网络安全评估指标体系研究.doc

..

.v.

研究报告二网络平安评估标准研究报告

一、研究现状

随着网络技术的开展，计算机病毒、网络入侵与攻击等各种网络平安事件给网络带来的威胁和危害越来越大，需对网络数据流进展特征分析，得出网络入侵、攻击和病毒的行为模式，以采取相应的预防措施。宏观网络的数据流日趋增大，其特征在多方面都有表达。为了系统效率，只需对能表达网络平安事件发生程度与危害的重点特征进展分析，并得出反映网络平安事件的重点特征，形成平安评估指标。

随着信息技术与网络技术的迅猛开展,信息平安已经成为全球共同关注的话题,信息平安管理体系逐渐成为确保组织信息平安的根本要求,同时网络与信息平安标准化工作是信息平安保障体系建立的重要组成局部。网络与信息平安标准研究与制定为管理信息平安设备提供了有效的技术依据,这对于保证平安设备的正常运行和网络信息系统的运行平安和信息平安具有非常重要的意义。本文将介绍当前网络信息平安标准研究的现状,并着重介绍几个现阶段国内外较流行的平安标准。

近年来，面对日益严峻的网络平安形式，网络平安技术成为国内外网络平安专家研究的焦点。长期以来，防火墙、入侵检测技术和病毒检测技术被作为网络平安防护的主要手段，但随着平安事件的日益增多，被动防御已经不能满足我们的需要。这种情况下，系统化、自动化的网络平安管理需求逐渐升温，其中，如何实现网络平安信息融合，如何真实、准确的评估对网络系统的平安态势已经成为网络平安领域的一个研究热点。

对网络平安评估主要集中在漏洞的探测和发现上，而对发现的漏洞如何进展平安级别的评估分析还十分有限，大多采用基于专家经历的评估方法，定性地对漏洞的严重性等级进展划分，其评估结果并不随着时间、地点的变化而变化，不能真实地反映系统实际存在的平安隐患状况。再加上现在的漏洞评估产品存在误报、漏报现象，使得平安管理员很难确定到底哪个漏洞对系统的危害性比拟大，以便采取措施降低系统的风险水平。因此，我们认为：漏洞的评估应该充分考虑漏洞本身的有关参数及系统的实际运行数据两方面信息，在此根底上，建立一个基于信息融合的网络平安评估分析模型，得到准确的评估结果

2相关工作

现有的平安评估方式可以大致归结为4类:平安审计、风险分析、平安测评和系统平安工程能力成熟度模型SSE-CMM(SystemsSecurityEngineeringCapabilityMaturityModel)等。大局部通用的信息平安标准,如ISO17799,ISO13335等,其核心思想都是基于风险的平安理念[4-6]。信息技术先进的国家,例如美国、俄罗斯和日本等在信息平安保障评价指标体系方面已经率先开展了研究工作。特别是美国,利用卡内基梅隆大学系统平安工程能力成熟度模型SSE-CMM[4]较早地建立了信息平安保障评价指标体系[5,6]。RayfordB.Vaughn[7]和NabilSeddigh[8]等人研究了信息平安保障评价的概念和范畴,给出了信息平安保障评价的框架。在国内,国家信息中心[9,10]研究了网络信息系统的信息平安保障理论和评价指标体系;更多的研究针对网络平安的评价指标体系[11]。在评估方面,魏忠[12]提出了从定性到定量的系统性信息平安综合集成评估体系;肖道举等[13]进展了网络平安评估模型的研究;黄丽民等[14]提出了网络平安多级模糊综合评价方法;李雄伟等[15]在采用模糊层次分析法Fuzzy-AHP评估网络攻击效果方面取得了一定的成果。有些研究已经应用到具体的行业中[16-18]。最近,中国工业与信息产业部推出了“中国信息平安产品评测指标体系〞[19]。目前,有关网络信息系统的平安评价虽然存在着多种多样的具体实践方式,但在世界上还没有形成系统化和形式化的评价理论和方法。评价模型根本是基于灰色理论(GrayTheory)或者模糊(Fuzzy)数学,而评价方法根本上用层次分析法AHP(AnalyticHierarchyProcess)或模糊层次分析法Fuzzy-AHP,将定性因素与定量参数结合,建立了平安评价体系,并运用隶属函数和隶属度确定待评对象的平安状况。

上述各种平安评估思想都是从信息系统平安的某一个方面出发,如技术、管理、过程、人员等,着重于评估网络系统平安某一方面的实践标准,在操作上主观随意性较强,其评估过程主要依靠测试者的技术水平和对网络系统的了解程度,缺乏统一的、系统化的平安评估框架,很多评估准那么和指标没有与被评价对象的实际运行情况和信息平安保障的效果结合起来。在目前的评估方法中,根底