Windows Xp安全基线评估技术研究

2005年2月,美国国家安全局NSA和美国国家标准与技术研究所NIST联合发布了XCCDF(eXtensible Configuration Checklist Description Format,可扩展的配置检查清单描述格式)规范,用于为安全检查清单、安全基准和其它安全配置指南建立一个通用平台,该规范有利于资源的重用,具有良好的可扩展性。 本文旨在设计一个符合XCCDF规范的Windows XP操作系统安全评估体系,对Windows XP操作系统的漏洞、配置状况、补丁版本进行检查,并采用问卷调查方式获取系统的管理漏洞信息,然后使用安全度量模型进行综合评估,最后生成系统安全评估结果报告。本文首先提出的研究背景、操作系统安全评估的目的及其深远意义;然后分析了国内外信息系统安全评估发展现状(包括:信息系统安全评估标准、风险分析方法及可用的评估工具以)及当前存在的问题等,并研究了XCCDF与OVAL(Open Vulnerability and Assessment Language,开放的脆弱性评估语言)规范的背景和现状;接着提出并实现了一种基于XCCDF规范的Windows XP操作系统安全评估体系,给出了评估体系的评估思想、总体框架、功能模块划分情况及总体调用流程等:然后给出了系统运行界面,对比分析了不同评估体系的性能指标,还比较了不同配置主机在该评估体系下的评估结果:最后,总结了该评估体系的优缺点以及下一步的工作。