基于漏洞掃描技術(shù)的網(wǎng)絡(luò)安全風(fēng)險評估系統(tǒng)的研究與應(yīng)用(DOC)

1、附件 1開灤（集團(tuán)）有限責(zé)任公司2014 年技術(shù)創(chuàng)新計劃項目任務(wù)書項目稱：基于漏洞掃描技術(shù)的網(wǎng)絡(luò)安全風(fēng)險評估系統(tǒng)的研究與應(yīng)用承擔(dān)位：開灤（集團(tuán)）信控中心項目 負(fù)責(zé)人：王滿福位：北京中科網(wǎng)威信息技術(shù)有限公司別：科技攻關(guān)業(yè)：機電、自動化、信息化度:2014 年度月：2014 年1月1日至 2014年12月31日期：2013 年 11 月開灤（集團(tuán)）有限責(zé)任公司制、項目內(nèi)容摘要隨著計算機網(wǎng)絡(luò)和分布式計算機的普及和應(yīng)用，網(wǎng)絡(luò)安全變得越來越重要。研究表 明，70%以上的網(wǎng)絡(luò)都是很脆弱的。目前，除了計算機本身的安全機制外，計算機網(wǎng)絡(luò) 的安全措施主要是防火墻，但隨著黑客攻擊技術(shù)的發(fā)展，系統(tǒng)漏洞越來越多地暴露

2、出來, 防火墻的弱點使其對很多攻擊無能為力，尤其是對于來自內(nèi)部的攻擊，更是束于無策。目前市場上的主流網(wǎng)絡(luò)安全產(chǎn)品包括：漏洞掃描、防火墻、入侵檢測/防御系統(tǒng)等,以此來保障系統(tǒng)的安全性。本系統(tǒng)將漏洞掃描技術(shù)、防火墻技術(shù)、入侵檢測/防御技術(shù)和防病毒技術(shù)定義為網(wǎng)絡(luò)安全獨立元素。重點針對網(wǎng)絡(luò)安全漏洞掃描技術(shù)，采用評估報 告的方法，實現(xiàn)對目的主機的網(wǎng)絡(luò)安全風(fēng)險評估，同時通過設(shè)計相應(yīng)的數(shù)學(xué)模型和軟件雛形,來判斷系統(tǒng)的安全等級，為提高系統(tǒng)的安全性提供科學(xué)依據(jù)。關(guān)鍵詞漏洞掃描風(fēng)險評估安全等級安全評估二、項目的立項背景和意義隨著計算機和網(wǎng)絡(luò)技術(shù)的發(fā)展，當(dāng)今的企業(yè)辦公早已經(jīng)離不開計算機和網(wǎng)絡(luò)服務(wù)的 支撐，網(wǎng)絡(luò)建設(shè)已

3、經(jīng)基本完成，網(wǎng)絡(luò)的全覆蓋已經(jīng)基本實現(xiàn)，網(wǎng)絡(luò)上運行的各種應(yīng)用系 統(tǒng)越來越重要，如何保障網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的安全運行成為網(wǎng)絡(luò)技術(shù)發(fā)展的重要方向。漏洞掃描對提高In ternet的安全性發(fā)揮了很大的作用。相對于人工測試而言，漏 洞掃描程序的優(yōu)勢在于它的高效、全面以及詳細(xì)的記錄日志。任何一個系統(tǒng)平臺都有著 成百上千的為外界所熟知的安全漏洞。采用人工測試的方法。費時費力且容易出錯，操 作過程無法復(fù)制，對網(wǎng)絡(luò)管理人員要求較高，此時采用安全漏洞掃描系統(tǒng)，有著顯而易 見的優(yōu)勢，它把極為繁瑣的安全檢測，通過程序自動完成，減輕了管理者的工作，縮短 了檢測時間，使得系統(tǒng)管理員可以及時發(fā)現(xiàn)漏洞并予以修復(fù)，從而降低了系統(tǒng)的

4、安全風(fēng) 險。三、國內(nèi)外現(xiàn)狀及發(fā)展趨勢據(jù)統(tǒng)計，在In ternet上，有超過95%的黑客會攻擊那些配置不當(dāng)?shù)姆?wù)器，這些 服務(wù)器往往存在著許多安全漏洞，而大多數(shù)且聯(lián)網(wǎng)的黑客其實只是通過一些簡單的掃描 程序?qū)ふ掖嬖诎踩┒吹姆?wù)器，破解并登錄這些服務(wù)器后再以這些服務(wù)器為跳板繼續(xù) 攻擊更多的服務(wù)器，因此，只要找到安全漏洞，打上相應(yīng)的安全補丁或者修改相應(yīng)的配 置，就可以杜絕大部分的攻擊。每個計算機網(wǎng)絡(luò)服務(wù)都與一個端口號相聯(lián)系，通過向計 算機指定端口發(fā)送一系列的消息，可以了解計算機提供的網(wǎng)絡(luò)服務(wù)內(nèi)容。此時收到的應(yīng) 答表明了這個端口的使用類型以及服務(wù)版本，由此得到的服務(wù)類型與版本，就可以得知 是否存在安全

5、漏洞，不管攻擊者是從外部或者內(nèi)部攻破一臺主機，這都是由于他利用了 該主機的安全漏洞而得到的。目前流行的計算機系統(tǒng)都具有一些安全漏洞和隱患，而這 些正是攻擊者通常加以利用的地方。13四、項目主要實施內(nèi)容、技術(shù)路線、技術(shù)關(guān)鍵及創(chuàng)新點安全漏洞掃描技術(shù)是為使系統(tǒng)管理員能夠及時了解系統(tǒng)中存在的安全漏洞，并采取 相應(yīng)防范措施，從而降低系統(tǒng)的安全風(fēng)險而發(fā)展起來的一種安全技術(shù)。利用安全漏洞掃 描技術(shù)，可以對局域網(wǎng)、從 WEB占點、主機操作系統(tǒng)、系統(tǒng)服務(wù)以及防火墻系統(tǒng)的安全 漏洞進(jìn)行掃描，系統(tǒng)管理員可以檢查出正在運行的網(wǎng)絡(luò)系統(tǒng)中存在的不安全網(wǎng)絡(luò)服務(wù), 在操作系統(tǒng)上存在的可能會導(dǎo)致遭受緩沖區(qū)溢出攻擊或者拒絕服務(wù)攻

6、擊的安全漏洞， 可以檢查出手機系統(tǒng)中是否被安裝了竊聽程序， 防火墻系統(tǒng)是否存在安全漏洞和配置錯 誤。網(wǎng)絡(luò)入侵的過程一般是利用掃描工具對要入侵的目標(biāo)進(jìn)行掃描，找到目標(biāo)系統(tǒng)的漏 洞或脆弱點，然后進(jìn)行攻擊，因此掃描工具是入侵時首先用到的工具。對于系統(tǒng)管理員 來說，網(wǎng)絡(luò)安全的第一步工作也應(yīng)該是利用掃描工具掃描系統(tǒng)，發(fā)現(xiàn)系統(tǒng)的漏洞和脆弱 點后采取相應(yīng)的補救措施。漏洞掃描中，網(wǎng)絡(luò)掃描是基于In ternet的、探測遠(yuǎn)端網(wǎng)絡(luò)或主機信息的一種技術(shù), 也是保證系統(tǒng)和網(wǎng)絡(luò)安全必不可少的一種手段。主機掃描，是指對計算機主機或者其它 網(wǎng)絡(luò)設(shè)備進(jìn)行安全性檢測，以找出安全隱患和系統(tǒng)漏洞。總體而言，網(wǎng)絡(luò)掃描和主機掃 描都可

7、歸入漏洞掃描一類。漏洞掃描本質(zhì)上是一把雙刃劍：黑客利用它來尋找對網(wǎng)絡(luò)或 系統(tǒng)發(fā)起攻擊的途徑，而系統(tǒng)管理員則利用它來有效防范黑客入侵。通過漏洞掃描，掃 描者能夠發(fā)現(xiàn)遠(yuǎn)端網(wǎng)絡(luò)或主機的配置信息、TCp/UDP端口的分配、提供的網(wǎng)絡(luò)服務(wù)、服 務(wù)器的具體信息等。漏洞掃描可以劃分為ping掃描、端口掃描、OS探測、脆弱點探測、防火墻掃描五 種主要技術(shù)，每種技術(shù)實現(xiàn)的目標(biāo)和運用的原理各不相同。 按照TCPIP協(xié)議簇的結(jié)構(gòu),ping掃描工作在互聯(lián)網(wǎng)絡(luò)層；端口掃描、防火墻探測工作在傳輸層；OS探測、脆弱點 探測工作在互聯(lián)網(wǎng)絡(luò)層、傳輸層、應(yīng)用層。 ping掃描確定目標(biāo)主機的IP地址，端口掃 描探測目標(biāo)主機所開放的

8、端口，然后基于端口掃描的結(jié)果，進(jìn)行 OS探測和脆弱點掃描。技術(shù)路線圖1以現(xiàn)有的開灤集團(tuán)信息網(wǎng)絡(luò)為對象，進(jìn)行信息網(wǎng)絡(luò)安全漏洞掃描問題研究。2、分析其存在信息安全問題，并針對這些問題提出解決方向。3、充分掌握當(dāng)今網(wǎng)絡(luò)信息安全漏洞最新技術(shù)，研究分析成功的網(wǎng)絡(luò)信息安全經(jīng)典 案例，總結(jié)出可以應(yīng)用于開灤網(wǎng)絡(luò)信息安全技術(shù)方法。4、在充分研究分析開灤網(wǎng)絡(luò)信息安全問題的基礎(chǔ)上，運用最新的安全漏洞掃描技 術(shù)，提出現(xiàn)有網(wǎng)絡(luò)的安全漏洞掃描評估方案。5、收集分析安全改造后的網(wǎng)絡(luò)安全的運行數(shù)據(jù)，與改造前進(jìn)行對比分析，對仍存 在的安全漏洞問題進(jìn)一步分析并繼續(xù)采取改進(jìn)措施，直到解決問題。對于已解決的網(wǎng)絡(luò) 安全問題，對解決方案

9、進(jìn)行總結(jié)，歸納出相應(yīng)的安全建設(shè)和實施規(guī)范。6、在對開灤集團(tuán)信息網(wǎng)絡(luò)安全建設(shè)的基礎(chǔ)上，總結(jié)網(wǎng)絡(luò)漏洞掃描系統(tǒng)的應(yīng)用經(jīng)驗, 提出在企業(yè)內(nèi)部普遍使用的信息網(wǎng)絡(luò)漏洞掃描系統(tǒng)評估報告。五、預(yù)期目標(biāo)（技術(shù)指標(biāo)、經(jīng)濟(jì)指標(biāo)、技術(shù)創(chuàng)新能力及社會效益）通過對現(xiàn)有開灤信息網(wǎng)絡(luò)的安全漏洞掃描技術(shù)的研究與應(yīng)用，可以使我單位人員在 信息網(wǎng)絡(luò)安全方面的工作水平得到整體提高，可以幫助消除信息網(wǎng)絡(luò)中存在的安全隱 患，減少因安全漏洞問題帶來的網(wǎng)絡(luò)故障， 提升網(wǎng)絡(luò)可靠性、穩(wěn)定性，滿足企業(yè)信息化、 自動化的需要。網(wǎng)絡(luò)漏洞掃描系統(tǒng)把極為繁瑣的安全檢測，通過程序自動完成，減輕了管理者的工 作，縮短了檢測時間，使得系統(tǒng)管理員可以及時發(fā)現(xiàn)漏洞

10、并予以修復(fù)，從而降低了系統(tǒng) 的安全風(fēng)險。通過具體網(wǎng)絡(luò)信息安全漏洞掃描案例的分析，解決得到適合企業(yè)網(wǎng)絡(luò)信息安全漏洞 掃描評估系統(tǒng)的設(shè)計方法。六、項目任務(wù)分工及進(jìn)度安排2014年1月成立項目組，深入研究分析現(xiàn)有信息網(wǎng)絡(luò)安全評估系統(tǒng)，找出信息安全問題。2014 年 2-3 月對網(wǎng)絡(luò)信息安全問題進(jìn)行漏洞掃描分析研究，查找原因，提出解決方向。2014年4月學(xué)習(xí)掌握先進(jìn)網(wǎng)絡(luò)信息安全漏洞掃描技術(shù)，分析成功案例，總結(jié)經(jīng)驗。2014 年 5-10 月針對現(xiàn)有網(wǎng)絡(luò)安全漏洞掃描評估系統(tǒng)，提出網(wǎng)絡(luò)系統(tǒng)信息安全管理規(guī)范，再調(diào)研并修訂。2014 年 11-12 月改進(jìn)并完成系統(tǒng)方案和網(wǎng)絡(luò)安全管理規(guī)范，總結(jié)成果、結(jié)論。七、

11、現(xiàn)有工作基礎(chǔ)、特色和優(yōu)勢集團(tuán)公司目前已有多個信息網(wǎng)絡(luò)系統(tǒng)，信控中心作為開灤專門從事網(wǎng)絡(luò)通信系統(tǒng)建設(shè)、維護(hù)、應(yīng)用推廣、軟件開發(fā)、礦山自動化系統(tǒng)建設(shè)的信息化專業(yè)部門，在開灤信息化的建設(shè)、維護(hù)方面積累了豐富的經(jīng)驗并具有雄厚的技術(shù)實力。特別是近年來積極推進(jìn)信息化、自動化工作，針對礦井自動化控制系統(tǒng)的建設(shè)、管理、安全進(jìn)行了的分析研究。掌握了現(xiàn)場的第一手資料，為加強網(wǎng)絡(luò)安全系統(tǒng)的穩(wěn)定運行打下了堅實基礎(chǔ)。另外，信控中心與國內(nèi)主要的網(wǎng)絡(luò)信息安全產(chǎn)品廠商建立了密切的聯(lián)系，積累了網(wǎng)絡(luò)信息安全防護(hù)技術(shù)、異常監(jiān)測技術(shù)、安全集成管理技術(shù)，以及相應(yīng)安全產(chǎn)品的開發(fā)經(jīng)驗，能夠有效實現(xiàn)兩網(wǎng)融合邊界和局域網(wǎng)絡(luò)內(nèi)部安全，實現(xiàn)開灤網(wǎng)

12、絡(luò)信息安全風(fēng)險管理和控制。八、經(jīng)費預(yù)算單位：萬元（保留兩位小數(shù)）序號預(yù)算科目名稱合計補助經(jīng)費自籌經(jīng)費1一、經(jīng)費支出2（一）直接經(jīng)費31、設(shè)備費4（1）購置設(shè)備費5（2）試制設(shè)備費6（3）設(shè)備改造與租賃費72、材料費83、測試化驗加工費94、燃料動力費105、差旅費116、會議費127、國際合作與交流費13&出版/文獻(xiàn)/信息傳播/ 知識產(chǎn)權(quán)事務(wù)費149、勞務(wù)費1510、專家咨詢費1611、其它支出17（二）間接費用18其中績效支出19二、經(jīng)費來源20（一）申請補助經(jīng)費21（二）自籌經(jīng)費補助經(jīng)費 撥付進(jìn)度申請第1年第2年第3年金額比例（）九、參加人員及分工序號姓名年齡職務(wù)/職稱學(xué)歷從事專業(yè)工作單位

13、項目分工1王滿福主任研究 生通信信控中心方案審定2韓建國書記研究 生自動化信控中心方案審定3周紅軍副主任、主任工程師研究 生計算機信控中心方案審定4郭繼如副科長研究生計算機信控中心方案設(shè)計5何莉副科長研究生計算機信控中心方案設(shè)計678殷國強高級安全顧問本科信息安全北京中科網(wǎng)威信息技術(shù)有限公司方案設(shè)計9許鑫工程師本科信息安全北京中科網(wǎng)威信息技術(shù)有限公司方案設(shè)計10季建新工程師本科信息安全北京中科網(wǎng)威信息技術(shù)有限公司方案設(shè)計11鄭鐵峰工程師本科信息安全北京中科網(wǎng)威信息技術(shù)有限公司方案設(shè)計12陳振鵬工程師本科信息安全北京中科網(wǎng)威信息技術(shù)有限公司方案設(shè)計13曲亞文工程師本科信息安全北京中科網(wǎng)威信息技術(shù)有限公司方案設(shè)計14許文娟工程師本科信息安全北京中科網(wǎng)威信息技術(shù)有限公司方案設(shè)計項目負(fù)責(zé)人簡介姓名職務(wù)職稱學(xué)歷現(xiàn)從事專業(yè)聯(lián)系電話個人資歷與業(yè)績（限200字）十、項目承擔(dān)單位意見負(fù)責(zé)人：（簽字）年