[发明专利]评估网络安全姿态的系统和方法

说明书

本发明涉及网络领域，更确切地说，本发明涉及评估网络安全姿态的领域。

当前正在开发的信息系统和计算机网络基础设施，建设时考虑是什么构成了可接受的风险(或者适当的保护)。系统资产，比如计算机网络的硬件、软件和系统节点，必须受到与其价值相应程度的保护。另外，这些资产在失去其价值之前，都必须受到保护。在受处理数据的整个使用期限中，任何安全特性和系统体系结构也应当提供充分的保护。为了评估与网络相关联的任何风险是否可接受，安全工程师通常收集所有有关的信息，然后分析与网络相关联的风险。

风险分析是复杂和耗时的过程，它需要确定在网络中的发生及其潜在的危害。例如，分析计算机网络中的安全风险时，安全工程通常遵循下列步骤：

1)  确认整个计算机系统的资产。

2)  确认资产的弱点。本步骤通常需要想象力，以预测对本资产会发生什么损害，来自何方。计算机安全的三个基本目标是确保保密、完整和可用。所谓弱点是可能导致失去这三种品质之一的任何情况。

3)  预测发生(利用)的可能性，也就是确定每次发生被利用有多么频繁。发生的可能性涉及现有控制的严格和某人或某物将会侵入现有控制的可能性。

4)  通过确定每次事故的预期成本，计算每年中任何显现的成本(预期年损失)。

5)  测定可应用的控制及其成本。

6)  计划控制的年节省额。

分析的最后一个步骤是一种成本-效益分析，也就是，是实行一种控制的成本更低，还是接受损失的预期成本的成本更低？风险分析得出安全计划，它确定特定措施的责任以改善安全性。

今天，技术的飞速发展和功能日益增强的计算机的普及，为了得到低成本高效率的解决方案，必须使用现成商品的(COTS：commercial-off-the-shelf)硬件和软件组件。对COTS的这种强烈的依赖性意味着，对大多数应用程序来说，商业等级的安全机制是充分的。所以，对于COTS组件相对较弱的组件，必须构筑安全体系结构，以建立有效的、任务关键的计算机系统。保险度较高的组件可以置于公共区或者说信息边界，形成基于飞地的安全体系结构，对信息保险实行彻底防御的措施。

系统建筑师可以利用某些设计工具，也就是软件程序，以协助使可用的保护机制最大化，同时保持不超出开发预算。当前一代的风险分析工具通常是单一卖主的解决方案，它只涉及风险的某个特定方面或者某些方面。这些工具往往属于以下三个范畴之一：

1)  根据数据库中明确指出的弱点进行工作并可能修复已知弱点的工具。对于数据库更新，这种类型的工具是卖主决定的，或者通过新的产品版本，或者通过预约服务。这个范畴中的实例包括ISS的因特网扫描器、Network Associates，Inc.的CyberCop和Harris的STAT。

2)  使用多种参数来计算风险指示器的单片工具。这些工具难以维护并很难与快速发展的威胁和技术环境保持最新。这个工具范畴的实例是Los Alamos Vulnerability Assessment(LAVA)工具。

3)  考察系统某个特定方面的工具，比如操作系统或数据库管理系统，而忽略其它系统部件。例如，SATAN分析操作系统弱点，但是忽略基础设施部件比如路由器。

为了单一的计算机网络分析而使用不同卖主的多种工具，是一项劳动密集型的任务。通常，安全工程师将不得不以多种格式多次输入系统(网络)的描述或者说表达。接着，对这些多种工具的结果输出，安全工程师必须手工分析、整理并汇总成网络安全姿态的单一报告。然后，安全工程师可以完成风险分析(计算预期年损失、测定控制等等)，并且接着重复该过程，分析另外的安全风险、系统性能、任务功能和开发预算。

同样，这些工具中，没有一种对系统使用“钻下”的集合“快照”方式或者说分层方式，以便于应付系统中多个层次(网络、平台、数据库等等)上的风险。在分析另外的安全风险、系统性能和任务功能时，这些工具对系统设计者没有提供多少帮助。却是提供了某个“风险解决方案”，它涉及给定工具设计来计算的风险的某个特定方面。为了开发综合的风险评估，安全工程师将不得不变得精通若干工具的使用并手动关联最终的输出。

成功的风险分析的一个方面是完全和准确的数据累加，以产生分析工具所用的系统模型。许多目前的风险分析工具依赖用户、系统操作人员和分析师填写的测定结果，以采集数据，用于分析中所用系统模型的开发。另外，某个工具能够主动地扫描计算机网络，以测试系统组件的多种弱点。