1.4 计算机网络安全评估

伴随着信息系统在各国政府和大型企事业组织中的广泛应用。人们对信息系统的依赖性越来越高，信息系统的脆弱性日益暴露，由此产生的安全事件也逐渐增多，对政府、企事业单位，以及个人的利益构成了严重威胁。网络信息系统的安全管理和安全评估已经成为各国政府、企事业单位越来越关注的工作。如何建设和规范日趋复杂的网络安全保障体系？如何对网络信息系统进行安全评估？是网络信息系统建设与应用过程中所面临的巨大挑战。

1.4.1 安全评估的基本概念

和其他经营活动一样，网络信息系统的建设和应用也离不开成本核算。网络信息系统的拥有者总是希望以较小的代价来获取较大的安全，为了实现这种目的必须进行安全评估，并通过安全评估来增强安全意识，明确网络系统中的资源状况和系统中存在的漏洞信息，找出网络信息系统可能受到的威胁，制定一套合理的网络安全策略和管理措施。

对于网络信息系统来说，安全问题具有选择性和动态性，不论采用什么样的安全措施，也不可能达到绝对的和永久的安全，因此，安全问题是不可避免的，任何时候都必须正确对待网络安全问题的存在。网络安全评估就是正确对待网络安全问题的一个管理过程，这个过程主要涉及安全分析、安全评估、安全决策和安全监测四个环节，如图1-12所示。

1.4.2 安全分析

安全分析是安全评估的第一步。进行安全分析就是要明确诸如网络信息系统中有哪些资产、哪些资产可能会出现安全问题、这些可能出现安全问题的特定资产存在什么样的安全漏洞、这些漏洞会引发什么样的攻击行为、这些可能的攻击行为发生的可能性有多大和一旦发生安全事故将会造成多大损失等一系列问题。

安全分析主要是针对包括网络系统的体系结构、安全策略、人员状况，以及各类网络设备在内的各种软硬件资源，例如，工作站、服务器、操作系统、数据库、软件、防火墙、网络交换机、路由器和网络通信设施等。

安全分析的最终目的是要制定一个投资少见效快的资产保护方案。

如果用集合S表示网络信息系统中的所有资产，用集合T表示网络系统中存在的所有可能的威胁，用Pij表示资产Si受到Tj威胁的可能性，Lij表示一旦Tj发生对Si所造成的损失，则安全分析的结果集合R可以定义为：

R={<Si,Tj,Pij,Lij>|Si∈S,Tj∈T,Pij∈[0,1],Lij∈ (0,+∞)}

安全分析的好坏直接影响着评估的结果，全面和准确的安全分析对保护网络信息系统环境十分重要。安全分析通常包括确定网络系统资产、明确资产价值、明确可能的威胁和脆弱性、判断受威胁后可能造成的损失。

1.确定网络系统资产

网络系统中的资产主要包括网络系统中的各种硬件、软件、数据、人员、文档和各类耗材等。安全分析的首要任务就是确定网络系统中需要保护的资产，只有确定了这些资产，才能明确资产在当前环境中可能受到的各种威胁。因此，需要列出所有受到安全问题影响的系统资产清单及影响范围，并依据其重要程度划分成不同等级。

2.明确资产价值

当列出所有资产清单后，还需要进一步对资产进行价值评估，根据不同的重要程度评定和计算有形资产与无形资产的价值及其价值总和。需要对价值较高的资产进行特别标注。

3.明确可能的威胁和脆弱性

网络系统受到攻击的主要原因就是由于系统中存在着各种安全隐患，例如，系统安全策略不当、软件设计有漏洞、内部控制和管理松懈等。明确可能的威胁和脆弱性的目的就是查找网络系统中存在着的各种安全隐患，以便通过加强管理或运用技术手段来消除安全隐患。

网络系统中的安全隐患涉及网络系统的各个方面，要针对所有资产并按其重要程度明确可能的威胁和脆弱性。列出所有可能威胁网络系统的人员、对象和事件，同时，需要列出他们可能利用的系统缺陷和发起的攻击行为。

4.判断受威胁后可能造成的损失

当明确了网络系统可能受到的威胁和存在的脆弱性后，还需要进一步判断每种威胁发生的可能性及将造成的影响，例如，破坏数据的保密性、数据丧失完整性、资源不可用、数据抵赖，以及直接的或间接的经济损失等。

通过判断，要详细列出威胁发生的可能性和威胁一旦发生所造成的损失情况，为安全评估提供更有力的证据。安全评估至少需要关心生产运营损失、机会损失和信誉损失的情况。

1.4.3 安全评估

网络安全评估是依据评估准则进行的。目前，网络安全评估的范围主要涉及：网络信息系统的后门检查、信息泄漏检查、端口和服务扫描、操作系统安全检查、应用服务安全检查，以及其他与网络相关的安全检查项目。

对于一个较大规模的网络，由于所面临的安全问题增多，安全评估的范围也将扩大，可能会涉及网络安全规划是否得当、系统中存在的安全漏洞、网络配置错误、安全产品配置不当、用户口令存在隐患、所用协议的安全性、软件中存在的漏洞、管理制度不完善、工作人员安全意识不高和技术力量薄弱等诸多方面的检查。如果忽略其中任何一个问题，都有可能影响到整个网络信息系统的安全。

安全评估是在安全分析的基础上，定量计算威胁成为事实的概率，以及评价威胁发生后所带来的影响。安全评估的方法主要有定性分析、定量分析和定性与定量相结合三种。

定性分析是根据经验和直觉来完成的，而定量分析则是根据经验数据和安全分析的统计结果实现的。不论是定性分析还是定量分析，都要依据评估标准，制定评估策略，最重要的是如何将威胁及威胁发生的可能性进行量化，并且要保证评估结果对安全决策有实际意义，否则，安全评估就会变成一种新的威胁。

1.4.4 安全决策

安全分析与评估的目的就是为网络管理者提供决策支持信息，进而形成合理的和有针对性的安全策略，使网络安全问题能够得到有效的控制。安全决策将决定网络信息系统需要采取的安全措施，这种安全措施是以重点保护关键资产为主的。

在安全决策过程中，根据安全评估的结果可能会有以下的选择策略：

1）逃避策略。该策略针对现有的安全问题，不采取任何安全措施加以防范。这种选择多是因为网络安全问题所造成的损失不大，所以没有必要制定安全措施。

2）应对策略。该策略针对现有的安全问题，采取一定的安全措施来防止安全问题的发生，尽可能减少因安全问题而造成的各种损失。需要注意，采取一定的安全措施就意味着需要增加网络安全方面的投入，而在这方面的大量投入并不一定在安全上收到明显的效果，相反，网络性能却有可能因大量的安全投入而明显降低。

3）转移策略。这种策略就是花钱买平安，它通过诸如买保险的方式把由现有安全问题可能造成的损失转移到别人（如保险公司）头上来确保自身的安全。

1.4.5 安全监测

在网络系统运行期间，系统随时都可能产生新的变化，例如，网络增添新的软硬件、软件升级和设备更新等将导致系统资产发生变化。当网络系统开展一项新业务，或提升安全级别，或发现新的漏洞，或发现新的攻击方法时，先前的安全评估就失去了实际意义，据此产生的安全决策也就不能够满足新的安全需求。这时，就需要重新进行安全分析、安全评估和安全决策，以适应网络信息系统的新变化。

安全监测过程能够实时监视和判断网络系统中的各种资产在系统运行期间的状态，并及时记录和发现系统中出现的新的变化情况。通过安全监测可以获得网络信息系统中的资产、漏洞和缺陷等有助于进行安全分析的重要信息。