网易科技讯 11月25日消息，2009中国（广州）计算机网络与信息安全高峰论坛今天在广州举行。网易科技作为独家门户网络支持媒体进行现场报道。

  中科院研究生院信息安全国家重点实验室、信息安全共性技术国家工程研究中心总工连一峰出席本次论坛，进行了题为 “信息安全测评技术与工具”的主题演讲。

  连一峰：各位领导、嘉宾大家下午好，占用大家最后的10分钟时间，介绍信息安全测评技术与工具，由于时间比较紧张，如果大家感兴趣的话，后面有联系方式，你们可以直接的跟我联系，我的内容主要是四个方面，第一个是 典型信息安全测评技术，信息安全测评工具，等级测评技术与工具，信息安全测评工具平台的介绍。

  典型信息安全测评技术，有安全功能测试、产品安全测评、信息系统安全测评、安全测评对比分析。

  测评的对象有主机安全测评、网络安全测评、数据安全测评、应用安全测评、管理安全测评

  典型的安全测评技术分为四类，脆弱性评估技术、信息安全态势评估技术，就几项技术进行详细的介绍，目前研究机构做了很多的工作，有一些没有实用化，借此机会跟大家进行简单的介绍，脆弱性评估主要是分析网络信息技术各类的脆弱性，被攻击者利用达到攻击者目的的评估技术，最大的特点是挖掘出攻击者的路径和攻击的可能性，会涉及到系统的建模和关键的检测技术，这些技术不在详细的介绍。

  典型的脆弱性评估技术的成果，主要有三个方面，攻击路径的发掘和攻击结果的分析。状态转移的方式对攻击者进行完整的描述。

  模型简单技术对网络可能遭受攻击的路径进行完整的描述，红色是一次性完整的攻击。

  态势评估技术，主要是指事先对网络做评估，感知并获得安全相关元素，通过数据信息的整合分析来判断安全状况并预测其未来的发展趋势。

  涉及到数据融合和数据挖掘，对安全态势作对比的方法。典型的技术有三种类型，一个是针对网络的可持续化，将网络的各种链接信息以可持续化的方式描述，例如网络连接图的方式，安全实例的统计方法，典型的就是数据融合，通过原始数据提炼数据信息和数据知识，通过抽象的方式达到分析的目的。层次化的安全评估方法，从网络系统、主机、服务攻击等几个模式完成安全态势的分析，风险评估技术，大家是比较熟悉的，这里不详细的介绍的。包括定量的评估方法，包括层次风险和概率分析评估，通过定性和定量的评估方法。

  这方面也是非常的熟悉，主要是通过针对网络系统的漏洞，最主要的目的是能够实际的发现网络系统里面存在的安全性风险，这也是经过测试经常会使用到典型的技术。

  介绍信息安全测评工作，这里面分成了几类，给大家做一个列举，由于时间的关系，不可能介绍每一类的工具，这里面分成安全配置的获取，网络信息获取工具，以及其他像安全审计方面的工具，专项安全测试的工具，性能的测试，密码的测试，最后要给大家介绍的一个工具是针对安全功能检测的，也是针对我们等级保护测评的工作。

  流程管理类包括一些测评的支撑和管理的工具，专门的渗透测试工具，这方面就比较多，进行了破解工具，探测工具，网络上都有视频测评的工具，这是安全测评工作当中使用到的安全工具。

  等级保护生命周期，在这个生命周期几个关键的环节都会对安全测评提出需求，设计实施阶段，以及运行维护阶段对定级的系统来进行测评和配置检查，渗透测试相关安全方面的工作，等级测评都会涉及到对测评工作的需求，我们大家可以看到在测评项目起用的时候，针对目标系统的信息探测，以及专项扫描工具，渗透的测试工具，性能测试工具，安全功能的测试工具，这些是我们建立测评所需要工具的结合。

  这里面列举了现在已有可能开展等级测评的工具，里面的某一个方面，例如说专对于扫描的，专门针对配置或许，或进行性能测试的工具都可以使用。

  信息安全测评工具的平台，主要是完成安全信息的自动获取，自动测评分析，测评结果管理，支撑起测评在内各种安全测评工作，这里面采用了机械的测评模式，完成了符合型的测评，风险的量化评估，安全状况的检查。

  这是平台基本的框架，这方面也是依据国家等级保护的基本的要求，以及在测评方面的国家标准，制订了测评的方法库，根据具体的测评方式逐步完成单向测评和单元测评，整体测评支撑整个等级测评的过程，这是实现的基础原理，主要也是依据基本的要求。

  强制访问测评控制方面主要是从这么几个方面做了评估，包括机制存在与否，实现有效性一共9个方面，主要采取方式，首先是通过审计数据提出强制访问控制的结果，提出信息，通过测评系统实现模拟的控制管理系统，把模拟结果和实际的结果做一个对比，两者之间的对比，判断出系统强制访问控制，是否真正的做到有效性。

  随即抽取带敏感标记的主课题，有它自身的访问控制管理系统做一个判别，把它判别结果和我们的测试结果做一个对比，判断策略的有效性，针对强制访问控制的方面，也是实现了一套模拟的验证工具，通过刚刚所介绍的这种思路完成针对三级以上的信息系统的控制测评手段。

  这是相当于我举的例子，针对强制访问控制开展测评， 当然最后工具的特点，在这里面就不太占用大家时间了。这是我们工具的界面。我的报告就到这里。谢谢大家！

  蒙克绝杀！勇士2人伤退遭国王24分大逆转 水花49+21无缘季中赛8强

  A股10年为何瘫坐3000点?6组数据揭线岁的芒格走完了他的完美人生，生前看好中国20年

  上市7个月/售7.38万起 比亚迪海鸥第20万辆下线亿美元融资 路特斯或成电动跑车第一股

  小米电视S Pro体验：千级分区MiniLED面板 高屏占比显示效果惊喜

  国产CPU努力程度让人惊叹！龙芯3A6000花了10年时间 追上10代酷睿

  Apple Pencil迭代出新，统一了USB-C接口，为何还被嫌弃？