论文部分内容阅读
该论文研究了安全测评的相关技术和发展方向,分析了网络安全评估软件常用的体系结构,最后设计了一个基于web的安全测评系统。该系统采用改进的三层B/S体系结构。客户端使用浏览器访问,web服务端负责配置和调用管理,服务后台负责具体的扫描探测工作。前后台完全独立,通过数据库进行连接。该系统以兼容CVE的nasl漏洞库为基础,主要采用插件模拟攻击的方式进行弱点检测,同时也建立了弱点匹配规则库,能够自动检测远程或本地设备的安全状况,找出被检对象的安全弱点和系统缺陷,并根据一定的标准进行安全性评估,给出清晰明了的评估报告,方便用户进行安全定位和系统安全性改进。仿真实验表明该系统在测试网络系统的脆弱性方面是有效的。
对安全评估系统而言,在得到了目标网络的弱点信息之后,采用何种方法对目标网络的安全性能进行评估显得尤为重要。本文提出一种基于马尔可夫模型的评估方法,该方法认为系统安全度主要由系统脆弱性和入侵威胁两个因素决定,分别采用合适的方法对这两个因素进行评估,从而得出系统安全度的量化结果,能比较准确地反映目标系统的安全性能。
网络安全评估系统本身的安全性同样极为重要,本文分析了系统最可能出现安全问题的五个环节,采用密码认证和用户权限分级管理,采用SSL加密方法对双方信息传输进行加密,从而有效地提高了系统本身的安全性。同时,本文采用了多种方法来提高系统的运行效率。