基本信息
- 项目名称:
- 计算机主机安全评估系统研究与实现
- 来源:
- 第十一届“挑战杯”国赛作品
- 小类:
- 信息技术
- 大类:
- 科技发明制作A类
- 简介:
- 通过近几年来对信息安全的不断研究,人们对信息安全内涵的认识不断深入,从最初的信息保密性发展到了信息的完整性、可用性、可控性和不可否认性,进而又提出和发展了“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”众多方面基础理论和专业技术,其中网络安全评估逐渐成为安全管理领域的一个重要手段和工具。 因此,研究主机和网络的安全评估技术,全面完整的评估主机网络的安全状态,在攻击事件发生之前预先发现主机和网络的薄弱环节,及时提供安全评估报告,并给出建议性或强制性的安全加固建议,对保障计算机网络的安全、平稳运行具有重大意义。 国内外的网络安全评估研究中,普通存在以下几个严重问题:1)扫描内容不全面;2)评估算法不合理;3)评估知识库不完整;4)评估知识库更新不及时,为了解决上述问题,围绕主机安全评估技术难点,项目组对多元安全扫描、安全评估算法、综合安全评估知识库设计等若干个关键技术进行了深入研究,并取得了3个创新性成果,同时还开发了一套具有自主知识产权的软件“FoundLight主机安全评估系统”。 该系统可广泛在“8+2” 行业中进行主机评估应用。
- 详细介绍:
- 项目组围绕计算机主机安全评估的体系架构、核心算法、知识库等内容进行了深层次的研究和技术创新。成功研发了轻量级、特色鲜明、具有自主知识产权的计算机主机安全评估系统产品——Foundlight主机安全评估系统。 项目的开发软件“Foundlight主机安全评估系统”属于电子信息高新技术领域,是《国家产业技术政策》、《2006-2020国家信息化发展战略》、“十一五”863计划等国家中长期科技发展规划纲要重点支持推广应用的产品。 Foundlight主机安全评估系统从操作系统、重要文件或目录、浏览器、恶意进程、WEB服务器、通用服务、注册表、共享文件、驱动程序、应用程序和其他漏洞等11个方面36大项全面扫描网络主机的脆弱性,在自行设计且与国际通用的CVE漏洞库兼容的主机安全评估综合知识库(HCKB)的支持下,采用多元数据融合与层次分析技术相结合的安全评估算法(MDFAH)评估网络主机的安全性。与现有相关技术和产品相比,该系统具有速度快、性能稳定、扫描结果全面等优点,为电子政务、电子商务等高安全需求单位自评估网络主机的安全提供了一步到位的解决方案。 Foundlight主机安全评估系统中基于主机的多元安全扫描技术能扫描主机漏洞、脆弱性,还能扫描恶意程序和主机的安全策略和管理方面,克服了传统扫描工具仅能扫描操作系统漏洞、开放端口、弱口令等缺陷,为网络主机的安全自评估提供了新方法;多元数据融合和层次分析技术相结合的安全评估算法MDFAH算法考虑了数据源的时效性、可利用性、重要程度等因素,能定性和定量地给出主机的安全等级,解决了现有安全评估算法的数据源单一、评估结果不全面、不准确等问题,为基于主机的安全评估提供了新思路;自行设计的基于主机的综合安全评估知识库HCKB与CVE漏洞库相兼容,具有实用度高、知识全面等特点,弥补现有安全评估软件仅依靠CVE的漏洞库、评估知识库不全面、评估结果欠准确等不足。 Foundlight主机安全评估系统已在河南省保密技术检查中心、河南山谷网络科技有限公司、我校网络中心等单位测试使用。 Foundlight主机安全评估系统打破了国外厂商在安全评估领域对我国的技术垄断和安全威胁,实现了主机安全评估核心技术的国产化,对保障我国网络基础设施安全,促进我国信息产业进步等,具有重大的理论意义和实际应用价值。
作品图片
作品专业信息
设计、发明的目的和基本思路、创新点、技术关键和主要技术指标
- 针对国内外现有的网络安全评估技术和产品普遍存在的扫描内容不全面、评估算法不合理、知识库不完整的问题,项目组围绕基于主机的安全评估技术研究课题,设计并实现了一个轻量级、特色鲜明的主机安全评估产品——FoundLight主机安全评估系统。 本系统多元数据融合和层次分析法相结合的主机评估模型,利用定性定量的评估算法给出主机系统的风险等级。模型首先设计兼容CVE的主机综合安全评估知识库,然后依据多元安全扫描结果、脆弱性的严重程度及实际网络环境中用户侧重的评估项目等因素确定权重因子,接着用层次分析的方法对11方面36项的安全性进行赋值,最后通过多元数据融合后得到最终的安全评估结果。 本系统模型由资源管理层、中间插件层和人机交互层构成,涉及主控子系统、扫描引擎子系统、安全子系统、评估策略子系统、报告生成子系统、软件升级子系统、主机综合安全评估知识库等的研究与实现。 科技查新结果表明,项目组自主研发的基于主机的多元安全扫描、多元数据融合和层次分析法相结合的评估算法(MDFAH)、基于主机的综合安全评估知识库(HCKB)三项技术,除了项目组自己成果外,国内未见其它相关报道。 系统具备多元扫描、扫描策略管理、报告生成、用户管理、软件升级、自身安全和帮助等功能指标;同时,系统具备下列性能指标:1)系统具备容错性和易恢复性等可靠性特点;2)CPU平均占用率10%左右;3)快速扫描时间约15s;4)外存需求30M;5)内存需求30M.
科学性、先进性
- 1)系统遵从公安部正式颁布的《信息安全技术主机安全漏洞扫描产品检验规范》开发具有全部自主知识产权的计算机主机安全评估系统。 2)提出了一种基于主机的多元安全扫描技术方案,采用主动扫描并融合主机管理技术,从11方面36大项对主机进行全面扫描。有创新,弥补了扫描对象不全面、不完整等不足。 3)依据递阶层次结构定义,建立的一种主机安全评估模型分为3层,最高层是目标层O,中间是指标层I(含11个指标),最下是影响元素F(含36项影响因素)。提出一种多元数据融合和层次分析法相结合的评估算法,有创新,解决现有安全评估算法的数据源单一、评估结果不全面、不准确的问题。 4)提出了基于多元安全扫描技术方案的主机综合安全评估知识库,主要由漏洞库、安全规则库、安全策略库、补丁库、重要文件库、威胁库和恶意代码库组成。有创新,解决评估数据单一,评估中安全策略、安全管理、恶意代码考虑不足等问题。 5)基于多元安全扫描插件机制,保证了软件系统的可扩展性、完整性和二次开发的特点。
获奖情况及鉴定结果
- 2009年4月,获得我校大学生挑战杯3等奖; 2009年5月,获得河南省第七届大学生挑战杯1等奖。
作品所处阶段
- 正在完善系统,改进三大核心技术,丰富完善综合评估知识库;同时,软件处于企事业单位试用的中试阶段。
技术转让方式
- 继续开发具有核心技术的自主知识产权的主机安全评估系统,计划明年进行转让和技术推广。
作品可展示的形式
- 现场演示、录像或通过帮助文档提供对作品的展示
使用说明,技术特点和优势,适应范围,推广前景的技术性说明,市场分析,经济效益预测
- 完全自主开发,提供完整的用户使用手册、用户操作手册。并具备如下技术特点和优势:1)多元安全扫描方案、评估算法提供了更全面、更准确主机安全评估手段;2)知识库提供全面的漏洞库、规则库、策略库等各类的知识;3)投入、运行和管理成本低,性能稳定,并提供了扩展接口,以及本地、远程的升级功能;4)关键技术研究和系统开发遵从国家规范和准则,并参考了国际的建议草案,具有良好的规范性、安全性和开放性。 研究成果能为8+2企事业单位提供主机安全评估;能满足当前电子政务、电子商务、企业涉密网络等用户的主机安全自评估需要,系统功能齐全、性能稳定。 资料表明,我国现有企业、党政军机关、企事业单位等部门,他们网络的安全问题日益严重,害怕数据被篡改、丢失,商业机密泄漏等,迫切需要自评估或第三方的专业评估。同时项目组1)通过技术转让或合作方式,进行商业化推广或通过产品销售直接从市场获得回报;2)安全评测专项服务;3)紧急安全响应服务;4)安全网络外包服务,获得了良好的社会效益和经济效益。
同类课题研究水平概述
- 主机安全评估的研究一直是国内外研究的热点和难点。各国政府都在开展、讨论、开发和应用主机评估,同时主机评估的市场前景是巨大的。国外产品如SATAN、NMAP、NESSUS、ISS、Cybercop Scanner都已经提供安全扫描评估产品,但是这些产品价格比较高,同时由于国内涉密企业、涉密网络的需要,政府对这类产品是严格限制使用,因此,我们必须开发拥有自主知识产权的产品和技术。 目前我国的安全评估系统主要是采用漏洞扫描、入侵检测、渗透测试等关键技术作为支持,对系统当前存在的风险进行评估。国内的绿盟科技、启明星辰做了大量的研究工作,并形成自己的产品和技术。但是目前普通存在以下几个严重问题: 1)扫描内容不全面:当前主机安全评估软件主要针对系统补丁、软件漏洞进行扫描,没有考虑影响主机安全的恶意程序和安全管理策略等因素。 2)评估算法不合理:当前主机安全评估算法存在定性太笼统、定量太模糊等特点,较少考虑要素的权重大小和数据源的时效性、可利用性、重要程度等因素。 3)评估知识库不完整:当前主机安排评估主要依据CVE漏洞库,而没有考虑安全策略库、软件补丁库、系统文件库、危险库、规则库等方面,造成评估知识库不完整。 同时,计算机网络安全评估领域有待解决的问题: 1)管理配置和安全策略方面的评估:市场上现有的安全评估产品主要是漏洞扫描产品,很少有产品考虑到主机和网络管理、配置、策略、审计、安全加固不当对安全的影响。而由于管理上没有使用或使用不当,所产生的安全隐患和风险,甚至发生的安全事件,都造成了重大损失。 2)未知漏洞的发现技术 主机和网络中还有很多未知的漏洞没有发现,对这些漏洞人们不易在评估阶段及早发现,也不易防范。 3)大规模网络的预警和态势评估 安全评估分为个人、企业和政府、国家三个评估层次,所需要的技术和方法各不相同,特别是对大规模网络、Internet网络的安全评估、态势评估和态势感知研究的还不够。 4)知识库的标准问题 目前多数评估软件,主要是依靠CVE漏洞库和NESSUS NASL脚本库为知识库开展评估的,这些单独的库与安全评估需要的综合知识库、规则库的需求相比,还远远不够。因此,急需要制定出安全评估综合知识库的标准,并完善知识库中的知识和规则。
