网络安全检测与评估技术.ppt

1、第七章网络安全检测与评估技术，内容摘要：网络安全漏洞网络安全评估标准网络安全评估方法网络安全检测评估系统摘要，7.1网络安全漏洞，1 .网络安全漏洞威胁(1)安全漏洞的定义漏洞是硬件、软件、协议的特定实现或系统安全策略的缺陷，攻击者可以未经授权访问或破坏系统。漏洞的发生具有必然性，因为软件的准确性通常通过测试得到保证。“检测只能发现错误，可以证明错误的存在，不能证明错误的存在。”，返回本章的主页，(2)安全威胁的定义安全威胁是指可能会干扰、破坏或中断计算机网络信息系统中网络服务和网络信息的机密性、可用性和完整性的所有因素，安全威胁可以分为两类：人力安全威胁和非人工安全威胁。安全威胁与安全漏洞密

2、切相关，安全漏洞的可度量性使您更直观地了解系统安全的潜在影响。返回本章的主页后，可以根据风险级别对安全漏洞进行分类。脆弱性分类方法在表7-1、7-2、7-3中说明。返回本章主页，表7-1漏洞威胁级别分类，表7-2漏洞威胁整合级别分类，表7-3漏洞威胁级别分类说明，2。根据网络安全漏洞的分类方法漏洞，系统可能出现的直接威胁分类漏洞的原因进行分类，返回本章的主页，(1)根据漏洞将系统可能出现的直接威胁分类划分为远程管理员权限。本地管理员权限；一般使用者存取；权限提高读取受限文件远程拒绝服务本地拒绝服务远程未授权文件访问；密码恢复欺骗服务器信息泄漏其他漏洞。您可以返回本章的主页，(2)根据漏洞的原因

3、，分类如下：输入验证错误类；身份验证错误类访问；竞争条件类别意外情况处理错误类；设计错误类配置错误类；环境错误类。返回本章的主页，3 .网络安全漏洞检测技术可以分为信息型漏洞检测和攻击型漏洞检测两种。根据漏洞检测的技术特征，还可以分为基于应用程序的检测技术、基于主机的检测技术、基于目标的检测技术和基于网络的检测技术。(1)基于信息的漏洞检测技术，即基于信息的漏洞检测技术，是通过目标模型、运行的操作系统版本和补丁安装、配置、执行服务和服务程序版本信息确定目标中存在的安全漏洞的检测技术。该技术具有实现目的方便而不具有破坏性的特性。缺点是，对于是否存在特定漏洞，很难得出确定的结论。为了返回本章的主页

4、，提高信息型漏洞检测技术的准确度和效率，还不断引入了：顺序扫描技术多服务检测技术，返回本章的主页，(2)攻击型漏洞检测技术模拟攻击是最直接的漏洞检测技术，其检测结果的准确度也最高。该检测技术的主要思想是模拟网络入侵的一般过程，表明对目标系统没有恶意攻击的企图，如果攻击成功，相应的安全漏洞就一定存在。，返回本章主页，(3)漏洞检测技术基于应用程序的检测技术基于主机的检测技术基于目标的漏洞检测技术基于网络的检测技术，返回本章主页，7.2网络安全评估标准，1 .网络安全评估标准开发过程(1)开拓和孤立阶段(2)普及和分散阶段(3)集中集成阶段，返回本章主页，返回图7-1评估标准的发展过程，表7-7的

5、层次比较表，返回本章主页。2.TCSEC、ITSEC和CC的基本配置(1)TCSEC的基本配置TCSEC主要是安全策略模型(Security Policy Model)确定性保修(Documentation)TCSEC根据使用的安全策略和系统拥有的安全功能，将系统分类为7个安全级别。(2)ITSEC的基本配置TSEC还定义了7个安全级别：E6:正式验证。E5:正式分析；E4:半正式分析；E3:数字测试分析；E2:数字测试；E1:功能测试；E0:没有充分满足保证。返回本章的主页，其中包含ITSEC的标识和验证、访问控制、追问、审计、对象重用、准确性、服务可靠性和数据交换等安全功能。保修分为有效性

6、和准确性两种。的区别。的区别，即，保修是有效的，而保修是有效的，它是有效的，它是正确的，这是正确的，这是正确的，这是正确的，这是正确的。返回本章的主页，(3)CC的默认配置CC是相互依赖的，还需要一个。其中第1部分介绍了CC的基本概念和基本原理，第2部分提出了安全功能要求，第3部分提出了非技术安全保证要求。返回本章的主页，其中CC功能要求和保修要求是类-族-组件的结构。功能要求包括11个功能类：安全审核、通信、密码支持、用户数据保护、标识和身份验证、安全管理、秘密、TSF保护、资源利用、TOE访问、可靠路径和通道。保修要求包括七个保修类别：配置管理、提供和操作、开发、指导、生命周期支持、测试和

7、漏洞评估。返回本章主页，CC的评估评级共分为7个阶段：功能测试、结构测试、系统测试和检查、系统设计、测试和审查、准格式设计和测试、准格式验证的设计和测试、格式验证的设计和测试，以及格式验证的设计和测试。返回本章的主页，本章的主页，CC结构图，7.3网络安全评估方法，1 .基于典型评估方法(CEM)的网络安全评估模型CC不包含独特的评估方法，信息技术的评估方法主要由CEM提供。CEM主要包括评估的一般原则，如PP评估、ST评估和EAL1EAL4评估。CEM对应于CC的保修要求。返回本章的主页后，CEM包含两部分。第一部分是介绍和一般模型，包括评价的一般原则、评价中的作用、评价前过程概述和相关术语

8、说明。第二部分是一种评估方法，详细说明适用于所有评估的常见评估任务、PP评估、ST评估、EALIEAL4评估和评估过程中使用的常见技术。返回本章主页，(1)CEM评估一般原则CEM评估应符合可重复和可重现的特性，并遵循评估结果可靠的适当公平客观原则。CEM假定价格合理，方法可以不断演变，评估结果可以重复使用。即可返回本章的主页(2)将CEM评估模型CEM评估显示为下图中的模型。返回本章的首页(3)CEM评估任务CEM的所有评估中包含的评估任务是评估输入任务和评估输出任务。评估输入包括四个任务：配置控制、证据保护、处置和保密。其中，CEM对以下两项任务没有要求，保留以解决评估系统：评估输出任务包

9、括两个子任务：创建观测报告(OR)和创建评估技术报告(ETR)。(4)返回对CEM评估活动中所有信息技术安全产品或系统(也可以是PP)的评估，围绕评估人执行的评估活动集返回。每个评估活动都可以细分为子活动，子活动进一步细分为任务，每个任务由一个或多个标识的工作单元组成，如下图所示。返回本章主页，返回本章主页，分解评估活动(5)评估结果评估人必须在评估过程中做出不同级别的决定，评估人的裁决可能有三种不同的结果：不确定性、通过或失败。返回本章的主页，2 .基于指标分析的网络安全综合评价模型(1)综合评价摘要为了全面了解目标网络系统的安全性能状态，必须测试或评估各个领域的指标或项目，要获得目标网络信

10、息系统安全性能的最终评价，必须综合整个评价项目的评价结果。要返回本章主页，完成网络系统安全状态的综合评估，请从最低级别的项目开始，从低到高级别的项目确定各个级别项目的评估结果，最后综合第一级别项目的评估结果，得出目标网络系统安全状态的综合评估结果。综合同一水平(本地)评价项目的评价结果，可以有加权平均、模糊综合评价等多种方法。返回本章的主页，(2)规范化过程量化指标的规范化处理方法可分为三类：段、折线和曲线。用于规格化的方法取决于特定测试项目的属性，应用于特定测试项目的规格化方法不一定适用于其他项目。返回本章主页，定性评估项目的量化和规范化定性评估项目的结果通常按“非常低、不好、一般、更好、好

11、”等等级提供。定性评估项目最简单的定性评估结果，即评估结果为“是”或“否”时，量化和规范化可以使用直接方法。也就是说，可以将“是”指定为“1”，将“否”指定为“0”。返回本章第一页，如使用了、1、2、3、4、5，在定性指标描述为“非常低、不好、中、更好、好”的情况下，可以按该顺序大致分配整数，从而量化结果。这些量化结果“1，2，3，4，5”分别将“0.8e1，0.3，0.5，0.7，0.9”或“a，b，c，d，e”规范化其中0a0.2、0.2b0.4、0.4c0.6、0.6d 0.8，0.8e 1。返回本章主页(3)综合评价方法综合所有评价项目的评价结果，从而获得系统的总体评价。对于同一层次结

12、构中的评估要素(指标)，综合评估流程是在多维空间中映射至一个段的点或评估评级域中的级别的流程。返回本章的首页，如果评估项目之间存在层次结构关系，则综合评估流程的任务是将该层次结构中的所有评估项目映射到上述段a或评级域l。即f: (h) a(或f: (h) l)，其中h表示评估项目之间的层次结构，并返回本章的主页。典型的综合评价方法是加权平均加权几何平均混合平均。返回本章主页，在综合评价过程中对特定评价项目使用加权算术平均值比较合适，对其他评价项目使用加权几何平均可能更好。这种情况是由评估项目的独特性质决定的。某个评价项目的评价值可能是决定性的，基本上完全依赖于最终评价，也可能不是那么重要。返回

13、本章的主页，3。基于模糊评价的网络安全状态评价模型在评价实践中经常遇到一些难以定量表示评价结果的评价项目。模糊数学对处理定性评价项目尤其有用。例如：系统评估中的大多数项目基本上都是定性的。模糊数学可用于处理这些评价结果和形成整体评价。7.4介绍了网络安全检测与评估系统，计算机网络信息系统安全检测与评估系统的快速发展，现已成为计算机网络信息系统安全解决方案的重要组成部分。以ISS公司的互联网扫描仪为例，介绍了网络安全检测评估系统。返回本章的主页1。Internet Scanner 7.0简介Internet Scanner是ISS开发的网络安全评估工具，用于分析网络漏洞和提供决策支持。网络扫描仪

14、可以对计算机网络信息系统进行全面的检测和评估。返回本章的主页，2 .Internet Scanner是Internet Scanner的扫描评估过程，它具有计划和可选检查功能，可以发现最容易针对网络通信服务、操作系统、关键应用程序系统、路由器和防火墙等进行攻击的漏洞，并检测、调查和模拟攻击网络。最后，internet扫描仪在分析漏洞情况的同时，提供趋势分析，并提供生成报告和数据的一系列正确措施。返回本章主页，internet扫描仪的扫描评估流程，返回本章主页，(1)定义扫描会话，(Session)internet scanner定义需要使用会话扫描的设备。创建新会话后，将包含三个属性，用于定义扫描测试内容的策略。用于定义扫描范围的关键文件；由要扫描的IP地址定义的设备组；返回本章的主页，定义(2)internet扫描仪扫描系统时用于攻击系统的搜索策略(Policy)。直接利用internet扫描仪首选项的策略定义有两种：单击Add Policy按钮自定义策略。返回本章主页(3)确定搜索到的评估目标的三种方法是使用现有主机文件之一。输入一个或多个IP地址或网段作为行输入，以确定搜索到的主机。Ping将在所有key文件是可以ping到定义网段范围的所有IP地址的设备时搜索。返回本章的主页，(4)生成