信息安全评估技术是随着Internet信息化飞速发展而产生、随着网络信息安全问题日益严峻而逐步发展壮大的一门技术.由于不同领域根据不同方法对这门技术的评估结果各有侧重不够全面,因此需要提出一个能够得到更全面分析结果的网络信息安全评估方法,该文就是在此背景下产生的.该文就目前三大评估技术方法,即基于安全准则的评估技术、基于弱点扫描的安全评估方法以及基于财产价值的风险评估的相关发展进程以及主要工具和各自的优缺点等方面进行了分析.信息技术安全评估通用准则(Information Technology Security Evaluation Common Criteria)作为一个国际标准,解决了原有安全评估准则中的概念和技术区别.CC方法使得IT系统或产品的安全从开发、评估和运行过程中得到保障.CC评估能够得到被评估系统的安全保证等级,该文以Windows2000和Red Hat Linux 9.0为实例进行了安全保证等级评估的分析.同时,计算机安全弱点的存在能够使得攻击者的用户级权限得到非法提升,从而严重地危害了计算机系统的安全性.弱点的出现,破坏了按照CC中的安全功能组件分类的计算机安全功能.因此,如果将弱点对安全功能的破坏与CC中安全保证级别的结合,能够使被评估系统得到更全面的安全评估结果.该文在这些安全相关理论基础之上,引入了一个支持CC的安全评估系统框架,并对该框架的功能模块进行了设计与实现.按照该文提出的利用CC安全保证等级划分与弱点特权提升相结合的理论,该评估系统可以很好地满足安全评估的可扩展性、通用性、安全性、稳定性和可维护性的需求.