网络安全评估系统的研究综述
网络安全评估系统的研究综述
作者:指导老师:
摘要:随着计算机网络技术的迅速发展,在共享网络信息的同时,不可避免存在着安全风险,网络安全问题己成为当前网络技术研究的重点。网络安全风险评估技术能够检测网络系统潜在的安全漏洞和脆弱性,评估网络系统的安全状况,是实现网络安全的重要技术之一。
本文研究了系统安全漏洞,讨论了网络安全风险评估方法,采用自下而上、先局部后整体的层次化评估方法来分析评估网络系统的安全态势。
关键词:网络安全;风险评估;安全漏洞;威胁评估;脆弱性
1引言
当今社会信息化的步伐越来越快Internet得到迅速发展与此时我们面临的网络安全问题也日益严重。随着经济活动的融入,原本不平静的internet变得更加危险,各种病毒、木马、入侵等安全事件层出不穷。再加上现有数量巨大的黑客工具可以随意下载,这使得普通人也可能成为黑客,internet充满了陷阱和危险。不管是网络系统安全漏洞还是网络安全事件都在呈爆发式增长态势。面对如此严重危害计算机网络的各种威胁,必须采取有效措施来保证计算机网络的安全。但是现有的计算机网络在建立之初大都忽视了安全问题,即使有考虑,也仅把安全机制建立在物理安全机制上。随着网络互联程度的不断扩大,这种安全机制对于网络环境来说形同虚设。更令人遗憾的是目前大多数网络所采用的协议:TCP/IP协议存在先天的设计缺陷,对于在上面传输的信息毫无安全性可言,根本不能满足网络安全要求。
仅凭技术是不能从根本上解决安全问题的,更应该从系统工程的角度来看待网络安全问题,风险评估在这项工程中占有非常重要的地位[1]。
2 网络安全与风险评估概述
2.1网络安全概念
网络安全从其本质上来讲就是网络上的信息安全,是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的因素而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断[2]。从广义来说,凡是涉及到网络上信息的XX性、完整性、可用性、真实性、不可抵赖性和可控性的相关技术和理论都是网络安全所要研究的领域。网络安全涉及的内容既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。技术方面主要侧重于防X外部非法用户的攻击,管理方面则侧重于内部人为因素的管理。
2.2网络面临的威胁及对策
网络安全所面临的威胁大体可分为两种:一是对网络XX息的威胁;二是对网络中设备的威胁。影响计算机网络安全的因素很多,归结起来,针对网络安全的威胁主要有以下三种[3]:
(1)人为的无意失误:如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等情况,都会对网络安全构成威胁。
(2)人为的恶意攻击:这是计算机网络所面临的最大威胁,敌人的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一种是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要XX信息。这两种攻击均可对计算机网络造成极大的危害,并导致XX数据的泄漏。
(3)网络软件的漏洞和“后门”:网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,导致黑客频频攻入网络内部的主要原因就是相应系统和应用软件本身的脆弱性和安全措施不完善。另外,软件的“后门”都是软件公司的设计编程人员为了方便而设置的,一般不为外人所知,可是一旦“后门”洞开,其造成的后果将不堪设想。
网络提供了方便、高效的信息传输与服务功能,但网络安全的脆弱性与复杂性,又对网络传输的信息构成了新的威胁。目前,我国信息安全防护与保障能力还处于发展阶段,众多信息化领域,实际上是未设防状态,存在着很多技术上或是人为的事故隐患。因此,推进网络信息安全防护、构筑“网络信息安全长城”已是刻不容缓的任务。那么,填补网络软、硬件自身的“漏洞”,避免网络“黑客”的肆意攻击,这就要求网络使用者必须采取相应的网络安全技术来堵塞安全漏洞和提供安全的通信服务。如今,快速发展的网络安全技术能从不同角度来保证网络信息不受侵犯,解决网络安全的主要技术包括:数据加密技术、访问控制技术、防火墙技术、网络安全扫描技术、网络入侵检测技术、黑客诱骗技术、网络安全风险评估技术。其中网络安全风险评估技术将是本论文要研究的内容。
2.3风险评估定义
安全风险评估的主要内容是对资产识别、估价,脆弱性识别和评价,威胁识别和评价,安全措施确认,建立风险测量的方法及风险等级评价原则,确定风险大小与等级。风险评估是解决信息安全的首要问题,没有进行透彻的风险分析和评估而实施的安全策略就好像先建房屋后画图纸一样,会导致资金和人力资源的巨大消耗和浪费。
2.4风险评估中的脆弱性研究
系统安全漏洞,也叫系统脆弱性[4](Vulnerbaliity),是计算机系统在硬件、
软件、协议的设计与实现过程中或系统安全策略上存在的缺陷和不足;非法用户可利用系统安全漏洞获得计算机系统的额外权限,在未经授权的情况下访问或提高其访问权,破坏系统,危害计算机系统安全。
系统安全漏洞是针对计算机安全而言的,广义的系统安全漏洞是指一切导致威胁、损坏计算机系统安全(可靠性、可用性、XX性、完整性、可控性、不可抵赖性)的因素。
系统脆弱性可以造成多方面的危害。近年来许多突发的、大规模的网络安全事件多数都是由于系统脆弱性而导致的。从计算机安全衍生出来的计算机信息战更关系到一个国家的安全,脆弱性造成的危害是极大的。脆弱性对系统造成的危害,在于它可能会被攻击者利用,继而破坏系统的安全特性,而它本身不会直接对系统造成危害。
脆弱性产生有多种原因,其主要原因是由于程序员操作不正确和不安全编程引起的。大多数程序员在编程初期就没有考虑到安全问题。在后期,由于用户不正确的使用以及不恰当的配置都可导致漏洞的出现。而一般来说漏洞的威胁类型基本上决定了它的严重性,系统安全漏洞根据其对系统造成的潜在威胁破坏性、危害性、严重性以及被利用的可能性对各种系统安全漏洞进行分级,可以分为高、中、低3个等级[5]。大部分远程和本地管理员权限漏洞属于“高”级别;大部分普通用户权限,权限提升,读取受限文件,远程和本地拒绝服务漏洞属于“中”级别;大部分远程非授权文件存取,口令恢复,欺骗,服务器信息泄露漏洞属于“低”级别。
2.5网络安全风险评估现状
网络安全风险评估是保证网络安全的基础和前提[6]。网络安全风险评估对于网络安全具有重要的研究意义。但是,在计算机和网络安全领域,关于网络系统的安全风险评估研究和成果却与其重要性难以对称。处于安全和经济方面的考虑,国外的研究小组和专家学者的研究成果并不公开,国内相关的研究成果也较少。我国网络系统风险评估的研究是近几年才起步的,目前主要工作集中于组织架构和业务体系的建立,相应的标准体系和技术体系还处于研究阶段,但随着电子政务、电子商务的蓬勃发展,网络系统风险评估领域和以该领域为基础和前提的网络系统安全工程在我国已经得到政府、军队、企业、科研机构的高度重视,具有广阔的研究和发展空间。
3.风险评估方法研究
评估方法在网络系统风险评估过程中的作用不可忽视。一个评估方法的优劣甚至可以直接影响到评估结果的有效性。国内外现有的风险评估方法很多,这些方法并没有孰优孰劣之分,组织或企业选择风险评估方法的关键是要根据自己的实际
情况和要达成的安全目标来进行。风险评估方法的选择和企业规模、TI系统的复杂程度和系统要达到的安全等级密切相关。大部分学者认为可以分为四大类:定量的风险评估方法、定性的风险评估方法、定性与定量相结合的评估方
法以及基于模型的评估方法[8]。
3.1 定性评估方法
定性风险评估一般是根据评估者的知识、经验对信息系统存在的风险进行分析、判断和推理,采用描述性语言描述风险评估结果。定性方法较为粗糙,但在数据资料不够充分或分析者数学基础较为薄弱时比较适用。常用的定性分析方法有故障树分析法、RMECA等。
3.2 定量评估方法
定量的风险评估是一种根据信息系统中风险的相关数据利用公式进行分析、推导的方法,通常以数据形式进行表达。定量方法比较复杂,但在资料比较充分或者风险对信息资产的危害可能比较大时比较适用。常用的定量分析方法有故障树分析法、风险评审技术等。
3.3 定性与定量相结合的综合评估方法
定性方法虽然所需的评估时间、费用和人力较少,但评估结果不够精确。定量方法的评估结果虽然较精确,但比较复杂,需要高深的数学知识,成本比较高,评估时间也较长,且所需数据收集较困难。所以产生了定性与定量相结合的综合评估方法。事实上,定性分析方法同样要采用数学工具进行计算,而定量分析则必须建立在定性预测基础上,二者相辅相成,定性是定量的依据,定量是定性的具体化,二者结合起来灵活运用才能取得最佳效果。实际使用时也可以多种风险评估方法综合使用,评估效果会更佳。
3.4基于模型的评估方法
要对整个计算机网络进行有效的安全性评估,使用基于模型的评估技术也是一个有效的方法。比较成熟的有:访问控制模型、信息流模型、基于角色的访问控制[7]、Deswarte的特权图(PrivilgeeGrpah)模型、故障树模型等。
通过模型可获得系统所有可能的行为和状态,利用模型分析工具产生测试用。这种方法的优点在于模型的建立比规则的抽取简单,能够全面反映系统中存在的安全隐患,而且能够发现未知的攻击模式和系统脆弱性,因而特别适合于对系统进行整体评估。这种方法己经逐步成为国内外许多研究者的重点研究方向。下面介绍几个模型:
1.neswarte的特权图(prviilegeGraph)模型
Deswarte使用特权图来表示系统漏洞带来的攻击者对系统控制权限的变化,对系统的安全性进行评估。首先确定系统的安全策略,也就是攻击者的攻击
目标,然后建立系统漏洞的模型一特权图;根据攻击者的动机、立场和行为,建立两种攻击过程和路径,根据马尔可夫过程,计算出攻击者在不同情况下为破坏系统的安全策略所需要付出的“努力(effort)”。
2.基于图论的网络安全分析模型
汪渊等人提出一种基于图论的网络安全分析方法并且实现了一个原型系统,这种方法以一个网络信息系统作为分析对象,利用信息采集系统中收集的各种网络安全信息,建立系统的各种入侵模式库以及网络安全漏洞威胁量化库,构造出网络入侵关系图,同时给出了网络入侵关系图模型及其相关数学定义[9]。
3.基于状态转移图的脆弱性模型
状态转移是一种针对入侵渗透过程的图形化表示方法,它将入侵行为看作一个行为序列,这个行为序列的变迁导致系统从初始状态进入被入侵状态。所有入侵的渗透过程都可以看作是从有限的特权开始,利用系统存在的弱点,逐步提高自己的权限。
4.访问控制模型
访问控制模型是从影响计算机安全的众多复杂因素中提取起关键作用的。
用户访问权限作为评估因素,根据信息中用户类型与脆弱点的关联,建立权限漏洞与利用者关系。如果权限漏洞的结果使用户成为了某种类型的用户则填1,否则为0。利用矩阵分析网络节点漏洞的权限变化,看是否存在漏洞使得特权提升,可以对漏洞采取两个方面进行评估:漏洞被攻击者发现和漏洞被攻击者成功利用。
由于用户的类型权限不同,不同类型用户获取的信息也不一样,因此对漏洞被发现的可能性应该针对不同的用户类型来分析。对每个漏洞被用户发现的可能性从四个方面分析:漏洞环境的普遍性、漏洞的存在时间、漏洞的持续性、漏洞的可检测性。
对不同类型用户提升权限结果进行风险评估,得到漏洞利用成功的风险矩阵和利用漏洞i提升权限到用户k的风险概率。
通过对影响用户访问权限的漏洞进行定性、定量的分析,得出节点失去控制权限的途径总数和风险系数,评估网络节点的安全状况[10]。
3.5评估方法的选择
在评估过程中使用何种方法对评估的有效性占有举足轻重的作用,评估方法的选择直接影响到评估过程的每一个环节,甚至可以左右最终评估结果[11],所以根据系统的具体情况,选择合适的风险评估方法。
基于模型的评估方法虽然能对整个计算机网络进行有效的安全性评估,但在基于模型的评估该方法中,规则的抽取过于复杂,而且最重要的不选择这种评估
方法的原因在于威胁评估要从不同层次对网络安全状态进行评估,基于层次的综合评估方法能比较好的满足要求。
要分析局域网内攻击日志DS取样数据来实现威胁评估[12],给用户提供直观可靠的安全信息,单纯的采用定性评估方法或者单纯的采用定量评估方法都不能完整的描述整个评估过程,因此本论文采用定性、定量两者结合起来的综合评估方法,另外因为要从三个层次对网络安全状态进行评估,故采用其中的层次化分析方法。
4 结语
网络系统安全评估是一个年轻的研究课题,特别是其中的网络态势评估[11],现在才刚刚起步,本文对风险评估和态势评估中的关键技术进行了研究,取得了一定的研究成果,但仍存在一些待完善的工作。
从网络风险评估的角度出发,本文详细阐述了网络安全评估过程中所涉及的内容。可以概括为以下几个部分:研究了国内外的安全评估标准、方法及工具,概括了目前主流的安全评估方法的。通过研究风险评估的详细过程和网络安全态势感知,对网络风险评估和态势评估有了深入的认识和理解。为保证计算机网络系统的安全,应混合使用多种安全防护策略,采取多种评估技术,同时寻找出更多的安全解决技术,从而使得网络安全防X及管理水平不断提高。
参考文献:
[1]冯登国,X阳,X玉清.信息安全风险评估综述[J].通信学报2004,25(7):11-12.
[2]岳芳.网络安全的标准与组织[J].网络安全技术与应用,2004(5):74-75.
[3]冯奸. 网络安全风险评佑系统的研究与设计[D]. 西北大学.硕士学位论文.2006.
[4]X倩.计算机网络脆弱性浅析[J].网络安全,2009(154):47.
[5]章维炜.信息安全等级保护体系研究[J].中国技术新产品,2010(15):15.
[6]邓新颖,杨庚,姚放吾.基于多阶段网络攻击的网络风险评估方法研究[J].计算机工程与应用,2006,42(18):133-135.
[7]冯登国,X阳,X玉清.信息安全风险评估综述[J].通信学报2004,25(7):14-15.
[8]陈泉冰, 王会进.一种改进的基于任务-角色的访问控制模型[J].暨南大学学报(自然科学版),2010,31(1):30-34.
[9]李菁,赵捷,应力.信息安全风险评估标准与方法综述[J].XX标准化,2006(5):13-17.
[10]朱方洲.基于BS7799的信息系统安全风险评估研究[D].XX:XX工业大学,2007.
[11] X孝林.网络安全评估系统的设计与实现[D].中国科学技术大学.硕士学位论文,2009.
[12]X永铮,方滨兴,迟悦,云晓春.用于评估网络信息系统的风险传播模型[J].软件
学报,2007,18(1):137-145.