ch7 網(wǎng)絡安全檢測與評估技術

1、第7章 網(wǎng)絡安全檢測與評估技術 內容提要：網(wǎng)絡安全漏洞 網(wǎng)絡安全漏洞檢測技術網(wǎng)絡安全評估標準網(wǎng)絡安全評估方法網(wǎng)絡安全檢測評估系統(tǒng)簡介小結7.1 網(wǎng)絡安全漏洞 1. 網(wǎng)絡安全漏洞威脅（1）安全漏洞的定義 漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，可以使攻擊者在未授權的情況下訪問或破壞系統(tǒng)。 漏洞的產(chǎn)生有其必然性，這是因為軟件的正確性通常是通過檢測來保障的。而“檢測只能發(fā)現(xiàn)錯誤，證明錯誤的存在，不能證明錯誤的不存在”。返回本章首頁（2）安全威脅的定義 安全威脅是指所有能夠對計算機網(wǎng)絡信息系統(tǒng)的網(wǎng)絡服務和網(wǎng)絡信息的機密性、可用性和完整性產(chǎn)生阻礙、破壞或中斷的各種因素。安全威脅可以

2、分為人為安全威脅和非人為安全威脅兩大類。安全威脅與安全漏洞密切相關，安全漏洞的可度量性使得人們對系統(tǒng)安全的潛在影響有了更加直觀的認識。 返回本章首頁 可以按照風險等級對安全漏洞進行歸類，表7-1，7-2，7-3對漏洞分類方法進行了描述 。 返回本章首頁表7-1 漏洞威脅等級分類嚴 重 度等級影響度低嚴重度: 漏洞難以利用，并且潛在的損失較少。1低影響度: 漏洞的影響較低，不會產(chǎn)生連帶的其他安全漏洞。中等嚴重度: 漏洞難以利用，但是潛在的損失較大，或者漏洞易于利用，但是潛在的損失較少。2中等影響度: 漏洞可能影響系統(tǒng)的一個或多個模塊，該漏洞的利用可能會導致其他漏洞可利用。高嚴重度: 漏洞易于利用

3、，并且潛在的損失較大。3高影響度: 漏洞影響系統(tǒng)的大部分模塊，并且該漏洞的利用顯著增加其他漏洞的可利用性。 返回本章首頁表7-2 漏洞威脅綜合等級分類嚴重等級影響等級123112322343345表7-3 漏洞威脅等級分類描述等級描 述1低影響度，低嚴重度2低影響度，中等嚴重度；中等影響度，低嚴重度3低影響度，高嚴重度；高影響度，低嚴重度；中等影響度，中等嚴重度4中等影響度，高嚴重度；高影響度，中等嚴重度5高影響度，高嚴重度2. 網(wǎng)絡安全漏洞的分類方法按漏洞可能對系統(tǒng)造成的直接威脅分類按漏洞的成因分類返回本章首頁（1）按漏洞可能對系統(tǒng)造成的直接威脅分類 可以將漏洞分為： 遠程管理員權限；本地管

4、理員權限；普通用戶訪問權限；權限提升；讀取受限文件；遠程拒絕服務；本地拒絕服務；遠程非授權文件存??；口令恢復；欺騙；服務器信息泄露；其它漏洞。返回本章首頁（2）按漏洞的成因分類 可以分為： 輸入驗證錯誤類；訪問驗證錯誤類；競爭條件類；意外情況處置錯誤類；設計錯誤類；配置錯誤類；環(huán)境錯誤類。返回本章首頁7.2 網(wǎng)絡安全漏洞檢測技術 網(wǎng)絡安全漏洞檢測主要包括端口掃描、操作系統(tǒng)探測和安全漏洞探測。 通過端口掃描可以掌握系統(tǒng)都開放了哪些端口、提供了哪些網(wǎng)絡服務； 通過操作系統(tǒng)探測可以掌握操作系統(tǒng)的類型信息； 通過安全漏洞探測可以發(fā)現(xiàn)系統(tǒng)中可能存在的安全漏洞。返回本章首頁1. 端口掃描技術 端口掃描的原

5、理是向目標主機的TCP/IP端口發(fā)送探測數(shù)據(jù)包，并記錄目標主機的響應。通過分析響應來判斷端口是打開還是關閉等狀態(tài)信息。端口掃描技術分為：TCP端口掃描技術UDP端口掃描技術返回本章首頁（1）TCP端口掃描技術 TCP端口掃描技術主要有全連接掃描技術、半連接（SYN）掃描技術、間接掃描技術和秘密掃描技術等。全連接掃描技術全連接掃描的工作方式是：對目標主機上感興趣的端口進行connect()連接試探，如果該端口被監(jiān)聽，則連接成功，否則表示該端口未開放或無法到達。返回本章首頁全連接掃描的最大優(yōu)點是用戶無須特殊權限，且探測結果最為準確。缺點是很容易被目標主機察覺并記錄下來。半連接（SYN）端口掃描技術

6、半連接端口掃描不建立完整的TCP連接，而是只發(fā)送一個SYN信息包，就如同正在打開一個真正的TCP連接，并等待對方的回應一樣。返回本章首頁半連接掃描的優(yōu)點在于即使日志中對掃描有所記錄，但是嘗試進行連接的記錄也要比全連接掃描要少得多。缺點是在大部分操作系統(tǒng)下，發(fā)送主機需要構造適用于這種掃描的IP包，通常情況下，構造SYN數(shù)據(jù)包需要超級用戶或者授權用戶訪問專門的系統(tǒng)調用。返回本章首頁（2）UDP端口掃描技術 UDP端口掃描主要用來確定在目標主機上有哪些UDP端口是開放的。其實現(xiàn)思想是發(fā)送零字節(jié)的UDP信息包到目標機器的各個端口，若收到一個ICMP端口不可達的回應，則表示該UDP端口是關閉的，否則該端

7、口就是開放的。返回本章首頁2. 操作系統(tǒng)探測技術由于操作系統(tǒng)的漏洞信息總是與操作系統(tǒng)的類型和版本相聯(lián)系的，因此操作系統(tǒng)的類型信息是網(wǎng)絡安全檢測的一個重要內容。操作系統(tǒng)探測技術主要包括：獲取標識信息探測技術基于TCP/IP協(xié)議棧的指紋探測技術基于ICMP響應分析探測技術返回本章首頁（1）獲取標識信息探測技術 獲取標識信息探測技術主要是指借助操作系統(tǒng)本身提供的命令和程序進行操作系統(tǒng)類型探測的技術。 通常，可以利用telnet這個簡單命令得到主機操作系統(tǒng)的類型。返回本章首頁（2）基于TCP/IP協(xié)議棧的指紋探測技術 指紋探測實現(xiàn)依據(jù)是不同類型、不同版本的操作系統(tǒng)在協(xié)議棧實現(xiàn)上存在細微差別。操作系統(tǒng)指

8、紋探測步驟為：形成一個全面的操作系統(tǒng)指紋特征庫；向目標發(fā)送多種特意構造的信息包，檢測其是否響應這些信息包以及其響應方式；把從目標返回的特征信息與指紋特征庫進行匹配，判斷目標機器的操作系統(tǒng)類型等信息。返回本章首頁（3）基于ICMP響應分析探測技術 ICMP響應分析探測技術是一種較新的操作系統(tǒng)探測技術。該技術通過發(fā)送UDP或ICMP的請求報文，然后分析各種ICMP應答信息來判斷操作系統(tǒng)的類型及其版本信息。 本質也是一種基于TCP/IP協(xié)議棧的操作系統(tǒng)指紋探測技術。返回本章首頁3. 安全漏洞探測技術 安全漏洞探測是采用各種方法對目標可能存在的已知安全漏洞進行逐項檢查。 按照網(wǎng)絡安全漏洞的可利用方式來

9、劃分，漏洞探測技術可以分為：信息型漏洞探測和攻擊型漏洞探測兩種。 按照漏洞探測的技術特征，可以劃分為：基于應用的探測技術、基于主機的探測技術、基于目標的探測技術和基于網(wǎng)絡的探測技術等。返回本章首頁（1）信息型漏洞探測技術 信息型漏洞探測技術就是通過探測目標的型號、運行的操作系統(tǒng)版本及補丁安裝情況、配置情況、運行服務及其服務程序版本等信息確定目標存在的安全漏洞的探測技術。 該技術具有實現(xiàn)方便、對目標不產(chǎn)生破壞性影響的特點。其不足之處是對于具體某個漏洞存在與否，難以做出確定性的結論。 返回本章首頁 為提高信息型漏洞探測技術的準確率和效率，許多改進措施也不斷地被引入:順序掃描技術多重服務檢測技術返回

10、本章首頁（2）攻擊型漏洞探測技術 模擬攻擊是最直接的漏洞探測技術，其探測結果的準確率也是最高的。 該探測技術的主要思想是模擬網(wǎng)絡入侵的一般過程，對目標系統(tǒng)進行無惡意攻擊嘗試，若攻擊成功則表明相應安全漏洞必然存在。 返回本章首頁（3）漏洞探測技術按其技術特征可分為：基于應用的檢測技術 基于主機的檢測技術基于目標的漏洞檢測技術基于網(wǎng)絡的檢測技術返回本章首頁網(wǎng)絡掃描 黑客攻擊最重要環(huán)節(jié)：掃描，一般分成兩種策略:一種是主動式策略另一種是被動式策略。掃描方式主動式掃描一般可以分成：1、活動主機探測；2、ICMP查詢；3、網(wǎng)絡PING掃描；4、端口掃描；5、標識UDP和TCP服務；6、指定漏洞掃描；7、綜

11、合掃描。掃描方式可以分成兩大類：慢速掃描和亂序掃描。1、慢速掃描：對非連續(xù)端口進行掃描，并且源地址不一致、時間間隔長沒有規(guī)律的掃描。2、亂序掃描：對連續(xù)的端口進行掃描，源地址一致，時間間隔短的掃描。案例4-1 系統(tǒng)用戶掃描可以使用工具軟件：GetNTUser，該工具可以在Winnt4以及Win2000操作系統(tǒng)上使用，主要功能包括：（1）掃描出NT主機上存在的用戶名。（2）自動猜測空密碼和與用戶名相同的密碼。（3）可以使用指定密碼字典猜測密碼。（4）可以使用指定字符來窮舉猜測密碼。掃描對IP為09的計算機進行掃描，首先將該計算機添加到掃描列表中，選擇菜單File下的菜單項“添加主機”，輸入目標計

12、算機的IP地址，如圖4-3所示?？梢缘玫綄Ψ降挠脩袅斜砹?。點擊工具欄上的圖標，得到的用戶列表如圖4-4所示。密碼破解利用該工具可以對計算機上用戶進行密碼破解，首先設置密碼字典，設置完密碼字典以后，將會用密碼字典里的每一個密碼對目標用戶進行測試，如果用戶的密碼在密碼字典中就可以得到該密碼。一個典型的密碼字典如圖4-5所示。設置密碼字典選擇菜單欄工具下的菜單項“設置”，設置密碼字典為一個文本文件，如圖4-6所示。進行系統(tǒng)破解利用密碼字典中的密碼進行系統(tǒng)破解，選擇菜單欄工具下的菜單項“字典測試”，程序將按照字典的設置進行逐一的匹配，如圖4-7所示。案例4-2 開放端口掃描 得到對方開放了哪些端口也是

13、掃描的重要一步。使用工具軟件PortScan可以到得到對方計算機都開放了哪些端口，主界面如圖4-8所示。 端口掃描對09的計算機進行端口掃描，在Scan文本框中輸入IP地址，點擊按鈕“START”，開始掃描如圖4-9所示。案例4-3 共享目錄掃描通過工具軟件Shed來掃描對方主機，得到對方計算機提供了哪些目錄共享。工具軟件的主界面如圖4-10所示。掃描一個IP地址段該軟件可以掃描一個IP地址段的共享信息，這里只掃描IP為09的目錄共享情況。在起始IP框和終止IP框中都輸入09，點擊按鈕“開始”就可以得到對方的共享目錄了，如圖4-11所示。案例4-4 利用TCP協(xié)議實現(xiàn)端口掃描 實現(xiàn)端口掃描的程

14、序可以使用TCP協(xié)議和UDP協(xié)議，原理是利用Socket連接對方的計算機的某端口，試圖和該端口建立連接如果建立成功，就說明對方開放了該端口，如果失敗了，就說明對方?jīng)]有開放該端口主動式策略掃描 主動式策略是基于網(wǎng)絡的，它通過執(zhí)行一些腳本文件模擬對系統(tǒng)進行攻擊的行為并記錄系統(tǒng)的反應，從而發(fā)現(xiàn)其中的漏洞。案例4-5 漏洞掃描 使用工具軟件X-Scan-v2.3該軟件的系統(tǒng)要求為：Windows 9x/NT4/2000。該軟件采用多線程方式對指定IP地址段(（或單機）進行安全漏洞檢測，支持插件功能，提供了圖形界面和命令行兩種操作方式掃描內容包括：遠程操作系統(tǒng)類型及版本標準端口狀態(tài)及端口Banner信息

15、SNMP信息，CGI漏洞，IIS漏洞，RPC漏洞，SSL漏洞SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVERNT-SERVER弱口令用戶，NT服務器NETBIOS信息注冊表信息等。主界面掃描結果保存在/log/目錄中，index_*.htm為掃描結果索引文件。主界面如圖4-14所示。掃描參數(shù)可以利用該軟件對系統(tǒng)存在的一些漏洞進行掃描，選擇菜單欄設置下的菜單項“掃描參數(shù)”，掃描參數(shù)的設置如圖4-15所示。掃描參數(shù)可以看出該軟件可以對常用的網(wǎng)絡以及系統(tǒng)的漏洞進行全面的掃描，選中幾個復選框，點擊按鈕“確定”。下面需要確定要掃描主機的IP地址或者IP地址段，選

16、擇菜單欄設置下的菜單項“掃描參數(shù)”，掃描一臺主機，在指定IP范圍框中輸入：09-09，如圖4-16所示。漏洞掃描設置完畢后，進行漏洞掃描，點擊工具欄上的圖標“開始”，開始對目標主機進行掃描，如圖4-17所示。網(wǎng)絡監(jiān)聽 網(wǎng)絡監(jiān)聽的目的是截獲通信的內容，監(jiān)聽的手段是對協(xié)議進行分析。Sniffer pro就是一個完善的網(wǎng)絡監(jiān)聽工具。監(jiān)聽器Sniffer的原理：在局域網(wǎng)中與其他計算機進行數(shù)據(jù)交換的時候，發(fā)送的數(shù)據(jù)包發(fā)往所有的連在一起的主機，也就是廣播，在報頭中包含目標機的正確地址。因此只有與數(shù)據(jù)包中目標地址一致的那臺主機才會接收數(shù)據(jù)包，其他的機器都會將包丟棄。但是，當主機工作在監(jiān)聽模式下時，無論接收到

17、的數(shù)據(jù)包中目標地址是什么，主機都將其接收下來。然后對數(shù)據(jù)包進行分析，就得到了局域網(wǎng)中通信的數(shù)據(jù)。一臺計算機可以監(jiān)聽同一網(wǎng)段所有的數(shù)據(jù)包，不能監(jiān)聽不同網(wǎng)段的計算機傳輸?shù)男畔?。監(jiān)聽軟件防止監(jiān)聽的手段是：建設交換網(wǎng)絡、使用加密技術和使用一次性口令技術。除了非常著名的監(jiān)聽軟件Sniffer Pro以外，還有一些常用的監(jiān)聽軟件：嗅探經(jīng)典Iris密碼監(jiān)聽工具Win Sniffer密碼監(jiān)聽工具pswmonitor和非交換環(huán)境局域網(wǎng)的fssniffer等等Sniffer Pro是一款非常著名監(jiān)聽的工具，但是Sniffer Pro不能有效的提取有效的信息。監(jiān)聽工具-Win Sniffer Win Sniffer

18、專門用來截取局域網(wǎng)內的密碼，比如登錄FTP，登錄Email等的密碼。主界面如圖4-19所示。設置只要做簡單的設置就可以進行密碼抓取了，點擊工具欄圖標“Adapter”，設置網(wǎng)卡，這里設置為本機的物理網(wǎng)卡就可以，如圖4-20所示。抓取密碼這樣就可以抓取密碼了，使用DOS命令行連接遠程的FTP服務，如圖4-21所示。會話過程打開Win Sniffer，看到剛才的會話過程已經(jīng)被記錄下來了，顯示了會話的一些基本信息，如圖4-22所示。監(jiān)聽工具-pswmonitor 監(jiān)聽器pswmonitor用于監(jiān)聽基于WEB的郵箱密碼、POP3收信密碼和FTP登錄密碼等等，只需在一臺電腦上運行，就可以監(jiān)聽局域網(wǎng)內任意

19、一臺電腦登錄的用戶名和密碼，并將密碼顯示、保存，或發(fā)送到用戶指定的郵箱，主界面如圖4-23所示。監(jiān)聽工具-pswmonitor該工具軟件功能比較強大，可以監(jiān)聽的一個網(wǎng)段所有的用戶名和密碼，而且還可以指定發(fā)送的郵箱，設置的界面如圖4-24所示。7.3 網(wǎng)絡安全評估標準 1. 網(wǎng)絡安全評估標準的發(fā)展歷程（1）首創(chuàng)而孤立的階段（2）普及而分散的階段（3）集中統(tǒng)一階段 返回本章首頁返回本章首頁圖7-1 測評標準的發(fā)展演變歷程2. TCSEC、ITSEC和CC的基本構成 （1）TCSEC的基本構成 TCSEC主要由以下四個方面進行描述：安全策略模型（Security Policy Model）可追究性（

20、Accountability）保證（Assurance）文檔（Documentation） 返回本章首頁返回本章首頁TCSEC的安全級別類別級別名 稱主要特征AA驗證設計形式化的最高級描述和驗證形式化的隱蔽通道分析非形式化的代碼對應證明BB3安全區(qū)域訪問控制高抗?jié)B透能力B2結構化保護形式化模型/隱通道約束面向安全的體系結構較好的抗?jié)B透能力B1標識的安全保護強訪問控制安全標識CC2受控制的訪問控制單獨的可追究性廣泛的審計蹤跡C1自主安全保護自主訪問控制DD低級保護相當于無安全功能的個人微機TCSEC根據(jù)所采用的安全策略、系統(tǒng)所具備的安全功能將系統(tǒng)分為四類七個安全級別。（2）ITSEC的基本構成

21、TSEC也定義了7個安全級別，即 E6：形式化驗證；E5：形式化分析；E4：半形式化分析；E3：數(shù)字化測試分析；E2：數(shù)字化測試；E1：功能測試；E0：不能充分滿足保證。 返回本章首頁 ITSEC的安全功能分類為：標識與鑒別、訪問控制、可追究性、審計、客體重用、精確性、服務可靠性、數(shù)據(jù)交換。其保證則分為：有效性（Effectiveness）和正確性（Correctness）。 返回本章首頁（3）CC的基本構成 CC分為三部分，相互依存，缺一不可。其中第1部分是介紹CC的基本概念和基本原理，第2部分提出了安全功能要求，第3部分提出了非技術的安全保證要求 。返回本章首頁 CC的功能要求和保證要求均

22、以類-族-組件的結構表述。 功能要求包括11個功能類（安全審計、通信、密碼支持、用戶數(shù)據(jù)保護、標識和鑒別、安全管理、隱秘、TSF保護、資源利用、TOE訪問、可信路徑、信道） 。 保證要求包括7個保證類（配置管理、交付和運行、開發(fā)、指導性文件、生命周期支持、測試、脆弱性評定）。 返回本章首頁 CC的評估等級共分7級：EAL1到EAL7 ，分別為功能測試，結構測試，系統(tǒng)測試和檢驗，系統(tǒng)設計、測試和評審，半形式化設計和測試，半形式化驗證的設計和測試，形式化驗證的設計和測試。返回本章首頁7.4 網(wǎng)絡安全評估方法 1. 基于通用評估方法(CEM)的網(wǎng)絡安全評估模型 CC作為通用評估準則，本身并不涉及具體

23、的評估方法，信息技術的評估方法論主要由CEM給出。 CEM主要包括評估的一般性原則，PP評估、ST評估和EAL1EAL4的評估。CEM與CC中的保證要求相對應。返回本章首頁CEM由兩部分組成： 第一部分為簡介與一般模型，包括評估的一般原則、評估過程中的角色、評估全過程概況和相關術語解釋； 第二部分為評估方法，詳細介紹適于所有評估的通用評估任務、PP評估、ST評估、EALIEAL4評估及評估過程中使用的一般技術。 返回本章首頁（1）CEM評估一般原則 CEM評估應該遵循適當、公正、客觀的原則，要求評估結果滿足可重復和可再現(xiàn)的特點，且評估結果是可靠的。 CEM假定代價合理，方法可以不斷演進，評估結

24、果可重用。返回本章首頁（2）CEM評估模型 CEM評估，都可用下圖的模型來表示。返回本章首頁（3）CEM評估任務 CEM中所有的評估都具備的評估任務是評估輸入任務和評估輸出任務 。 評估輸入任務包括配置控制、證據(jù)的保護、處置和保密四個任務，其中CEM對后兩個任務無要求，留給評估體制解決。 評估輸出任務包括書寫觀察報告（OR）和書寫評估技術報告（ETR）兩個子任務。 返回本章首頁（4）CEM評估活動 任何一個信息技術安全產(chǎn)品或系統(tǒng)（也可以是PP）的評估，其核心是評估人員展開的一組評估活動。每一項評估活動可進一步細分為子活動，子活動又進一步細分為動作，而每一個動作又由一個或多個確定的工作單元組成，

25、如下圖所示： 返回本章首頁返回本章首頁評估活動的分解（5）評估結果 評估人員在評估過程中，需要作出不同層次的裁決，評估人員的裁決可以有三種不同的結果，分別為：不確定、通過或失敗。 返回本章首頁2. 基于指標分析的網(wǎng)絡安全綜合評估模型 （1）綜合評估概要 為全面了解目標網(wǎng)絡系統(tǒng)的安全性能的狀況，需要對各個方面的指標或項目進行測試或評估，必須將全體評估項目的評估結果進行綜合，才能得到關于目標網(wǎng)絡信息系統(tǒng)的安全性能的最終評價。 返回本章首頁 為完成網(wǎng)絡系統(tǒng)安全狀況的綜合評估，首先要從最低層的項目入手，然后由低到高，確定出每個層次項目的評估結果，最后將第一層項目的評估結果綜合在一起，得出目標網(wǎng)絡系統(tǒng)安

26、全狀況的綜合評估結果。 對同一層次上的（局部的）評估項的評估結果的綜合，可以有多種方法，如采用加權平均，模糊綜合評價等。 返回本章首頁（2）歸一化處理 定量指標的歸一化 對定量指標進行歸一化處理方法可分成三類：線段，折線，曲線。使用哪一種方法做歸一化處理取決于具體的測試項的特點，適用于某一測試項的歸一化方法不一定適用于其它項目。 返回本章首頁 定性評估項的量化和歸一化 定性評估項的結果通常以等級的形式給出，如“很差、較差、一般、較好、很好”。 對于定性評估項的最筒單的定性評估結果，即評估結果為“是”或“否”的情況，量化和歸一化可采用直截了當法，即“是”指定為“1”，“否”指定為“0”。 返回本

27、章首頁 當定性指標采用“很差、較差、一般、較好、很好”的方式描述時，可根據(jù)它們的次序粗略地分配一個整數(shù)來實現(xiàn)結果的量化，如使用“1、2、3、4、5”與之對應。這些量化后的結果“ 1、2、3、4、5”可分別采用“0.1、0.3、0.5、0.7、0.9”或“a、b、c、d、e”作為它們的歸一化值，其中0a0.2，0.2b0.4，0.4c0.6，0.6d0.8，0.8e1。 返回本章首頁（3）綜合評估方法 所有評估項的評估結果經(jīng)過綜合便可得到對系統(tǒng)的總的評價。對于同一個層次上的評估項（指標），綜合評估過程是一個從多維空間到一個線段中的點或評價等級論域中的等級的映射過程。返回本章首頁 如果評估項之間是

28、層次關系，則綜合評估過程的任務是將該層次結構中的全部評估項映射到上面的線段A，或等級論域L。即： f：(H)A（或f：（H）L）其中，H表示評估項之間的層次結構 返回本章首頁典型的綜合評估方法有： 加權算數(shù)平均加權幾何平均混合平均 返回本章首頁 在綜合評估過程中，對某些評估項來說，使用加權算數(shù)平均對其進行綜合比較合適，而對另一些評估項來說，使用加權幾何平均可能更好。這種情況是由評估項的固有性質決定的。某一評估項的評估值可能是決定性的，以至于基本上主要依靠它作出最終評價，也可能不那么重要。 返回本章首頁3. 基于模糊評價的網(wǎng)絡安全狀況評估模型 在評估實踐中，經(jīng)常遇到一些評估項，它們的評估結果難于

29、以定量的方式表達。模糊數(shù)學特別適合于用來處理定性的評估項目。 例如：系統(tǒng)評估中的大部分項目基本都是定性的。模糊數(shù)學可用來處理這些評估結果，并形成總的評價。 返回本章首頁7.5 網(wǎng)絡安全檢測評估系統(tǒng)簡介 計算機網(wǎng)絡信息系統(tǒng)安全檢測評估系統(tǒng)的發(fā)展非常迅速，現(xiàn)在已經(jīng)成為計算機網(wǎng)絡信息系統(tǒng)安全解決方案的重要組成部分。 我們以Internet Scanner和Nessus為例來介紹網(wǎng)絡安全檢測評估系統(tǒng)。 返回本章首頁1. Internet Scanner 7.0簡介 Internet Scanner是ISS公司開發(fā)的網(wǎng)絡安全評估工具，可以對網(wǎng)絡漏洞進行分析和提供決策支持。 Internet Scanne

30、r可以對計算機網(wǎng)絡信息系統(tǒng)進行全面的檢測和評估。 返回本章首頁2. Internet Scanner的掃描評估過程 Internet Scanner 有計劃和可選擇性地對網(wǎng)絡通信服務、操作系統(tǒng)、主要的應用系統(tǒng)以及路由器和防火墻等進行探測掃描，查找最容易被用來攻擊的漏洞，探測、調查和模擬攻擊網(wǎng)絡。最后Internet Scanner 對漏洞情況進行分析，同時提供一系列正確的應采取的措施，提供趨勢分析并產(chǎn)生報告和數(shù)據(jù)。返回本章首頁Internet Scanner的掃描評估過程返回本章首頁（1）定義掃描會話（Session） Internet Scanner利用會話（Session）來定義哪些設備需要被掃描。創(chuàng)建了某個新的會話時，其中會包含以下三個屬性：