第6章計算機網絡安全技術

計算機網絡工程王曉燕網絡安全概述網絡安全是Internet必須面對的一個實際問題網絡安全是一個綜合性的技術網絡安全具有兩層含義：保證內部局域網的安全（不被非法侵入）保護和外部進行數據交換的安全常常從如下幾個方面綜合考慮整個網絡的安全保護網絡物理線路不會輕易遭受攻擊有效識別合法的和非法的用戶實現(xiàn)有效的訪問控制保證內部網絡的隱蔽性有效的防偽手段，重要的數據重點保護對網絡設備、網絡拓撲的安全管理病毒防范提高安全防范意識網絡安全關注的范圍網絡安全學習內容了解網絡安全一些基本概念掌握AAA技術掌握防火墻技術掌握VPN技術第6章計算機網絡安全技術（1）網絡安全威脅：包括竊聽、破壞、重發(fā)、假冒、拒絕服務、網絡病毒（2）網絡安全技術分類：包括身份驗證技術、網絡數據完整性技術、網絡活動審計技術、信息偽裝技術（3）數據加密技術：包括私密密鑰加密、公開密鑰加密、信息摘要算法（4）身份驗證技術：包括身份認證、數字簽名、哈希函數（5）跟蹤審計技術：包括侵檢測技術、WindowsNT系統(tǒng)入侵檢測（6）防火墻技術：包括防火墻的含義、種類、結構（7）網絡安全風險評估：包括風險評估對象、風險評估方法（8）網絡安全技術新發(fā)展：包括結構標準化、應用綜合化、自我完善趨勢6.1網絡安全威脅網絡安全：用一組規(guī)則約束所有的網絡活動，只有被允許的活動才能正常進行，所有不允許的活動都被禁止。對網絡造成威脅的活動：網絡竊聽、完整性破壞、數據修改、重發(fā)（重放）、假冒、服務否認（拒絕服務）、計算機（網絡）病毒6.1網絡安全威脅（1）網絡竊聽在廣域網上，每個節(jié)點都能讀取網上的數據?；ヂ?lián)網體系結構允許監(jiān)視器接收網上傳輸的所有數據幀而不考慮幀的傳輸目的地址。這個特性使得竊取網上的數據以及非授權訪問很容易發(fā)生且不易被發(fā)現(xiàn)。（2）完整性破壞當信息系統(tǒng)被有意或者無意修改和破壞時，就會發(fā)生數據完整性破壞。6.1網絡安全威脅（3）數據修改數據修改是在非授權和不能監(jiān)測的方式下對數據的改變。當節(jié)點修改進入網中的幀并傳送修改的版本時就發(fā)生了數據修改。（4）重發(fā)重復一份報文或報文的一部分，以便產生一個被授權的效果。當節(jié)點拷貝發(fā)送到其他節(jié)點的報文并在其后重新發(fā)送他們，如果不能監(jiān)測重發(fā)，節(jié)點依據此報文的內容接受某些操作，如關閉網絡，則將會出現(xiàn)嚴重的后果。6.1網絡安全威脅（5）假冒當一個實體假扮成另一個實體時，就發(fā)生了假冒。很多網絡適配器都允許網幀的源地址由節(jié)點自己來選取或改變，這就使假冒變得容易。（6）拒絕服務當一個授權實體不能獲得對網絡資源的訪問或當緊急操作被推遲時，就發(fā)生了服務否認。6.1網絡安全威脅造成服務否認原因A、網絡部件的物理損壞B、使用不正確的網絡協(xié)議C、超載（7）計算機（網絡）病毒人為編制的隱藏在計算機中很難被發(fā)現(xiàn)且具有特定破壞能力的程序或代碼。計算機網絡安全的另一種分類方法：截?。汗粽邚木W絡上竊聽他人的通信內容中斷：攻擊者有意中斷在網絡上的通信篡改：攻擊者故意篡改網絡上的通信內容偽造：攻擊者偽造信息在網絡上傳輸這四類威脅可劃分兩大類：即被動攻擊和主動攻擊。源站目的站截獲源站目的站中斷源站目的站篡改源站目的站偽造被動攻擊主動攻擊在被動攻擊中，攻擊者只是觀察和分析某一個協(xié)議數據單元PDU，而不干擾信息流。這種被動攻擊又稱為通信量分析。主動攻擊是指攻擊者對某個連接中通過的PDU進行各種處理。如：有選擇的更改、刪除、延遲這些PDU。從類型上看，主動攻擊又可分為三種：更改報文流、拒絕報文服務、偽造連接初始化。

對于主動攻擊，可以采取適當的措施加以檢測。但對于被動攻擊，通常卻是檢測不出來的。對付被動攻擊可采取數據加密技術，而對于主動攻擊則需將加密技術與適當的鑒別技術相結合。還有一種特殊的主動攻擊就是惡意程序的攻擊，主要有：計算機病毒、計算機蠕蟲、特洛伊木馬、邏輯炸彈。根據這些特點，可得出計算機網絡通信安全的五個目標：1、防止分析出報文內容。2、防止通信量分析。3、檢測更改報文流。4、檢測拒絕報文服務。5、檢測偽造初始化連接。6.2網絡安全技術分類網絡安全技術可以分為四大類（1）身份驗證技術（2）網絡數據完整性技術（3）網絡活動審計技術（4）信息偽裝技術

6.2.1身份驗證技術含義身份驗證包括身份識別和身份認證。身份識別是用戶向系統(tǒng)出示自己的身份證明過程。身份認證是系統(tǒng)查核用戶的身份證明過程。二者合稱為身份驗證，是判明和確認通信雙方真實身份的兩個重要環(huán)節(jié)。常用的身份驗證方法有：用戶名＼口令、一次性口令、數字簽名、數字證書、PAP認證(PasswordAuthenticationProtocol)CHAP認證以及集中式安全服務器等。6.2.2數據完整性技術含義保持網絡的物理完整性，維護數據的機密性，提供安全視圖，保障安全通信。方法：訪問控制列表，網絡地址翻譯NAT技術，防火墻和加密技術。數據加密技術是網絡安全技術的基石。數據加密是指將一個信息（明文）經過加密密鑰和加密函數轉換，變成無意義的另一個信息（密文），而接收方則將此密文經過解密函數、解密密鑰還原成明文。訪問控制1.含義是指網絡系統(tǒng)對訪問它的用戶所實施的控制。2.組成元素（1）可訪問對象（2）訪問用戶（3）訪問類型OIDUIDTYPEa5Write3.訪問控制列表ACL（AccessControlList）6.2.2數據完整性技術防火墻技術防火墻是一個或一組網絡設備，用來在兩個或多個網絡之間加強訪問控制。其目的是保護一個網絡不受來自另外一個網絡的攻擊。圖6-1防火墻網絡6.2.3跟蹤審計技術跟蹤審計技術：可以驗證網絡安全策略是否得當；確認安全策略是否貫徹執(zhí)行，并及時報告各種情況；記錄遭到的攻擊；檢測是否有配置錯誤而導致的安全漏洞；統(tǒng)計是否有濫用網絡以及其他異?，F(xiàn)象等.方法：記帳/日志、網絡監(jiān)控、入侵檢測與防止、可疑活動的實時報警等。6.2.4信息偽裝技術是90年代興起的密碼技術信息偽裝技術就是將需要保密的信息，隱藏于一個非機密信息的內容之中，使得它在外觀形式上僅僅是一個含有普通內容的信息。在我們所使用的媒體中，可以用來隱藏信息的形式很多，只要是數字化信息中的任何一種數字媒體都可以，涉及文本、音頻、視頻等信息的偽裝，主要有數字水印、隱像技術、隱聲技術等6.3數據加密技術6.3.1傳統(tǒng)加密算法代換密碼法、數字密碼法、置換密碼法6.3.2私密密鑰加密算法秘密密鑰加密算法是一種對稱密鑰體制，明文P的加密過程Ek和解密過程Dk使用同一個秘密密鑰K，并具有Dk（Ek(P)）=P的特性。這類算法又稱為共享密鑰加密算法。雖然它與傳統(tǒng)加密算法在理論上沒有區(qū)別，但由于是采用計算技術來實現(xiàn)，結構做得非常復雜，并有較長的密鑰，不但速度快而且難破譯，所以使用非常普及。這類算法的典型代表是DES算法。DES(DataEncriptionStandard）算法是在56位二進制密鑰控制下對64位二進制數據塊進行初始置換、逆置換和16次復雜的乘積迭代變換，最后獲得64位密文。6.3.3公開密鑰加密算法特點：加密密鑰（即公開密鑰）PK是公開信息，加密算法E和解密算法D也是公開的，而解密密鑰（即秘密密鑰）SK是保密的。雖然SK是由PK決定的，但是不能根據PK計算出SK（1）用PK對明文X加密后，在用SK解密即得明文X，即DSK（EPK（X））＝X。且加密和解密得運算可以對調，即EPK（DSK（X））＝X（2）加密密鑰不能用來解密，即DPK（EPK（X））<>X（3）在計算機上可以容易得產生PK和SK，但從PK不可能推導出SK6.3.3公開密鑰加密算法RSA算法原理：尋求兩個大素數容易，而將他們的乘積分解開則極其困難。加密密鑰PK=（e，N）PK公開解密密鑰SK=（d，N）d保密N為兩個大素數p和q的乘積（p,q一般未100位以上的十進制素數）X表示明文，Y表示密文，則加、解密算法加密：Y=XemodN解密：X=YdmodNRSA系統(tǒng)非常適用于制作數字特征和加密應用，并常用于制作公開保密密鑰，用于公開密鑰加密系統(tǒng)。Diffie-Hellman算法原理：計算有限域上對數的整數解要比其上的指數解困難的多應用：能方便的通過網絡產生只能由源節(jié)點和目的節(jié)點使用的獨特密碼例子：一種基于IP的簡單的密鑰管理方案圖6-2不安全網絡上的SKIP例子源結點使用自己的專用部分和目的結點D的公用部分計算密鑰(Kd)s=(gdmodp)s＝gdsmodp目的結點使用自己的專用部分和源結點S的公用部分計算密鑰(Ks)d=(gsmodp)d＝gsdmodp缺點實現(xiàn)比較困難，速度慢（比秘密密鑰慢10-100倍）改進圖6-3組合密鑰系統(tǒng)6.3.4信息摘要算法又稱安全Hash算法，包括SHA（SecureHashAlgorithm）或MD5（StandardsforMessageDigest）。信息摘要算法由RonRivest設計。采用單向散列函數將需要加密的任意長度的信息P，摘要成一串固定長度(如128位)的密文MD(P)。6.3.4信息摘要算法信息摘要算法具有如下特征：（1）給定P，很容易計算MD（P），但給定MD（P），卻很難找到P。（2）不同的信息的摘要總是不同的，而同樣的明文的“摘要”必定是一致的。這樣，這串摘要便可以成為驗證明文是否是“真身”的指紋了。如圖6-4所示。圖6-4信息摘要用于數字簽名的過程返回（1）用戶用散列函數制作原始信息摘要，然后用專用密鑰對摘要加密（2）原始信息和加密的摘要發(fā)送到目的地（3）目的地接收后，使用與發(fā)送地相同的信息摘要函數對收到的信息制作摘要，同時對收到的信息摘要解密（4）將該兩摘要進行比較，如相等則知文本無錯，否則文本被篡改6.4身份驗證技術身份認證的目的（1）保證信息的完整性（2）鑒別通信對方的真實身份6.4.1身份認證信息驗證信息的驗證是指利用前述秘密密鑰，公開密鑰和信息摘要等加密算法對信息進行加密、解密，都可以實現(xiàn)對信息完整性驗證。目前最常用的信息完整性驗證的算法是信息摘要算法，如MD5用戶鑒別驗證通信對方的真實身份6.4.2用戶鑒別方法1.基于共享秘密密鑰的鑒別基于共享秘密密鑰的用戶鑒別即所謂“口令－響應方式”。A發(fā)送一隨機口令給B，B收到該口令后利用共享秘密密鑰對它進行轉換，并將結果(響應)返回給A。A再將其進行反轉換，并與原口令進行比較，如相同則證明了B的身份，否則拒絕連接。同樣B也可對A進行上述鑒別。2.基于公開密鑰的鑒別A用B的公開密鑰EB加密自己的用戶名和標識IDA后發(fā)送給B，只有B能解密該消息。B再選一密鑰Ks，IDB和IDA用EA加密后送A。A通過IDA列確認B，然后用B給的Ks加密IDB送B，B通過該IDB就可確認A收到自己的消息了。3.基于信息摘要的鑒別如圖6－44.基于密鑰分配中心的鑒別在所有使用密鑰的系統(tǒng)中，必須要有一個密鑰分配中心(KDC)來對系統(tǒng)中的密鑰進行管理。利用它具有系統(tǒng)中每個用戶的共享密鑰的條件與用戶共同實現(xiàn)用戶鑒別。A選擇一會話密鑰Ks，告訴KDC它用Ks與B通信，A用它與KDC的共享秘密密鑰KA加密。KDC解密后將A的身份和Ks用它與B的共享秘密密鑰KB加密后送B，B即獲得了會話對象A和會話密鑰Ks認證中心在迅速發(fā)展起來的電子商務中，需要一個具有權威性和公正性的第三方來提供電子交易的認證服務，簽發(fā)數字證書、數字時戳，并能確認用戶身份的服務機構，這就是認證中心(CertificationAuthority，CA)。CA通常是企業(yè)性的服務機構，主要業(yè)務是受理數字憑證的申請、簽發(fā)及對數字憑證的管理用戶鑒別方式數字時戳（DigitalTime-Stamp，DTS）DTS是一經加密后形成的憑證文件。它包括需加時戳的文件摘要，DTS收到文件的日期和時間以及DTS的數字簽名三個部分。用戶鑒別方式2.數字憑證（DigitalID，DigitalCertificate）(1)含義：數字憑證又稱數字證書，是由CA頒發(fā)的一種電子手段，用來證實用戶的身份和對網絡資源的訪問權限。數字憑證的格式由CCITTx．509標準規(guī)定，主要包含憑證擁有者姓名、憑證擁有的公共密鑰及其有效期、頒發(fā)數字憑證的單位、數字憑證序列號、頒發(fā)單位數字簽名。(2)類型：目前數字憑證有三種類型：個人憑證、單位憑證和軟件憑證。(3)標椎：隨著電子商務的發(fā)展，近年來推出不少更有效的安全交易標準，如安全超文本傳輸協(xié)議(s-HTTP)、安全套接層協(xié)議(SSL)、安全交易技術協(xié)議(STT)，安全電子交易協(xié)議(SET)等，為連接過程提供鑒別、保密、完整性確認和不可否認性服務。6.4.2數字簽名數字簽名（1）發(fā)送者對報文的簽名，接受者能夠核實，而發(fā)送者時候不能抵賴。（2）接受者不能偽造對報文的簽名。簽名：發(fā)送者A用其秘密解密密鑰SKA和解密算法D對報文X進行運算，將結果DSKA(X)傳送給接收者B。B用已知的A的公開加密密鑰PKA和加密算法E得出PEKA(DSKA(X))＝X)。由于A的解密密鑰SKA只有A知道，所以除A外無人能夠產生密文DSKA（X）。這樣，報文就被A簽名了。鑒別：假若A要抵賴曾發(fā)報文X給B，B可將X及DSKA(X)出示給第三者。第三者很容易用PKA去證實A確實發(fā)X給B。反之，若B將X偽造成X’，則B不敢在第三者前出示DSKA(X’)。這樣就證明了B偽造了報文。特點：對傳送的報文X本身卻未保密。具有保密性的數字簽名DEDEXDSKA(X)EPKBDSKA(X)SKA秘密密鑰A簽名PKB公開密鑰B加密SKB秘密密鑰B解密PKA公開密鑰A核實簽名DSKB(X)X返回6.5跟蹤審計技術6.5.1入侵檢測技術入侵檢測的概念入侵檢測就是通過專用的軟件工具檢查網絡系統(tǒng)中存在的會威脅系統(tǒng)安全的脆弱性的過程。入侵監(jiān)測系統(tǒng)處于防火墻之后對網絡活動進行實時檢測。許多情況下，由于可以記錄和禁止網絡活動，所以入侵監(jiān)測系統(tǒng)是防火墻的延續(xù)。它們可以和你的防火墻和路由器配合工作。

入侵檢測的對象(1)存在后門(backdoor，程序員在程序中設置的特殊源代碼，使得用戶可以繞過正常的認證過程而進入系統(tǒng)內部)的軟件程序。(2)軟件系統(tǒng)中的配置錯誤(3)不安全的管理性錯誤(4)破壞性惡意程序入侵檢測的工具掃描器掃描器工作原理掃描器分為本地掃描器和遠程掃描器。(1)本地掃描器是運行于目標節(jié)點的進程，它可以查看文件被修改的時間，查看文件的內容，從而發(fā)現(xiàn)配置錯誤或黑客所做的更改。本地掃描器還可以檢查補丁程序，從而核實系統(tǒng)所做的補救措施是否被真正落實。(2)遠程掃描器主要用于檢查網絡和系統(tǒng)分布處理所導致的脆弱性，依靠發(fā)送網絡數據包來檢測系統(tǒng)。入侵響應與防御（1）防御入侵的準備工作：制定應急計劃、人員分工、必要的物質條件（大容量的硬盤）、日志等（2）發(fā)現(xiàn)與檢測：根據掃描器或其他監(jiān)控系統(tǒng)的雨景功能和日志，發(fā)現(xiàn)入侵者，并記錄其行為特征和惡意操作（3）入侵響應：針對入侵行為迅速估計面臨的形勢，應當首先采取的應急措施，進一步分析入侵原因，制定全面的響應策略，及時向相關人員報警，盡快恢復原位（4）針對入侵監(jiān)測采取新的防范措施6.5.2網絡系統(tǒng)入侵檢測舉例WindowsNT事件查看器的界面如圖6-5所示。圖6-5系統(tǒng)日志系統(tǒng)日志如圖6-6所示。圖6-6系統(tǒng)日志安全日志安全日志如圖6-7所示圖6-7安全日志應用程序日志應用程序日志如圖6-8所示。圖6-8應用程序日志事件日志設置WindowsNT事件日志設置界面如圖6-9所示。圖6-96.6防火墻技術6.6.1防火墻的含義所謂防火墻，就是一個或一組系統(tǒng)，用來在兩個或多個網絡間加強訪問控制。它是一個網絡與其他網絡之間的可控網關，通常置于一個私有的、有確認的網絡和公開的Internet之間。防火墻的作用：（1）限制用戶進入被嚴格控制的點；（2）防止進攻者更接近其他的防御設備；（3）限制用戶離開被嚴格控制的點。6.6.2防火墻的種類一類是基于包過濾，另一類是基于代理服務。二者的區(qū)別：基于包過濾的防火墻直接轉發(fā)報文，他對用戶完全透明，速度快；而基于代理的防火墻則是通過代理服務器來建立連接，他有更強的身份驗證和日志功能。包過濾防火墻又稱篩選路由器，工作在網絡層或者傳輸層上，有選擇的讓數據包在內部網絡和外部網絡之間進行交換。它按照一定的安全策略－信息過濾規(guī)則，對進出內部網絡的信息進行限制，允許授權信息通過，拒絕非授權信息通過。這種系統(tǒng)的功能是路由器的基本功能加以擴展實現(xiàn)的，在路由器上增加安全控制功能，即包過濾功能。利用IP數據報報頭的部分或全部信息來設置包過濾規(guī)則。如IP協(xié)議類型IP源地址IP目的地址TCP源端口號TCP目的端口號TCP確認號圖6-10包過濾防火墻優(yōu)點：對用戶是透明的，即不需要使用用戶名和密碼來登陸，不要求應用程序做任何改動。缺點(1)由于這種技術允許在內部和外部系統(tǒng)之間直接交換數據部，因此內部網中的所有主機和路由器所允許的全部服務都可能成為攻擊目標（2）無法對網絡上流動的信息提供全面的控制(3)消耗的系統(tǒng)資源大，影響系統(tǒng)的性能代理服務防火墻代理服務是運行在防火墻主機上的一些特定的應用程序或服務器程序。代理服務器是一種增加了安全功能的應用層網關，位于Internet和Intranet之間，自動截取內部用戶訪問Internet的請求，驗證其有效性，代表用戶建立訪問外部網絡的連接。代理服務器在很大程度上對用戶是透明的，如果內外部網絡各站點之間的連接被切斷了，必須通過代理方可相互連通。采用的方法是在應用層網關上安裝代理軟件，每個代理模塊分別針對不同的應用。例如，遠程登陸代理TelnetProxy負責Telnet在防火墻上的轉發(fā)，文件傳輸代理FTPProxy負責FTP等等。代理服務器把內部網絡完全屏蔽起來，當代理服務器代表用戶同Internet建立連接時，可以用自己的IP地址代替內部網絡的IP地址轉換，這樣，所有Intranet中的網站對外部是不可見的，外部網站對Intranet的訪問要通過代理服務器，并且需IP地址轉換。代理服務器能進行安全控制，但需對每一種服務設計一個代理軟件模塊來進行安全控制。代理服務防火墻如圖6-11所示。圖6-11代理服務器6.6.3防火墻的結構雙宿主機結構主機過濾結構子網過濾結構雙宿主機結構把包過濾和代理服務兩種技術結合起來，可以形成新的防火墻，稱為雙宿主機（Dual-HomedHost)防火墻，所以主機稱為堡壘主機(BastionHost)，由它取代路由器執(zhí)行安全控制功能，負責提供代理服務。注意：在建立雙宿主機時，應該關閉操作系統(tǒng)的路由能力，否則從一塊網卡到另一塊網卡的通信會繞過代理服務器軟件，而使雙宿主機失去“防火”作用特點：IP層的通信是被阻止的，兩個網絡之間的通信通過應用層數據共享或代理服務來完成雙宿主主機就是配有兩個網絡接口，并通過這兩個接口分別與內部網和外部網相連的一臺計算機。提供服務2種方式：（1）允許內部網用戶直接登陸到雙宿主主機上，即在雙宿主主機上為用戶分別開設帳號，每個帳號通常有一個口令。（2）在雙宿主主機上運行代理服務軟件。主機過濾結構在雙宿主機結構中，雙宿主機直接與內外部網絡相連；而在主機過濾結構中，堡壘主機僅與內部網絡相連，該堡壘主機具有很好的安全控制機制，任何外部系統(tǒng)對內部網絡的操作都必須經過堡壘主機。另外，堡壘主機又通過一臺路由器與外部網絡相連，過濾路由器過濾規(guī)則規(guī)定，任何外部網絡的主機都只能與網絡的堡壘主機建立連接，也可以設計成不允許直接連接，這可以根據某些特定的服務來定。實現(xiàn)了網絡層安全（包過濾）和應用層安全（代理服務），它提供的安全性能顯然要比包過濾路由器高。采用這種防火墻，使得入侵者想要破壞內部網絡的安全性，就必須突破這兩個不同的安全層次子網過濾結構這種防火墻由兩個包過濾路由器配置而成，它在內部網絡與外部網絡之間設置一個安全保護網絡層，稱為“參數網絡”或“?；饏^(qū)”（DMZ），在?；饏^(qū)內可設置應用網關，也可以放置各類服務器(HTTP、FTP、DNS等)。一般情況下，外部網和內部網都僅能夠訪問到“?；饏^(qū)”中的有效資源，而通過DMZ直接進行內外網信息傳輸是被嚴格禁止的。圖6-14子網過濾結構防火墻子網過濾結構如圖6-14所示。連接到外部網的包過濾路由器主要用于防范來自外部網的攻擊連接到內部網的包過濾路由器則提供第二層防御，它只接受源于堡壘主機的數據包，負責管理DMZ和內部網之間的訪問由于外部路由器只能向外部網通告DMZ網絡的存在，外部網上的系統(tǒng)不需要有路由與內部網絡相連內部路由器只向內部網通告DMZ網絡的存在，內部網絡中的系統(tǒng)也不能直接連接到外部網絡6.7網絡安全風險評估6.7.1風險評估步驟（1）風險識別（2）風險分析（3）風險評價6.7.2風險識別方法識別風險的途徑包括核對表基于經驗和記錄的判斷、流程圖、集體討論、系統(tǒng)分析、情況分析和系統(tǒng)工程方法。所使用的方法將取決于所評審的活動的性質和風險的類型。計算機網絡安全風險評估對象（1）計算機網絡硬件系統(tǒng)（2）計算機網絡軟件系統(tǒng)6.7.3風險分析方法（1）定性分析法（2）定量分析方法（3）綜合方法定性分析法

定性分析方法是被廣泛使用的一種風險分析方法，也是出現(xiàn)在大部分標準中的一種方法。它對風險產生的可能性和風險產生的后果基于“低/中/高”這種表達方式，而不是準確的可能性和損失量。

該方法通常只關注威脅事件所帶來的損失（Loss），而忽略事件發(fā)生的概率（Probability）。多數定性風險分析方法依據組織面臨的威脅、脆弱點以及控制措施等元素來決定安全風險等級。在定性評估時并不使用具體的數據，而是指定期望值，如設定每種風險的影響值和概率值為“高”、“中”、“低”。有時單純使用期望值，并不能明顯區(qū)別風險值之間的差別。可以考慮為定性數據指定數值。例如，設“高”的值為3，“中”的值為2，“低”的值為1。但是要注意的是，這里考慮的只是風險的相對等級，并不能說明該風險到底有多大。所以，不要賦予相對等級太多的意義，否則將會導致錯誤的決策。定量分析法定量的評估方法是指運用數量指標來對風險進行評估。一般使用潛伏在事件中的分布狀態(tài)函數，并將風險定義為分布狀態(tài)函數的某一函數。但是這種方法存在一個問題，就是數據的不可靠和不精確。對于某些類型的安全威脅，存在可用的信息。例如，可以根據頻率數據估計人們所處區(qū)域的自然災害發(fā)生的可能性（如洪水和地震）。也可以用事件發(fā)生的頻率估計一些系統(tǒng)問題的概率，例如系統(tǒng)崩潰和感染病毒。但是，對于一些其他類型的威脅來說，不存在頻率數據，影響和概率很難是精確的。此外，控制和對策措施可以減小威脅事件發(fā)生的可能性，而這些威脅事件之間又是相互關聯(lián)的。這將使定量評估過程非常耗時和困難。6.7.4風險評價（1）基線評估（2）詳細評估（3）組合評估基線評估采用基線風險評估，組織根據自己的實際情況（所在行業(yè)、業(yè)務環(huán)境與性質等），對信息系統(tǒng)進行安全基線檢查（拿現(xiàn)有的安全措施與安全基線規(guī)定的措施進行比較，找出其中的差距），得出基本的安全需求，通過選擇并實施標準的安全措施來消減和控制風險。所謂的安全基線，是在諸多標準規(guī)范中規(guī)定的一組安全控制措施或者慣例，這些措施和慣例適用于特定環(huán)境下的所有系統(tǒng)，可以滿足基本的安全需求，能使系統(tǒng)達到一定的安全防護水平。優(yōu)缺點：基線評估的優(yōu)點是需要的資源少，周期短，操作簡單，對于環(huán)境相似且安全需求相當的諸多組織，基線評估顯然是最經濟有效的風險評估途徑。當然，基線評估也有其難以避免的缺點，比如基線水平的高低難以設定，如果過高，可能導致資源浪費和限制過度，如果過低，可能難以達到充分的安全，此外，在管理安全相關的變化方面，基線評估比較困難。詳細風險評估

詳細風險評估要求對資產進行詳細識別和評價，對可能引起風險的威脅和弱點水平進行評估，根據風險評估的結果來識別和選擇安全措施。這種評估途徑集中體現(xiàn)了風險管理的思想，即識別資產的風險并將風險降低到可接受的水平，以此證明管理者所采用的安全控制措施是恰當的。

優(yōu)缺點：組織可以通過詳細的風險評估而對信息安全風險有一個精確的認識，并且準確定義出組織目前的安全水平和安全需求；詳細評估的結果可用來管理安全變化。當然，詳細的風險評估可能是非常耗費資源的過程，包括時間、精力和技術，因此，組織應該仔細設定待評估的信息系統(tǒng)范圍，明確商務環(huán)境、操作和信息資產的邊界。組合評估為了決定選擇哪種風險評估途徑，首先對所有的系統(tǒng)進行一次初步的高級風險評估，著眼于信息系統(tǒng)的商務價值和可能面臨的風險，識別出組織內具有高風險的或者對其商務運作極為關鍵的信息資產（或系統(tǒng)），這些資產或系統(tǒng)應該劃入詳細風險評估的范圍，而其他系統(tǒng)則可以通過基線風險評估直接選擇安全措施。組合評估組合評估將基線和詳細風險評估的優(yōu)勢結合起來，既節(jié)省了評估所耗費的資源，又能確保獲得一個全面系統(tǒng)的評估結果，而且，組織的資源和資金能夠應用到最能發(fā)揮作用的地方，具有高風險的信息系統(tǒng)能夠被預先關注。當然，組合評估也有缺點：如果初步的高級風險評估不夠準確，某些本來需要詳細評估的系統(tǒng)也許會被忽略，最終導致結果失準

國際評估標準

（1）美國國防部開發(fā)的計算機安全標準——可信任計算機標準評價準則（TrustedComputerStandardsEvaluationCriteria，TCSEC），即網絡安全橙皮書。6.7.5安全性評估標準類別級別名稱主要特征DD低級保護沒有安全保護CC1自主安全保護自主存儲控制C2受控存儲控制單獨的可查性，安全標識BB1標識的安全保護強制存取控制，安全標識B2結構化保護面向安全的體系結構，較好的抗?jié)B透能力B3安全區(qū)域存取監(jiān)控、高抗?jié)B透能力AA驗證設計形式化的最高級描述和驗證我國評價標準1999年10月經過國家質量技術監(jiān)督局批準發(fā)布的《計算機信息系統(tǒng)安全保護等級劃分準則》將計算機安全保護劃分為以下5個級別。第1級為用戶自主保護級（GB1安全級）：它的安全保護機制使用戶具備自主安全保護的能力，保護用戶的信息免受非法的讀寫破壞。第2級為系統(tǒng)審計保護級（GB2安全級）：除具備第一級所有的安全保護功能外，要求創(chuàng)建和維護訪問的審計跟蹤記錄，使所有的用戶對自己的行為的合法性負責。第3級為安全標記保護級（G