h ed e v e l o p m e n to ft h e e c o n o m i ca n dt h es t a b l eo ft h es o c i e t y p u b l i ck e y i n f r a s t r u c t u r e ( p k i ) i so n eo f m o s te f f e c t i v ea n df e a s i b l em e t h o dt o p r o t e c tt h es e c u r i t y o fc o m p u t e r n e t w o r k sa n di n f o r m a t i o ns y s t e m a sas e c u r i t ys o l u t i o n 。p k l su s e dm o r ea n dm o r ei ne l e c t r i c a lb u s i n e s s g o v e r n m e n to f f i c i a l b u tp k ii sa l s of a c e dw i t hm a n yt h r e a t sa n dv u l n e r a b i l i t y w h e t h e rt h es e c u r i t yo fap k is y s t e mi se n s u r e di st h ep r e m i s et h a tap k i s y s t e mc a l lp r o v i d es a f e t ys e r v i c e w i t ht h ed e v e l o p m e n to fp k i 。t h es e c u r i t y o fp k ib e c o m e sm o r ea n dm o r es i g n i f i c a n t a tp r e s e n t 。t h es e c u r i t yo fp k i d i v e r s ef r o me a c ho t h e rb e c a u s et h e r ea r em a n yp k ip r o v i d e r sa n dt h e i r t e c h n o l o g ya r eu n e v e n s oi ti sr e q u i r e dt h a tw es h o u l dc r e a t ea na s s e s s m e n t s y s t e mo fp k i a tp r e s e n t ，t h er e s e a r c ho fp k ia s s e s s m e n ti sa tb e g i n n i n g i na s s e s s m e n t c r i t e r i a ，t h e r ea r es o m er e s e a r c ha c h i e v e m e n t ，i n c l u d ep k ia s s e s s m e n t g u i d e l i n ea n dp k is y s t e ms e c u r i t yl e v e la s s u r a n c ea s s e s s m e n tc r r t e d a 。b u t i na s s e s s m e n tm e t h o da n da s s e s s m e n t t o o l ，i t sb l a n k a sap a r to fn a t i o n a ln a t u r a ls c i e n t i f i cf o u n d a t i o np r o j e c t ，t h i sa r t i c l ei s m a i n l ya b o u tt h er e s e a r c ho ft h ea s s e s s m e n tt o o lo fp k is y s t e ms e c u d t yl e v e i a s s u r a n c e ，a n dt h em a i ns t u d i e sa r e 鸽f o i l o w e d ； 1 a n a l y z ep k is y s t e ms e c u r i t yl e v e la s s u r a n c ea s s e s s m e n tc r i t e r i aa n d c o n v e r ti tt oq u e s t i o nf o ra s s e s s m e n l 2 a d o p tt h em e t h o do fr i s ka s s e s s m e n tt ol e v e la s s u r a n c ea s s e s s m e n t a n dp r o p o s ean e wa s s e s s m e n tm e t h o d ：a na s s e s s m e n tm e t h o db a s e do n p k is e c u r i t yl e v e ia s s u r a n c ea s s e s s m e n tc d t e f i a p k i 系统安全保护等级评估工具的研究 3 d e s i g na n di m p l e m e n ta na s s e s s m e n tt o o l - q m sw i t hv c + + 6 0a n ds o l s e r v e 陀0 0 0 k e yw o 喇8 ：p u b l i ck e yi n f r a s t r u c t u r e 。p k is e c u r i t y l e v e la s s u r a n c e a s s e s s m e n tc r i t e d a q m s c l cn u m b e r ：t p 3 9 3 0 8 7 p k i 系统安全保护等级评估工具的研究 第一章绪论 1 1 研究背景 本文的课题来源是国家自然科学基金项目( p k i 安全综合评估体系的研究。 该项目的最终目标是要建立套科学的p k i 安全评价体系。通过构建一个较为完 善的p k i 安全综合评估体系，不仅可以为我国按照国际惯例建立和实施有关信息 产品、信息安全产品的市场准入制度、技术管理和信息系统运行控制制度等方面 的决策，提供科学公正的理论依据。还可以对各方用户采购信息安全产品、设计、 建设、使用和管理安全的信息系统提供权威公正的专业指导，对信息安全产品的 研究开发提供指导。同时，标准是评测的基础，标准相对滞后于技术发展是全球 普遍存在的规律，而且标准的制定缺乏一个全面的、完整的理论基础。该项目的 研究对于制定我国的p k i 系统安全等级标准提供一定的理论指导和建议，并对 研究其他相关的信息安全评价体系具有一定的借鉴意义。总之，为了促进p k i 技 术在网络应用中的建康发展，构建一个较为完善的p k i 安全综合评价体系是非 常必要的n 硝。 目前信息安全评估主要有三个方向：风险评估、等级保护、安全测评脚。本 文研究的是等级评估。信息安全等级保护是指对国家秘密信息、法人和其他组织 和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级 实行安全保护，对信息系统中使用的安全产品实行按等级管理，对信息系统中发 生的信息安全事件等等级响应、处置。这里所指的信息系统，是指由计算机及其 相关和配套的设备、设施构成的，按照定的应用目标和规则对信息进行存储、 传输、处理圈。本文从国标草案( p k i 系统安全等级保护评估准则嘲出发，结 合我们项目小组的研究成果，对评估标准进行了相应的扩充。在此基础上，借鉴 风险评估的方法，提出了一种新的等级评估方法：基于层次分析法的p k i 系统安 全保护等级评估方法 5 1 ，并将此评估方法应用到我们开发的p k i 系统安全保护等 级评估工具q m s 中，q m s 是一个采用c 届架构开发的一个问卷管理系统， 客户端以v c + + 6 0 开发，数据库服务器采用s q ls e r v e r 2 0 0 0 。 s 嘲系统安全保护等级评估工具的研究 1 2p k i 简介 公钥基础设施p k i ( p u b l i ck e yi n f r a s t r u c t u r e ) e j r 7 】l s l ，是一个用公开密钥概 念与技术来实施和提供安全服务的具有普适性的安全基础设施。p k i 是一种遵循 标准的利用公钥加密技术唧为电子商务、电子政务的开展提供一套安全的基础设 施。用户利用p k i 平台提供的安全服务进行安全通信。p k i 为整个信息系统提 供安全的基本框架，可以被任何需要安全的应用和对象使用，在统一的安全认证 标准和规范基础上，为电子商务、电子政务等网络应用提供必须的身份认证、保 密和不可否认服务等安全服务。尤其是在电子政务方面，几乎所有的国家政府机 构都在开始使用p k i 技术。 使用基于公开密钥技术平台的用户建立安全通信信任机制的基础是，网上进 行的任何需要提供安全服务的通信都是建立在公钥的基础之上的，而与公钥成堆 的私钥只掌握在他们与之通信的对方。这个信任的基础是通过公钥证书的使用来 实现的。公钥证书就是用户的身份与之所持有的公钥的结合，在结合之前，由一 个可信任的权威机构认证机构( c a ) 来证实用户的身份。然后由可信任的 c a 对该用户身份及对应公钥相结合的证书进行数字签名，用来证明证书的有效 性。一个典型的p k i 系统体系结构图见图1 1 。 操作和管理事务发布证书c r l发布证书 图1 - 1p k i 体系结构框架 p k i 系统安全保护等级评估工具的研究 1 3p k i 基本组成 p k i 首先必须具有可信任的认证机构，在公钥加密技术基础上实现证书的产 生、管理、存档、发放以及证书撤销管理等功能，并包括实现这些功能的硬件、 软件、人力资源、相关政策和操作规范以及为p k i 体系中的各成员提供全部的安 全服务。构建实施一个p k i 系统主要包括以下几个部分【1 q ： ( 1 ) 认证机构c a ( c e r t i f i c a t ea u t h o r i t y ) c a 是p k i 的核心，c a 负责管理p k i 系统中所有用户的证书，把用户的公 钥和用户基本信息绑定在一起，在网上验证用户的身份，c a 还负责用户证书的 证书撤销列表登记和证书注销列表发布。 ( 2 ) 证书库 证书库是证书的集中存放地，提供公共查询。 ( 3 ) 密钥备份及恢复系统 对用户的密钥进行备份，当用户密钥丢失时进行恢复，但是签名密钥不能备 份和恢复。 ( 4 ) 证书撤销处理系统 证书由于某种原因需要作废，终止使用，将通过证书撤销列表c r l ( c e r t i f i c a t er e v o c a t i o nl i s t ) 来实现。 ( 5 ) p k i 应用接1 ：3 系统 为各种应用系统提供安全统一可信任的与p k i 交互方式，确保所建立起来的 网络环境安全可靠。比如银行、证券的应用系统。 1 3 1 认证机构 为保证网上数字信息的传输安全，除了在通信传输中采用更强的加密算法等 措施之外，必须建立一种信任及信任验证机制，即参加电子商务的各方必须有一 个可以被验证的标识，这就是数字证书。数字证书是各实体( 持卡人个人、商户 企业、网关，银行等) 在网上信息交流及商务交易活动中的身份证明。该数字证书 具有唯一性。它将实体的公开密钥同实体本身联系在一起，为实现这目的，必 须使数字证书符合x 5 0 9 f 1 1 l 国际标准，同时数字证书的来源必须是可靠的。这就 嘟系统安全保护等级评估工具的研究 意味着应有一个网上各方都信任的机构，专门负责数字证书的发放和管理，确保 网上信息的安全，这个机构就是c a 认证机构。各级c a 认证机构的存在组成了 整个电子商务的信任链。如果c a 机构不安全或发放的数字证书不具有权威性、 公正性和可信赖性，电子商务就根本无从谈起。 c a 是整个网上电子交易安全的关键环节。它主要负责产生、分配并管理所 有参与网上交易的实体所需的身份认证数字证书。每一份数字证书都与上一级的 数字签名证书相关联，最终通过安全链追溯到一个已知的并被广泛认为是安全、 权威、足以信赖的机构根认证中心( 根c a ) 。 c a 也是电子商务体系中的核心环节，是电子交易中信赖的基础。它通过自 身的注册审核体系，检查核实进行证书申请的用户身份和各项相关信息，使网上 交易的用户属性客观真实性与证书的真实性一致。认证中心作为权威的、可信赖 的、公正的第三方机构，专门负责发放并管理所有参与网上交易的实体所需的数 字证书。 概括地说，c a 的功能有：证书发放、证书更新、证书撤销和证书验证。c a 的核心功能就是发放和管理数字证书，具体描述如下： ( 1 ) 接收验证最终用户数字证书的申请。 ( 2 ) 确定是否接受最终用户数字证书的申请- 证书的审批。 ( 3 ) 向申请者颁发、拒绝颁发数字证书证书的发放。 ( 4 ) 接收、处理最终用户的数字证书更新请求一证书的更新。 ( 5 ) 接收最终用户数字证书的查询、撤销。 ( 6 ) 产生和发布证书废止列表( c r l ) 。 ( 7 ) 数字证书的归档。 ( 8 ) 密钥归档。 ( 9 ) 历史数据归档。 认证中心为了实现其功能，主要由以下三部分组成。 ( 1 ) 注册机构：通过w e bs e w e r 建立的站点。可为客户提供每日2 4 小 时的服务。因此客户可在自己方便的时候在网上提出证书申请和填写相应的证书 申请表，免去了排队等候等烦恼。也叫r a ( r e g i s t e r a u t h o r i t y ) 。 ( 2 ) 证书申请受理和审核机构：负责证书的申请和审核。它的主要功能是 n p i t , j 系统安全保护等级评估工具的研究 接受客户证书申请并进行审核。 ( 3 ) 认证中心服务器：是数字证书生成、发放的运行实体，同时提供发放 证书的管理、证书废止列表( c r l ) 的生成和处理等服务。 1 3 2 证书库 通常c a 有两个重要证书库，一个用于备份现有密钥并归档过期密钥，这个 证书库是c a 私有的；另外一个用于存储合分发证书及c r l ，这个是公开的。 一个典型的p k i 系统采用x 5 0 0 1 1 2 1 目录服务器来发布证书和证书撤销列表信息， 用户可以通过标准的轻量目录访问协议l d a p ( u g h t w e i g h td i r e c t o r ya c c e s s p r o t o c 0 1 ) f 1 司协议查询自己或他人的证书，也可以下载证书撤销列表信息。l d a p 和x 5 0 0 是广泛使用的目录标准，大多数c a 产品都支持由x 5 0 0 定义的证书对 象类及属性。 1 3 3 密钥备份及恢复系统 用户由于某种原因丢失了解密数据的密钥，无法打开被加密的密文，造成数 据的丢失。为了避免这种情况的发生，p k i 提供了密钥备份与解密密钥的恢复机 制，这就是密钥备份与恢复系统。 在一个可操作的环境中，在证书的生命周期内，都会有一部分用户丢失他们 的私钥，通常的原因有： ( 1 ) 遗失或忘记了口令。虽然用户的加密私钥在物理上是存在的，但实际 上不可使用； ( 2 ) 存贮介质的破坏。存储证书的介质如硬盘或者卡受到物理破坏而丢失 数据，用户的加密私钥在物理上丢失。 在很多环境中，特别是在一些企业中，由于丢失密钥造成被保护数据的丢失 是不可接受的。解决这种阅题的一个通用可行的方法就是对密钥进行备份并能够 及时恢复。密钥的备份与恢复应该由可信的机构c a 来完成，但是，密钥备份与 恢复只能针对解密密钥，而签名密钥是不能备份的。 f k 3 系统安全保护等级评估工具的研究 1 3 4 证书撤销处理系统 证书撤销是在正常过期之前由于密钥泄露或者证书所有者状态改变等情况 导致证书颁发机构废止证书。证书废止的原因有： ( 1 ) 密钥泄露。证书的私钥泄密； ( 2 ) 从属变更。某些关于密钥的信息变更，如机构从属变更等； ( 3 ) 废止使用。该密钥对已不用于原用途； ( 4 ) c a 本身原因，由于c a 系统私钥泄密，在更新自身密钥和证书的同时， 必须更新所有该c a 发放的下一级证书； 在证书的有效期内，发生以上情况之一，必须废除证书。废除证书的过程为： 证书持有者提出证书废除申请，r a 收到证书撤销请求以后，立即执行证书撤销， 并同时通知用户，该证书已经被撤销。p k i 使用c r l 来记录尚未过期但已声明 作废的用户证书序列号，供证书使用者在认证对方证书时查询使用。在实际通信 中，用户每次使用证书之前都要从c r l 查询该证书是否被撤销，这个操作对用 户来说是透明的，也即是说，是p k i 系统自动完成的，用户不用显示的去查询一 个证书是否被撤销。 1 3 5p k i 应用接口系统 p k i 的价值在于使用户能够方便地使用加密、数字签名等安全服务，因此一 个完整的p k i 必须提供良好的应用接口系统，使得各种各样的应用能够以安全、 一致、可信的方式与p k i 交互，确保安全网络环境的完整性和易用性。 1 4p k i 系统安全保护等级评估工具研究的意义 虽然p k i 系统提供多种安全服务，例如：身份认证、机密性、完整性、不可 抵赖性等，但p k i 系统自身，尤其是p k i 服务机构，如c a 、r a 、k m c ( 密钥 管理中心，k e ym a n a g e m e n tc e n t e r ) 等，都很有可能遭受来自内部和外部的攻 击。 攻击者的攻击可以分为两类：第一类是攻击者直接攻击p k i 系统的服务机构 提供的信息，例如数字证书。第二类是通过攻击p k i 系统的服务机构部件，间接 b p k i 系统安全保护等叛评估工具的研究 对用户发起攻击，例如用一个攻击者己知的公钥来替换用户的有效公钥，或者在 p k i 系统的服务部件上安装木马程序，等f 1 4 1 1 目。 下面是几种典型的对p k i 系统的攻击方式： 破坏信任模型，如：产生一个未经认证的交叉证书； 获取未经授权的证书，如：内部攻击者，错误的身份； 强制用户使用弱密钥，如：己知的密钥，无随机性； 拒绝服务一攻击目录； 在密钥分发期闯攻击密钥； 对密钥恢复密钥的未授权访问； 攻击p i n 获取对用户私钥的访问( 产生、分发、使用) ： 在用户验证期问使用户不能利用或缺失有效信息； 用攻击者的公钥代替用户公钥； 在基础设施组件中安装恶意代码； 一个p k i 系统自身的安全能否得到保障，是p k ! 系统能否提供安全服务的前 提。随着p k i 的逐步实施和普及，对p k i 自身的安全性要求也越来越高。目前 市场上的p k i 产品供应商，由于其来源不同，技术实力参差不齐，导致p k i 安 全性也各不相同，因此客观上需要建立一套p k i 系统的安全保护评估体系【1 倒。 对信息系统进行安全评估，有两方面的重要意义；对生产商来说，可以了解产品 所存在的缺陷，为产品的完善提供理论上的依据，提高产品在市场上的竞争力， 树立单位的信息安全形象；对消费者来说，可以增强对产品的信任与认可，为安 全措施的采取提供依据，避免资金与人力的损失浪费。 安全评估过程中，可以利用一些辅助性的工具和方法来采集数据m ，包括： ( 1 ) 调查阔卷：风险评估者通过问卷形式对组织信息安全的各个方面进行 调查，问卷解答可以进行手工分析，也可以输入自动化评估工具进行分析。从问 卷调查中，评估者能够了解到组织的关键业务、关键资产、主要威胁、管理上的 缺陷、采用的控锖措旖和安全策略的执行情况。 ( 2 ) 检查列表：检查列表通常是基于特定标准或基线建立的，对特定系统 进行审查的项目条款，通过检查列表，操作者可以快速定位系统目前的安全状况 与基线要求之间的差距。 p k i 系统安垒保护婷象评估工具的研究 ( 3 ) 人员访谈；风险评估者通过与组织内关键人员的访谈，可以了解到组 织的安全意识、业务操作、管理程序等重要信息。 ( 4 ) 漏洞扫描器：漏洞扫描器( 包括基于网络探测和基于主机审计) 可以 对信息系统中存在的技术性漏洞( 弱点) 进行评估。许多扫描器都会列出已发现 漏洞的严重性和被利用的容易程度。典型工具有n e s s u s 堋、i s s 堋、c y b e r c o p s c a n n e r l 刎等。 ( 5 ) 渗透测试：这是一种模拟黑客行为的漏洞探测活动，它不但要扫描目 标系统的漏洞，还会通过漏洞利用来验证此种威胁场景。 其中，问卷调查是实际应用中使用得比较广泛的一种方法。相比较其他方法 而言，闯卷调查具有较强的可操作性。针对问卷调查，可以采取人工评估，即打 印阿卷，然后让专家填写，也可采用评估工具进行。采用人工评估，主要有以下 几个缺点： ( 1 ) 效率低下。在实际使用中，由于标准中的核查内容丰富，具体条款很 多，如果人工一一核查，效率十分低下。 ( 2 ) 误差较大。一方面，由于评估标准的核查内容丰富，采用人工评估容 易遗漏具体条款而产生误差。另一方面，根据问卷调查的回答计算评估结果，采 用手工计算容易差生误差。 解决以上问题的办法就是采用评估工具代替人工评估。接下来介绍国内外在 这方面的研究进展情况。 1 5 国内外研究现状 国内外目前对安全评估的研究都集中在安全理论与安全评估工具上，并且所 有的安全评估工具都是针对一般信息系统的，针对p k i 系统，目前的研究进展只 集中在安全评估准则方面，安全评估工具的研究到目前为止国内外还是一片空 白。 1 5 1 国外研究现状 国外关于信息系统的安全研究已经几十年了，然而，安全评佶工具的研究是 最近几年的事情，可以看出，安全评估工具的研究远远落后于安全理论的研究。 p 系统安全保护等级评估工具的研究 大约在2 0 0 0 年左右，风险评估工具的市场还只有少数几个大厂商，但现在进入 这市场的厂商数量已经超过4 0 了。少数产品出来之后不久即重新归于湮没无 闻，还有一些大型网络安全厂商因为未能满足客户对风险评估工具的需求而放弃 了其最初的努力【2 1 】。目前国外常见的自动化风险评估工具包括； c o b r a 嘲：c o b r a ( c o n s u l t a t i v e ，o b j e c t i v ea n db i - f u n c t i o n a lr i s k a n a l y s i s ) 是英国的c & a 系统安全公司于1 9 9 1 年推出的一套风险分析工具软件， 目前已经发布了第三版。随着c o b r a 的发展，目前的产品不仅仅具有风险管理 功能，还可以用于评估是否符合b s 7 7 9 9 标准。它通过闯卷的方式来采集和分析 数据，并对待评估系统的风险进行定性分析，最终的评估报告中包含已识别风险 的水平和推荐措施。此外，c o b r a 还支持基于知识的评估方法，可以将组织的 安全现状与b s 7 7 9 9 i s o1 7 7 9 9 劂标准相比较，从中找出差距，提出弥补措施。 采用c o b r a 进行安全评估时，分3 个步骤：调查表生成、风险调查、报告生成。 c o b r a 3 具有以下特点： ( 1 ) 丰富的图表统计功能、报表直接输出为m s - w o r d 形式、支持视窗操作 系统； ( 2 ) 知识库进行了升级，c o b r a 3 可以标明系统面l 临的威胁、存在的脆弱 性、缺陷； ( 3 ) 同时衡量系统各方面的风险等级、并指明风险等级对系统作业带来的 直接影响； ( 4 ) 为降低风险推荐防护措施和建议；生成详尽的报告。 c r a m m 2 4 ；c r a m m ( c c t ar i s ka n a l y s i sa n dm a n a g e m e n tm e t h o d ) 是由英国中央计算机与电信局( c e n t r a lc o m p u t e ra n dt e l e c o m m u n i c a t i o n s a g e n c y ，c c t a ) 于1 9 8 5 年开发的一种定量风险分析工具，同时支持定性分析。 经过多次版本更新，目前由i n s i g h t 咨询公司负责管理和授权。c r a m m 是一种 可以评估信息系统风险并确定恰当对策的结构化方法，适用于各种类型的信息系 统和网络，也可以在信息系统生命周期的各个阶段使用。c r a m m 的安全模型数 据库基于著名的“资产，威胁，弱点”模型陶，评估过程经过资产识别与评价、威 胁和弱点评估、选择合适的推荐对策这三个阶段。c r a m m 遵循b s7 7 9 9 规范， 包括依靠资产建模、商业影响评估、识别和评估威胁和弱点、评估风险等级、识 p k i 系统安全保护譬级评估工具的研究 别需求和基于风险评估调整控制等，这种方法的优越性在于能够直接提供推荐的 保护措施、结构框架和实旌计划。 a s s 畔：a s s e t ( a u t o m a t e ds e c u r i t ys e l f - e v a l u a t i o nt 0 0 1 ) 是美国国 家标准技术协会( n a t i o n a li n s t i t u t eo fs t a n d a r da n dt e c h n o l o g y ，n i s t ) 发布 的一个可用来进行安全风险自我评估的自动化工具，它采用典型的基于知识的分 析方法，利用问卷方式来评估系统安全现状与信息技术系统安全自我评估指南 ( s e c u r i t ys e r f - a s s e s s m e n tg u i d ef o ri n f o r m a t i o nt e c h n o l o g ys y s t e m s ) 网之 间的差距。工具的主要功能是进行信息系统安全性的自评估，通过用户手动操作 进行评估，达到收集系统安全性相关信息的目的，最终生成安全性自评估报告。 最终生成的报告只能达到与用户提供的信息同级的准确性，工具并不能引导分析 或炎症自评估提供信息的关联性、准确性。根据n l s t 安全性自我评估向导，将 安全级别分为五级：一般、策略、实施、测试、检验。此工具的每个调查问题都 相当于一个命题，陈述为了确保系统的安全性应该做到的相关事项，用户对于问 题的回答就是选择系统对于此项命题的安全程度为上述五级中的哪些级别，最后 通过统计在某一级别上问题命题和级别选定，来统计系统的安全措施达到的安全 级别。 r i s k p a c ：r i s k p a c 是美国c s c i ( c o m p u t e rs e c u r i t yc o n s u l t a n t si n c ) 公司开发的，对组织进行风险评估、业务影响分析的工具，它完成定量( 并非统 计) 和定性风险评估。r i s k p a c 组织业务影响分析和风险评估过程： ( 1 ) 确定风险评估范围、确定对分析评估结果进行反应的人员。 ( 2 ) 选择调查问题表：可以选择r i s k p a c 已有的调查表( 其中包括系统定 义好的调查表、也包括用户曾经使用过的调查表) ，也可以定制符合组织特定需 求的调查表。 ( 3 ) 进行调查评估分析，确定组织存在的问题和风险，输出最终结果，确 定降低风险的手段，进行修复改进。 r i s k p a c 将风险分为几个级别，即低级、中级、高级等，针对每个级别都 有不同的风险描述，根据不同风险级别问题的构造和回答，完成风险评估。 r i s k p a c 包括两个独立的工具：r i s k p a cq u e s t i o n a t i r ed e s i g n e 问题设计 器和r i s k p a cs u r v e ym a n a g e r 调查管理器。其中闯题表设计器进行业务分析和 p 系统安全保护等擐评估工具的研究 风险评估的调查表设计，调查管理器就是将已选定的调查表以易用的形式提供给 用户，供用户选择相应答案，根据答案做出分析评估结论。 1 5 2 国内研究现状 国内的研究尚处于起步阶段。标准体系跟技术体系的研究尚处在研究阶段。 关于评估工具的研究主要有两个。一个是国家计算机网络入侵防范中心在国家高 技术研究发展计划( 8 6 3 计划) 项目( 2 0 0 2 a a l 4 2 1 5 1 ) ；系统安全风险分析和 评估方法研究和国家信息网络安全保障持续发展计划项目( 2 0 0 2 研1 - a - 0 0 7 ) ： 安全系统风险评估工具的资助下完成的一个评估工具1 2 9 1 1 3 0 。另外一个是启 明星辰公司于2 0 0 6 年推出的天镜安全风险自评估工具版( a - b o x ) p 1 】嘲。这是 国内第一款符合风险评估国家标准的信息安全风险自评估工具。该评估工具以便 携式硬件工具包的产品形式提供，便于携带，可供有自评估需求的政府、金融、 大型企业，以及电信运营商等行业用户方便使用，也可供上级管理部门或有关职 能部门进行检查评估之用。启明星辰天镜安全风险自评估工具以脆弱性管理为核 心，提供以下几方面的功能： ( 1 ) 以资产为核心的风险评估和风险管理：基于业务资产模型，建立企业 信息资产库，进行信息资产管理并赋予安全属性。它支持对资产价值的两种赋值 评价方法：基于c i a 的资产评估、基于影响的资产评估。 ( 2 ) 风险评估项目管理：创建风险评估项目工程，对资产进行威胁评估、 弱点评估，计算风险，并进行评估过程的跟踪。通过天镜自评估工具，可以定义 企业的风险评估和管理流程，并可以对整个流程的实施进行管理。 ( 3 ) 安全基线管理：提供了对于信息资产和业务系统的安全基线定义界面， 并在风险评估报告中给出当前安全状态与安全基线之间的比较报告，还可提供加 固前后的弱点和风险级别比较报告，从而使企业准确地了解安全风险的状态变 化。 ( 4 ) 扫描任务管理：天镜自评估工具系统嵌入了自主知识产权的漏洞扫描 器，可以在天镜自评估工具中定义扫描任务、制定扫描策略、配置扫描引擎，自 动进行漏洞扫描，并自动把扫描结果导入到天镜自评估工具数据库中。还可对扫 描状态和扫描结果进行查询 啪系统安全保护等级评估工具的研究 ( 5 ) 自动化评估过程：工具内置大量检查列表和自动化审计脚本，可进行 自动化信息采集、典型系统自动化分析、自动化生成报告。内置审计评分标准， 实现了规范化的评估结果评分标准。 ( 6 ) 安全预警公告：实现了实时的安全预警公告的聚集和发布，各安全厂 商或者安全组织发布的安全预警信息都可以主动“推”到天镜自评估工具中。 1 5 3 小结 表1 - 1 是对主要几个安全评估工具的综合比较。 表1 1 主要安全评估工具综合比较 工具特点 标准是否免费 c o b r a通过问卷的方式来采集和分析数据。井对待评估系b s 7 7 商业 统的风险进行定性分析，最终的评估报告中包含已 识别风险的水平和推荐措施 c r a m m一种定量风险分析工具，同时支持定性分析b s 7 7 9 9 商业 a s s e r 进行安全风险自我评估的自动化工具，它采用典型 n i s ts p 免费 的基于知识的分析方法，利用问卷方式来评估系统8 0 0 2 6 安全现状与信息技术系统安全自我评估指南之间 的差距 r i s k p a c 主要进行定性和定量风险评估未知 商业 对组织进行风险评估、业务影响分析 a - b o x 取j i 于、金融、大型企业，以及电佰趸冒同等行业用未知商业 户 作为一种信息安全保证系统，p k i 具有信息系统的一般属性，但是p k i 也具 有自己特性。目前的所有评估工具，都是针对信息系统的评估，对p k i 进行评估， 还没有比较成熟的工具。 通过综合比较，发现目前现有的安全评估工具具有如下缺陷： ( 1 ) 标准是封闭的，即标准不支持扩展。事实上，随着技术的发展，评估 标准是越来越多的； ( 2 ) 只适用于普通的信息系统，没有考虑p k i 作为一种特殊信息系统所具 有的特点； ( 3 ) 评估算法未知，目前大多数评估工具的评估算法都是保密的。 本文的目的旨在从以上几点出发，设计开发一套p k i 安全保护等级评估工具， p e i 系统安全保护等级评估工具的研究 同时提出自己的公开的评估算法，为将来的研究提供指导。 1 6 本文主要工作与安排 本文将风险评估方法引入到等级保护中来，提出了一个等级保护评估方法， 将标准转化为题目，并录入到数据库中，以v c + + 6 o 位开发工具，设计并实现 了一个p k i 等级评估工具q m s 。本文的内容组织如下： 第一章：绪论，介绍相关的背景知识； 第二章：评估标准与方法。这一章主要介绍了目前主要的集中评估标准与评 估方法； 第三章：基于层次分析法的p k i 系统安全保护等级评估方法。这一章将层次 分析法与线性评估引入到等级评估中来，提出了q m s 评估工具中所使用的评估 方法： 第四章：系统分析与设计。这一章是对评估工具的三大子系统：评估子系统， 出题子系统，录入子系统的详细设计，以及包括每个功能模块中主要问题的提出 及解决方案； 第五章：系统实现。这一章是q m s 评估工具的程序实现； 第六章：总结与展望。 p k i 系统安全保护等级评估工具的研究 第二章评估标准与方法介绍 2 1 评估标准概述 “没有规矩，不成方圆”，这句话在信息系统风险评估领域也是适用的，没 有标准指导下的风险评估是没有任何意义的。通过依据某个标准的风险评估或者 得到该标准的评估认证，不但可为信息系统提供可靠的安全服务，而且可以树立 单位的信息安全形象，提高单位的综合竞争力嘲。同样的，评估方法对一个评估 工具来说，也是十分重要的，因为它的科学与否决定了评估结果的准确性与合理 性。接下来，将对这两个方面展开介绍。 目前比较著名的几个信息安全评估标准包括美国国防部提出的可信计算机 系统安全评估准则( t r u s t e dc o m p u t e rs y s t e me v a l u a t i o nc r i t e r i a ，以下简称 t c s e c ) 1 3 4 ，欧洲四国( 英、法、德、荷) 的信息技术安全评估准则( i n f o r m a t i o n t e c h n o l o g ys e c u r i t ye v a l u a t i o nc r i t e r i a ，以下简称i t s e c ) 3 0 - 3 和国际合作的信 息技术安全评估通用准则( c o m m o nc r i t e r i a ，以下简称c c ) 【踟。特别的，针 对p k i 的评估标准，目前主要有两个，一个是美国律师协会发布的p k i 评估指 南( p k i a s s e s s m e n t g u i d e l i n e s ，以下简称p a g ) 册，另一个是正在审核中的 我国国家标准 p k i 系统安全等级保护评估准则。 图2 - 1 清楚的说明了信息安全评估标准的发展过程： 图2 1 评估标准发展过程 2 l p k i 系统安全保护等级评估工具的研究 2 2 主要评估标准介绍 2 2 1 可信计算机系统安全评估准则 可信计算机系统安全评估准则t c s e c ，又名桔皮书，是计算机系统安全评 估的第一个正式标准，具有划时代的意义。该准则于1 9 7 0 年由美国国防科学委 员会提出，并于1 9 8 5 年1 2 月由美国国防部公布。t c s e c 最初只是军用标准， 后来延至民用领域。t c s e c 将计算机系统的安全划分为4 个等级、7 个级别， 以下做详细说明： d 类安全等级：d 类安全等级只包括d 1 一个级别d 1 的安全等级最低。 d 1 系统只为文件和用户提供安全保护。d 1 系统最普通的形式是本地操作系统， 或者是一个完全没有保护的网络。 c 类安全等级：该类安全等级能够提供审慎的保护，并为用户的行动和责任 提供审计能力。c 类安全等级可划分为c 1 和c 2 两类。c 1 系统的可信任运算基 础体制( t r u s t e dc o m p u t i n gb a s e ，t c b ) 通过将用户和数据分开来达到安全的 目的。在c 1 系统中，所有的用户以同样的灵敏度来处理数据，即用户认为c 1 系统中的所有文档都具有相同的机密性。c 2 系统比c 1 系统加强了可调的审慎 控制。在连接到网络上时，c 2 系统的用户分别对各自的行为负责。c 2 系统通过 登陆过程、安全事件和资源隔离来增强这种控制。c 2 系统具有c 1 系统中所有 的安全性特征。 b 类安全等级：b 类安全等级可分为b 1 、b 2 和b 3 三类。b 类系统具有强 制性保护功能。强制性保护意味着如果用户没有与安全等级相连，系统就不会让 用户存取对象。b 1 系统满足下列要求：系统对网络控制下的每个对象都进行灵 敏度标记；系统使用灵敏度标记作为所有强迫访问控制的基础；系统在把导入的、 非标记的对象放入系统前标记它们；灵敏度标记必须准确地表示其所联系的对象 的安全级别；当系统管理员创建系统或者增加新的通信通道或i o 设备时，管理 员必须指定每个通信通道和i 0 设备是单级还是多级，并且管理员只能手工改变 指定；单级设备并不保持传输信息的灵敏度级别；所有直接面向用户位置的输出 ( 无论是虚拟的还是物理的) 都必须产生标记来指示关于输出