《基于漏洞扫描技术的网络安全风险评估系统的研究与应用.doc》由会员分享,可在线阅读,更多相关《基于漏洞扫描技术的网络安全风险评估系统的研究与应用.doc(11页珍藏版)》请在三一办公上搜索。
1、附件1开滦(集团)有限责任公司2014年技术创新计划项目任 务 书项 目 名 称: 基于漏洞扫描技术的网络安全风险评估系统的研究与应用承 担 单 位: 开滦(集团)信控中心项目 负责人: 王满福参 加 单 位: 北京中科网威信息技术有限公司计 划 类 别: 科技攻关项 目 专 业: 机电、自动化、信息化计 划 年 度: 2014年度起 止 年 月: 2014年1月1日至2014年12月31日填 报 日 期: 2013年11月开滦(集团)有限责任公司制一、项目内容摘要随着计算机网络和分布式计算机的普及和应用,网络安全变得越来越重要。研究表明,70以上的网络都是很脆弱的。目前,除了计算机本身的安全
2、机制外,计算机网络的安全措施主要是防火墙,但随着黑客攻击技术的发展,系统漏洞越来越多地暴露出来,防火墙的弱点使其对很多攻击无能为力,尤其是对于来自内部的攻击,更是束于无策。目前市场上的主流网络安全产品包括:漏洞扫描、防火墙、入侵检测/防御系统等,以此来保障系统的安全性。本系统将漏洞扫描技术、防火墙技术、入侵检测/防御技术和防病毒技术定义为网络安全独立元素。重点针对网络安全漏洞扫描技术,采用评估报告的方法,实现对目的主机的网络安全风险评估,同时通过设计相应的数学模型和软件雏形,来判断系统的安全等级,为提高系统的安全性提供科学依据。关键词漏洞扫描 风险评估 安全等级 安全评估二、项目的立项背景和意
3、义随着计算机和网络技术的发展,当今的企业办公早已经离不开计算机和网络服务的支撑,网络建设已经基本完成,网络的全覆盖已经基本实现,网络上运行的各种应用系统越来越重要,如何保障网络和应用系统的安全运行成为网络技术发展的重要方向。漏洞扫描对提高Internet的安全性发挥了很大的作用。相对于人工测试而言,漏洞扫描程序的优势在于它的高效、全面以及详细的记录日志。任何一个系统平台都有着成百上千的为外界所熟知的安全漏洞。采用人工测试的方法。费时费力且容易出错,操作过程无法复制,对网络管理人员要求较高,此时采用安全漏洞扫描系统,有着显而易见的优势,它把极为繁琐的安全检测,通过程序自动完成,减轻了管理者的工作
4、,缩短了检测时间,使得系统管理员可以及时发现漏洞并予以修复,从而降低了系统的安全风险。三、国内外现状及发展趋势据统计,在Internet上,有超过95的黑客会攻击那些配置不当的服务器,这些服务器往往存在着许多安全漏洞,而大多数且联网的黑客其实只是通过一些简单的扫描程序寻找存在安全漏洞的服务器,破解并登录这些服务器后再以这些服务器为跳板继续攻击更多的服务器,因此,只要找到安全漏洞,打上相应的安全补丁或者修改相应的配置,就可以杜绝大部分的攻击。每个计算机网络服务都与一个端口号相联系,通过向计算机指定端口发送一系列的消息,可以了解计算机提供的网络服务内容。此时收到的应答表明了这个端口的使用类型以及服
5、务版本,由此得到的服务类型与版本,就可以得知是否存在安全漏洞,不管攻击者是从外部或者内部攻破一台主机,这都是由于他利用了该主机的安全漏洞而得到的。目前流行的计算机系统都具有一些安全漏洞和隐患,而这些正是攻击者通常加以利用的地方。四、项目主要实施内容、技术路线、技术关键及创新点安全漏洞扫描技术是为使系统管理员能够及时了解系统中存在的安全漏洞,并采取相应防范措施,从而降低系统的安全风险而发展起来的一种安全技术。利用安全漏洞扫描技术,可以对局域网、从WEB站点、主机操作系统、系统服务以及防火墙系统的安全漏洞进行扫描,系统管理员可以检查出正在运行的网络系统中存在的不安全网络服务,在操作系统上存在的可能
6、会导致遭受缓冲区溢出攻击或者拒绝服务攻击的安全漏洞,还可以检查出手机系统中是否被安装了窃听程序,防火墙系统是否存在安全漏洞和配置错误。网络入侵的过程一般是利用扫描工具对要入侵的目标进行扫描,找到目标系统的漏洞或脆弱点,然后进行攻击,因此扫描工具是入侵时首先用到的工具。对于系统管理员来说,网络安全的第一步工作也应该是利用扫描工具扫描系统,发现系统的漏洞和脆弱点后采取相应的补救措施。漏洞扫描中,网络扫描是基于Internet的、探测远端网络或主机信息的一种技术,也是保证系统和网络安全必不可少的一种手段。主机扫描,是指对计算机主机或者其它网络设备进行安全性检测,以找出安全隐患和系统漏洞。总体而言,网
7、络扫描和主机扫描都可归入漏洞扫描一类。漏洞扫描本质上是一把双刃剑:黑客利用它来寻找对网络或系统发起攻击的途径,而系统管理员则利用它来有效防范黑客入侵。通过漏洞扫描,扫描者能够发现远端网络或主机的配置信息、TCPUDP端口的分配、提供的网络服务、服务器的具体信息等。漏洞扫描可以划分为ping扫描、端口扫描、OS探测、脆弱点探测、防火墙扫描五种主要技术,每种技术实现的目标和运用的原理各不相同。按照TCPIP协议簇的结构,ping扫描工作在互联网络层;端口扫描、防火墙探测工作在传输层;0S探测、脆弱点探测工作在互联网络层、传输层、应用层。ping扫描确定目标主机的IP地址,端口扫描探测目标主机所开放
8、的端口,然后基于端口扫描的结果,进行OS探测和脆弱点扫描。技术路线图1、以现有的开滦集团信息网络为对象,进行信息网络安全漏洞扫描问题研究。2、分析其存在信息安全问题,并针对这些问题提出解决方向。3、充分掌握当今网络信息安全漏洞最新技术,研究分析成功的网络信息安全经典案例,总结出可以应用于开滦网络信息安全技术方法。4、在充分研究分析开滦网络信息安全问题的基础上,运用最新的安全漏洞扫描技术,提出现有网络的安全漏洞扫描评估方案。5、收集分析安全改造后的网络安全的运行数据,与改造前进行对比分析,对仍存在的安全漏洞问题进一步分析并继续采取改进措施,直到解决问题。对于已解决的网络安全问题,对解决方案进行总
9、结,归纳出相应的安全建设和实施规范。6、在对开滦集团信息网络安全建设的基础上,总结网络漏洞扫描系统的应用经验,提出在企业内部普遍使用的信息网络漏洞扫描系统评估报告。五、预期目标(技术指标、经济指标、技术创新能力及社会效益)通过对现有开滦信息网络的安全漏洞扫描技术的研究与应用,可以使我单位人员在信息网络安全方面的工作水平得到整体提高,可以帮助消除信息网络中存在的安全隐患,减少因安全漏洞问题带来的网络故障,提升网络可靠性、稳定性,满足企业信息化、自动化的需要。网络漏洞扫描系统把极为繁琐的安全检测,通过程序自动完成,减轻了管理者的工作,缩短了检测时间,使得系统管理员可以及时发现漏洞并予以修复,从而降
10、低了系统的安全风险。通过具体网络信息安全漏洞扫描案例的分析,解决得到适合企业网络信息安全漏洞扫描评估系统的设计方法。六、项目任务分工及进度安排2014年1月 成立项目组,深入研究分析现有信息网络安全评估系统,找出信息安全问题。2014年2-3月 对网络信息安全问题进行漏洞扫描分析研究,查找原因,提出解决方向。2014年4月 学习掌握先进网络信息安全漏洞扫描技术,分析成功案例,总结经验。2014年5-10月 针对现有网络安全漏洞扫描评估系统,提出网络系统信息安全管理规范,再调研并修订。2014年11-12月 改进并完成系统方案和网络安全管理规范,总结成果、结论。七、现有工作基础、特色和优势集团公
11、司目前已有多个信息网络系统,信控中心作为开滦专门从事网络通信系统建设、维护、应用推广、软件开发、矿山自动化系统建设的信息化专业部门,在开滦信息化的建设、维护方面积累了丰富的经验并具有雄厚的技术实力。特别是近年来积极推进信息化、自动化工作,针对矿井自动化控制系统的建设、管理、安全进行了的分析研究。掌握了现场的第一手资料,为加强网络安全系统的稳定运行打下了坚实基础。另外,信控中心与国内主要的网络信息安全产品厂商建立了密切的联系,积累了网络信息安全防护技术、异常监测技术、安全集成管理技术,以及相应安全产品的开发经验,能够有效实现两网融合边界和局域网络内部安全,实现开滦网络信息安全风险管理和控制。八、
12、经费预算 单位:万元(保留两位小数)序号预算科目名称合计补助经费自筹经费1一、经费支出2(一)直接经费31、设备费4(1)购置设备费5(2)试制设备费6(3)设备改造与租赁费72、材料费83、测试化验加工费94、燃料动力费105、差旅费116、会议费127、国际合作与交流费138、出版/文献/信息传播/知识产权事务费149、劳务费1510、专家咨询费1611、其它支出17(二)间接费用18其中绩效支出19二、经费来源20(一)申请补助经费21(二)自筹经费补助经费拨付进度申请第1年第2年第3年金额比例()九、参加人员及分工序号姓名年龄职务/职称学历从事专业工作单位项目分工1王满福主任研究生通
13、信信控中心方案审定2韩建国书记研究生自动化信控中心方案审定3周红军副主任、主任工程师研究生计算机信控中心方案审定4郭继如副科长研究生计算机信控中心方案设计5何莉副科长研究生计算机信控中心方案设计678殷国强高级安全顾问本科信息安全北京中科网威信息技术有限公司方案设计9许鑫工程师本科信息安全北京中科网威信息技术有限公司方案设计10季建新工程师本科信息安全北京中科网威信息技术有限公司方案设计11郑铁峰工程师本科信息安全北京中科网威信息技术有限公司方案设计12陈振鹏工程师本科信息安全北京中科网威信息技术有限公司方案设计13曲亚文工程师本科信息安全北京中科网威信息技术有限公司方案设计14许文娟工程师本科信息安全北京中科网威信息技术有限公司方案设计项目负责人简介姓名职务职称学历现从事专业联系电话个人资历与业绩(限200字)十、项目承担单位意见负责人:(签字) 年 月 日 (盖章)十一、二级公司意见负责人:(签字) 年 月 日 (盖章)十二、主管部门意见负责人:(签字) 年 月 日 (盖章)填写说明:1、项目任务书由承担项目的主要负责单位(会同参加单位)详细填写。经二级公司审查、签字、盖章后,一式二份上报。2、计划类别分为:科技攻关、新技术推广、前瞻性项目三类。3、项目类别分为:煤炭开采、地测、防治水、机电、自动化、信息化、矿建、生产准备、通风、安全、洗选、煤质、煤化工、节能减排、医疗卫生
