基于網絡綜合掃描的信息安全風險評估研究

韋寧　呂俊虎　李林

摘要：以全面提升互聯網運行安全性和穩定性為目的，從理論分析角度入手，闡述了網絡綜合掃描技術的應用原理以及實際架構，分析了當前信息安全風險評估的發展現狀以及發展需求，依托文獻研究以及經驗總結，建立了以網絡綜合掃描技術為基礎的信息安全風險評估架構，明確具體的評估原則以及技術原理，建立多元化的系統掃描方案以及評估體系，不僅可以提升網絡信息安全管控的科學性，還可以最大化漏洞掃描的效率。

關鍵詞：網絡綜合掃描；信息安全；風險評估

一、前言

隨著我國社會發展水平的不斷提升，網絡系統已經成為串聯人們生產生活的媒介，能夠為人們提供信息共享的空間。但是網絡安全事故的頻發也導致人們的日常生產生活受到影響，需要建立完善的網絡安全管控系統。本文從理論分析以及案例研究的角度出發，闡述了網絡綜合掃描技術在信息安全風險評估中的具體應用方向，建立了實際的評估架構，希望能夠為相關領域提供參考。

二、基礎理論分析

（一）網絡綜合掃描技術

網絡綜合掃描技術是建立在硬件、軟件、掃描協議的基礎上形成的綜合性策略，能夠及時掃描網絡系統中存在的各項問題。從技術應用的層面來講，網絡綜合掃描技術并不是針對攻擊行為進行防御和反攻擊的程序，而是發現目標主機系統中存在弱點以及缺陷的綜合性程序[1]。主要是分析目標主機的程序架構是否合理，判斷其中是否存在漏洞，它屬于一種信息收集類工具，可以結合不同漏洞的特征以及網絡數據進行分析，并且將其發給一個或者多個目標服務器，判定某個特定的漏洞是否存在。這一程序不僅可以實現主機掃描，也可以實現網絡掃描，依托當前的眾多網絡架構平臺，可以及時檢測互聯網或者網站中存在的危險行為，進而提升網絡信息安全管控的科學性。

（二）信息安全風險評估體系

科學的信息安全風險評估體系，主要指的是結合市場上應用較為廣泛的網絡安全技術以及網絡產品對其網絡信息和信息處理體系展開評估，明確分析系統運行過程中存在的設施威脅、影響、薄弱點。

由于網絡安全風險評估是實現網絡信息安全管理的重點策略，不僅要了解網絡運行過程中存在的各種問題，還需要了解不同類型的網絡系統以及設備，那么就需要構建完善的數據庫，以此來實現全方位的評估。因此信息安全風險評估并不是獨立于其他技術之外的，例如以網絡綜合掃描技術為主，能夠及時獲取網絡系統中存在的各項安全問題，收集到的信息將作為信息安全風險評估的主要依據。二者相融合，意在通過研究漏洞來提升網絡安全評估的科學性。

三、網絡安全管控現狀分析

網絡安全管理主要指的是針對網絡上的一系列信息進行統一管理，在確保信息真實性和可靠性的基礎上能夠減少或者全面杜絕對網絡系統產生攻擊的行為，確保網絡服務不中斷，信息傳遞以及儲存有保障。而結合近年來的各類網絡安全事件來看，對于網絡產生威脅和影響的因素，不僅來源于軟件以及硬件層面，還來源于外部的非法攻擊行為。如何全面提升網絡信息管控的精準性和全面性，已經成為近年來相關領域發展的重要研究課題。而結合經驗總結以及研究成果共享，可以確定在網絡安全管控過程中存在的危險因素有以下幾種。明確這些威脅因素，能夠為網絡信息安全評估以及網絡綜合掃描的落實，奠定良好基礎。

（一）主體行為威脅

人為實物大多數為操作員或者網絡管理員在工作的過程中造成的安全漏洞；網絡用戶使用者在使用的過程中缺乏安全管控意識，防備心理較差導致的信息泄露；隨意的轉接賬號或者密碼，無差別進行信息共享都會帶來網絡安全威脅。

另外，惡意攻擊是主體行為威脅中的重要內容，主要指的是黑客攻擊以及計算機犯罪，其中可以分為主動攻擊和被動攻擊兩種。主動攻擊主要指的是相關人員針對網絡系統以及數據進行有選擇性和破壞性的攻擊，比如偽造、刪除、修改、添加、冒充等等；被動攻擊是在不影響網絡運行穩定性的基礎上針對信息系統進行竊聽、破譯、盜取等行為。

這兩種攻擊對計算機網絡產生的威脅極大，會導致信息泄露影響用戶的正常網絡體驗。

（二）網絡系統設計缺陷

由于互聯網有著極強的開放性和共享性，在用戶使用互聯網的過程中，必然存在著信息安全管控先天不足的現象，既然想要實現信息共享以及互通，就必然不能設置較多的防控系統。網絡系統設計缺陷主要源于傳輸控制協議以及網際協議在制定的過程中出現安全機制不足的現象，一部分系統在前期設計的過程中并未全方位的考慮安全問題，雖然整體的質量和服務可靠，但是很容易被外界行為所影響。其中的風險行為包含了路由攻擊、序列號欺騙、授權欺騙、源地址欺騙等等[2]。

（三）系統配置問題

一部分系統在前期配置的過程中，往往存在較多的開放性端口，維護人員在進行系統審核的過程中未能及時關閉一部分不必要的服務端口，而攻擊者可以利用這些服務端口進行網絡攻擊，進而導致網絡系統受到威脅。

四、基于網絡綜合掃描的信息安全風險評估建設策略

將網絡安全管理進行量化，必須要滿足以下要求：評估結果，能夠作為安全策略制定的依據；評估可以為網絡系統的動態安全調整提供指導評估，不僅能夠實現風險評估，還可以從風險的反面確定哪些系統具備較強的安全性；通過評估進行未來網絡節點攻擊行為的預測，及時把控攻擊可能性；評估的最終結果，能夠作為不良攻擊行為反擊的有力依據。以此為依托，可以從以下幾個層面運用網絡綜合掃描來實現信息安全風險評估。

（一）風險評估工具的設計

信息安全風險評估具有極強的挑戰性和復雜性，其中的因素較多，且相互影響。在這樣的大環境下，為了進一步提升信息風險評估的科學性，就必須制定一套具備可用性的風險評估工具，這樣才可以實現自動化的風險評估。

國內當前絕大部分的信息安全工具分成了三個不同的類別，首先是掃描工具，這是建立在網絡綜合掃描的基礎上實現的，用于常規的網絡系統漏洞分析；其二，則是入侵檢測系統能夠統計網絡攻擊的相關信息，并且實現數據挖掘；最后則是網絡滲透測試工具，主要通過人工滲透的方式進行深層次漏洞的評估。以上這三類工具可以提升風險評估的精準性，全面地從信息的角度出發，明確網絡攻擊的實際特征，并且分析后期結果。筆者以以上這三項理論基礎為依托，進一步發揮網絡綜合掃描的科學性，針對當前應用極為廣泛的產業部門建立了信息安全評估系統。

（二）系統目標的設定

風險評估系統的運行在于全面了解網絡中存在的安全隱患信息以及常規風險，針對安全要素進行多角度的測評，并且結合測評得出的數據進行挖掘。

找出網絡系統運行過程中所使用的安全策略的隱患以及面臨的風險級別，給出相關優化策略；系統會形成多元化的信息庫以及安全評估知識庫，及時根據網絡平臺以及設備的運行狀態提取信息庫中的對應信息，自動化判斷系統可能面臨的威脅，并且提供改進措施。

針對網絡的具體運行狀況進行評估，評估的結果將作為網絡安全性分析的主要依據，能夠全面提升系統安全管控的科學性。

（三）基于網絡綜合掃描的信息安全評估總體架構分析

結合系統的設計目標，可以將風險評估體系劃分成三個階段，主要以信息系統資產分析及風險識別、風險計算、風險評價這三個架構為主。

第一，針對網絡系統的資產進行分析和識別，依托用戶和評估人員的互動來實現，利用網絡綜合掃描工具、入侵工具、滲透工具進行操作[3]。而用戶需要完成以下內容：提出評估申請，結合安全信息標準進行分類。了解信息系統的實際組成，并且分析各個部分在安全管控中的重要程度，確保評估人員能夠整體了解信息系統的運行狀態。

評估人員需要結合以上提供的一系列信息，按照各個評估標準進行重點內容的評估，并且結合評估要項、控制措施以及管理目標給出調查表。然后利用掃描、滲透以及入侵工具進行系統漏洞的全過程掃描，從技術以及管理的角度定位其中的風險因素。

第二，及時收集風險因素并且建立數據庫，數據庫主要以風險評估知識庫以及數據信息庫為主，能夠采集定量和定性的評估方法，結合相關行業的國家標準進行風險因素分析和評估。

第三，從網絡系統運行的角度給出評估結果，并且自動生成評估報告。

第四，對收集的風險因素，結合建立的知識庫、信息庫，采用定性和定量的

評估方法，按照國際標準要求對獲得的風險因素進行分析、計算和評估。

最后，從全局角度對計算結果進行綜合分析、評估，并自動生成評估報告。其具體的系統掃描以及評估流程如圖1所示。

在進行風險評估的過程中，各個環節的內容以及功能包含了以下模塊。

漏洞掃描系統會及時掃描系統中存在的實際漏洞并且保存漏洞的實際信息；主機系統會保存系統中可能出現的漏洞數據以及詳細信息；日志構建系統主要產生漏洞的掃描日志，結合漏洞掃描系統以及主機系統最終生成清單，并且提取其中的漏洞名以及端口號等重點內容。

標準庫主要用于進行網絡安全風險評估，能夠針對掃描出的漏洞進行安全等級、評判標準的提取，包括漏洞名稱、端口號、附加分、基礎分。

最終得出有關漏洞掃描的評估分數會記錄系統的安全情況，并且給出基礎優化建議。

（四）系統評估的方法設計

結合上文論述可知，為了進一步提升評估結果的精準性，必須確保網絡系統的掃描、滲透、入侵等一系列評估工具的使用，能夠產生最大化的價值，那么系統的評估方法需要在整體定性與定量相結合的基礎上全面發揮局部評估的優勢。利用定性方式進行風險因素識別以及原因分析，而針對風險影響因素發生概率、威脅程度預測、風險評價等內容需要采取定量的方式完成。

例如，針對系統的資產識別、脆弱性及威脅識別、風險產生原因的判定，可以通過灰色系統理論的故障樹分析方式來完成；威脅行為的具體影響模式，需要利用故障模式影響以及危害性分析方法來完成。在這個過程中需要結合各個評估目標的具體內容，將其劃分為管理要項、管理目標、風險分析、控制措施這一系列流程，而其中的管理目標則是威脅的具體影響方法；針對各個評估指標進行計算，需要利用科學的公式來完成，而評估的依據的綜合定性和定量，則需要考慮不同評估方法的最終效果，并且將評估方法轉移到適用范圍中，這樣可以提升評估結果的精準性。

（五）評估數據庫的設計

數據庫的設計對于評估結果的準確性有著極大的影響，尤其是能夠結合既有的網絡安全事故提取其中的關鍵信息和應對經驗，不斷豐富評估標準，也可以為網絡綜合掃描技術的應用提供更多的可參考依據[4]。數據庫在滿足以上需求的基礎上，還需要及時地進行進行更新、維護、管理。

本文所論述的風險評估系統是建立在產業、政府、企業的基礎上進行設計的，而這幾個領域本身有一定的特殊性，那么在網絡綜合掃描的過程中，需要結合不同領域的實際特點以及需求，圍繞其中的關鍵數據和信息進行掃描，這樣才可以為政府以及交通等行業提供依據。

以此為依托，在數據庫設計的過程中，可以結合不同行業的地方發展標準、行業發展標準、國際常用標準進行劃分，明確了不同的標準領域之后再提取其中的各項要素，每一項要素還可以進行細化。

例如政府的網絡綜合掃描要傾向于數據信息的完整性和真實性，同時也要注意隱私保護和權益保護，需要按照國家常用標準進行數據分析，可以將相關數據劃分成行政、民生、商業、經濟等相關類型，在以上相關類型的基礎上進行細化，比如行政包含了常規的業務、財務、人力資源等。

按照以上標準進行細化，之后可以為網絡安全風險評估提供最為細化的指標，不僅可以提升綜合掃描的科學性和精準性，還可以增加風險評估的特殊性，尤其是針對政府機關的數據信息管理，建立了更為堅實的保障。

（六）風險評估結果的輸出

明確了評估方法和評估流程之后，還需要制定科學的評估結果輸出系統，這是獲取網絡掃描結果以及評估結果的重要過程，評估結果必須要清晰明確，不僅可以得出具體的網絡漏洞情況，還需要提供具有針對性的應對方案。

其中絕大部分的系統都會選擇通過日志表的方式進行漏洞信息保存，并且將其轉換到標準庫中。如圖2所示，則是網絡掃描過程中形成的日志表，能夠清晰地定位漏洞所存在的位置、類型、端口，以這種形式保存下來，也可以轉換成文檔數據進行輸出。

以上這些數據信息只是資產評估報告中的一部分，在此基礎上還需要輸出威脅評估報告、風險評估結果、脆弱性評估報告等等，格式與此格式基本相同，不僅能夠明確告知系統存在的安全問題，還可以檢測出系統可能面臨的風險以及脆弱點，進而全面提升信息安全管控的多樣性。

五、結語

綜上所述，建立在網絡綜合掃描的基礎上，合理把控信息掃描、入侵、滲透，科學選擇工具，并且建立信息掃描以及風險評估體系，不僅可以快速地快速地定位網絡系統中存在安全隱患，還可以為后續的網絡安全管控以及防火墻建設提供保障。這一技術體系在我國未來的網絡安全管控中，需要不斷進行升級，層層加碼，落實全方位的網絡信息安全管理。

參考文獻

[1]馬怡璇，李浩升，黃強，等.基于模糊理論的網絡信息安全風險評估系統[J].電子設計工程，2023，31（04）：123-127.

[2]吳嘉誠，余曉.網絡安全風險評估方法研究綜述[J].電子科技：1-9.

[3]李鳴雷.云計算環境下網絡信息安全技術發展研究[J].科技創新與應用，2022，12（36）：170-173.

[4]李好亮.關于信息化時代計算機網絡安全問題的探討[J].數字通信世界，2022，（12）：148-150.

基金項目：廣西自然科學基金項目（青年科學基金項目）+“基于跨層次認知的云數據中心內部網絡安全態勢感控關鍵技術研究”+項目編號（2020GXNSFBA159042）

作者單位：廣西生態工程職業技術學院圖文信息中心