1、網絡安全評估指標體系研究研究報告二網絡安全評估標準研究報告一、研究現狀隨著網絡技術的發展，計算機病毒、網絡入侵與攻擊等各種 網絡安全事件給網絡帶來的威脅和危害越來越大，需對網絡數據 流進行特征分析，得出網絡入侵、攻擊和病毒的行為模式，以采 取相應的預防措施。宏觀網絡的數據流日趨增大，其特征在多方 面都有體現。為了系統效率，只需對能體現網絡安全事件發生程 度與危害的重點特征進行分析，并得出反映網絡安全事件的重點 特征，形成安全評估指標。隨著信息技術與網絡技術的迅猛發展，信息安全已經成為全球共同關注的話題，信息安全管理體系逐漸成為確保組織信息安全的 基本要求，同時網絡與信息安全標準化工作是信息安全

2、保障體系建 設的重要組成部分。網絡與信息安全標準研究與制定為管理信息 安全設備提供了有效的技術依據，這對于保證安全設備的正常運行 和網絡信息系統的運行安全和信息安全具有非常重要的意義。本 文將介紹當前網絡信息安全標準研究的現狀，并著重介紹幾個現階段國內外較流行的安全標準。近年來，面對日益嚴峻的網絡安全形式，網絡安全技術成為 國內外網絡安全專家研究的焦點。長期以來，防火墻、入侵檢測 技術和病毒檢測技術被作為網絡安全防護的主要手段，但隨著安全事件的日益增多，被動防御已經不能滿足我們的需要。這種情 況下，系統化、自動化的網絡安全管理需求逐漸升溫，其中，如 何實現網絡安全信息融合，如何真實、準確的評估

3、對網絡系統的 安全態勢已經成為網絡安全領域的一個研究熱點。對網絡安全評估主要集中在漏洞的探測和發現上，而對發現 的漏洞如何進行安全級別的評估分析還十分有限，大多采用基于 專家經驗的評估方法，定性地對漏洞的嚴重性等級進行劃分，其 評估結果并不隨著時間、地點的變化而變化，不能真實地反映系 統實際存在的安全隱患狀況。再加上現在的漏洞評估產品存在誤 報、漏報現象，使得安全管理員很難確定到底哪個漏洞對系統的 危害性比較大，以便采取措施降低系統的風險水平。因此，我們 認為：漏洞的評估應該充分考慮漏洞本身的有關參數及系統的實 際運行數據兩方面信息，在此基礎上，建立一個基于信息融合的 網絡安全評估分析模型，得

4、到準確的評估結果2 相關工作現有的安全評估方式能夠大致歸結為4類:安全審計、風險分析、安全測評和系統安全工程能力成熟度模型SSE-CMM ( SystemsSecurity Engineering Capability MaturityModel)等。大部分通用的信 息安全標準，如ISO 17799,ISO13335等，其核心思想都是基于風險的 安全理念4-6。信息技術先進的國家，例如美國、俄羅斯和日本等在信息安全保障評價指標體系方面已經率先開展了研究工作。特 別是美國，利用卡內基梅隆大學系統安全工程能力成熟度模型SSE-CMM4較早地建立了信息安全保障評價指標體系5,6。 RayfordB.

5、Vaughn7和Nabil Seddigh8等人研究了信息安全保障評價的概 念和范疇，給出了信息安全保障評價的框架。在國內，國家信息中心9,10研究了網絡信息系統的信息安全保障理論和評價指標體系；更多的研究針對網絡安全的評價指標體系11。在評估方面，魏忠12提出了從定性到定量的系統性信息安全綜合集成評估體系；肖道舉等13進行了網絡安全評估模型的研究；黃麗民等14提出了網絡安全多級模糊綜合評價方法；李雄偉等15在采用模糊層次分析 法Fuzzy-AHP#估網絡攻擊效果方面取得了一定的成果。有些研 究已經應用到具體的行業中16-18。最近，中國工業與信息產業部 推出了 “中國信息安全產品評測指標體系

6、”19。當前，有關網絡信息系統的安全評價雖然存在著多種多樣的具體實踐方式，但在世界上還沒有形成系統化和形式化的評價理論和方法。評價模型基 本是基于灰色理論(GrayTheory)或者模糊(Fuzzy激學,而評價方法基 本上用層次分析法 AHP(Analytic Hierarchy Process做模糊層次分析 法Fuzzy-AHP將定性因素與定量參數結合，建立了安全評價體系，并 運用隸屬函數和隸屬度確定待評對象的安全狀況。上述各種安全評估思想都是從信息系統安全的某一個方面出 發，如技術、管理、過程、人員等，著重于評估網絡系統安全某一方面的實踐規范，在操作上主觀隨意性較強，其評估過程主要依靠測試 者的技術水平和對網絡系統的了解程度，缺乏統一的、系統化的安全評估框架，很多評估準則和指標沒有與被評價對象的實際運行情 況和信息安全保障的效果結合起來。在當前的評估方法中，基礎指標（技術、管理、工程和戰略）是相互獨立的，技術、管理、工程和 戰略措施是并行的，評價指標之間相互獨立，從而導致評價精度下降 和評價準確性出現偏差。二、指標體系詳細3.3信息安全保障評價指標體系由