計(jì)算機(jī)網(wǎng)絡(luò)安全第章 安全認(rèn)證和評(píng)估

第20章安全認(rèn)證和評(píng)估20.1風(fēng)險(xiǎn)管理20.2安全成熟度模型20.3威脅20.4安全評(píng)估方法20.5安全評(píng)估準(zhǔn)則20.6本章小結(jié)習(xí)題針對(duì)內(nèi)部和外部的攻擊所采用的安全體系結(jié)構(gòu)的能力需要認(rèn)證和評(píng)估。技術(shù)在不斷變化，新的應(yīng)用正在開發(fā)，新的平臺(tái)正在加到非軍事區(qū)（DMZ），額外的端口正在加進(jìn)防火墻。由于競(jìng)爭(zhēng)，很多應(yīng)用在市場(chǎng)的生存時(shí)間越來越短，軟件開發(fā)生命周期中的測(cè)試和質(zhì)量保證正在忽略。很多大的組織甚至沒有一個(gè)完全的目錄，將計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備以及在網(wǎng)絡(luò)上的各個(gè)應(yīng)用編制進(jìn)去，而只是將這些組件獨(dú)自地進(jìn)行配置。由于沒有將安全測(cè)試作為軟件質(zhì)量保證的一個(gè)組成部分，應(yīng)用的漏洞（脆弱性）不斷發(fā)生。安全評(píng)估認(rèn)證安全體系結(jié)構(gòu)是否能滿足安全策略和最好的經(jīng)營(yíng)業(yè)務(wù)實(shí)際。一個(gè)典型的安全評(píng)估問題是它經(jīng)常沒有用于對(duì)經(jīng)營(yíng)業(yè)務(wù)的影響的評(píng)析。這里引入一個(gè)概念，稱為安全成熟度模型（SecurityMaturityModel,SMM）,用來適當(dāng)?shù)販y(cè)量一個(gè)給定的準(zhǔn)則，該準(zhǔn)則基于在工業(yè)界最佳的經(jīng)營(yíng)業(yè)務(wù)實(shí)際，且能將其反饋到經(jīng)營(yíng)業(yè)務(wù)。它還提供一個(gè)改進(jìn)的方法，包括將不足之處列成清單。安全成熟度模型可測(cè)量企業(yè)安全體系結(jié)構(gòu)的3個(gè)不同部分：計(jì)劃、技術(shù)與配置、操作運(yùn)行過程。從經(jīng)營(yíng)業(yè)務(wù)的觀點(diǎn)看，要求安全解決方案的性能價(jià)格比最好，即基于特定產(chǎn)業(yè)的最佳實(shí)際。在任何系統(tǒng)中的安全控制應(yīng)預(yù)防經(jīng)營(yíng)業(yè)務(wù)的風(fēng)險(xiǎn)。然而，決定哪些安全控制是合適的以及性能價(jià)格比好的這一過程經(jīng)常是復(fù)雜的，有時(shí)甚至是主觀的。安全風(fēng)險(xiǎn)分析的最主要功能是將這個(gè)過程置于更為客觀的基礎(chǔ)上。風(fēng)險(xiǎn)管理是識(shí)別、評(píng)估和減少風(fēng)險(xiǎn)的過程。一個(gè)組織有很多個(gè)體負(fù)責(zé)對(duì)給定應(yīng)用接受給定風(fēng)險(xiǎn)。這些個(gè)體包括總經(jīng)理、CFO（ChiefFinancialOfficer,首席財(cái)務(wù)執(zhí)行官）、經(jīng)營(yíng)業(yè)務(wù)部門的負(fù)責(zé)人，以及信息所有者。一個(gè)組織的總的風(fēng)險(xiǎn)依賴于下面一些屬性：資產(chǎn)的質(zhì)量（丟失資產(chǎn)的效應(yīng)）和數(shù)量（錢）的價(jià)值；基于攻擊的威脅可能性；假如威脅實(shí)現(xiàn)，對(duì)經(jīng)營(yíng)業(yè)務(wù)的影響。20.1風(fēng)險(xiǎn)管理將資產(chǎn)價(jià)值和代價(jià)相聯(lián)系或決定投資回報(bào)（ReturnOnInvestment,ROI）的能力經(jīng)常是困難的。相反，可以確定保護(hù)機(jī)制的代價(jià)。將國(guó)家秘密的信息作為極敏感的信息，因?yàn)閷?duì)這些信息的錯(cuò)誤處理，其結(jié)果將危害到國(guó)家秘密。比之于商業(yè)組織，政府愿意花更多的費(fèi)用來保護(hù)信息。直接的定量花費(fèi)包括更換損壞的設(shè)備、恢復(fù)后備和硬盤的費(fèi)用等。由于事故而引起的宕機(jī)時(shí)間是可測(cè)量的，很多金融貿(mào)易系統(tǒng)因此而遭受大量經(jīng)濟(jì)損失。生產(chǎn)的降低，例如E-mail服務(wù)器宕機(jī)，很多組織的工作將停止。與定量的代價(jià)相比，質(zhì)量的代價(jià)對(duì)組織的破壞更大。假如用來銷售的Web站點(diǎn)被黑客破壞了，有可能所有客戶的信用卡號(hào)被偷，這將嚴(yán)重地影響這個(gè)站點(diǎn)的信譽(yù)。也有可能在短時(shí)期內(nèi)，經(jīng)營(yíng)業(yè)務(wù)停止。風(fēng)險(xiǎn)評(píng)估對(duì)漏洞和威脅的可能性進(jìn)行檢查，并考慮事故造成的可能影響。威脅的水平?jīng)Q定于攻擊者的動(dòng)機(jī)、知識(shí)和能力。大部分內(nèi)部人員不大可能使用黑客工具，然而十分熟悉網(wǎng)上的應(yīng)用，可以刪除文件、引起某些物理損壞，甚至是邏輯炸彈等。漏洞水平和保護(hù)組織資產(chǎn)的安全體系結(jié)構(gòu)的能力正相反。如果安全控制弱，那么暴露的水平高，隨之發(fā)生事故災(zāi)難的機(jī)率也大。對(duì)數(shù)據(jù)、資源的漏洞及其利用的可能性取決于以下屬性，且很難預(yù)測(cè)：資產(chǎn)的價(jià)值、對(duì)對(duì)手的吸引力、技術(shù)的變更、網(wǎng)絡(luò)和處理器的速度、軟件的缺陷等。描述威脅和漏洞最好的方法是根據(jù)對(duì)經(jīng)營(yíng)業(yè)務(wù)的影響描述。此外，對(duì)特殊風(fēng)險(xiǎn)的評(píng)估影響還和不確定性相聯(lián)系，也依賴于暴露的水平。所有這些因素對(duì)正確地預(yù)測(cè)具有很大的不確定性，因此安全的計(jì)劃和認(rèn)證是十分困難的。圖20.1表示了風(fēng)險(xiǎn)評(píng)估的方法。圖20.1風(fēng)險(xiǎn)評(píng)估方法成熟度模型可用來測(cè)量組織的解決方案（軟件、硬件和系統(tǒng)）的能力和效力。因此它可用于安全評(píng)估，以測(cè)量針對(duì)業(yè)界最佳實(shí)際的安全體系結(jié)構(gòu)?？梢跃鸵韵?個(gè)方面進(jìn)行分析：計(jì)劃、技術(shù)和配置、操作運(yùn)行過程。20.2安全成熟度模型安全計(jì)劃包包括安全策策略、標(biāo)準(zhǔn)準(zhǔn)、指南以以及安全需需求。技術(shù)術(shù)和配置的的成熟度水水平根據(jù)選選擇的特定定產(chǎn)品、準(zhǔn)準(zhǔn)則，在組組織內(nèi)的安安置以及產(chǎn)產(chǎn)品配置而而定。操作作運(yùn)行過程程包括變更更管理、報(bào)報(bào)警和監(jiān)控控，以及安安全教育方方面。美國(guó)國(guó)CarnegieMellon大學(xué)的軟件件工程研究究所（SoftwareEngineeringInsititue,SEI）制定了系系統(tǒng)安全工工程能力成成熟度模型型（SystemSecurityEngineeringCapabilityMaturityModel,SSE-CMM）。它將安安全成熟度度能力級(jí)別別分成4級(jí)，以適應(yīng)應(yīng)不同級(jí)別別的安全體體系結(jié)構(gòu)，，如表20-1所示。表20-1安全成熟度度能力級(jí)別別安全成熟度能力級(jí)別說明無效力（50%）總的安全體系結(jié)構(gòu)沒有遵從企業(yè)安全策略、法規(guī)，以及最佳經(jīng)營(yíng)實(shí)際。需要改進(jìn)（65%）安全體系結(jié)構(gòu)中無效力的應(yīng)少于35%合適（85%）企業(yè)的安全計(jì)劃、布署、配置和過程控制使安全體系結(jié)構(gòu)能滿足總的目標(biāo)。極好（超過100%）安全體系結(jié)構(gòu)超過了總的目標(biāo)及需求。1.安全計(jì)劃一個(gè)好的安安全體系結(jié)結(jié)構(gòu)必須建建立在一個(gè)個(gè)堅(jiān)固的安安全計(jì)劃基基礎(chǔ)之上。。計(jì)劃的文文本必須清清晰、完整整。很多組組織的安全全策略、標(biāo)標(biāo)準(zhǔn)和指南南存在以下下一些問題題：（1）內(nèi)容太太舊，已過過時(shí)，不適適用于當(dāng)前前的應(yīng)用。。安全策略略應(yīng)每年更更新，以適適應(yīng)技術(shù)的的變化。（2）文本有有很多用戶戶，如開發(fā)發(fā)者、風(fēng)險(xiǎn)險(xiǎn)管理者、、審計(jì)人員員，所用語語言又適用用于多種解解釋。如果果陳述太抽抽象，那么么實(shí)施時(shí)將將無效力。。（3）表達(dá)不不夠詳細(xì)。。很多組織織的安全策策略觀念只只是一個(gè)口口令管理。。組織安全全策略文本本中通常缺缺少信息的的等級(jí)分類類以及訪問問控制計(jì)劃劃文本。（4）用戶需需要知道有有關(guān)安全的的文本。如如果用戶不不能方便地地獲得和閱閱讀文本，，就會(huì)無意意地犯規(guī)，，然而難以以追查責(zé)任任。2.技術(shù)和配置置當(dāng)今，市場(chǎng)場(chǎng)上有很多多安全廠商商和安全產(chǎn)產(chǎn)品，但是是沒有一個(gè)個(gè)產(chǎn)品能提提供完全的的安全解決決方案。諸諸如防火墻墻、IDS、VPN、鑒別服務(wù)務(wù)器等產(chǎn)品品都只是解解決有限的的問題。安安全專業(yè)人人員應(yīng)能適適當(dāng)?shù)剡x擇擇產(chǎn)品，正正確地將它它們安置在在基礎(chǔ)設(shè)施施中，合適適地配置和和支持。然然而，他們們經(jīng)常會(huì)不不正確地采采購安全產(chǎn)產(chǎn)品，例如如，有人認(rèn)認(rèn)為只要在在需要保護(hù)護(hù)的有價(jià)值值的資產(chǎn)前前放置一個(gè)個(gè)防火墻，，就什么問問題都能解解決。從網(wǎng)網(wǎng)絡(luò)的觀點(diǎn)點(diǎn)看部分正正確，但防防火墻不提提供應(yīng)用和和平臺(tái)的保保護(hù)，也不不提供有用用的入侵檢檢測(cè)信息。。安全產(chǎn)品的的合適配置置也是一個(gè)個(gè)挑戰(zhàn)。有有時(shí)產(chǎn)品的的默認(rèn)配置置是拒絕所所有訪問，，只有清晰晰的允許規(guī)規(guī)則能通過過通信。安安全產(chǎn)品配配置的最大大挑戰(zhàn)是需需要有熟練練的專業(yè)人人員來配置置和管理。。3.運(yùn)行過程運(yùn)行過程包包括安全組組件需要的的必要支持持和維護(hù)、、變更管理理、經(jīng)營(yíng)業(yè)業(yè)務(wù)的連續(xù)續(xù)性、用戶戶安全意識(shí)識(shí)培訓(xùn)、安安全管理，，以及安全全報(bào)警與監(jiān)監(jiān)控。安全全基礎(chǔ)設(shè)施施組件的支支持和維護(hù)護(hù)類似于主主機(jī)和應(yīng)用用服務(wù)器所所需的支持持。允許的的變更管理理要有能退退回到目前前工作版本本的設(shè)施，，并且要和和經(jīng)營(yíng)業(yè)務(wù)務(wù)連續(xù)性計(jì)計(jì)劃協(xié)調(diào)一一致。安全設(shè)備會(huì)會(huì)產(chǎn)生一些些不規(guī)則的的日志信息息，這對(duì)管管理員來說說是復(fù)雜的的，一旦配配置有差錯(cuò)錯(cuò)，就會(huì)阻阻止訪問網(wǎng)網(wǎng)絡(luò)、應(yīng)用用或平臺(tái)。。對(duì)各種人人員的培訓(xùn)訓(xùn)是任何安安全體系結(jié)結(jié)構(gòu)成功的的關(guān)鍵。最最后，識(shí)別別安全事故故的能力且且按照一個(gè)個(gè)逐步升級(jí)級(jí)的過程來來恢復(fù)是最最重要的。。技術(shù)變化十十分迅速，，對(duì)從事于于安全事業(yè)業(yè)的人員增增加了很多多困難，因因此選擇高高水平的人人員從事該該項(xiàng)工作是是必須的。。特別是，，從事安全全培訓(xùn)的專專業(yè)人員是是有效信息息安全程序序的關(guān)鍵，，要使用各各種有效媒媒體進(jìn)行安安全培訓(xùn)課課程。每個(gè)個(gè)企業(yè)員工工都要接受受安全培訓(xùn)訓(xùn)，要對(duì)不不同的人員員（例如安安全管理員員、最終用用戶、數(shù)據(jù)據(jù)擁有者））有針對(duì)性性地進(jìn)行培培訓(xùn)。在第2章中講到，，風(fēng)險(xiǎn)是構(gòu)構(gòu)成安全基基礎(chǔ)的基本本觀念。風(fēng)風(fēng)險(xiǎn)是丟失失需要保護(hù)護(hù)的資產(chǎn)的的可能性。。測(cè)定風(fēng)險(xiǎn)險(xiǎn)的兩個(gè)組組成部分是是漏洞和威威脅。漏洞洞是攻擊可可能的途徑徑，威脅是是一個(gè)可能能破壞信息息系統(tǒng)安全全環(huán)境的動(dòng)動(dòng)作或事件件。威脅包包含3個(gè)組成部分分：（1）目標(biāo)，，可能受到到攻擊的方方面。（2）代理，，發(fā)出威脅脅的人或組組織。（3）事件，，做出威脅脅的動(dòng)作類類型。作為為威脅的代代理，必須須要有訪問問目標(biāo)的能能力，有關(guān)關(guān)于目標(biāo)的的信息類型型和級(jí)別的的知識(shí)，還還要有對(duì)目目標(biāo)發(fā)出威威脅的理由由。20.3威脅本章從安全全的驗(yàn)證和和評(píng)估出發(fā)發(fā)，具體分分析各種威威脅源、威威脅是如何何得逞的以以及針對(duì)這這些威脅的的對(duì)策。弄清楚威脅脅的來源是是減少威脅脅得逞可能能性的關(guān)鍵鍵，下面陳陳述各種主主要的威脅脅源。1.人為差錯(cuò)和和設(shè)計(jì)缺陷陷最大的威脅脅來源是操操作中人為為的疏忽行行為。據(jù)一一些統(tǒng)計(jì)，，造成信息息系統(tǒng)在經(jīng)經(jīng)費(fèi)和生產(chǎn)產(chǎn)力方面損損失的一半半是由于人人為的差錯(cuò)錯(cuò)，另一半半則是有意意的、惡意意的行為。。這些人為為差錯(cuò)包括括不適當(dāng)?shù)氐匕惭b和管管理設(shè)備、、軟件，不不小心地刪刪除文件，，升級(jí)錯(cuò)誤誤的文件，，將不正確確的信息放放入文件，，忽視口令令更換或做做硬盤后備備等行為，，從而引起起信息的丟丟失、系統(tǒng)統(tǒng)的中斷等等事故。20.3.1威脅源上述事故由由于設(shè)計(jì)的的缺陷，沒沒有能防止止很多普遍遍的人為差差錯(cuò)引起的的信息丟失失或系統(tǒng)故故障。設(shè)計(jì)計(jì)的缺陷還還會(huì)引起各各種漏洞的的暴露。2.內(nèi)部人員很多信息保保護(hù)設(shè)施的的侵犯是由由一些試圖圖進(jìn)行非授授權(quán)行動(dòng)或或越權(quán)行動(dòng)動(dòng)的可信人人員執(zhí)行的的。其動(dòng)機(jī)機(jī)有些是出出于好奇，，有些是惡惡意的，有有些則是為為了獲利。。內(nèi)部人員員的入侵行行為包括復(fù)復(fù)制、竊取取或破壞信信息，然而而這些行為為又難以檢檢測(cè)。這些些個(gè)體持有有許可或其其他的授權(quán)權(quán)，或者通通過那些毋毋需專門授授權(quán)的行為為使網(wǎng)絡(luò)運(yùn)運(yùn)行失效或或侵犯保護(hù)護(hù)設(shè)施。根根據(jù)統(tǒng)計(jì)，，內(nèi)部人員員的侵犯占占所有嚴(yán)重重安全侵犯犯事件的70%~80%。3.臨時(shí)時(shí)員員工工外部部的的顧顧問問、、合合同同工工、、臨臨時(shí)時(shí)工工應(yīng)應(yīng)和和正正式式員員工工一一樣樣，，必必須須有有同同樣樣的的基基本本信信息息安安全全要要求求和和信信息息安安全全責(zé)責(zé)任任，，但但還還需需有有一一些些附附加加的的限限制制。。例例如如，，和和正正式式員員工工一一樣樣，，需需簽簽一一個(gè)個(gè)信信息息安安全全遵遵守守合合同同，，接接受受相相應(yīng)應(yīng)的的安安全全意意識(shí)識(shí)培培訓(xùn)訓(xùn)。。除除此此之之外外，，臨臨時(shí)時(shí)員員工工還還必必須須有有一一個(gè)個(gè)專專門門的的協(xié)協(xié)議議，，只只允允許許訪訪問問那那些些執(zhí)執(zhí)行行其其委委派派的的任任務(wù)務(wù)所所需需的的信信息息和和系系統(tǒng)統(tǒng)。。4.自然然災(zāi)災(zāi)害害和和環(huán)環(huán)境境危危害害環(huán)境境的的要要求求，，諸諸如如最最高高溫溫度度和和最最低低溫溫度度、、最最高高濕濕度度、、風(fēng)風(fēng)暴暴、、龍龍卷卷風(fēng)風(fēng)、、照照明明、、為為水水所所淹淹、、雨雨、、火火災(zāi)災(zāi)以以及及地地震震等等，，都都能能破破壞壞主主要要的的信信息息設(shè)設(shè)施施及及其其后后備備系系統(tǒng)統(tǒng)。。應(yīng)應(yīng)制制定定災(zāi)災(zāi)難難恢恢復(fù)復(fù)計(jì)計(jì)劃劃，，預(yù)預(yù)防防和和處處理理這這些些災(zāi)災(zāi)害害。。5.黑客客和和其其他他入入侵侵者者來自自于于非非授授權(quán)權(quán)的的黑黑客客，，為為了了獲獲得得錢錢財(cái)財(cái)、、產(chǎn)產(chǎn)業(yè)業(yè)秘秘密密或或純純粹粹是是破破壞壞系系統(tǒng)統(tǒng)的的入入侵侵攻攻擊擊行行為為近近年年來來呈呈上上升升趨趨勢(shì)勢(shì)。。這這些些群群體體經(jīng)經(jīng)常常雇雇傭傭一一些些攻攻擊擊高高手手并并進(jìn)進(jìn)行行聳聳人人聽聽聞聞的的報(bào)報(bào)導(dǎo)導(dǎo)。。這這些些群群體體包包括括青青少少年年黑黑客客、、專專業(yè)業(yè)犯犯罪罪者者、、工工業(yè)業(yè)間間諜諜或或外外國(guó)國(guó)智智能能代代理理等等。。6.病毒毒和和其其他他惡惡意意軟軟件件病毒毒、、蠕蠕蟲蟲、、特特洛洛伊伊木木馬馬以以及及其其他他惡惡意意軟軟件件通通過過磁磁盤盤、、預(yù)預(yù)包包裝裝的的軟軟件件、、電電子子郵郵件件和和連連接接到到其其他他網(wǎng)網(wǎng)絡(luò)絡(luò)進(jìn)進(jìn)入入網(wǎng)網(wǎng)絡(luò)絡(luò)。。這這些些危危害害也也可可能能是是由由于于人人為為差差錯(cuò)錯(cuò)、、內(nèi)內(nèi)部部人人員員或或入入侵侵者者引引起起的的。。采取取對(duì)對(duì)策策以以防防止止各各種種威威脅脅情情況況，，不不僅僅需需要要了了解解威威脅脅的的來來源源，，還還應(yīng)應(yīng)知知道道這這些些威威脅脅是是怎怎樣樣侵侵襲襲安安全全體體系系結(jié)結(jié)構(gòu)構(gòu)的的。。下下面面列列舉舉各各種種情情況況。。1.社會(huì)會(huì)工工程程（（系系統(tǒng)統(tǒng)管管理理過過程程））社會(huì)會(huì)工工程程攻攻擊擊假假冒冒已已知知授授權(quán)權(quán)的的員員工工，，采采用用偽偽裝裝的的方方法法或或電電子子通通信信的的方方法法，，具具體體情情況況如如下下：：①攻攻擊擊者者發(fā)發(fā)出出一一封封電電子子郵郵件件，，聲聲稱稱是是系系統(tǒng)統(tǒng)的的根根，，通通知知用用戶戶改改變變口口令令以以達(dá)達(dá)到到暴暴露露用用戶戶口口令令的的目目的的。。②攻攻擊擊者者打打電電話話給給系系統(tǒng)統(tǒng)管管理理員員，，聲聲稱稱自自己己是是企企業(yè)業(yè)經(jīng)經(jīng)理理，，丟丟失失了了modem池的的號(hào)號(hào)碼碼、、忘忘記記了了口口令令。。20.3.2威脅脅情情況況和和對(duì)對(duì)策策③謊謊說說是是計(jì)計(jì)算算機(jī)機(jī)維維修修人人員員，，被被批批準(zhǔn)準(zhǔn)進(jìn)進(jìn)入入機(jī)機(jī)房房，，并并訪訪問問系系統(tǒng)統(tǒng)控控制制臺(tái)臺(tái)。。④含含有有機(jī)機(jī)密密信信息息的的固固定定存存儲(chǔ)儲(chǔ)介介質(zhì)質(zhì)（（硬硬盤盤、、軟軟盤盤））被被丟丟棄棄或或不不合合適適地地標(biāo)標(biāo)號(hào)號(hào)，，被被非非授授權(quán)權(quán)者者假假裝裝搜搜集集廢廢物物獲獲得得。。所有有上上面面4種威威脅脅情情況況都都可可以以使使攻攻擊擊得得逞逞。。社社會(huì)會(huì)工工程程的的保保護(hù)護(hù)措措施施大大多多是是非非技技術(shù)術(shù)的的方方法法。。下下面面列列出出的的每每一一種種保保護(hù)護(hù)措措施施可可防防御御上上面面提提到到的的攻攻擊擊：：（1）培培訓(xùn)訓(xùn)所所有有企企業(yè)業(yè)用用戶戶的的安安全全意意識(shí)識(shí)。。（2）培培訓(xùn)訓(xùn)所所有有系系統(tǒng)統(tǒng)管管理理員員的的安安全全意意識(shí)識(shí)，，并并有有完完善善的的過過程程、、處處理理、、報(bào)報(bào)告告文文本本。。（3）對(duì)對(duì)允允許許外外訪訪人人員員進(jìn)進(jìn)入入嚴(yán)嚴(yán)格格限限制制區(qū)區(qū)域域的的負(fù)負(fù)責(zé)責(zé)人人進(jìn)進(jìn)行行安安全全意意識(shí)識(shí)培培訓(xùn)訓(xùn)。。2.電子子竊竊聽聽I(yíng)nternet協(xié)議議集集在在設(shè)設(shè)計(jì)計(jì)時(shí)時(shí)并并未未考考慮慮安安全全。。TELNET、FTP、SMTP和其其他他基基于于TCP/IP的應(yīng)應(yīng)用用易易于于從從被被動(dòng)動(dòng)的的線線接接頭頭獲獲取取。。用用戶戶鑒鑒別別信信息息（（如如用用戶戶名名和和口口令令））易易于于從從網(wǎng)網(wǎng)絡(luò)絡(luò)中中探探測(cè)測(cè)到到，，并并偽偽裝裝成成授授權(quán)權(quán)員員工工使使用用。。假假如如外外部部人人員員對(duì)對(duì)企企業(yè)業(yè)設(shè)設(shè)施施獲獲得得物物理理訪訪問問，，則則可可以以將將帶帶有有無無線線modem的手手提提計(jì)計(jì)算算機(jī)機(jī)接接到到局局域域網(wǎng)網(wǎng)或或集集線線器器上上，，所所有有通通過過局局域域網(wǎng)網(wǎng)或或集集線線器器的的數(shù)數(shù)據(jù)據(jù)易易于于被被任任何何威威脅脅者者取取得得。。此此外外，，假假如如外外部部人人員員能能電電子子訪訪問問帶帶有有modem服務(wù)務(wù)器器進(jìn)進(jìn)程程的的工工作作站站，，就就可可以以將將其其作作為為進(jìn)進(jìn)入入企企業(yè)業(yè)網(wǎng)網(wǎng)絡(luò)絡(luò)的的入入口口。。任任何何在在Internet傳輸輸?shù)牡臄?shù)數(shù)據(jù)據(jù)對(duì)對(duì)泄泄露露威威脅脅都都是是漏漏洞洞。。所所有有上上述述4種威威脅脅都都有有可可能能使使這這些些攻攻擊擊得得逞逞。。防止止竊竊聽聽的的保保護(hù)護(hù)措措施施包包括括鑒鑒別別和和加加密密。。使使用用雙雙因因子子鑒鑒別別提提供供強(qiáng)強(qiáng)的的鑒鑒別別，，典典型型的的做做法法是是授授權(quán)權(quán)用用戶戶持持有有一一個(gè)個(gè)編編碼碼信信息息的的物物理理標(biāo)標(biāo)記記再再加加上上一一個(gè)個(gè)用用戶戶個(gè)個(gè)人人標(biāo)標(biāo)識(shí)識(shí)號(hào)號(hào)（（PIN）或口令。保保護(hù)傳輸中的的口令和ID，可以采用加加密的措施。。鏈路加密（（SSL和IPv6）保護(hù)直接物物理連接或邏邏輯通信通路路連接的兩個(gè)個(gè)系統(tǒng)之間傳傳輸?shù)男畔?。。?yīng)用加密（（安全Telnet和FTP、S/MIME）提供供報(bào)文文保護(hù)護(hù)，在在源端端加密密，只只在目目的地地解密密。數(shù)數(shù)字簽簽名可可認(rèn)證證發(fā)送送者的的鑒別別信息息，如如伴隨隨用哈哈希算算法可可保護(hù)護(hù)報(bào)文文的完完整性性。3.軟件缺缺陷當(dāng)前兩兩個(gè)最最大的的軟件件缺陷陷是緩緩沖器器溢出出和拒拒絕服服務(wù)攻攻擊。。當(dāng)寫寫入太太多的的數(shù)據(jù)據(jù)時(shí)，，就會(huì)會(huì)發(fā)生生緩沖沖器溢溢出，，通常常是一一串字字符寫寫入固固定長(zhǎng)長(zhǎng)度的的緩沖沖器。。對(duì)數(shù)數(shù)據(jù)緩緩沖器器的輸輸入沒沒有足足夠的的邊界界檢查查，使使得輸輸入超超過緩緩沖器器的容容量。。一般般情況況下，，系統(tǒng)統(tǒng)崩潰潰是由由于程程序試試圖訪訪問一一個(gè)非非法地地址。。然而而，也也有可可能用用一個(gè)個(gè)數(shù)據(jù)據(jù)串來來代替替生成成可檢檢測(cè)的的差錯(cuò)錯(cuò)，從從而造造成攻攻擊者者希望望的特特定系系統(tǒng)的的漏洞洞。CarnegieMellon軟件工工程研研究所所的計(jì)計(jì)算機(jī)機(jī)應(yīng)急急響應(yīng)應(yīng)組（（ComputerEmergenoyResponseTeam，CERT）有196個(gè)有關(guān)關(guān)緩沖沖器溢溢出的的文檔檔報(bào)告告，如如Microsoft的終端端服務(wù)務(wù)器OutlookExpress,Internet信息服服務(wù)器器（IIS），還還有一一些眾眾人熟熟知的的有關(guān)關(guān)網(wǎng)絡(luò)絡(luò)服務(wù)務(wù)的，，如網(wǎng)網(wǎng)絡(luò)定定時(shí)協(xié)協(xié)議（（NetworkTimeProtocol，NTP）、Sendmail、BIND、SSHv1.37、Kerberos等。一個(gè)拒拒絕服服務(wù)攻攻擊使使得目目標(biāo)系系統(tǒng)響響應(yīng)變變慢，，以致致完全全不可可用。。有很很多原原因可可導(dǎo)致致這種種結(jié)果果：①①編編程錯(cuò)錯(cuò)誤以以致使使用100%的CPU時(shí)間。。②由由于內(nèi)內(nèi)存的的漏洞洞使系系統(tǒng)的的內(nèi)存存使用用連續(xù)續(xù)增加加。③③Web請(qǐng)求或或遠(yuǎn)程程過程程調(diào)用用（RPC）中發(fā)發(fā)生的的畸形形數(shù)據(jù)據(jù)請(qǐng)求求。④④大的的分組組請(qǐng)求求，如如大量量電子子郵件件地址址請(qǐng)求求和Internet控制報(bào)報(bào)文協(xié)協(xié)議（（InternetControlMessageProtocol，ICMP）請(qǐng)求求。⑤⑤不停停的網(wǎng)網(wǎng)絡(luò)通通信UDP和ICMP造成廣廣播風(fēng)風(fēng)暴和和網(wǎng)絡(luò)絡(luò)淹沒沒。⑥⑥偽造造的路路由信信息或或無響響應(yīng)的的連接接請(qǐng)求求。⑦⑦布線線、電電源、、路由由器、、平臺(tái)臺(tái)或應(yīng)應(yīng)用的的錯(cuò)誤誤配置置。CERT有318個(gè)文本本是關(guān)關(guān)于對(duì)對(duì)各種種應(yīng)用用和平平臺(tái)操操作系系統(tǒng)的的拒絕絕服務(wù)務(wù)攻擊擊。在在大多多數(shù)情情況下下，由由于攻攻擊者者已經(jīng)經(jīng)損壞壞了執(zhí)執(zhí)行攻攻擊的的機(jī)器器，使使得要要告發(fā)發(fā)這些些個(gè)體體實(shí)施施的攻攻擊很很困難難。4.信息轉(zhuǎn)轉(zhuǎn)移（（主機(jī)機(jī)之間間的信信任關(guān)關(guān)系））信任轉(zhuǎn)轉(zhuǎn)移是是把信信任關(guān)關(guān)系委委托給給可信信的中中介。。一旦旦外部部人員員破壞壞了中中介信信任的的機(jī)器器，其其他的的主機(jī)機(jī)或服服務(wù)器器也易易于破破壞。。這樣樣的攻攻擊例例子如如下：：①①誤用用一個(gè)個(gè).rhosts文件使使受損損的機(jī)機(jī)器不不需口口令就就能攻攻擊任任何在在.rhosts文件中中的機(jī)機(jī)器。。②假假如外外面的的用戶戶偽裝裝成一一個(gè)網(wǎng)網(wǎng)絡(luò)操操作系系統(tǒng)用用戶或或服務(wù)務(wù)器，，則所所有信信任該該特定定用戶戶或服服務(wù)器器的其其他服服務(wù)器器也易易于受受破壞壞。③③一個(gè)個(gè)通過過網(wǎng)絡(luò)絡(luò)文件件系統(tǒng)統(tǒng)（NetworkFileSystem,NFS）由各各工作作站共共享文文件的的網(wǎng)絡(luò)絡(luò)，假假如其其中一一個(gè)客客戶工工作站站受損損，一一個(gè)攻攻擊者者能在在文件件系統(tǒng)統(tǒng)服務(wù)務(wù)器上上生成成可執(zhí)執(zhí)行的的特權(quán)權(quán)，那那么攻攻擊者者能如如同正正常用用戶一一樣登登錄服服務(wù)器器并執(zhí)執(zhí)行特特權(quán)命命令。。信任轉(zhuǎn)轉(zhuǎn)移的的保護(hù)護(hù)措施施主要要是非非技術(shù)術(shù)方法法。大大部分分UNIX環(huán)境（（非DCE）不提提供信信任轉(zhuǎn)轉(zhuǎn)移的的自動(dòng)動(dòng)機(jī)制制。因因此系系統(tǒng)管管理員員在映映射主主機(jī)之之間的的信任任關(guān)系系時(shí)必必須特特別小小心。。5.數(shù)據(jù)驅(qū)驅(qū)動(dòng)攻攻擊（（惡意意軟件件）數(shù)據(jù)驅(qū)驅(qū)動(dòng)攻攻擊是是由嵌嵌在數(shù)數(shù)據(jù)文文件格格式中中的惡惡意軟軟件引引起的的。這這些數(shù)數(shù)據(jù)文文件格格式如如PS編程語語言（（postscript）文件件、在在文本本中的的MSWord基本命命令、、shell命令表（（shellscript）,下載的病病毒或惡惡意程序序。數(shù)據(jù)驅(qū)動(dòng)動(dòng)攻擊的的例子如如下：①一個(gè)個(gè)攻擊者者發(fā)送一一個(gè)帶有有文件操操作的postscript文件，將將攻擊者者的主機(jī)機(jī)標(biāo)識(shí)加加到.rhosts文件；或或者打開開一個(gè)帶帶有Word基本命令令的MSWord文本，能能夠訪問問Windows動(dòng)態(tài)鏈接接庫(DynamicLinkLibrary，DLL)內(nèi)的任何何功能，，包括Winsock.dll。②一個(gè)個(gè)攻擊者者發(fā)送一一個(gè)postscript文件，該該文件常常駐在基基于postscript的傳真服服務(wù)器中中，就能能將每一一個(gè)發(fā)送送和接收收的傳真真拷貝發(fā)發(fā)送給攻攻擊者。。③一個(gè)個(gè)用戶從從網(wǎng)上下下載shellscript或惡意軟軟件，將將受害者者的口令令文件郵郵寄給攻攻擊者，，并刪除除所有受受害者的的文件。。④利用用HTTP瀏覽器包包裝諸如如特洛伊伊木馬等等惡意軟軟件。6.拒絕服務(wù)務(wù)DoS攻擊并不不利用軟軟件的缺缺陷，而而是利用用實(shí)施特特定協(xié)議議的缺陷陷。這些些攻擊會(huì)會(huì)中斷計(jì)計(jì)算平臺(tái)臺(tái)和網(wǎng)絡(luò)絡(luò)設(shè)備的的運(yùn)行，，使特定定的網(wǎng)絡(luò)絡(luò)端口、、應(yīng)用程程序（如如SMTP代理）和和操作系系統(tǒng)內(nèi)核核超載。。這些攻攻擊的例例子有TCPSYN淹沒、ICMP炸彈、電電子郵件件垃圾、、Web欺騙、域域名服務(wù)務(wù)（DomainNameSystem,DNS）攔劫等等。保持持計(jì)算平平臺(tái)和網(wǎng)網(wǎng)絡(luò)設(shè)備備的及時(shí)時(shí)更新能能避免大大多數(shù)這這些攻擊擊。防止止有一些些攻擊需需要諸如如網(wǎng)絡(luò)防防火墻這這類網(wǎng)絡(luò)絡(luò)過濾系系統(tǒng)。7.DNS欺騙域名系統(tǒng)統(tǒng)（DNS）是一個(gè)個(gè)分布式式數(shù)據(jù)庫庫，用于于TCP/IP應(yīng)用中，，映射主主機(jī)名和和IP地址，以以及提供供電子郵郵件路由由信息。。如果Internet地址值到到域名的的映射綁綁定過程程被破壞壞，域名名就不再再是可信信的。這這些易破破壞的點(diǎn)點(diǎn)是訛用用的發(fā)送送者、訛訛用的接接收者、、訛用的的中介，，以及服服務(wù)提供供者的攻攻擊。例例如，假假如一個(gè)個(gè)攻擊者者擁有自自己的DNS服務(wù)器，，或者破破壞一個(gè)個(gè)DNS服務(wù)器，，并加一一個(gè)含有有受害者者.rhosts文件的主主機(jī)關(guān)系系，攻擊擊者就很很容易登登錄和訪訪問受害害者的主主機(jī)。對(duì)DNS攻擊的保保護(hù)措施施包括網(wǎng)網(wǎng)絡(luò)防火火墻和過過程方法法。網(wǎng)絡(luò)絡(luò)防火墻墻安全機(jī)機(jī)制依靠靠雙DNS服務(wù)器，，一個(gè)用用于企業(yè)業(yè)網(wǎng)絡(luò)的的內(nèi)部，，另一個(gè)個(gè)用于外外部，即即對(duì)外公公開的部部分。這這是為了了限制攻攻擊者了了解內(nèi)部部網(wǎng)絡(luò)主主機(jī)的IP地址，從從而加固固內(nèi)部DNS服務(wù)。Internet工程任務(wù)務(wù)組（InternetEngineeringTaskForce,IETF）正致力力于標(biāo)準(zhǔn)準(zhǔn)安全機(jī)機(jī)制工作作以保護(hù)護(hù)DNS。所謂反反對(duì)這些些攻擊的的過程方方法是對(duì)對(duì)關(guān)鍵的的安全決決定不依依賴于DNS。8.源路由通常IP路由是動(dòng)動(dòng)態(tài)的，，每個(gè)路路由器決決定將數(shù)數(shù)據(jù)報(bào)發(fā)發(fā)往下面面哪一個(gè)個(gè)站。但但I(xiàn)P的路由也也可事先先由發(fā)送送者來確確定，稱稱源路由由。嚴(yán)格格的源路路由依賴賴于發(fā)送送者提供供確切的的通路，，IP數(shù)據(jù)報(bào)必必須按此此通路走走。松散散的源路路由依賴賴于發(fā)送送者提供供一張最最小的IP地址表，，數(shù)據(jù)報(bào)報(bào)必須按按該表的的規(guī)定通通過。攻攻擊者首首先使受受害者可可信主機(jī)機(jī)不工作作，假裝裝該主機(jī)機(jī)的IP地址，然然后使用用源路由由控制路路由到攻攻擊者主主機(jī)。受受害者的的目標(biāo)主主機(jī)認(rèn)為為分組來來自受害害者的可可信主機(jī)機(jī)。源路路由攻擊擊的保護(hù)護(hù)措施包包括網(wǎng)絡(luò)絡(luò)防火墻墻和路由由屏幕。。路由器器和防火火墻能攔攔阻路由由分組進(jìn)進(jìn)入企業(yè)業(yè)網(wǎng)絡(luò)。。9.內(nèi)部威脅脅內(nèi)部威脅脅包括前前面提到到的由內(nèi)內(nèi)部人員員作惡或或犯罪的的威脅。。大多數(shù)數(shù)計(jì)算機(jī)機(jī)安全統(tǒng)統(tǒng)計(jì)表明明，70%~80%的計(jì)算機(jī)機(jī)欺騙來來自內(nèi)部部。這些些內(nèi)部人人員通常常有反對(duì)對(duì)公司的的動(dòng)機(jī)，，能對(duì)計(jì)計(jì)算機(jī)和和網(wǎng)絡(luò)進(jìn)進(jìn)行直接接物理訪訪問，以以及熟悉悉資源訪訪問控制制。在應(yīng)應(yīng)用層的的主要威威脅是被被授權(quán)的的人員濫濫用和誤誤用授權(quán)權(quán)。網(wǎng)絡(luò)絡(luò)層的威威脅是由由于能對(duì)對(duì)LAN進(jìn)行物理理訪問，，使內(nèi)部部人員能能見到通通過網(wǎng)絡(luò)絡(luò)的敏感感數(shù)據(jù)。。針對(duì)內(nèi)部部威脅的的防護(hù)應(yīng)應(yīng)運(yùn)用一一些基本本的安全全概念：：責(zé)任分分開、最最小特權(quán)權(quán)、對(duì)個(gè)個(gè)體的可可審性。。責(zé)任分分開是將將關(guān)鍵功功能分成成若干步步，由不不同的個(gè)個(gè)體承擔(dān)擔(dān)，如財(cái)財(cái)務(wù)處理理的批準(zhǔn)準(zhǔn)、審計(jì)計(jì)、分接接頭布線線的批準(zhǔn)準(zhǔn)等。最最小特權(quán)權(quán)原則是是限制用用戶訪問問的資源源，只限限于工作作必需的的資源。。這些資資源的訪訪問模式式可以包包括文件件訪問（（讀、寫寫、執(zhí)行行、刪除除）或處處理能力力（系統(tǒng)統(tǒng)上生成成或刪除除處理進(jìn)進(jìn)程的能能力）。。個(gè)體的的可審性性是保持持各個(gè)體體對(duì)其行行為負(fù)責(zé)責(zé)?？蓪弻徯酝ǔ３Ｊ怯上迪到y(tǒng)的用用戶標(biāo)識(shí)識(shí)和鑒別別以及跟跟蹤用戶戶在系統(tǒng)統(tǒng)中的行行為來完完成。當(dāng)前安全全體系結(jié)結(jié)構(gòu)的能能力水平平應(yīng)從安安全成熟熟度模型型的3個(gè)方面進(jìn)進(jìn)行評(píng)估估，即對(duì)對(duì)計(jì)劃、、布局和和配置、、運(yùn)行過過程的評(píng)評(píng)估。安全評(píng)估估方法的的第1步是發(fā)現(xiàn)現(xiàn)階段，，所有有有關(guān)安全全體系結(jié)結(jié)構(gòu)適用用的文本本都必須須檢查，，包括安安全策略略、標(biāo)準(zhǔn)準(zhǔn)、指南南，信息息等級(jí)分分類和訪訪問控制制計(jì)劃，，以及應(yīng)應(yīng)用安全全需求。。全部基基礎(chǔ)設(shè)施施安全設(shè)設(shè)計(jì)也須須檢查，，包括網(wǎng)網(wǎng)絡(luò)劃分分設(shè)計(jì)，，防火墻墻規(guī)則集集，入侵侵檢測(cè)配配置；平平臺(tái)加固固標(biāo)準(zhǔn)、、網(wǎng)絡(luò)和和應(yīng)用服服務(wù)器配配置。20.4安全評(píng)估估方法20.4.1安全評(píng)估估過程評(píng)估的第第2步是人工工檢查階階段，將將文本描描述的體體系結(jié)構(gòu)構(gòu)與實(shí)際際的結(jié)構(gòu)構(gòu)進(jìn)行比比較，找找出其差差別?？煽梢圆捎糜檬止さ牡姆椒ǎ?，也可采采用自動(dòng)動(dòng)的方法法。使用用網(wǎng)絡(luò)和和平臺(tái)發(fā)發(fā)現(xiàn)工具具，在網(wǎng)網(wǎng)絡(luò)內(nèi)部部執(zhí)行，，可表示示出所有有的網(wǎng)絡(luò)絡(luò)通路以以及主機(jī)機(jī)操作系系統(tǒng)類型型和版本本號(hào)。NetSleuth工具是一一個(gè)IP可達(dá)性分分析器，，能提供供到網(wǎng)絡(luò)絡(luò)端口級(jí)級(jí)的情況況。QUESO和NMAP這些工具具具有對(duì)對(duì)主機(jī)全全部端口口掃描的的能力，，并能識(shí)識(shí)別設(shè)備備的類型型和軟件件版本。。評(píng)估的第第3步是漏洞洞測(cè)試階階段。這這是一個(gè)個(gè)系統(tǒng)的的檢查，，以決定定安全方方法的適適用、標(biāo)標(biāo)識(shí)安全全的差別別、評(píng)價(jià)價(jià)現(xiàn)有的的和計(jì)劃劃的保護(hù)護(hù)措施的的有效性性。漏洞洞測(cè)試階階段又可可分成3步。第1步包括網(wǎng)網(wǎng)絡(luò)、平平臺(tái)和應(yīng)應(yīng)用漏洞洞測(cè)試。。網(wǎng)絡(luò)漏漏洞測(cè)試試的目標(biāo)標(biāo)是從攻攻擊者的的角度檢檢查系統(tǒng)統(tǒng)?？梢砸詮囊粋€(gè)個(gè)組織的的Intranet內(nèi)，也可可以從Internet的外部，，或者一一個(gè)Extranet合作伙伴伴進(jìn)入組組織。用用于網(wǎng)絡(luò)絡(luò)漏洞測(cè)測(cè)試的工工具通常常是多種種商業(yè)化化的工具具（例如如ISS掃描器、、Cisco的Netsonar）以及開開放給公公共使用用的工具具（例如如Nessus和NMAP）。這些些測(cè)試工工具都以以相同的的方式工工作。首首先對(duì)給給出的網(wǎng)網(wǎng)絡(luò)組件件（例如如防火墻墻、路由由器、VPN網(wǎng)關(guān)、平平臺(tái)）的的所有網(wǎng)網(wǎng)絡(luò)端口口進(jìn)行掃掃描。一一旦檢測(cè)測(cè)到一個(gè)個(gè)開啟的的端口，，就使用用已知的的各種方方法攻擊擊這端口口（例如如在MicrosoftIIS5.0、Kerberos、SSHdaemon和SunSolsticeAdminSuiteDaemon的緩沖器器溢出））。大部部分商業(yè)業(yè)產(chǎn)品能能生成一一個(gè)詳細(xì)細(xì)的報(bào)告告，根據(jù)據(jù)攻擊產(chǎn)產(chǎn)生的危危害，按按風(fēng)險(xiǎn)級(jí)級(jí)別列出出分類的的漏洞。。漏洞測(cè)試試的第2步是平臺(tái)臺(tái)掃描，，又稱系系統(tǒng)掃描描。平臺(tái)臺(tái)掃描驗(yàn)驗(yàn)證系統(tǒng)統(tǒng)配置是是否遵守守給定的的安全策策略。此此外，它它還檢測(cè)測(cè)任何安安全漏洞洞和配置置錯(cuò)誤（（例如不不安全的的文件保保護(hù)——注冊(cè)和配配置目錄錄）以及及可利用用的網(wǎng)絡(luò)絡(luò)服務(wù)（（例如HTTP、FTP、DNS、SMTP等）。一一旦平臺(tái)臺(tái)的安全全加固已已經(jīng)構(gòu)建建，系統(tǒng)統(tǒng)掃描將將構(gòu)成基基礎(chǔ)，它它定時(shí)地地檢測(cè)任任何重要要的變化化（例如如主頁更更換、Web站點(diǎn)受損損）。漏洞測(cè)試試的第3步是應(yīng)用用掃描。。應(yīng)用掃掃描工具具不像網(wǎng)網(wǎng)絡(luò)或平平臺(tái)工具具那樣是是自動(dòng)的的，因此此，它是是一個(gè)手手動(dòng)的處處理過程程。其理理念是模模仿攻擊擊者成為為授權(quán)用用戶是如如何誤用用這應(yīng)用用。安全評(píng)估估的最后后1步是認(rèn)證證安全體體系結(jié)構(gòu)構(gòu)的處理理過程部部分。包包括自動(dòng)動(dòng)的報(bào)警警設(shè)施以以及負(fù)責(zé)責(zé)配置所所有安全全體系結(jié)結(jié)構(gòu)組件件（如防防火墻、、IDS、VPN等）的人人。安全全控制出出現(xiàn)的問問題最多多的是人人為的差差錯(cuò)。例例如，引引起防火火墻不能能安全運(yùn)運(yùn)行的主主要原因因是配置置的錯(cuò)誤誤以及不不好的變變更管理理過程，，如下面面一些情情況：①①有一一個(gè)防火火墻管理理員在深深夜接到到一個(gè)緊緊急電話話，聲稱稱由于網(wǎng)網(wǎng)絡(luò)的問問題使應(yīng)應(yīng)用出錯(cuò)錯(cuò)。②管管理員取取消管理理集對(duì)分分組的限限制，觀觀察是否否是防火火墻阻斷斷了這個(gè)個(gè)分組。。③應(yīng)用用開始正正常工作作，管理理員回去去睡覺，，但忘了了防火墻墻管理集集是打開開著的。。④之后后企業(yè)網(wǎng)網(wǎng)絡(luò)被入入侵，因因?yàn)榉阑鸹饓Σ⒉徊粓?zhí)行任任何訪問問控制。。在漏洞分分析測(cè)試試期間，，安全體體系結(jié)構(gòu)構(gòu)監(jiān)控和和報(bào)警設(shè)設(shè)施應(yīng)在在最忙的的狀態(tài)。。測(cè)試可可以事先先通知，，允許凈凈化安全全日志、、分配合合適的磁磁盤空間間。測(cè)試試也可以以事先不不通知，，可以測(cè)測(cè)量安全全支持人人員的反反應(yīng)時(shí)間間。測(cè)量量Internet服務(wù)提供供者的反反應(yīng)時(shí)間間是有用用的，特特別是他他們負(fù)責(zé)責(zé)管理Internet防火墻的的情況。。將上面5個(gè)漏洞分分析測(cè)試試階段的的結(jié)果匯匯總、分分析，可可得出總總的風(fēng)險(xiǎn)險(xiǎn)分析文文本，從從5個(gè)階段中中產(chǎn)生的的信息是是覆蓋的的。很多多自動(dòng)工工具廠商商有內(nèi)置置的報(bào)告告產(chǎn)生器器，根據(jù)據(jù)可能引引起危害害的漏洞洞進(jìn)行分分類。風(fēng)風(fēng)險(xiǎn)分析析信息必必須應(yīng)用用到經(jīng)營(yíng)營(yíng)業(yè)務(wù)，，轉(zhuǎn)而成成為經(jīng)營(yíng)營(yíng)業(yè)務(wù)影影響的文文本。很很多安全全評(píng)估報(bào)報(bào)告沒有有將風(fēng)險(xiǎn)險(xiǎn)分析反反饋到對(duì)對(duì)經(jīng)營(yíng)業(yè)業(yè)務(wù)的影影響，安安全評(píng)估估的價(jià)值值就很小小。圖20.2表示從安全全成熟度模模型3個(gè)方面的安安全評(píng)估階階段。圖20.2安全評(píng)估階階段由于Internet協(xié)議TCP/IP的實(shí)施沒有有任何內(nèi)置置的安全機(jī)機(jī)制，因此此大部分基基于網(wǎng)絡(luò)的的應(yīng)用也是是不安全的的。網(wǎng)絡(luò)安安全評(píng)估的的目標(biāo)是保保證所有可可能的網(wǎng)絡(luò)絡(luò)安全漏洞洞是關(guān)閉的的。多數(shù)網(wǎng)網(wǎng)絡(luò)安全評(píng)評(píng)估是在公公共訪問的的機(jī)器上，，從Internet上的一個(gè)IP地址來執(zhí)行行的，諸如如E-mail服務(wù)器、域域名服務(wù)器器（DNS）、Web服務(wù)器、FTP和VPN網(wǎng)關(guān)等。另另一種不同同的網(wǎng)絡(luò)評(píng)評(píng)估實(shí)施是是給出網(wǎng)絡(luò)絡(luò)拓?fù)?、防防火墻?guī)則則集和公共共可用的服服務(wù)器及其其類型的清清單。20.4.2網(wǎng)絡(luò)安全評(píng)評(píng)估網(wǎng)絡(luò)評(píng)估的的第1步是了解網(wǎng)網(wǎng)絡(luò)的拓?fù)鋼洹＜偃绶婪阑饓υ谧枳钄喔櫬仿酚煞纸M，，這就比較較復(fù)雜，因因?yàn)楦櫬仿酚善魇怯糜脕砝L制網(wǎng)網(wǎng)絡(luò)拓?fù)涞牡?。?步是獲取公公共訪問機(jī)機(jī)器的名字字和IP地址，這是是比較容易易完成的。。只要使用用DNS并在ARIN（AmericanRegistryforInternetNumber）試注冊(cè)所所有的公共共地址。最后1步是對(duì)全部部可達(dá)主機(jī)機(jī)做端口掃掃描的處理理。端口是是用于TCP/IP和UDP網(wǎng)絡(luò)中將一一個(gè)端口標(biāo)標(biāo)識(shí)到一個(gè)個(gè)邏輯連接接的術(shù)語。。端口號(hào)標(biāo)標(biāo)識(shí)端口的的類型，例例如80號(hào)端口專用用于HTTP通信。假如如給定端口口有響應(yīng)，，那么將測(cè)測(cè)試所有已已知的漏洞洞。表20-2列出了各種種類型的端端口掃描技技術(shù)。(見書中表20-2)平臺(tái)安全評(píng)評(píng)估的目的的是認(rèn)證平平臺(tái)的配置置（操作系系統(tǒng)對(duì)已知知漏洞不易易受損、文文件保護(hù)及及配置文件件有適當(dāng)?shù)牡谋Ｗo(hù)）。。認(rèn)證的惟惟一方法是是在平臺(tái)自自身上執(zhí)行行一個(gè)程序序。有時(shí)該該程序稱為為代理，因因?yàn)榧械牡墓芾沓绦蛐蛴纱碎_始始。假如平平臺(tái)已經(jīng)適適當(dāng)加固，，那么有一一個(gè)基準(zhǔn)配配置。評(píng)估的第1部分是認(rèn)證證基準(zhǔn)配置置、操作系系統(tǒng)、網(wǎng)絡(luò)絡(luò)服務(wù)（FTP、rlogin、telnet、SSH等）沒有變變更。黑客客首先是將將這些文件件替換成自自己的版本本。這些版版本通常是是記錄管理理員的口令令，并轉(zhuǎn)發(fā)發(fā)給Internet上的攻擊者者。假如任任何文件需需打補(bǔ)丁或或需要使用用服務(wù)包，，代理將通通知管理員員。20.4.3平臺(tái)安全估估計(jì)第2部分測(cè)試是是認(rèn)證管理理員的口令令，大部分分機(jī)器不允允許應(yīng)用用用戶登錄到到平臺(tái)，對(duì)對(duì)應(yīng)用的用用戶鑒別是是在平臺(tái)上上運(yùn)行的，，而不是平平臺(tái)本身。。此外，還有有測(cè)試本地地口令的強(qiáng)強(qiáng)度，如口口令長(zhǎng)度、、口令組成成、字典攻攻擊等。最后跟蹤審審計(jì)子系統(tǒng)統(tǒng)，在黑客客作案前就就能跟蹤其其行跡。數(shù)據(jù)庫的安安全評(píng)估也也是必須的的，這部分分內(nèi)容不在在本書敘述述范圍內(nèi)。。應(yīng)用安全評(píng)評(píng)估比使用用像網(wǎng)絡(luò)和和平臺(tái)掃描描這些自動(dòng)動(dòng)工具而言言，需要更更多的技藝藝。黑客的的目標(biāo)是得得到系統(tǒng)對(duì)對(duì)應(yīng)用平臺(tái)臺(tái)的訪問，，強(qiáng)迫應(yīng)用用執(zhí)行某些些非授權(quán)用用戶的行為為。很多基基于Web應(yīng)用的開發(fā)發(fā)者使用公公共網(wǎng)關(guān)接接口(CommonGatewayInterface,CGI)來分析表格格，黑客能能利用很多多已知漏洞洞來訪問使使用CGI開發(fā)的Web服務(wù)器平臺(tái)臺(tái)（例如放放入“&”這些額外的的字符）。。20.4.4應(yīng)用安全評(píng)評(píng)估低質(zhì)量編寫寫的應(yīng)用程程序的最大大風(fēng)險(xiǎn)是允允許訪問執(zhí)執(zhí)行應(yīng)用程程序的平臺(tái)臺(tái)。當(dāng)一個(gè)個(gè)應(yīng)用損壞壞時(shí)，安全全體系結(jié)構(gòu)構(gòu)必須將黑黑客包含進(jìn)進(jìn)平臺(tái)。一一旦一臺(tái)在在公共層的的機(jī)器受損損，就可用用它來攻擊擊其他的機(jī)機(jī)器。最通通用的方法法是在受損損的機(jī)器上上安裝一臺(tái)臺(tái)口令探測(cè)測(cè)器。根據(jù)計(jì)算機(jī)機(jī)信息系統(tǒng)統(tǒng)安全技術(shù)術(shù)發(fā)展的要要求，信息息系統(tǒng)安全全保護(hù)等級(jí)級(jí)劃分和評(píng)評(píng)估的基本本準(zhǔn)則如下下。1.可信計(jì)算機(jī)機(jī)系統(tǒng)評(píng)估估準(zhǔn)則TCSEC（TrustedComputerSystemEvaluationCriteria,可信計(jì)算機(jī)機(jī)系統(tǒng)評(píng)估估準(zhǔn)則）是是由美國(guó)國(guó)國(guó)家計(jì)算機(jī)機(jī)安全中心心（NCSC）于1983年制定的計(jì)計(jì)算機(jī)系統(tǒng)統(tǒng)安全等級(jí)級(jí)劃分的基基本準(zhǔn)則，，又稱桔皮皮書。1987年NCSC又發(fā)布了紅紅皮書，即即可信網(wǎng)絡(luò)絡(luò)指南（TrustedNetworkInterpretationoftheTCSEC,TNI）,1991年又發(fā)布了了可信數(shù)據(jù)據(jù)庫指南（（TrustedDatabaseInterpretationoftheTCSEC,TDI）。20.5安全評(píng)估準(zhǔn)準(zhǔn)則2.信息技術(shù)安安全評(píng)估準(zhǔn)準(zhǔn)則ITSEC（InformationTechnologySecurityEvaluationCriteria,信息技術(shù)安安全評(píng)估準(zhǔn)準(zhǔn)則）由歐歐洲四國(guó)（（荷、法、、英、德））于1989年聯(lián)合提出出，俗稱白白皮書。在在吸收TCSEC的成功經(jīng)驗(yàn)驗(yàn)的基礎(chǔ)上上，首次在在評(píng)估準(zhǔn)則則中提出了了信息安全全的保密性性、完整性性、可用性性的概念，，把可信計(jì)計(jì)算機(jī)的概概念提高到到可信信息息技術(shù)的高高度。3.通用安全評(píng)評(píng)估準(zhǔn)則CC（CommandCriteriaforITSecurityEvaluation,通用安全評(píng)評(píng)估準(zhǔn)則））由美國(guó)國(guó)國(guó)家標(biāo)準(zhǔn)技技術(shù)研究所所（NIST）、國(guó)家安安全局（NSA）、歐洲的的荷、法、、德、英以以及加拿大大等6國(guó)7方聯(lián)合提出出，并于1991年宣布，1995年發(fā)布正式式文件。它它的基礎(chǔ)是是歐洲的白白皮書ITSEC、美國(guó)的（（包括桔皮皮書TCSEC在內(nèi)的）新新的聯(lián)邦評(píng)評(píng)價(jià)準(zhǔn)則、、加拿大的的CTCPEC以及及國(guó)國(guó)際際標(biāo)標(biāo)準(zhǔn)準(zhǔn)化化組組織織的的ISO/SCITWGS的安安全全評(píng)評(píng)價(jià)價(jià)標(biāo)標(biāo)準(zhǔn)準(zhǔn)。。4.計(jì)算算機(jī)機(jī)信信息息系系統(tǒng)統(tǒng)安安全全保保護(hù)護(hù)等等級(jí)級(jí)劃劃分分準(zhǔn)準(zhǔn)則則我國(guó)國(guó)國(guó)國(guó)家家質(zhì)質(zhì)量量技技術(shù)術(shù)監(jiān)監(jiān)督督局局于于1999年發(fā)發(fā)布布的的國(guó)國(guó)家家標(biāo)標(biāo)準(zhǔn)準(zhǔn)，，序序號(hào)號(hào)為為GB17859-1999。評(píng)評(píng)價(jià)價(jià)準(zhǔn)準(zhǔn)則則的的出出現(xiàn)現(xiàn)為為我我們們?cè)u(píng)評(píng)價(jià)價(jià)、、開開發(fā)發(fā)、、研研究究計(jì)計(jì)算算機(jī)機(jī)及及其其網(wǎng)網(wǎng)絡(luò)絡(luò)系系統(tǒng)統(tǒng)的的安安全全提提供供了了指指導(dǎo)導(dǎo)準(zhǔn)準(zhǔn)則則。。TCSEC共分分為為4類7級(jí)：：D、C1、C2、B1、B2、B3、A1。1.D級(jí)安全全性性能能達(dá)達(dá)不不到到C1級(jí)的的劃劃分分為為D級(jí)。。D級(jí)并并非非沒沒有有安安全全保保護(hù)護(hù)功功能能，，只只是是太太弱弱。。2.C1級(jí)，，自自主主安安全全保保護(hù)護(hù)級(jí)級(jí)可信信計(jì)計(jì)算算基基定定義義和和控控制制系系統(tǒng)統(tǒng)中中命命名名用用戶戶對(duì)對(duì)命命名名客客體體的的訪訪問問。。實(shí)實(shí)施施機(jī)機(jī)制制（（如如訪訪問問控控制制表表））允允許許命命名名用用戶戶和和用用戶戶組組的的身身份份規(guī)規(guī)定定并并控控制制客客體體的的共共享享，，并并阻阻止止非非授授權(quán)權(quán)用用戶戶讀讀取取敏敏感感信信息息。。20.5.1可信信計(jì)計(jì)算算機(jī)機(jī)系系統(tǒng)統(tǒng)評(píng)評(píng)估估準(zhǔn)準(zhǔn)則則可信信計(jì)計(jì)算算基基（（TrustedComputingBase,TCB）是是指指為為實(shí)實(shí)現(xiàn)現(xiàn)計(jì)計(jì)算算機(jī)機(jī)處處理理系系統(tǒng)統(tǒng)安安全全保保護(hù)護(hù)策策略略的的各各種種安安全全保保護(hù)護(hù)機(jī)機(jī)制制的的集集合合。。3.C2級(jí)，，受受控控存存取取保保護(hù)護(hù)級(jí)級(jí)與自自主主安安全全保保護(hù)護(hù)級(jí)級(jí)相相比比，，本本級(jí)級(jí)的的可可信信計(jì)計(jì)算算基基實(shí)實(shí)施施了了粒粒度度更更細(xì)細(xì)的的自自主主訪訪問問控控制制，，它它通通過過登登錄錄規(guī)規(guī)程程、、審審計(jì)計(jì)安安全全性性相相關(guān)關(guān)事事件件以以及及隔隔離離資資源源，，使使用用戶戶能能對(duì)對(duì)自自己己的的行行為為負(fù)負(fù)責(zé)責(zé)。。4.C2級(jí)，，標(biāo)標(biāo)記記安安全全保保護(hù)護(hù)級(jí)級(jí)本級(jí)級(jí)的的可可信信計(jì)計(jì)算算基基具具有有受受控控存存取取保保護(hù)護(hù)級(jí)級(jí)的的所所有有功功能能。。此此外外，，還還可可提提供供有有關(guān)關(guān)安安全全策策略略模模型型、、數(shù)數(shù)據(jù)據(jù)標(biāo)標(biāo)記記以以及及主主體體對(duì)對(duì)客客體體強(qiáng)強(qiáng)制制訪訪問問控控制制的的非非形形式式化化描描述述，，具具有有準(zhǔn)準(zhǔn)確確地地標(biāo)標(biāo)記記輸輸出出信信息息的的能能力力，，可可消消除除通通過過測(cè)測(cè)試試發(fā)發(fā)現(xiàn)現(xiàn)的的任任何何錯(cuò)錯(cuò)誤誤。。5.B2級(jí)，結(jié)構(gòu)化保保護(hù)級(jí)本級(jí)的可信計(jì)計(jì)算基建立于于一個(gè)明確定定義的形式安安全策略模型型之上，它要要求將B1級(jí)系統(tǒng)中的自自主和強(qiáng)制訪訪問控制擴(kuò)展展到所有主體體與客體。此此外，還要考考慮隱蔽通道道。本級(jí)的可可信計(jì)算基必必須結(jié)構(gòu)化為為關(guān)鍵保護(hù)元元素和非關(guān)鍵鍵保護(hù)元素。。可信計(jì)算基基的接口也必必須明確定義義，使其設(shè)計(jì)計(jì)與實(shí)現(xiàn)能經(jīng)經(jīng)受更充分的的測(cè)試和更完完整的復(fù)審。。加強(qiáng)了鑒別別機(jī)制，支持持系統(tǒng)管理員員和操作員的的職能，提供供可信設(shè)施管管理，增強(qiáng)了了配置管理控控制。系統(tǒng)具具有相當(dāng)?shù)目箍節(jié)B透能力。。6.B3級(jí)，安全域級(jí)級(jí)本級(jí)的可信計(jì)計(jì)算基滿足訪訪問監(jiān)控器需需求。訪問監(jiān)監(jiān)控器是指監(jiān)監(jiān)控主體和客客體之間授權(quán)權(quán)訪問關(guān)系的的部件。訪問問監(jiān)控器仲裁裁主體對(duì)客體體的全部訪問問。訪問監(jiān)控控器本身是抗抗篡改的，必必須足夠小，，能夠分析和和測(cè)試。為了了滿足訪問監(jiān)監(jiān)控器需求，，可信計(jì)算基基在其構(gòu)造時(shí)時(shí)排除實(shí)施對(duì)對(duì)安全策略來來說并非必要要的代碼。在在設(shè)計(jì)和實(shí)現(xiàn)現(xiàn)時(shí)，從系統(tǒng)統(tǒng)工程角度將將其復(fù)雜性降降低到最小程程度。支持安安全管理員職職能；擴(kuò)充審審計(jì)機(jī)制，當(dāng)當(dāng)發(fā)生與安全全相關(guān)的事件件時(shí)發(fā)出信號(hào)號(hào)；提供系統(tǒng)統(tǒng)恢復(fù)機(jī)制。。系統(tǒng)具有很很高的抗?jié)B透透能力。7.A1級(jí)，驗(yàn)證設(shè)計(jì)計(jì)級(jí)本級(jí)的安全功功能與B3級(jí)相同，但最最明顯的不同同是本級(jí)必須須對(duì)相同的設(shè)設(shè)計(jì)運(yùn)用數(shù)學(xué)學(xué)形式化證明明方法加以驗(yàn)驗(yàn)證，以證明明安全功能的的正確性。本本級(jí)還規(guī)定了了將安全計(jì)算算機(jī)系統(tǒng)運(yùn)送送到現(xiàn)場(chǎng)安裝裝所必須遵守守的程序。這是我國(guó)國(guó)家家質(zhì)量技術(shù)監(jiān)監(jiān)督局于1999年發(fā)布的計(jì)算算機(jī)信息系統(tǒng)統(tǒng)安全保護(hù)等等級(jí)劃分的基基本準(zhǔn)則，是是強(qiáng)制性的國(guó)國(guó)家標(biāo)準(zhǔn)，序序號(hào)為GB17859-1999。準(zhǔn)則規(guī)定了了計(jì)算機(jī)信息息系統(tǒng)安全保保護(hù)能力的5個(gè)等級(jí)。20.5.2計(jì)算機(jī)信息系系統(tǒng)安全保護(hù)護(hù)等級(jí)劃分準(zhǔn)準(zhǔn)則1.概述《準(zhǔn)則》是計(jì)算機(jī)信息息系統(tǒng)安全等等級(jí)保護(hù)系列列標(biāo)準(zhǔn)的核心心，制定《準(zhǔn)則》是實(shí)行計(jì)算機(jī)機(jī)信息系統(tǒng)安安全等級(jí)保護(hù)護(hù)制度建設(shè)的的重要基礎(chǔ)，，其主要目的的是：支持計(jì)算機(jī)信信息系統(tǒng)安全全法規(guī)的制定定；為計(jì)算機(jī)信息息系統(tǒng)安全產(chǎn)產(chǎn)品的研發(fā)提提供功能框架架；為安全系統(tǒng)的的建設(shè)和管理理提供技術(shù)指指導(dǎo)。《準(zhǔn)則》在系統(tǒng)地、科科學(xué)地分析計(jì)計(jì)算機(jī)處理系系統(tǒng)的安全問問題的基礎(chǔ)上上，結(jié)合我國(guó)國(guó)信息系統(tǒng)建建設(shè)的實(shí)際情情況，將計(jì)算算機(jī)信息系統(tǒng)統(tǒng)的安全等級(jí)級(jí)劃分為如下下5級(jí)：第一級(jí),用戶自主保護(hù)護(hù)級(jí)；第二級(jí)，系統(tǒng)統(tǒng)審計(jì)保護(hù)級(jí)級(jí)；第三級(jí)，安全全標(biāo)記保護(hù)級(jí)級(jí)；第四級(jí)，結(jié)構(gòu)構(gòu)化保護(hù)級(jí)；；第五級(jí)，訪問問驗(yàn)證保護(hù)級(jí)級(jí)。各級(jí)的命名，，主要考慮了了使各級(jí)的名名稱能夠體現(xiàn)現(xiàn)這一級(jí)別安安全功能的主主要特性。計(jì)計(jì)算機(jī)信息系系統(tǒng)安全保護(hù)護(hù)能力隨著安安全保護(hù)等級(jí)級(jí)的增高，逐逐漸增強(qiáng)。5個(gè)級(jí)別的安全全保護(hù)能力之之間的關(guān)系如如圖20.3所示。圖20.3各等級(jí)安全保保護(hù)能力示意意圖2.技術(shù)功能說明明在計(jì)算機(jī)信息息系統(tǒng)的安全全保護(hù)中，一一個(gè)重要的概概念是可信計(jì)計(jì)算基（trustedcomputingbase,TCB）?？尚庞?jì)算算基是一個(gè)實(shí)實(shí)現(xiàn)安全策略略的機(jī)制，包包括硬件、軟軟件和必要的的固件，它們們將根據(jù)安全全策略來處理理主體（系統(tǒng)統(tǒng)管理員、安安全管理員和和用戶）對(duì)客客體（進(jìn)程、、文件、記錄錄、設(shè)備等））的訪問。可可信計(jì)算基具具有以下特性性：實(shí)施主體對(duì)客客體的安全訪訪問的功能；；抗篡改的性質(zhì)質(zhì)；易于分析與測(cè)測(cè)試的結(jié)構(gòu)。。在《準(zhǔn)則》規(guī)定的5個(gè)級(jí)別中，其其安全保護(hù)能能力主要取決決于可信計(jì)算算基的特性，，即各級(jí)之間間的差異主要要體現(xiàn)在可信信計(jì)算基的構(gòu)構(gòu)造及它所具具有的安全保保護(hù)能力上。。1.概述通用安全評(píng)估估準(zhǔn)則(CC)是一個(gè)國(guó)際標(biāo)標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)準(zhǔn)描述了這么么一個(gè)規(guī)則：：“……可作為評(píng)估IT產(chǎn)品與系統(tǒng)的的基礎(chǔ)……，這個(gè)標(biāo)準(zhǔn)允允許在相互獨(dú)獨(dú)立的不同安安全評(píng)估結(jié)果果之間進(jìn)行比比較……，提供一套公公共的用于IT產(chǎn)品與系統(tǒng)的的安全功能集集，以及適應(yīng)應(yīng)該功能集的的安全保障的的測(cè)度。評(píng)估估過程確定了了IT產(chǎn)品與系統(tǒng)關(guān)關(guān)于安全功能能及保障的可可信水平”。。CC由3個(gè)部分組成：：安全功能、、安全保障與與評(píng)估方法。。信息系統(tǒng)安安全工程（ISSE）可以利用CC作為工具支持持其行為，包包括為信息保保護(hù)系統(tǒng)制定定系統(tǒng)級(jí)的描描述和支持批批準(zhǔn)過程。20.5.3通用安全評(píng)估估準(zhǔn)則圖20.4CC中的安全概念念與相互關(guān)系系圖20.4顯示CC是如何應(yīng)用的的，用CC的語法建立信信息安全的過過程是符合ISSE過程的。發(fā)掘掘信息保護(hù)需需求的行為提提供了各種信信息，如所有有者怎樣評(píng)估估資產(chǎn)、威脅脅代理是什么么、什么是威威脅、什么是是對(duì)策（要求求與功能）和和什么是風(fēng)險(xiǎn)險(xiǎn)（部分地））。定義信息息保護(hù)系統(tǒng)的的行為提供了了用于描述如如下事務(wù)的信信息：什么是是對(duì)策（命名名組件）、什什么是脆弱性性（基于體系系結(jié)構(gòu)）、什什么是風(fēng)險(xiǎn)（（更全面）。。設(shè)計(jì)信息保保護(hù)系統(tǒng)的行行為提供了如如下信息：什什么是對(duì)策（（驗(yàn)證了的信信息保護(hù)產(chǎn)品品功能）、什什么是脆弱性性（基于設(shè)計(jì)計(jì)的、組合并并驗(yàn)證了的測(cè)測(cè)試結(jié)果）和和什么是風(fēng)險(xiǎn)險(xiǎn)（更加全面面）。實(shí)現(xiàn)信信息保保護(hù)系系統(tǒng)的的行為為最后后提供供了如如下信信息：：什么么是對(duì)對(duì)策（（安裝裝了的的、有有效的的信息息系統(tǒng)統(tǒng)保護(hù)護(hù)功能能）、、什么么是脆脆弱性性（基基于有有效性性與漏漏洞測(cè)測(cè)試實(shí)實(shí)現(xiàn)結(jié)結(jié)果））、什什么是是風(fēng)險(xiǎn)險(xiǎn)（更更加全全面））。CC并不不描描述述個(gè)個(gè)體體和和操操作作的的安安全全，，也也不不描描述述評(píng)評(píng)估估的的有有效效性性或或其其他他使使系系統(tǒng)統(tǒng)更更有有效效的的管管理理經(jīng)經(jīng)驗(yàn)驗(yàn)。。CC提供供了了一一種種標(biāo)標(biāo)準(zhǔn)準(zhǔn)的的語語言言與與語語法法，，用用戶戶和和開開發(fā)發(fā)者者可可以以用用它它來來聲聲明明系系統(tǒng)統(tǒng)的的通通用用功功能能（（保保護(hù)護(hù)輪輪廓廓或或PP）或或被被評(píng)評(píng)估估的的特特定定性性能能（（安安全全目目標(biāo)標(biāo)或或ST）。。PP都以以標(biāo)標(biāo)準(zhǔn)準(zhǔn)化化的的格格式式定定義義了了一一套套功功能能要要求求與與保保障障要要求求，，它它們們或或者者來來自自于于CC，或或由由用用戶戶定定義義，，用用來來解解決決已已知知的的或或假假設(shè)設(shè)的的安安全全問問題題（（可可能能定定義義成成對(duì)對(duì)被被