計算機信息安全技術 課件 第13章 網(wǎng)絡安全檢測與評估

第13章網(wǎng)絡安全檢測與評估13.1網(wǎng)絡安全評估標準13.2網(wǎng)絡安全評估方法和流程13.3網(wǎng)絡安全檢測評估系統(tǒng)簡介13.1網(wǎng)絡安全評估標準安全信息系統(tǒng)評估準則的發(fā)展史13.1網(wǎng)絡安全評估標準CCTCSECFCITSECCTCPECGB17859-1999…D

E0T0…EAL1…

…T11：用戶自主保護EAL2C1

E1T22：系統(tǒng)審計保護EAL3C2T1E2T33：安全標記保護EAL4B1T2E3T44：結構變化保護……T3……………T4………EAL5B2T5E4T55:訪問驗證保護EAL6B3T6E5T6…EAL7AT7E6T7…各標準的等級劃分對照表TCSEC4個方面進行描述：形式化定義1安全策略模型2可追究性識別與授權、審計和可信通路3保證9個安全保證4文檔ITSEC安全功能：標識與鑒別訪問控制可追究性審計客體重用精確性服務可靠性數(shù)據(jù)交換。保證準則：有效性（Effectiveness）和正確性（Correctness）。安全功能要求非技術的安全保證要求基本概念和基本原理CC構成CC結構關系CC的評估類型之間關系13.2網(wǎng)絡安全評估方法和流程CEM包括評估的一般原則：PP評估ST（SecurityTarget）評估EAL1-EAL4的評估CC評估的流程CC評估現(xiàn)狀CC評估是一個復雜、費時的過程針對CC評估的輔助工具缺乏專業(yè)性安全需求文檔缺乏ST編寫的難度大。13.3信息系統(tǒng)安全等級保護《信息安全等級保護管理辦法》規(guī)定：自主定級，自主保護。第一級會對公民、法人合法權益造成損害，但不損害國家安全、社會秩序和公共利益依據(jù)國家管理規(guī)范和技術標準進行保護第二級會對公民、法人合法權益造成嚴重損害，但不損害國家安全對該級信息系統(tǒng)安全等級保護工作進行指導第三級會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害對該級信息系統(tǒng)安全等級保護工作進行監(jiān)督、檢查第四級會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害對該級信息系統(tǒng)安全等級保護工作進行強制監(jiān)督、檢查第五級會對國家安全造成特別嚴重損害對該級信息系統(tǒng)安全等級保護工作進行專門監(jiān)督、檢查等級保護作用1、提高信息系統(tǒng)的信息安全防護能力，降低系統(tǒng)被各種攻擊的風險。2、等級保護是我國關于信息安全的基本政策，國家法律法規(guī)、相關政策制度要求單位開展等級保護工作。3、落實個人及單位的網(wǎng)絡安全保護義務，合理規(guī)避風險。13.4國內外漏洞知識庫通用漏洞與紕漏（CommonVulnerabilitiesandExposures,CVE）通用漏洞打分系統(tǒng)（CVSS）國家信息安全漏洞共享平臺(CNVD)國家信息安全漏洞庫（CNNVD）國家信息安全漏洞共享平臺(CNVD)CNVD漏洞集合基于漏洞產(chǎn)生原因進行的漏洞統(tǒng)計基于漏洞引發(fā)的威脅的漏洞統(tǒng)計國家信息安全漏洞庫（CNNVD）根據(jù)危害等級統(tǒng)計的最近一年漏洞統(tǒng)計圖從2023.4.1開始一個季度的漏洞統(tǒng)計趨勢圖13.5網(wǎng)絡安全檢測評估系統(tǒng)簡介NessusAppScanNessus特點：1）支持多種操作系統(tǒng)2）采用B/S架構3）采用Plugin技術4）調用外部程序增強測試能力5）生成詳細報告Nessus主界面Nessus策略庫AppScan采用3種測試方法：（1）動態(tài)分析（黑盒掃描）（2）靜態(tài)分析（白盒掃描）（3）交互分析（Glassbox掃描）AppScan主界面AppScan查看掃描結果（1）了