基于漏洞扫描技术的网络安全风险评估系统的研究与应用.doc

附件1 开滦（集团）有限责任公司 2014年技术创新计划项目 任 务 书 项 目 名 称： 《基于漏洞扫描技术的网络安全风险评估系统的研究与应用》 承 担 单 位： 开滦（集团）信控中心 项目 负责人： 王满福 参 加 单 位： 北京中科网威信息技术有限公司 计 划 类 别： 科技攻关 项 目 专 业： 机电、自动化、信息化 计 划 年 度: 2014年度 起 止 年 月： 2014年1月1日至2014年12月31日 填 报 日 期： 2013年11月 开滦（集团）有限责任公司制 一、项目内容摘要 随着计算机网络和分布式计算机的普及和应用，网络安全变得越来越重要。研究表明，70％以上的网络都是很脆弱的。目前，除了计算机本身的安全机制外，计算机网络的安全措施要是防火墙，但随着黑客攻击技术的发展，系统漏洞越来越多地暴露出来，防火墙的弱点使其对很多攻击无能为力，尤其是对于来自内部的攻击，更是束于无策。目前市场上的主流网络安全产品包括:漏洞扫描、防火墙、入侵检测/防御系统等,以此来保障系统的安全性。本系统将漏洞扫描技术、防火墙技术、入侵检测/防御技术和防病毒技术定义为网络安全独立元素。重点针对网络安全漏洞扫描技术,采用的方法,实现对目的主机的网络安全风险评估,同时通过设计相应的数学模型和软件雏形,来判断系统的安全等级,为提高系统的安全性提供科学依据。漏洞扫描?风险评估?安全等级?漏洞扫描对提高Internet的安全发挥很大的作用。相对于人工测试而言，漏洞扫描程序的优势在于它的高效、全面以及详细的记录志。任何一个系统平台都有着成百上千的为外界所熟知的安全漏洞。采用人工测试的方法。费时费力且容易出错，操作过程法复制，对网络管理人员要求较高，此时采用安全漏洞扫描，有着显而易见的优势，它把极为繁琐的安全检测，通过程序自动完成，减轻了管理者的工作，缩短了检测时间，使得系统管理员可以及时发现漏洞并予以修复，从而降低了系统的安全风险。 据统计，在Internet上，有超过95％的黑客会攻击那些配置不当的服务器，这些服务器往往存着许多安全漏洞，而大多数且联网的黑客其实只是通过一些简单的扫描程序寻找存在安全漏洞的服务器，破解并登录这服务器后再以这些服务器为跳板继续攻击更多的服务器，因此，只要找到安全漏洞，打上相应的安全补丁或者修改相的配置，就可以杜绝大部分的攻击。每个计算机网络服务都与一个端口号相联系，通过向计算机指定端口发送一系列的消息，可以了解计算机提供的网络服务内容。此时收到的应答表明了这个端的使用类型以及服务版本，由此得到的服务类型与版本，就可以得知是否存在安全漏洞，不管攻击者是从外部或者内部攻破一台主机，这都是由于他利用了该主机的安全漏洞而得到的。目前流行的计算机系统都具有一些安全漏洞和隐患，而这些正是攻击者通常加以利用的地方。安全漏洞扫描技术是为使系统管理员能够及时了解系统中存在的安全漏洞，并采取相应防范措施，从而降低系统的安全风险而发展起来的一种安全技术。利用安全漏洞扫描技术，可以对局域网、从WEB站点、主机操作系统、系统服务以及防火系统的安全漏洞进行扫描，系统管理员可以检查出正在运行的网络系统中存在的不安全网络服务，在操作系统上存在的可能会导致遭受缓冲区溢出攻击或者拒绝服务攻击的安全漏洞，还可以检出手机系统中是否被安装了窃听程序，防火墙系统是否存在安全漏洞和配置错误。网络入侵的过程一般是利用扫描具对要入侵的目标进行扫描，找到目标系统的漏洞或脆弱点，然后进行攻击，因此扫描工具是入侵时首先用到的工具。对于系统管理员来说，网络安全的第一步工作也应该是利用扫描工具扫描系统，发现系统的漏洞和脆弱点后采取相应的补救措施。把极为繁琐的安全检测，通过程序自动完成，减轻了管理者的工作，缩短了检测时间，使得系统管理员可以及时发现漏洞并予以修复，从而降低了系统的安全风险。 通 信 信控中心 方案审定 2 韩建国 书记 研究生 自动化 信控中心 方案审定 3 周红军 副主任、主任工程师 研究生 计算机 信控中心 方案审定 4 郭继如 副科长 研究生 计算机 信控中心 方案设计 5 何莉 副科长 研究生 计算机 信控中心 方案设计 6 7 8 殷国强 高级安全顾问 本科 信息安全 北京中科网威信息技术有限公司 方案设计 9 许鑫 工程师 本科 信息安全 北京中科网威信息技术有限公司 方案设计 10 季建新 工程师 本科 信息安全 北京中科网威信息技术有限公司 方案设计 11 郑铁峰 工程师 本科 信息安全 北京中科网威信息技术有限公司 方案设计 12 陈振鹏 工程师 本科 信息安全 北京中科网威信息技术有限公司 方案设计 13 曲亚文 工程师 本科 信息安全 北京中