網(wǎng)絡(luò)安全評(píng)估指標(biāo)體系研究_第1頁
網(wǎng)絡(luò)安全評(píng)估指標(biāo)體系研究_第2頁
網(wǎng)絡(luò)安全評(píng)估指標(biāo)體系研究_第3頁
網(wǎng)絡(luò)安全評(píng)估指標(biāo)體系研究_第4頁
網(wǎng)絡(luò)安全評(píng)估指標(biāo)體系研究_第5頁
已閱讀5頁,還剩35頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

帶來的威脅和危害越來越大,需對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行特征分析,得出網(wǎng)病毒的行為模式,以采取相應(yīng)的預(yù)防措施。宏觀網(wǎng)絡(luò)的數(shù)據(jù)流日趨增大,方面都有體現(xiàn)。為了系統(tǒng)效率,只需對(duì)能體現(xiàn)網(wǎng)絡(luò)安全事件發(fā)生程度與危害的隨著信息技術(shù)與網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展,信息安全作是信息安全保障體系建設(shè)的重要組成部分。網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)研究與制信息安全設(shè)備提供了有效的技術(shù)依據(jù),這對(duì)于保證安全設(shè)備的正常運(yùn)行和網(wǎng)絡(luò)近年來,面對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全形式,網(wǎng)絡(luò)安全技術(shù)成為的主要手段,但隨著安全事件的日益增多,情況下,系統(tǒng)化、自動(dòng)化的網(wǎng)絡(luò)安全管理需求逐漸升溫,其中,如何實(shí)現(xiàn)息融合,如何真實(shí)、準(zhǔn)確的評(píng)估對(duì)網(wǎng)絡(luò)系統(tǒng)的安全態(tài)勢(shì)已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域?qū)W(wǎng)絡(luò)安全評(píng)估主要集中在漏洞的探測(cè)和發(fā)現(xiàn)上,而對(duì)發(fā)現(xiàn)的漏級(jí)別的評(píng)估分析還十分有限,大多采用基于專家經(jīng)驗(yàn)的評(píng)估方法,定性地重性等級(jí)進(jìn)行劃分,其評(píng)估結(jié)果并不隨著時(shí)間、地點(diǎn)的變化而變化,不得安全管理員很難確定到底哪個(gè)漏洞對(duì)系統(tǒng)的危害性比較大,以便采取措施思想都是基于風(fēng)險(xiǎn)的安全理念[4-6]。信息技術(shù)先進(jìn)的國家,例如美國、俄羅斯和日本等在信息安全保障評(píng)價(jià)指標(biāo)體系方面已經(jīng)率先開展了研究工作。特別是美國,利用卡梅隆大學(xué)系統(tǒng)安全工程能力成熟度模型SSE-C評(píng)價(jià)的概念和范疇,給出了信息安全保障評(píng)價(jià)的框架。在國內(nèi),國家信息中心[9,10]研究了網(wǎng)絡(luò)信息系統(tǒng)的信息安全保障理論和評(píng)價(jià)指標(biāo)指標(biāo)體系[11]。在評(píng)估方面,魏忠[12]提出了從定性到定量的系統(tǒng)性信息安全綜合集成評(píng)估體系;肖道舉等[13]進(jìn)行了網(wǎng)絡(luò)安全評(píng)估模型的研究;黃麗民等[14]提出了網(wǎng)絡(luò)安全擊效果方面取得了一定的成果。有些研究已經(jīng)應(yīng)用到具體的行業(yè)中[16-18]。最近,中國息系統(tǒng)的安全評(píng)價(jià)雖然存在著多種多樣的具體實(shí)踐方式,但在世界上還沒有形成系和形式化的評(píng)價(jià)理論和方法。評(píng)價(jià)模型基本是基于灰色理論(GrayTheory)或糊層次分析法Fuzzy-AHP,將定性因素與定量參數(shù)結(jié)合上述各種安全評(píng)估思想都是從信息系統(tǒng)安全的某一個(gè)方面出發(fā),如技程、人員等,著重于評(píng)估網(wǎng)絡(luò)系統(tǒng)安全某一方面的實(shí)踐規(guī)范,在操作上主觀隨意性較強(qiáng),其評(píng)估過程主要依靠測(cè)試者的技術(shù)水平和對(duì)網(wǎng)絡(luò)系統(tǒng)的了解程度,缺乏統(tǒng)一的、安全評(píng)估框架,很多評(píng)估準(zhǔn)則和指標(biāo)沒有與被評(píng)價(jià)對(duì)象的實(shí)際運(yùn)行情況和總體指標(biāo)為信息安全保障評(píng)價(jià)指標(biāo),表示信息安全保障整體的安全態(tài)勢(shì)、保障效果集或者統(tǒng)計(jì)得到的數(shù)據(jù)和信息,即為底層的信息安全保障運(yùn)行數(shù)據(jù)?;A(chǔ)指標(biāo)的組c)效果指標(biāo)包括整體安全性、安全運(yùn)行最小要求防火:指機(jī)房內(nèi)安裝有火災(zāi)自動(dòng)報(bào)警系統(tǒng),或有適潔凈度控制:機(jī)房和設(shè)備應(yīng)保持清潔、衛(wèi)生,進(jìn)中心有人值班,出入口安裝防盜安全門,窗戶隨著電子政務(wù)的蓬勃發(fā)展,信息系統(tǒng)評(píng)估領(lǐng)域評(píng)估的需求也越來越多,網(wǎng)絡(luò)終端安全評(píng)估量化指標(biāo)體系將應(yīng)用于電子政務(wù)網(wǎng)絡(luò)體系的基礎(chǔ)上進(jìn)行的終端安全評(píng)估滿足了政府部門的信息安全評(píng)估需求.信息安全個(gè)動(dòng)態(tài)的復(fù)雜過程,它貫穿于信息系統(tǒng)的整個(gè)生命周期.信息安全的威脅可能來自于內(nèi)部管理的思想,對(duì)可能的威脅、脆弱性和需要保護(hù)的信息資產(chǎn)進(jìn)行分析.對(duì)網(wǎng)絡(luò)終端安全進(jìn)指標(biāo)體系,以量化的指標(biāo)多方面、多層次來描述終端的安全狀況,得出客觀的評(píng)估結(jié)果.根據(jù)國家對(duì)網(wǎng)絡(luò)與信息系統(tǒng)安全性的基本要求,在制定網(wǎng)絡(luò)終端安全評(píng)估量化應(yīng)遵循以下原則:依據(jù)國際、國內(nèi)信息安全評(píng)估規(guī)范;滿足用戶提出的安全性要求;反映終量化指標(biāo)體系.在文獻(xiàn)[6]提出的網(wǎng)絡(luò)終端安全評(píng)估量化指標(biāo)體系的基礎(chǔ)上進(jìn)行網(wǎng)絡(luò)終端安可通過問卷調(diào)查、輔助工具、文檔資料來獲得.端存在的脆弱性和威脅進(jìn)行識(shí)別和分析,得出安全事件發(fā)生的原因、影響因素果.利用層次模糊評(píng)價(jià)法,量化網(wǎng)絡(luò)終端脆弱性和威脅指標(biāo).(3)結(jié)合網(wǎng)絡(luò)終端安全評(píng)估模型計(jì)算出終端狀況、后果的嚴(yán)重性進(jìn)行估計(jì)和評(píng)價(jià).(4)確定高風(fēng)險(xiǎn)區(qū)域,并制定出合理可行的網(wǎng)絡(luò)的最終目的是降低風(fēng)險(xiǎn)和保護(hù)資產(chǎn).資產(chǎn)的價(jià)值不是指資產(chǎn)的影響價(jià)值決定.脆弱性是資產(chǎn)本身存在的,威脅是對(duì)終端直接或間接的攻擊,它可以利用脆弱性對(duì)資產(chǎn)造成損失.在采取相應(yīng)的安全策略控制安全風(fēng)險(xiǎn)時(shí),信息資產(chǎn)響價(jià)值是一個(gè)重要的控制量,通過減少信息資產(chǎn)的潛在影響價(jià)值可以通過降低威脅的方法、彌補(bǔ)系統(tǒng)漏洞的方法來降低安全風(fēng)險(xiǎn).網(wǎng)絡(luò)終端安全狀估主要是識(shí)別和分析資產(chǎn)價(jià)值、威脅及脆弱性.信息資產(chǎn)綜合其保密性(confidentiality)、完整性(integ級(jí)賦予不同的數(shù)值,級(jí)別越高數(shù)值越大.資產(chǎn)的最終賦值A(chǔ)ssets=f(C,I,A),其中f是信息等級(jí),級(jí)別越高數(shù)值越大,資產(chǎn)越重要.網(wǎng)絡(luò)終端安全評(píng)估根據(jù)資產(chǎn)的最終賦值確定其是否為重要資產(chǎn),主要是針對(duì)重要資產(chǎn)進(jìn)行評(píng)估.根據(jù)威脅(T)出現(xiàn)的頻率對(duì)威脅進(jìn)行性的嚴(yán)重程度進(jìn)行賦值.可以利用漏洞掃描工具發(fā)現(xiàn)主機(jī)存在的漏洞.對(duì)應(yīng)不同環(huán)境下的相同弱點(diǎn),其脆弱性的程度是不同的.應(yīng)從組織安全策略的角度確定脆弱性的程度,同樣對(duì)脆弱性劃分為5個(gè)等級(jí),對(duì)威脅和脆弱性的不同等級(jí)賦予不同的數(shù)安全狀況評(píng)估模型,分析得出網(wǎng)絡(luò)終端安全狀況評(píng)估值,再進(jìn)行綜合的定性分析,主要評(píng)估可能性(P)×資產(chǎn)(A);終端安全狀況值(S)=終端安全事件的損失(L)×風(fēng)險(xiǎn)發(fā)些主觀因素,本文在網(wǎng)絡(luò)終端安全評(píng)估量化指標(biāo)體系的基礎(chǔ)上確定了評(píng)指標(biāo),全面、準(zhǔn)確地反映網(wǎng)絡(luò)終端安全狀況,并對(duì)各項(xiàng)指標(biāo)進(jìn)行量化,采用評(píng)估模型和結(jié)合實(shí)例給出了評(píng)估量化指標(biāo)的具體實(shí)現(xiàn)過程,形成一個(gè)全局的更合理、更準(zhǔn)安全狀況量化分析結(jié)果.相似相近原則對(duì)于宏觀性的網(wǎng)絡(luò)來說,其影響因素相當(dāng)多,其中一些是近似的、相分層的原則這些指標(biāo)本身具有層次性,有些是針對(duì)局域子網(wǎng)的,有些是針對(duì)大規(guī)模動(dòng)靜結(jié)合的原則這主要針對(duì)指標(biāo)本身的特性。例如流量時(shí)刻變化需要實(shí)時(shí)收集,而網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)這個(gè)指標(biāo)一般來說一段時(shí)間內(nèi)是穩(wěn)定不變的,這兩種特性完2)流量信息:數(shù)據(jù)包大小的分布,數(shù)據(jù)包大小的分布的變化率,數(shù)據(jù)流其中,網(wǎng)絡(luò)脆弱性側(cè)重描述被評(píng)網(wǎng)絡(luò)自身在安全方面的不足之處,因此,其自身的硬件軟件配置和服務(wù)配置就是其主要載體;網(wǎng)絡(luò)容災(zāi)性側(cè)重描述被評(píng)網(wǎng)絡(luò)自身防范能力,主要體現(xiàn)在網(wǎng)絡(luò)的硬件設(shè)備與軟件設(shè)施的容來自外部的各種威脅來對(duì)被評(píng)網(wǎng)絡(luò)本身的安全態(tài)勢(shì)做評(píng)估;網(wǎng)絡(luò)的穩(wěn)定性是一個(gè)概念,因?yàn)榉€(wěn)定即不變,也就是一種狀態(tài)延續(xù)自上一時(shí)刻,和上一時(shí)刻的狀態(tài)幾乎是一樣的,所以,網(wǎng)絡(luò)的穩(wěn)定性與時(shí)間有很大的關(guān)系,衡量它的指標(biāo)也都幾乎與時(shí)間有關(guān),如流量變化物聯(lián)網(wǎng)是計(jì)算機(jī)、互聯(lián)網(wǎng)與移動(dòng)通信網(wǎng)等相關(guān)技術(shù)的演進(jìn)和延伸,其核性技術(shù)、網(wǎng)絡(luò)與信息安全技術(shù)以及關(guān)鍵應(yīng)用是物聯(lián)網(wǎng)的主要研究知節(jié)點(diǎn)大都部署在無人監(jiān)控環(huán)境,并且由于物聯(lián)網(wǎng)是在現(xiàn)有的網(wǎng)絡(luò)基感知網(wǎng)絡(luò)和應(yīng)用平臺(tái),傳統(tǒng)網(wǎng)絡(luò)安全措施不足以提供可全研究將主要集中在物聯(lián)網(wǎng)安全體系、物聯(lián)網(wǎng)個(gè)體隱私保護(hù)模式、終物聯(lián)網(wǎng)安全相關(guān)法律的制訂等方面。其中物聯(lián)網(wǎng)被認(rèn)為是繼計(jì)算機(jī)、互聯(lián)網(wǎng)與移動(dòng)通信網(wǎng)之后以其廣泛的應(yīng)用前景成為人們研究的熱點(diǎn),同不足以提供可靠的安全保障,所以規(guī)范和強(qiáng)化物聯(lián)網(wǎng)信息安全是現(xiàn)在亟待解決的傳感器、二維碼等隨時(shí)隨地獲取物體的信息;二是可靠傳遞,通過各種電的保護(hù),用戶的安全,特別是通信系統(tǒng)用戶的安全則沒有的各種技

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論