分布式主机安全评估关键技术研究-计算机应用技术专业论文.docx

PAGE PAGE 3 1.4 安全评估研究现状 1.4.1 安全评估研究内容 信息技术安全评估涉及的领域广泛 ，研究的内容复杂而多变。主要包括基于主机的安 全评估和基于网络的安全评估 ，而基于主机的分布式主机安全评估研究的内容如下: a) 信息技术安全功能、安全保证、安全性评估准则和评估规范的制定: b) 评估对象 (TOE)、评估方式、评估强度及评估、湖里的确定: c) 主机安全指标的提取与量化: 。d) 计算机脆弱性识圳、分析、评估模型与评估算法研究 : 。 e) 计算初回即所圳、分析、评估模型与评估算剧肝究 : 基于主机的安全评估工具的研发: g) 分布式通讯与任务调度研究: 在整个评估流程中，信息技术 安全评估准则起着指导性的作用， b) 和 c) 是安全评估 的前提车1]基础， d)、e) 和]f) 是安全评估的核心，决定了最终评估 结果的准确性， 是整个 评估前Ef.里中的重中之童， g) 是分布式主机安全评估中特有的研 究内容， 直接关系到评估工 作的开展。 1.4.2 安全评估标准与规范 西方国家对于计算剧M吉息系统安全评估准则的制定起步比较早，美国的TCSEC[lIJ，即 可信计算机系统评估准则口 (Trusted Computer System Evaluation Criteria) 是 1970 年由美国 国防科学委员会提出，并且在 1985 年正式发布的 ，主t安全级别从高到低分为 A 、B、C 、 D 四类，细分之后有 A I ，B3、B2、BI 、C2，CI 、D 七级。 随后西方其他国家也开始制定自己的安全评估标 准， 主要有欧洲的ITSEC ，即信息技 术安全评估准则 (Information Technology Security Evaluation Criteria)，日本电子工业协会 的JCSEC-FR ，即日本计算机安全评估准则-功能要求，加拿大的评测标准 CTCPEC ，即 加拿大可信计算机产品评估准则 (Canadian Trusted Computer Evaluation Criteria)，美国联 邦准则 FC，即美国信息技术安全联邦准则。 这一时期各国对于标准的制定都是各 自为政，没有形成一个统一的安全评估标准 。直 到 1993 年 6 月，才由 CTCPEC 、FC、TCSEC 和 ITSEC 有关的六个国家中七个相关政府 总结了他们的研究成果， 并且把各自研究的准则集合成一系列单一的、能被广泛接受的 IT 安全准则，最终把这些成果提交给了 ISO，作为对国际标准的贡献，接下来 1996 年颁布了 1.0 版， 1998 年颁布了 2.0 版， 1999 年 6 月ISO 正式将 CC2.0[1习作为国际标准一一IS015408 发布。 而我们固内对于安全评估标准的制定起步比较晚 ，也做了许多工作，形成了一系列的 标准规范，这些标准对于国内信息系统安全评估工作具有重大的指导意义， 主要有以下评 估标准与规范: 1) 计算机信息系统安全保护等级划分准则 1999年 9月国家质量技术监督局发布了国家标准 GB 17859-1999 ((计算才 lf吉息安全保 护等级划分准则)) (13]，他是建立安全等级保护制度、实施安全等 号级管理的重要基础性标准 。 它才每信息系统划分为五 个安全保护等级 ，等级从低到高分为用户自主保护级 、系统审计保 护级、安全标记{呆护级、结构化保护级 、访问蜘正保护级。 2) 信息技术安全评估准 则 自从 CCl.O 版公布后，我国相关部门就一直密切关注着它的发展情况，并对该版本做了 大量的研究工作。2001 年 3 月，国家质量技术监督局正式颁布了援引 CC 的国家标准 GB斤 18336-2∞1 ((信息技术安全技术信息技术安全性评估准则)) [14]。 3) 信息安全风险评估指南 我国信息安全风险评估国家标准《信息安全风险评估指南)) [15]规定了信息安全风险评 估的工作流程、评估内容、评估方法和风险判断准则，适用于信息系统的使用单位进行自 我风险评估，以及风险评估机构对信息系统进行独立的风险评估。 4) 信息安全风险管理指南 我国信息安全风险评估国家标准《信息安全风险管理指南)) [1句规定了信息安全风险管 理的内容和过程，适用于我国各类信息系统的 主管、运营部门以及信息安全服务机构对信 息系统的安全保护工作。 5) 信息安全技术主机安全漏洞扫描产品检验规范 公安部出台的 GF加rSTL-JGF-04-017101-2∞6((信息安全技术主机安全漏洞扫描产品检 验规范)) (17]规定了主机安全漏洞扫描产品 的安全功能要求和安全保证要求 ，适用于主机安 全漏洞扫描产