网络安全检测与评估技术

第七章网络安全检测与评估技术第7章网络安全检测与评估技术内容提要：网络安全漏洞网络安全评估标准网络安全评估方法网络安全检测评估系统简介小结第七章网络安全检测与评估技术7.1网络安全漏洞1.网络安全漏洞威胁（1）安全漏洞的定义漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，可以使攻击者在未授权的情况下访问或破坏系统。漏洞的产生有其必然性，这是因为软件的正确性通常是通过检测来保障的。而“检测只能发现错误，证明错误的存在，不能证明错误的不存在”。返回本章首页第七章网络安全检测与评估技术（2）安全威胁的定义安全威胁是指所有能够对计算机网络信息系统的网络服务和网络信息的机密性、可用性和完整性产生阻碍、破坏或中断的各种因素。安全威胁可以分为人为安全威胁和非人为安全威胁两大类。安全威胁与安全漏洞密切相关，安全漏洞的可度量性使得人们对系统安全的潜在影响有了更加直观的认识。返回本章首页第七章网络安全检测与评估技术可以按照风险等级对安全漏洞进行归类，表7-1，7-2，7-3对漏洞分类方法进行了描述。返回本章首页表7-1漏洞威胁等级分类严重度等级影响度低严重度:漏洞难以利用，并且潜在的损失较少。1低影响度:漏洞的影响较低，不会产生连带的其他安全漏洞。中等严重度:漏洞难以利用，但是潜在的损失较大，或者漏洞易于利用，但是潜在的损失较少。2中等影响度:漏洞可能影响系统的一个或多个模块，该漏洞的利用可能会导致其他漏洞可利用。高严重度:漏洞易于利用，并且潜在的损失较大。3高影响度:漏洞影响系统的大部分模块，并且该漏洞的利用显著增加其他漏洞的可利用性。第七章网络安全检测与评估技术返回本章首页表7-2漏洞威胁综合等级分类严重等级影响等级123112322343345第七章网络安全检测与评估技术表7-3漏洞威胁等级分类描述等级描述1低影响度，低严重度2低影响度，中等严重度；中等影响度，低严重度3低影响度，高严重度；高影响度，低严重度；中等影响度，中等严重度4中等影响度，高严重度；高影响度，中等严重度5高影响度，高严重度第七章网络安全检测与评估技术2.网络安全漏洞的分类方法按漏洞可能对系统造成的直接威胁分类按漏洞的成因分类返回本章首页第七章网络安全检测与评估技术（1）按漏洞可能对系统造成的直接威胁分类可以分为：远程管理员权限；本地管理员权限；普通用户访问权限；权限提升；读取受限文件；远程拒绝服务；本地拒绝服务；远程非授权文件存取；口令恢复；欺骗；服务器信息泄露；其它漏洞。返回本章首页第七章网络安全检测与评估技术（2）按漏洞的成因分类可以分为：输入验证错误类；访问验证错误类；竞争条件类；意外情况处置错误类；设计错误类；配置错误类；环境错误类。返回本章首页第七章网络安全检测与评估技术3.网络安全漏洞探测技术按照网络安全漏洞的可利用方式来划分，漏洞探测技术可以分为：信息型漏洞探测和攻击型漏洞探测两种。按照漏洞探测的技术特征，又可以划分为：基于应用的探测技术、基于主机的探测技术、基于目标的探测技术和基于网络的探测技术等。返回本章首页第七章网络安全检测与评估技术（1）信息型漏洞探测技术信息型漏洞探测技术就是通过探测目标的型号、运行的操作系统版本及补丁安装情况、配置情况、运行服务及其服务程序版本等信息确定目标存在的安全漏洞的探测技术。该技术具有实现方便、对目标不产生破坏性影响的特点。其不足之处是对于具体某个漏洞存在与否，难以做出确定性的结论。返回本章首页第七章网络安全检测与评估技术为提高信息型漏洞探测技术的准确率和效率，许多改进措施也不断地被引入:顺序扫描技术多重服务检测技术返回本章首页第七章网络安全检测与评估技术（2）攻击型漏洞探测技术模拟攻击是最直接的漏洞探测技术，其探测结果的准确率也是最高的。该探测技术的主要思想是模拟网络入侵的一般过程，对目标系统进行无恶意攻击尝试，若攻击成功则表明相应安全漏洞必然存在。返回本章首页第七章网络安全检测与评估技术（3）漏洞探测技术按其技术特征可分为：基于应用的检测技术基于主机的检测技术基于目标的漏洞检测技术基于网络的检测技术返回本章首页第七章网络安全检测与评估技术7.2网络安全评估标准1.网络安全评估标准的发展历程（1）首创而孤立的阶段（2）普及而分散的阶段（3）集中统一阶段返回本章首页第七章网络安全检测与评估技术返回本章首页1985年美国可信计算机系统评估准则(TCSEC)1991年欧洲信息技术安全评估准则(ITSEC)1990年加拿大可信计算机产品评估准则CTCPEC1991年美国联邦准则(FC)1999年国际标准ISO154081996年国际通用准则(CC)图7-1测评标准的发展演变历程第七章网络安全检测与评估技术返回本章首页表7-7各标准的等级划分对照表CCTCSECFCITSECCTCPECGB17859-1999…DE0T0…EAL1……T11：用户自主保护EAL2C1E1T22：系统审计保护EAL3C2T1E2T33：安全标记保护EAL4B1T2E3T44：结构变化保护……T3……………T4………EAL5B2T5E4T55：访问验证保护EAL6B3T6E5T6…EAL7AT7E6T7…第七章网络安全检测与评估技术2.TCSEC、ITSEC和CC的基本构成（1）TCSEC的基本构成TCSEC主要由以下四个方面进行描述：安全策略模型（SecurityPolicyModel）可追究性（Accountability）保证（Assurance）文档（Documentation）返回本章首页第七章网络安全检测与评估技术返回本章首页TCSEC的安全级别类别级别名称主要特征AA验证设计形式化的最高级描述和验证形式化的隐蔽通道分析非形式化的代码对应证明BB3安全区域访问控制高抗渗透能力B2结构化保护形式化模型/隐通道约束面向安全的体系结构较好的抗渗透能力B1标识的安全保护强访问控制安全标识CC2受控制的访问控制单独的可追究性广泛的审计踪迹C1自主安全保护自主访问控制DD低级保护相当于无安全功能的个人微机TCSEC根据所采用的安全策略、系统所具备的安全功能将系统分为四类七个安全级别。第七章网络安全检测与评估技术（2）ITSEC的基本构成TSEC也定义了7个安全级别，即E6：形式化验证；E5：形式化分析；E4：半形式化分析；E3：数字化测试分析；E2：数字化测试；E1：功能测试；E0：不能充分满足保证。返回本章首页第七章网络安全检测与评估技术ITSEC的安全功能分类为：标识与鉴别、访问控制、可追究性、审计、客体重用、精确性、服务可靠性、数据交换。其保证则分为：有效性（Effectiveness）和正确性（Correctness）。返回本章首页第七章网络安全检测与评估技术（3）CC的基本构成CC分为三部分，相互依存，缺一不可。其中第1部分是介绍CC的基本概念和基本原理，第2部分提出了安全功能要求，第3部分提出了非技术的安全保证要求。返回本章首页第七章网络安全检测与评估技术CC的功能要求和保证要求均以类-族-组件的结构表述。功能要求包括11个功能类（安全审计、通信、密码支持、用户数据保护、标识和鉴别、安全管理、隐秘、TSF保护、资源利用、TOE访问、可信路径、信道）。保证要求包括7个保证类（配置管理、交付和运行、开发、指导性文件、生命周期支持、测试、脆弱性评定）。返回本章首页第七章网络安全检测与评估技术CC的评估等级共分7级：EAL1到EAL7，分别为功能测试，结构测试，系统测试和检验，系统设计、测试和评审，半形式化设计和测试，半形式化验证的设计和测试，形式化验证的设计和测试。返回本章首页第七章网络安全检测与评估技术返回本章首页功能包为构建PP或ST而选取的一组功能要求子类C1C2C3Cn功能类子类C1C2C3Cn功能类子类C1C2C3Cn功能类子类C1C2C3Cn保证类评估保证级1评估保证级2评估保证级3评估保证级n功能要求保证要求保护轮廓（PP）基于一类TOE的应用环境规定一组安全要求，并提出应达到哪一评估保证级要求安全目标（ST）基于某一特定TOE的实现，提出一组安全要求及其具体实现以及可以达到的评估保证级。可以满足一个或多个PP提出的要求，也可以在PP的基础上增加CC要求或其他非CC要求。选择性扩充（非CC）安全要求CC结构关系图第七章网络安全检测与评估技术7.3网络安全评估方法1.基于通用评估方法(CEM)的网络安全评估模型CC作为通用评估准则，本身并不涉及具体的评估方法，信息技术的评估方法论主要由CEM给出。CEM主要包括评估的一般性原则，PP评估、ST评估和EAL1～EAL4的评估。CEM与CC中的保证要求相对应。返回本章首页第七章网络安全检测与评估技术CEM由两部分组成：第一部分为简介与一般模型，包括评估的一般原则、评估过程中的角色、评估全过程概况和相关术语解释；第二部分为评估方法，详细介绍适于所有评估的通用评估任务、PP评估、ST评估、EALI～EAL4评估及评估过程中使用的一般技术。返回本章首页第七章网络安全检测与评估技术（1）CEM评估一般原则CEM评估应该遵循适当、公正、客观的原则，要求评估结果满足可重复和可再现的特点，且评估结果是可靠的。CEM假定代价合理，方法可以不断演进，评估结果可重用。返回本章首页第七章网络安全检测与评估技术（2）CEM评估模型CEM评估，都可用下图的模型来表示。返回本章首页评估证据评估输出评估输入任务评估输入任务PP或TOE评估活动(细分为子活动，进一步分为动作)第七章网络安全检测与评估技术（3）CEM评估任务CEM中所有的评估都具备的评估任务是评估输入任务和评估输出任务。评估输入任务包括配置控制、证据的保护、处置和保密四个任务，其中CEM对后两个任务无要求，留给评估体制解决。评估输出任务包括书写观察报告（OR）和书写评估技术报告（ETR）两个子任务。返回本章首页第七章网络安全检测与评估技术（4）CEM评估活动任何一个信息技术安全产品或系统（也可以是PP）的评估，其核心是评估人员展开的一组评估活动。每一项评估活动可进一步细分为子活动，子活动又进一步细分为动作，而每一个动作又由一个或多个确定的工作单元组成，如下图所示：返回本章首页第七章网络安全检测与评估技术返回本章首页TOE评估评估活动子活动动作工作单元评估活动的分解第七章网络安全检测与评估技术（5）评估结果评估人员在评估过程中，需要作出不同层次的裁决，评估人员的裁决可以有三种不同的结果，分别为：不确定、通过或失败。返回本章首页第七章网络安全检测与评估技术2.基于指标分析的网络安全综合评估模型（1）综合评估概要为全面了解目标网络系统的安全性能的状况，需要对各个方面的指标或项目进行测试或评估，必须将全体评估项目的评估结果进行综合，才能得到关于目标网络信息系统的安全性能的最终评价。返回本章首页第七章网络安全检测与评估技术为完成网络系统安全状况的综合评估，首先要从最低层的项目入手，然后由低到高，确定出每个层次项目的评估结果，最后将第一层项目的评估结果综合在一起，得出目标网络系统安全状况的综合评估结果。对同一层次上的（局部的）评估项的评估结果的综合，可以有多种方法，如采用加权平均，模糊综合评价等。返回本章首页第七章网络安全检测与评估技术（2）归一化处理定量指标的归一化对定量指标进行归一化处理方法可分成三类：①线段，②折线，③曲线。使用哪一种方法做归一化处理取决于具体的测试项的特点，适用于某一测试项的归一化方法不一定适用于其它项目。返回本章首页第七章网络安全检测与评估技术定性评估项的量化和归一化定性评估项的结果通常以等级的形式给出，如“很差、较差、一般、较好、很好”。对于定性评估项的最筒单的定性评估结果，即评估结果为“是”或“否”的情况，量化和归一化可采用直截了当法，即“是”指定为“1”，“否”指定为“0”。返回本章首页第七章网络安全检测与评估技术当定性指标采用“很差、较差、一般、较好、很好”的方式描述时，可根据它们的次序粗略地分配一个整数来实现结果的量化，如使用“1、2、3、4、5”与之对应。