（计算机系统结构专业论文）网络安全评估研究.pdf

重庆大学硕士学位论文中文摘要 摘要 近些年来，计算机网络在政治、经济、军事、社会生活等各个领域发挥着日 益重要的作用，但是由于网络具有连接形式多样性、开放性、互联性等特点，使 针对网络系统的攻击事件频繁发生，导致网络安全成为网络建设中不容忽视的一 个重要方面。 什么安全事件都没有发生 这是最理想的网络安全状况，但在实际的网络环境 下，由于网络系统自身存在脆弱性，虽然脆弱性本身不会对网络系统造成直接破 坏，但是一旦这些脆弱性被具有不良行为的攻击者所利用，将不可避免地给网络 带来很大的风险，所以对网络的安全状况进行准确评估就显得非常重要。 网络安全评估是继防火墙、入侵检测技术之后的网络安全防御领域的又一研究 重点，它是通过对计算机网络系统的安全状况进行分析和评估，及时发现并修补 系统存在的脆弱性，从而降低系统的安全风险，保证系统能够正常工作。随着网 络攻击技术的不断更新和发展，一些原有针对网络攻击的安全防御措施已经无能 为力，预先识别网络系统的安全状况就显得非常重要，这也从客观上要求必须加 强网络安全评估的研究。网络安全评估的目的是为了系统在受到攻击之前对整个 网络系统的安全状况进行准确的评估，然后将评估结果报告给网络安全管理员， 使网络安全管理员能够及时采取相应的安全措施。 本文通过对系统的脆弱性进行深入研究，构造了一个基于脆弱性扫描的网络安 全评估模型，并根据该模型设计了一个网络安全评估系统。通过该评估系统，网 络安全管理员可以及时发现系统存在的脆弱性，并且采取相应的安全防御措施修 补系统的脆弱性，从而确保网络系统能够安全运行。 本论文的研究工作主要有以下几个方面： 讨论了网络安全的定义，分析了网络所面临的主要安全威胁，讨论了网络 安全的基本要求和目标，介绍了安全策略在网络安全中的概念。 研究了国内外网络安全评估的发展和现状，对网络安全评估的相关技术进 行了研究，研究了网络安全评估方法。 对网络安全评估中的脆弱性进行了重点研究，构造了一个基于脆弱性扫描 的网络安全评估模型，设计了一个网络安全评估系统。对系统的基本功能模块进 行了详细设计。 对网络安全评估系统进行了测试和分析，证明该系统设计方案是可行的。 关键词：网络安全，安全评估，脆弱性，扫描，评估模型 重庆大学硕士学位论文 英文摘要 a b s t r a c t r e c e n ty e a r , t h ec o m p u t e rn e t w o r ki s i n c r e a s i n g l yp l a y i n gi m p o r t a n tr o l ei n p o l i t i e s ，t h ee c o n o m y , t h em i l i t a r y , t h es o c i a lf i f ea n d8 0o ne a e l af i e l d , b u tb e c a u s et h e n e t w o r kh a st h ec o n n e c t i o nf o r mm u l t i p l i c i t y , o p e n n e s s 、i n t e r e o n n e e t i o n8 00 1 1t r a i t , a t t a c ka f f a i r sw h i c ha i ma tn e t w o r ks y s t e mf i e q u e n t l yo c c u r ea n dc 棚en e t w o r k s e c u r i t yt ob e c o m eai m p o r t a n ta s p e c tw h i c hi sn o ta l l o w e dt on e g l e c ti nt h en e t w o r k c o n s t r u c t i o n w h a ts e c u r i t ya f f a i r sd o n to c c u r ，t h i si si d e a ls t a t u so fn e t w o r ks e c u r i t y , b u t u n d e ra c t u a lc o n d i t i o no fn e t w o r k , s i n c en e t w o r ks y s t e me x i s t sv u l n e r a b i l i t i e s ，a l t h o u g h t h e s ev u l n e r a b i l i t i e sd o n td i r e c t l yd e s t r o yn e t w o r ks y s t e m , o n c et h e s ev u l n e r a b i l i t i e s a r eu s e db ya t t a c k e r sw h oh a v eb a db e h a v i o r , a n dw i l li n e v i t a b l yb r i n gg r e a tr i s kt o n e t w o r k t h e r e f o r ei ti sv e r yi m p o r t a n tt o 勰s e s sa e u a t es e c u r i t yo f n e t w o r k a t t e rt h ef i r e w a l l 、t h ei n t r u s i o nd e t e c t i o n , t h en e t w o r ks e c u r i t ya q s e s s m c l l ti s r e s e a r c hs t r e s si nt h en e t w o r kd e f e n s i v ef i e l d 。i ta n a l y z e sa n da s s 嘲s e c u r i t ys t a t u so f c o m p u t e rn e t w o r ks y s t e m , f i n d sa n dm e n d s v u l n e r a b i l i t i e sw h i c he x i s ti nt l a es 卵i t 黜， t h e r e b yr c d u e 翻r i s ko fs y s t e m , a s s u r e sn e t w o r ks y s t e mt ow o r kn o r m a l l y a l o n gw i t h n e t w o r ka t t a c kt e c h n o l o g yu p d a t e sa n dd e v e l o p e sc e a s e l e s s l y ，s o l n l ef o r m e rs e e u d t y d e f e n s i v em e r s u r e 8w h i c ha i ma tn e t w o r ka t t a c k s 啪u n a b l et od e f e n d ，i ti sv e r y i m p o r t a n tt or e c o g n i z et h es e c u r i t ys t a t u so f n e t w o r ks y s t e m , t h i sa l s oo b j e e t i v d y r e q u e s t st os t r e n g t h e nr e s e a r c hi nt h en e t w o r ks e c u r i t ya s s e s s m e n t t h eg o a lo f n e t w o r k s o a l r i t y8 s s e s s m e n t a s s e s s e s c o r r e c t l ys e c u r i t yo fs y s t e m , r e p o r t st h er e s u l t o f a s s e s s m e n tt oa d m i n i s t r a t o r , h e l p sa d m i n i s t r a t o rt o a d o p tc o r r e s p o n d i n gs e c u r i t y n m ：a 吼l r e s t h oa r t i c l ec o n s t r u c t san e t w o r ks e c u r i t ym o d e lb a s e do nv l l l n e r a b i l i t ys c a n , a c c o r d i n gt ot h em o d e l ，d e s i g nan e t w o r ks e c u r i t ya s s e 船m e n ts y s t e m a c c o r d i n gt o a s s c s s m e n ts y s t e m , a d m i n i s t r a t o rc a nf i n dv u l n e r a b i l i t y i e sw h i c he x i s ti nn e t w o r k s y s t e m , a n da d o p t sr e l e v a n ts e c u r i t yd e f e n s i v em e a s u r e st om e n dv u l n e r a b i l i t i e so f s y s t e m , a s 期珊n e t w o r ks y s t e mt on ms a f e l y t h e p a p e ro f r e s e a r c hw o r km a i n l yh a sf o l l o w i n gs e v e r a la s p e c t s ： t h ep a p e rd i s c u s s e st h ed e f i n i t i o no fn e t w o r ks e c u r i t y , a n a l y z e st h em a i n s e c u r i t yt h r e a t st h a tn e t w o r kf a c e s ，d i s c u s s e st h eb a s l er e q u e s ta n dt h eg o a lo f n e t w o r k s ( 虻- u r i t y , a n d i n t r o d u c e s t h e c o n c e p t o f s e c u r i t y p o l i c y i n n e t w o r ks e c u r i t y 重庆大学硕士学位论文英文摘要 t h ep a p e rs t u d i e st h ed o m e s t i ca n df o r e i g nd e v e l o p m e n ta n dt h ep r e s e n t s i t u a t i o no fn e t w o r ks e c u n t ya s s e s s m e n t , c o n d u c t st h er e s e a r c ha b o u tt h e r e l a t e d t e c h n o l o g yo f t h en e t w o r ks e c u r i t ya s s e s s m e n t , a n ds t u d i e sn e t w o r ks e c u n t ya s s e s s m e n t m e t h o d 。 t h ep a p e rs t u d i e ss u e s sv u l n e r a b i l i t yo ft h en e t w o r ks e c u r i t ya s s e s s m e n t , c o n s t r u c t sn e t w o r ks e c u r i t ya s s e s s m e n tm o d e lw h i c hi sb a s e do i lv u l n e r a b i l i t ys c a n , d e s i g n san e t w o r ks e c u r i t ya s s e s s m e n ts y s t e m , c o n d u c t st h ed e t a i l e dd e s i g na b o u tt h e s y s t e mb a s i cf u n c t i o nm o d u l e t h ep a p e rt e s t sa n da n a l y z e st h en e t w o r ks e c u r i t ya s s e s s m e n ts y s t e m ，p r o v e s t h a tt h i ss y s t e md e s i g ns c h e m ei sf e a s i b l e k e y w o r d s ：n e t w o r ks e c u r i t y , s e c u r i t ya s s e s s m e n t ，v u l n e r a b i l i t y , s c a n , a s s e s s m e n t m o d e l 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取 得的研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文 中不包含其他人已经发表或撰写过的研究成果，也不包含为获得重迭太堂 或其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本 研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。 学位论文作者签名：罗软签字日期：手。一7 年f 月岁日 学位论文版权使用授权书 本学位论文作者完全了解重迭太堂有关保留、使用学位论文的 规定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许 沦文被查阅和借阅。本人授权重庞太堂可以将学位论文的全部或部 分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段 保存、汇编学位论文。 保密() ，在年解密后适用本授权书。 本学位论文属于 不保密( ) 。 ( 请只在上述一个括号内打“”) 学位论文作者签名：罗叛导师签名： 签字日期：a 7 年月多日签字日期：缈7 年月歹日 重庆大学硕士学位论文 1 绪论 1 绪论 1 1 研究背景及意义 随着计算机网络技术的快速发展，全球信息化已成为世界发展的大趋势。在 当今的信息社会中，计算机网络在政治、经济、军事、日常生活中发挥着日益重 要的作用，从而使人们对计算机网络的依赖性大大加强。现有的计算机网络在建 立之初大都忽视安全问题，而且多数都采用t c p i p 协议u l ，t c p i p 协议在设计 上具有缺陷，因为t c p i p 协议在设计上力求运行效率，其本身就是造成网络不安 全的主要因素1 2 1 3 1 。所以当人们充分享受网络所带来的方便和快捷的同时，也应该 充分认识到网络安全所面临的严峻考验。 我国的信息网络产业近十年来得到了迅猛发展。截止2 0 0 6 年年底我国网民人 数已达到了5 3 8 0 万人，网民人数居世界第二位，信息产业的规模居世界第三位， 由此带来的网络安全问题日益突出，安全形势不容乐观。 由于计算机网络具有连接形式多样性、开放性、互联性等特点，使网络很容 易受到各种各样的攻击，所以网络安全已成为网络建设的一个非常重要的方面。 什么安全事件都没有发生”这是最理想的网络安全状况，但在实际的网络环境下， 由于网络系统自身存在脆弱性，虽然脆弱性本身不会对网络系统造成直接破坏， 但是一旦这些脆弱性被具有不良行为的攻击者所利用，将不可避免地给网络带来 很大的风险，所以对网络的安全性进行准确评估就显得非常重要。 网络安全评估是继防火墙、入侵检测技术之后的网络安全防御领域的又一研究 重点，它是通过对计算机网络系统的安全状况进行分析和评估，及时发现并修补 系统存在的脆弱性，从而降低系统的安全风险，保证系统能够正常工作。随着网 络攻击技术的不断更新和发展，一些原有针对网络攻击的安全防御措施已经无能 为力，预先识别网络系统的安全状况就显得非常重要，这也从客观上要求必须加 强网络安全评估的研究。网络安全评估的目的是为了系统在受到攻击之前对整个 网络系统的安全状况进行准确的评估，然后将评估结果报告给网络安全管理员， 使网络安全管理员能够及时采取相应的安全措施。 本文通过对系统的脆弱性进行深入研究，构造一个基于脆弱性扫描的网络安全 评估模型，并根据该模型设计一个网络安全评估系统。通过该评估系统，网络安 全管理员可以及时发现系统存在的脆弱性，并且采取相应的安全防御措施修补系 统的脆弱性，从而确保网络系统能够安全运行。 1 2 研究的内容和目的 重庆大学硕士学位论文 1 绪论 本文研究的目的：在对网络系统脆弱性深入研究的基础上，构造一个基于脆 弱性扫描的网络安全评估模型，在该模型的基础上设计一个网络安全评估系统。 通过该评估系统，网络安全管理员可以及时发现系统存在的脆弱性，并且采取相 应的安全防御措施修补系统的脆弱性，从而降低网络系统的安全风险。 本文的研究内容主要有以下几个方面： 讨论网络安全的定义，分析网络所面临的主要安全威胁，讨论网络安全的 基本要求和目标，介绍安全策略在网络安全中的概念。 研究国内外网络安全评估的发展和现状，对网络安全评估的相关技术进行 研究，研究网络安全评估方法。 对网络安全评估中的脆弱性进行重点研究，构造一个基于脆弱性扫描的网 络安全评估模型，设计一个网络安全评估系统。对系统的基本功能模块进行详细 设计。 对网络安全评估系统进行测试和分析，证明该系统设计方案是可行的。 1 3 论文结构和章节安排 第l 章绪论。介绍课题的研究背景和意义，研究内容和目的，论文的章节和 安排。 第2 章网络安全和网络安全评估。讨论网络安全的定义，分析网络所面临的 安全威胁，指出网络安全的基本要求和目标，介绍安全策略在网络安全中的概念， 研究国内外网络安全评估的发展和现状，对网络安全评估中的脆弱性进行重点研 究。 第3 章网络安全评估相关技术的研究。讨论网络安全保护技术，对各种网络 安全扫描方法进行分析，讨论当前网络安全评估软件所采用的主要体系结构。 第4 章网络安全评估方法的分析和研究。 第5 章构造一个基于脆弱性扫描的网络安全评估模型。 第6 章根据构造的网络安全评估模型设计一个网络安全评估系统，对系统的 各个功能模块迸行详细设计 第7 章对网络安全评估系统进行测试和分析，证明该系统设计方案是可行的。 第8 章全文总结 1 4 本章小结 本章首先提出了论文的研究背景和研究意义，然后介绍了论文的研究内容和 目的，最后介绍了论文的结构和章节安排。 2 重庆大学硕士学位论文 2 网络安全和网络安全评估 2 网络安全和网络安全评估 2 1 网络安全 2 1 1 网络安全的定义 随着网络技术的飞速发展，使得计算机网络在许多领域都得到了广泛应用，但 是由于网络系统自身存在脆弱性，这不可避免地给系统带来潜在的安全风险，如 何减少系统的安全风险将是当前研究的一个重要内容。在这里首先介绍网络安全 的概念。 网络安全是指计算机网络系统中的硬件、数据、程序等不会因为无意或恶意 的原因而遭到破坏、篡改、泄露，防止非授权的使用或访问，系统能够保持服务 的连续性，以及能够可靠的运行。网络安全的具体概念会随着感兴趣角度的不同 而不同。 从用户的角度来说，他们希望自己的一些绝密信息在网络上传输时能够得到 有效的保护，防止一些非法个人通过窃听、篡改、冒充等手段对用户的绝密信息 进行破坏。 从网络安全管理员来说，他们希望本地网络信息的访问、读写等操作能够得 到有效的保护和控制，避免出现拒绝服务、资源非法占用、非法控制等威胁，能 够有效地防御黑客的攻击。 对于国家的一些机密部门，他们希望能够过滤一些非法、有害的信息，同时 防止机密信息外泄，从而尽可能地避免或减少对社会和国家的危害。 网络安全既涉及技术，又涉及管理方面。技术方面主要针对外部非法入侵者 的攻击，而管理方面主要针对内部人员的管理，这两方面相互补充、缺一不可。 2 1 2 网络安全的基本要求 机密性( c o n f i d e n t i a l i t y ) 它是指网络中的数据、程序等信息不会泄露给非 授权的用户或实体。即信息只能够被授权的用户所使用，它是保护网络系统安全 的重要手段。 完整性( i n t e g r i t y ) 它是指网络中的数据、程序等信息未经授权保持不变 的特性。即当网络中的数据、程序等信息在传输过程不会被篡改、删除、伪造、 重放等破坏。 可用性( a v a i l a b i l i t y ) 它是指当网络中的信息可以被授权用户或实体访问， 并且可以根据需要使用的特性。即网络信息服务在需要时，准许授权用户或实体 使用，或者当网络部分受到破坏需要降级使用时，仍可以为授权用户或实体提供 有效的服务。 3 重庆大学硕士学位论文 2 网络安全和网络安全评估 可靠性( r e l i a b l i t y ) 它是指网络系统能够在特定的时间和特定的条件下完 成特定功能的特性。可靠性是网络系统安全最基本的要求。网络系统的可靠性有 以下三种： 生存性它是指在随机破坏下网络系统的可靠性。生存性主要体现随机破坏和 网络拓扑结构对系统可靠性的影响。这里随机性破坏是指系统设备因为自然老化 造成的自然失效。 抗毁性它是指网络系统在人为的破坏下系统的可靠性。比如部分节点遭到破 坏后，系统是否能够仍然提供一定程度的服务。 有效性它是指一种基于业务性能的可靠性。它主要体现网络设备在遭到破坏 后，满足业务性能要求的程度。 可控性( c o n t r o l l a b l i t y ) 它是指对网络信息的传播和内容具有控制能力的 特性。它可以保证对网络信息进行安全监控。 不可抵赖性( n o n - r e p u d i a t i o n ) 它是指在网络系统的信息交互过程中，确 认参与者身份的真实性。它可以保证发送方无法对他发送的信息进行否认，并且 可以通过数字取证、证据保全，使公证方可以方便地介入，通过法律来管理网络。 2 1 3 网络安全目标 网络安全的目标在于保证网络信息在传输过程中不被篡改、丢失、破坏，保 证网络系统的软、硬件不被破坏，数据不被非授权者所使用。它包括： 网络硬件安全：例如传输线路、各种网络设备的安全保障等。 网络中的数据安全：确保网络中的数据不被非授权用户或实体所访问和使 用，保证数据的完整性。 网络软件安全：例如网络软件系统不被非法入侵、修改、以及受到病毒和 黑客的攻击。 网络安全管理：例如计算机安全管理、安全审计等。 总的来说，网络安全的目标在于通过相应的安全技术，保护在公用网络系统 中传输、交换、存储的信息的机密性、完整性、可用性、可靠性、可控性、不可 抵赖性等。 2 1 4 安全威胁 目前网络安全面临的威胁主要有两种：一是对网络系统中信息的威胁；二是对 网络中设备的威胁。总的来说，影响计算机网络安全的因素非常多，在这些因素 中，有的可能是自然的，有的可能是人为的；有的可能是由于无意的错误操作引 起的，有的可能是外来黑客或内部人员故意破坏的。归纳起来，影响网络安全的 威胁主要有以下三类： 网络软件的脆弱性和后门。各种网络软件在设计的时候就存在缺陷和脆弱 4 重庆大学硕士学位论文2 网络安全和网络安全评估 性，虽然这些缺陷和脆弱，不会直接破坏网络系统，但是它给系统带来了相当大 的潜在风险。因为一旦这些脆弱性和缺陷被非法的攻击者所利用，其后果将不堪 设想。另外，软件的后门是软件设计公司的设计编程人员为了方便而设置的，一 般外人是不知道的，但是一旦后门被打开，其造成的后果是非常严重的。 人为的无意失误。例如用户安全意识不高，用户设置的口令不正确，用户 随意将自己的帐号和密码借给他人，系统安全管理员安全设置不当造成的脆弱性 等。 人为的故意攻击。这种威胁是目前计算机网络所面临的最大安全威胁，这 种攻击主要可以分为两大类：一类是主动攻击，它采取各种方式和途径对计算机 网络系统中的信息进行破坏，主要是破坏信息的完整性、有效性、真实性。另一 类是被动攻击，它是在不影响网络正常运行的情况下，通过截获、窃听、破译等 方式获取系统中的重要机密信息。这两类攻击都将对计算机网络造成很大的危害， 并且使机密信息泄露。 2 1 5 安全服务 前面分析了网络系统所面临的主要安全威胁，在这里应选择相应的安全服务来 保护系统，从而消除安全威胁给系统带来的安全隐患。下面主要介绍以下几类安 全服务。 数据机密性安全服务。它主要分为通信业务流保密、报文保密、选择段保 密。其中通信业务流保密是指防止通过观察和分析通信业务流来获取机密信息。 报文保密是指网络系统中的报文或数据库中的数据。选择段保密是指保护报文中 被选取的数据段。 数据完整性安全服务。它是指防止非授权修改信息、文件、通信业务流， 从而确保能够准确无误的获得资源的安全措施。 数据完整性主要可以分为以下四类： 无连接完整性：它是指为一次无连接传输中的所有报文提供数据完整性，采 用的方法是验证接收到的报文是否被篡改。 无连接选择段完整性：它是指为一次无连接传输中，为报文内所选取的报文 段提供数据完整性，采用的方法是验证所选取的报文段是否被篡改。 面向连接完整性：它是指为一次面向连接传输中的所有报文提供数据完整性， 采用的方法是验证接收到的报文是否被篡改、删除、插入。 面向连接选择段完整性：它是指为一次面向连接传输中，为报文内所选取的 报文段提供数据完整性，采用的方法是验证所选取的报文段是否被篡改、删除、 插入。 访问控制安全服务：它主要是指防止非授权访问和使用系统资源的安全措 5 重庆大学硕士学位论文2 网络安全和网络安全评估 施，主要可以分为自主访问控制和强制访问控制，其实现机理是基于访问控制属 性的访问列表，也可以是基于安全标签、用户分类的多级访问控制。 实体认证安全服务：它是指防止主动攻击的安全措施。认证的基础是识别 和证实，即首先要识别一个实体的身份，然后对该实体是否满足其声明的身份进 行证实。 不可否认安全服务：它是指防止否认已发生过的操作。它主要分为以下三 类。 公证：在通信双方互不相信时，可以通过双方都信任的第三方来公证已发生 过的操作。 发送方的不可否认：防止发送者否认发送过信息。 接收方不可否认：防止接受者否认接收过信息。 2 1 6 安全机制 安全机制可以分为两大类，一类是和安全管理相关，用来提高系统的安全管 理；另一类是和安全服务相关，用来实现系统的安全服务。 安全管理相关的安全机制 安全审计：它是指记录和审查与安全性相关的事件和活动。 事件检测：它是指检测和安全性相关的事件。 安全标签：它是指注明安全对象的安全级别。 可信任性：它是指确保安全机制提供的安全性的可信任。 破坏恢复：它是指把遭到破坏的安全性恢复到破坏前一致的安全状况。 安全服务相关的安全机制 数据完整性机制：它是指保证传输、存储过程中信息的完整性，发送者附 加使用单向散列算法加密的认证信息，接收者对认证信息进行认证。 访问控制机制：它是指控制实体对系统资源的访问，依据实体的身份和有 关属性信息来确定该实体对系统资源的访问权限。 实体认证机制：它是指保证实体身份的真实性，通信双方相互交换实体的 特征信息来声明实体身份。 数字签名机制：它是指保证通信过程中操作的不可否认性，发送者在报文 中附加使用私钥加密的签名信息，接收者使用签名者的公钥对签名信息进行认证。 公证机制：它是指由通信双方信任的第三方参与的数字签名机制，从而确 保双方操作的不可否认性。 加密机制：它是指保证通信过程中信息的机密性，使用加密算法对信息进 行加密。 信息过滤机制：它是指控制有害信息进入网络，依据安全规则禁止某些信 6 重庆大学硕士学位论文2 网络安全和网络安全评估 息进入网络，从而避免有害信息对网络系统的破坏。 路由控制机制：它是指控制报文转发的路由，依据报文中的安全标签来转 发路由，防止重要报文被转发到某些子网，被攻击者窃听和获取。 2 1 7 安全策略 安全策略是指一个组织用来保护网络系统中的信息资源和计算资源的原则的 管理描述。它是对访问规则的正式表述，所有需要访问该组织网络系统的信息的 人员都必须遵守这些规则。安全策略中的主要概念是授权、访问控制、保护、信 息的重要性、价值，下面来描述以下有关安全策略和它们的关系。 访问系统必须拥有适当的权限，安全策略定义了主体访问客体的权限级 别。 在访问控制模型中，安全策略制订了访问控制框架的访问规则。 安全策略可以划分规则、规范、标准，从而去控制一个组织如何管理、分 发、保护重要信息和该组织提供的服务。 安全策略确定了网络系统中有价值的实体并且规定了保护这些价值实体 的措施。 由于网络环境极其复杂，而且网络系统中的许多资源都是可用的，所以网络 安全管理员必须随时知道网络潜在的安全威胁，并根据具体情况采取响应的安全 策略。网络安全策略大致分为以下四种。 物理安全策略：它是指保护计算机系统、网络服务器、打印机等硬件实体 和通信线路免遭自然破坏、人为破坏；证实用户的身份和使用权限，防止用户非 授权使用；保证计算机系统能有一个良好的电磁兼容工作环境；制定完善的安全 管理制度，防止非法入侵计算机控制室和偷盗、破坏行为的发生。 信息加密策略：它是指保护在网络上传输的数据。常见的加密方法主要有 节点加密、端到端加密、链路加密三种。节点加密主要是对从源节点到目标节点 的传输链路进行保护。端到端加密是对源端用户到目的端用户上的数据进行保护。 链路加密是对网络节点之间的链路信息进行保护。 访问控制策略：它是网络安全防御和保护的主要策略，它的主要目的是保 证网络系统资源不被非法访问和使用，是确保计算机网络安全、保护网络资源的 主要手段。 网络安全管理策略；他是指制定相关的管理制度用来确保网络安全、可靠 的运行，主要有制订操作使用规范与出入机房制度、制定网络系统的维护制度和 应急措施、决定安全管理级别和安全管理范围。 7 重庆大学硕士学位论文 2 网络安全和网络安全评估 2 2 网络安全评估发展和研究现状 2 2 1 网络安全评估发展过程 美国是世界上对网络信息安全和网络安全评估研究最早的国家，随着网络信息 安全要求的不断提高，网络安全技术、网络安全定义的发展变化，他们对网络安 全和网络安全评估的认识也逐步加深。从最初只关心计算机保密逐渐发展到对整 个网络信息系统进行安全评估和保障，大致经历了以下三个阶段。 第一阶段( 2 0 世纪6 0 - 7 0 年代) 它主要是以计算机为对象的信息保密阶段。 1 9 6 7 年美国国防部委托迈特公司开始研究计算机安全问题，当时的研究主要是针 对大型机、远程综端。重点研究计算机的机密性问题，而安全评估也只局限与计 算机的机密性。 第二阶段( 2 0 世纪8 0 9 0 年代) 在这一阶段主要是以计算机和网络为对象的 安全保护阶段。该阶段最初是针对美国军方的黑客攻击行为，在这之后逐渐认识 到了网络安全属性( 机密性、完整性、可用性) ，从关心操作系统安全到关心网络 和数据库，试图通过对安全产品的质量保证和安全测评来保护系统的安全。 第三阶段( 2 0 世纪9 0 年代末到2 l 世纪初) 在这一阶段主要是以网络信息系 统的关键设旌为对象的安全保护。计算机网络系统成为关键设施的核心，安全评 估思想得到了重要的贯彻。 目前，美国已经建立了国家安全评估认证体系，负责研究并开发相关的评估 标准、评估技术、评估认证方法，而且进行了基于评估标准的网络安全评估和认 证，现在最新的研究计划是f i s m a 计划f 4 】。 我国的网络信息安全评估工作是对网络安全的认识不断深化而逐渐发展的， 早期的安全工作重点是信息保密，2 0 世纪8 0 年代后，提出了计算机安全问题，并 开展了计算机安全检查工作，但是因为对风险的认识不足，通常采取一些所谓的 绝对安全措施。到了2 0 世纪9 0 年代，我国提出了计算机信息系统实行安全等级 保护的要求，然后又逐步提出了一系列的相关技术标准与管理规范，网络安全的 风险意识开始形成，并逐渐加强，目前主要工作集中与业务体系组织架构的建立， 对应的标准体系和技术体系还处于研究阶段。 2 2 2 网络安全评估研究现状 网络安全评估是保证网络安全的基本前提和基础【5 】，网络安全评估对于网络 安全具有重要的意义，但是在计算机网络安全领域有关网络安全评估的研究和成 果和其重要性很难成正比，由于安全和保密的角度，许多国外的研究成果并没有 公开，国内的研究成果比较少。 国外有关网络安全评估的研究已有二十多年的历史，美国、加拿大等玎发达 国家于2 0 世纪7 0 年代和8 0 年代建立了国家认证机构和安全评估认证体系，负责 8 重庆大学硕士学位论文2 网络安全和网络安全评估 研究并开发相关的评估标准、评估认证方法和评估技术，并进行基于评估标准网 络安全评估和认证。目前这些国家与网络系统安全评估相关的标准体系、技术体 系、组织架构和业务体系都已经相当成熟【6 】。从已经建立了网络安全评估认证体系 的有关国家来看，安全评估及认证机构都是由国家的安全、情报、国家标准化等 政府主管部门建立，以保证评估结果的可信性和认证的权威性和公正性。 我国网络系统安全评估的研究是近十年才开始的，目前主要工作集中于组织 架构和业务体系的建立，但相应的标准体系和技术体系还处于研究阶段。随着电 子商务、电子政务的快速发展，网络安全评估领域和以该领域为基础的网络安全 工程以已经得到政府、军队、企业、科研机构的高度重视，因此具有广阔的发展 空间。 2 2 3 网络安全评估标准 美国国防部的t c s e c 1 9 8 3 年美国国防部首次公布了可信计算机系统评估规则，简称t c s e c ( t r u s t e dc o m p u t e rs y s t e me v l u a t i o nc f i t 髓i a ) ，它主要用于对操作系统的评估，这 是r r 历史上第一个安全评估标准四，1 9 8 5 年公布了第二版。t c s e c 所规定的安全 评估准则主要针对美国政府安全需求，重点是基于大型计算机系统的机密文件处 理方面的安全要求，自从c c 被采纳为国际标准后，美国已经终止了基于t c s e c 的安全评估工作。 加拿大系统安全中心的c t c p e c 1 9 9 2 年4 月，加拿大可信计算机产品评估准则简称c t c p e c ( c a n a d a t r u s t e d c o m p u t e rp r o d u c tc r i t e r i a ) 草案公布，它可以被当成在t c s e c 之上的一个进一步 发展，它实现结构化安全功能的方法对后来的国际标准产生影响。 欧共体委员会的r r s e c 信息技术安全评估准则i t s e c 8 1 ( i n f o r m a t i o nt e c h n o l o g ys e c u r i t ye v l u a t i o n c r i t e r i a ) 是1 9 9 1 年英国、法国、德国、荷兰等欧洲国家统一制定的安全评估准则， 它的目标在于成为国家认证机构所进行的认证活动一致性基准，而且它可以使评 估结果得到互相认可。自1 9 9 1 年7 月以来，i t s e c 一直被用在欧洲国家的评估和 认证方案中，直到被c c 所取代。 1 t s e c 对系统和产品的安全评估有分别的说明，即标准面向系统和产品，分 别从系统和产品的角度来制定安全评估准则。但i t s e c 是一种标准框架，抽象性 强，并且可操作性不强。 信息安全管理标准b s7 7 9 9 b s7 7 9 9 是由英国标准协会( b s i ) 于己于人1 9 9 5 年2 月首次公布，1 9 9 9 年5 月进行了修订，现在已经成为国际公认的安全管理权威标准。b s7 7 9 9 的第一部分 9 重庆大学硕士学位论文 2 网络安全和网络安全评估 b s 7 7 9 9 1 ：1 9 9 9 已经在2 0 0 0 年1 2 月被接纳为国际标准( i s o i e c l 7 7 9 9 ：2 0 0 0 ) 国际化标准组织在网络信息安全管理方面，1 9 9 6 年开始制订信息安全管理 指南，( i s 伽e c l 3 3 3 5 ) ，然后又依据b s7 7 9 9 一l 制订了信息安全管理实施指南， ( i s o 把1 7 7 9 9 ：2 0 0 0 ) ， 提出了基于风险管理的网络信息安全管理体系。 日本电子工业发展协会的j c s e c f r 日本电子工业发展协会j e i d a 在1 9 9 2 年公布了日本计算机安全评估准则 功能需求，( j c s e c f r ，j a p a nc o m p u t e rs e c u r i t ye v l u a t i o n c d t e r i a - - - - f u n c t i o nr e q u i r e m e n t ) 国际通用准则c ci s o i e c l 5 4 0 8 1 9 9 9 信息技术安全评估通用准则简称( c c 9 1c o m m o nc r i t e r i a ) 是北美和欧盟合作 开发的一个统一的国际互认的安全准则，它已经取代了美国国防部的，i s e c 、 加拿大系统安全中心的c t c p e c 、欧共体委员会的i t s e c ，成为事实上的国 际安全评估准则。1 9 9 9 年c c 被i s o 正式批准为国际标准c ci s o ，i e c l 5 4 0 8 1 9 9 9 并公布执行。 我国的安全评估标准 我国的安全评估标准是最近十年才开始的，目前的工作主要集中在组织架构 和业务体系的建立，相应的技术体系和标准体系还处于研究阶段。现在已经公布 的标准有： 1 ) 计算机信息系统安全保护等级划分规则g b l 7 8 5 9 1 9 9 9 1 9 9 9 年9 月国家质量技术监督局发布了强制性国家安全标准计算机信息系统 安全保护等级划分规则g b l 7 8 5 9 1 9 9 9 ，它是建立安全等级保护制度、实施安全 等级管理的基础性标准f 1 0 1 ，它将计算机信息系统安全保护等价划分为五个等级， 对每一级别的具体需求则是通过对安全要素需求的描述来完成的，该标准有三个 目的：一为安全产品的研制提供技术支持，二是为计算机信息系统的安全规则的 制订和执法部门检查提供依据，三是为系统的安全建设和管理提供技术指导。 2 ) 信息技术安全性评估准则g b t 1 8 3 3 6 - 2 0 0 1 自从c c l 0 版本公布以后，我国的有关部门就一直密切的关注它的发展情况， 并对该版本作了大量研究，2 0 0 1 年3 月8 日，国家质量技术监督局正式公布了借 助c c 标准的g b t 1 8 3 3 6 - 2 0 0 1 信息技术、安全技术、信息技术安全性评估准则 0 0 。 因为c ci s o i e c l 7 7 9 9 1 9 9 9 在网络信息安全管理中的重要地位，我国已准备将 其纳入国家标准。 1 0 重庆大学硕士学位论文2 网络安全和网络安全评估 2 3 网络安全评估中的脆弱性研究 2 3 1 脆弱性定义 脆弱性【1 1 】是指计算机或网络系统在硬件、软件、协议设计和实现、系统采取 的安全策略存在的不足和缺陷。脆弱性存在的直接后果就是允许非法或非授权用 户获取或提高访问权限，从而给攻击者以可乘之机破坏网络系统【1 2 】。例如许多硬 件、软件的一些脆弱性为大家很熟悉，最出名的一个就是m 或兼容的计算机的 c m o s 电池易短路，从而使得里面保存的密码丢失；数据库管理应用软件m s s q s e r v e r7 0 默认安装后，内置帐号密码为空。 计算机网络安全问题，尤其是脆弱性问题非常复杂，有些脆弱性的原因可能 是由于单个系统部件的缺陷所造成的，而有的则是由网络系统中的各部件之间相 互作用所引起的，所以在计算机网络安全评估中应该对系统的脆弱性进行重点研 究。 2 3 2 脆弱性形成的原因 总的来说，计算机网络系统脆弱性主要是由程序员不安全编程和错误操作造 成的，网络协议本身的缺陷以及用户的错误使用和设置所造成的。归纳起来主要 有以下几个方面。 设置错误。它主要是指系统管理员或用户的错误设置，这类由于错误设置 导致的系统脆弱性很受攻击者喜欢，因此也是最常见的脆弱性。许多产品制造商 在产品推向市场时为用户设置了许多默认参数，这些设置的目的主要是对用户的 充分信任，方便新用户的使用，但是这些设置可能会给计算机网络系统带来很大 的安全隐患。 设计错误。它是指设计实现时，因为程序员由于自己的疏忽和为了自己方 便而设计了一些后门，这类脆弱性很难发现，而且一旦发现也很难修补，它对网 络系统的安全威胁非常大，这类脆弱性只有通过重新设计和实现。 网络协议自身的缺陷。它是指网络协议自身的缺陷和不足所造成的安全隐 患。网络协议是指计算机之间为了互连而共同遵守的规则，目前计算机网络大都 采用t c p i p 协议，t c p i p 协议在设计之初力求开放性和运行效率，缺乏对安全性 的总体构想和设计，所以存在许多脆弱性，从而留下很多安全隐患。 输入验证错误。它是指对用户输入数据的合法性进行验证，导致攻击者非 法进入系统。大多数缓冲区溢出脆弱性c g i 类脆弱性都是由这种原因引起的。 r e d h a t 6 2 的d u m p 命令都存在这种脆弱性【1 3 】。 访