论文部分内容阅读
摘 要:随着全球信息化的迅猛发展,计算机网络深入社会的方方面面。计算机网络系统自身存在的脆弱性是网络攻击事件屡屡发生的重要因素,网络安全深受威胁。网络安全问题已成为人们关注的热点。本文介绍了计算机网络脆弱性评估的重要意义,研究了计算机网络脆弱性评估方法,对保障电力网络系统安全有一定参考价值。
关键词:计算机;网络脆弱性;评估方法
中图分类号:TP393.08
随着信息技术的不断发展,计算机网络的应用规模在全球不断扩大。作为支撑国民经济的一项重要产业,现代电力工业发展适应了新时代的要求,充分利用现代先进的信息技术,不断提高电力网络信息化建设水平,力争建设成为一个实现电力、业务、信息等各方面高度集成化的现代电网体系。计算机网络系统本身存在的脆弱性,使其极易被渗透、被破解,容易招致各类黑客工具的非法侵袭,成为一道紧要的安全漏洞。积极利用信息技术,不断提高电力系统的智能化水平,电力网络系统的信息安全也随之成为引人关注的热点
计算机网络脆弱性主要是指计算机网络系统程序缺陷会被恶意的攻击者或者攻击程序利用,后者通过已授权的手段获得对资源的未授权访问或损害网络以及网络中的主机。
近年来,网络攻击事件频发,主要表现有蠕虫、特洛伊木马等病毒入侵、黑客攻击、数据操纵等,通过攻击电网自动化系统的薄弱之处,严重破坏电网网络信息的保密性和完整性,乃至可靠性和可用性,造成难以估算的损失。
1 计算机网络脆弱性评估的重要意义
计算机网络脆弱性评估其实是一种类似“病症诊断”的措施,具有主动性和预测性的特点,通过评估网络系统中由于操作系统、网络协议、应用软件等软件系统存在安全漏洞而导致的风险,进而判断网络系统的安全健康程度,以便系统安全管理员掌握系统的安全风险态势,为安全应对措施提供有效的决策信息,避免网络危险事件的发生。
电力系统信息安全问题随着电网信息化业务发展而逐渐突显,由于电力网络系统庞大复杂,电力相关站、厂机构之间互动信息收发频繁、数据流向不尽合理,且尚无统一的计算机安全标准,加上电力系统和信息技术的客观脆弱性,导致出现一些诸如数据采集与监控网络与其他系统的内外连接环节薄弱;某些缺省配置安装冗杂;安全补丁管理缺乏;软件程序存在错误而导致电力网络的崩溃等等各种网络问题。由此,加强对计算机网络脆弱性的分析与评估,提高信息传输质量和可靠性,对保障电力信息安全,确保整个电网体系安全、稳定的运行,持续、健康的发展有着非常重要的实践意义。
2 计算机网络脆弱性评估方法分类
由于系统本身存在漏洞和脆弱性,网络系统很容易受到各种不同类型的攻击,所以,认真评估系统中存在的各种脆弱性,以便更有针对性的消除脆弱性,是保护计算机网络系统安全的重要措施。计算机网络脆弱性评估方法较多,而归纳起来主要为三类:定量评估法、定性评估法及定量与定性相结合的综合评估法。
2.1 定量评估法
定量评估法是通过量化风险概率、风险危害度,运用数量指标来评估网络的脆弱性,增加了损失程度的可度量性,使分析目标和应对的措施更明确具体。统计参数分析法、等风险图法、聚类分析法、决策树法、神经网络法等方法是目前应用性较广的定量评估方法。定量评估法,以直观的数据来表述评估的结果,既一目了然,使研究结果显得客观、科学。但也存在一些缺点,主要是有些风险因素被量化后如果不能正确解析,可能会被误解。
2.2 定性评估法
定性评估法是以与调查对象的访谈记录资料为基础,通过理论演绎、分析的方式编排、整理相关资料,依据评估者的经验、知识、政策等非量化资料对网络系统的脆弱性情况做出判断,最后得出调查结论。定性分析方法主要有历史分析法、因素分析法、逻辑分析法等,它可以剖析出某些深层次的思想,将评估的结论提升到一个更深刻更全面的层面上来,但由于较为侧重主观性,对评估者素质能力、知识水平要求较高。
2.3 综合评估法
计算机网络脆弱性评估工作面对的情况较为复杂,有些评估要素可量化,有些又难以量化,只能定性分析,因此评估过程中不能一味地执着于量化评估,也不能一味地采用定性评估,两种方法不能被简单的割裂,而是应该融合这两种方法,采用综合评估法,定量分析结合定性分析,对系统的脆弱性做出正确评价,更准确的判断系统脆弱性状况,为进一步针对性修补和消除措施提供可靠的决策依据。
3 计算机网络脆弱性评估方法
源于网络攻击及其防范技术的发展,计算机网络脆弱性评估方法从手动分析向自动分析演变,如今已从单机分析发展为分布式分析,从局部分析发展为整体分析,从规则分析发展为模型分析。下面介绍目前主要的两种计算机脆弱性评估方法:针对单机的局部脆弱性评估方法和针对网络系统的整体脆弱性评估方法。
3.1 局部脆弱性评估方法
局部脆弱性评估方法注重检测分析单一主机的脆弱性,评估工具有ISS,SAINT等,主要采用如漏洞扫描、端口扫描等技术来进行脆弱性评估,针对检测出的脆弱性给予一定的风险等级,然后将脆弱性的实际数量结合其风险等级来评定网络系统的安全以及稳定程度。大多数网络攻击中,攻击者多从薄弱环节入手,在整个网络中利用系统存在的某个脆弱性进行单个攻击,从而逐步提高自己在网络系统中的权限,从周围关联性设备渗透,最终控制目标设备。总体上,局部脆弱性评估方法在单机检查分析方面功能较强,而在整体分析方面功能较弱,缺乏更深层次的数据融合技术,仅凭孤立的、片面的脆弱性风险等级还很难使系统安全管理员切实掌握整个网络系统的安全状况。
3.2 整体脆弱性评估方法
整体脆弱性评估方法是在局部评估结果的基础上,从全局的角度出发,结合网络系统存在的各种脆弱性以及彼此相互间的关系,执行某些脚本或插件模拟对系统的攻击行为,并如实记录系统的反应,在此基础上进行彼此关联的综合性分析,从中发现漏洞。它可运行于单个或多个主机,扫描目标为本地主机或者单个或多个远程主机,主要扫描范围涵盖目标的开放端口、系统漏洞、远程服务漏洞、系统网络服务、拒绝服务攻击等项目。其特点是扫描器的功能设计和运用是独立的,与主机的操作系统无关,除了具有目标主机访问权限的扫描外,通常的网络安全扫描无法访问目标主机的本地文件。
整体脆弱性评估方法从侵袭者的角度进行检测,能够发现系统中潜藏的最危险、最可能被入侵、被渗透的漏洞,扫描层次更深,效率更高。电力庞杂的信息化网络系统适宜采用整体脆弱性评估方法进行评估。提高电力网络系统的安全系数,保证电网系统信息安全,维护电力网络系统稳定有序运行,是推进电力事业的发展的重要任务。
4 结束语
帮助系统安全管理员在提供网络服务的同时保障网络的安全,是计算机网络脆弱性评估研究的根本目的。分析网络系统扫描结果,从中发现网络中存在的各种的脆弱性,为网络系统安全运行提供解决方案,以便更有效地管理整个网络系统。随着信息社会的发展,计算机网络脆弱性评估在电力信息化网络系统的合理应用,亦有助于推进电力事业安全、健康、有序的发展。
参考文献
[1]沈海燕.计算机网络脆弱性评估技术研究[J].无线互联科技,2013(3):79-80.
[2]贾炜,冯登国,连一峰.基于网络中心性的计算机网络脆弱性评估方法[J].中国科学院研究生院学报,2012(4):529-535.
[3]缪学勤.采用纵身防御策略确保智能电网信息安全[J].电气时代,2011(3):24-29.
[4]曹阳.云计算模式在电力调度系统中的应用[J].中国电力,2012(6):14-18.
作者简介:汤尊霖(1982-),男,江西九江人,助理工程师,大学本科,研究方向:信息运维;邓华英(1973-),女,江西乐平人,助理工程师,学历:大学专科,研究方向:信息运维;陈小华(1971-),男,江西乐平人,一级教师,大学本科,研究方向:信息应用。
作者单位:国网江西电力公司赣东北供电分公司,江西乐平 333300;乐平市第五中学,江西乐平 333300
关键词:计算机;网络脆弱性;评估方法
中图分类号:TP393.08
随着信息技术的不断发展,计算机网络的应用规模在全球不断扩大。作为支撑国民经济的一项重要产业,现代电力工业发展适应了新时代的要求,充分利用现代先进的信息技术,不断提高电力网络信息化建设水平,力争建设成为一个实现电力、业务、信息等各方面高度集成化的现代电网体系。计算机网络系统本身存在的脆弱性,使其极易被渗透、被破解,容易招致各类黑客工具的非法侵袭,成为一道紧要的安全漏洞。积极利用信息技术,不断提高电力系统的智能化水平,电力网络系统的信息安全也随之成为引人关注的热点
计算机网络脆弱性主要是指计算机网络系统程序缺陷会被恶意的攻击者或者攻击程序利用,后者通过已授权的手段获得对资源的未授权访问或损害网络以及网络中的主机。
近年来,网络攻击事件频发,主要表现有蠕虫、特洛伊木马等病毒入侵、黑客攻击、数据操纵等,通过攻击电网自动化系统的薄弱之处,严重破坏电网网络信息的保密性和完整性,乃至可靠性和可用性,造成难以估算的损失。
1 计算机网络脆弱性评估的重要意义
计算机网络脆弱性评估其实是一种类似“病症诊断”的措施,具有主动性和预测性的特点,通过评估网络系统中由于操作系统、网络协议、应用软件等软件系统存在安全漏洞而导致的风险,进而判断网络系统的安全健康程度,以便系统安全管理员掌握系统的安全风险态势,为安全应对措施提供有效的决策信息,避免网络危险事件的发生。
电力系统信息安全问题随着电网信息化业务发展而逐渐突显,由于电力网络系统庞大复杂,电力相关站、厂机构之间互动信息收发频繁、数据流向不尽合理,且尚无统一的计算机安全标准,加上电力系统和信息技术的客观脆弱性,导致出现一些诸如数据采集与监控网络与其他系统的内外连接环节薄弱;某些缺省配置安装冗杂;安全补丁管理缺乏;软件程序存在错误而导致电力网络的崩溃等等各种网络问题。由此,加强对计算机网络脆弱性的分析与评估,提高信息传输质量和可靠性,对保障电力信息安全,确保整个电网体系安全、稳定的运行,持续、健康的发展有着非常重要的实践意义。
2 计算机网络脆弱性评估方法分类
由于系统本身存在漏洞和脆弱性,网络系统很容易受到各种不同类型的攻击,所以,认真评估系统中存在的各种脆弱性,以便更有针对性的消除脆弱性,是保护计算机网络系统安全的重要措施。计算机网络脆弱性评估方法较多,而归纳起来主要为三类:定量评估法、定性评估法及定量与定性相结合的综合评估法。
2.1 定量评估法
定量评估法是通过量化风险概率、风险危害度,运用数量指标来评估网络的脆弱性,增加了损失程度的可度量性,使分析目标和应对的措施更明确具体。统计参数分析法、等风险图法、聚类分析法、决策树法、神经网络法等方法是目前应用性较广的定量评估方法。定量评估法,以直观的数据来表述评估的结果,既一目了然,使研究结果显得客观、科学。但也存在一些缺点,主要是有些风险因素被量化后如果不能正确解析,可能会被误解。
2.2 定性评估法
定性评估法是以与调查对象的访谈记录资料为基础,通过理论演绎、分析的方式编排、整理相关资料,依据评估者的经验、知识、政策等非量化资料对网络系统的脆弱性情况做出判断,最后得出调查结论。定性分析方法主要有历史分析法、因素分析法、逻辑分析法等,它可以剖析出某些深层次的思想,将评估的结论提升到一个更深刻更全面的层面上来,但由于较为侧重主观性,对评估者素质能力、知识水平要求较高。
2.3 综合评估法
计算机网络脆弱性评估工作面对的情况较为复杂,有些评估要素可量化,有些又难以量化,只能定性分析,因此评估过程中不能一味地执着于量化评估,也不能一味地采用定性评估,两种方法不能被简单的割裂,而是应该融合这两种方法,采用综合评估法,定量分析结合定性分析,对系统的脆弱性做出正确评价,更准确的判断系统脆弱性状况,为进一步针对性修补和消除措施提供可靠的决策依据。
3 计算机网络脆弱性评估方法
源于网络攻击及其防范技术的发展,计算机网络脆弱性评估方法从手动分析向自动分析演变,如今已从单机分析发展为分布式分析,从局部分析发展为整体分析,从规则分析发展为模型分析。下面介绍目前主要的两种计算机脆弱性评估方法:针对单机的局部脆弱性评估方法和针对网络系统的整体脆弱性评估方法。
3.1 局部脆弱性评估方法
局部脆弱性评估方法注重检测分析单一主机的脆弱性,评估工具有ISS,SAINT等,主要采用如漏洞扫描、端口扫描等技术来进行脆弱性评估,针对检测出的脆弱性给予一定的风险等级,然后将脆弱性的实际数量结合其风险等级来评定网络系统的安全以及稳定程度。大多数网络攻击中,攻击者多从薄弱环节入手,在整个网络中利用系统存在的某个脆弱性进行单个攻击,从而逐步提高自己在网络系统中的权限,从周围关联性设备渗透,最终控制目标设备。总体上,局部脆弱性评估方法在单机检查分析方面功能较强,而在整体分析方面功能较弱,缺乏更深层次的数据融合技术,仅凭孤立的、片面的脆弱性风险等级还很难使系统安全管理员切实掌握整个网络系统的安全状况。
3.2 整体脆弱性评估方法
整体脆弱性评估方法是在局部评估结果的基础上,从全局的角度出发,结合网络系统存在的各种脆弱性以及彼此相互间的关系,执行某些脚本或插件模拟对系统的攻击行为,并如实记录系统的反应,在此基础上进行彼此关联的综合性分析,从中发现漏洞。它可运行于单个或多个主机,扫描目标为本地主机或者单个或多个远程主机,主要扫描范围涵盖目标的开放端口、系统漏洞、远程服务漏洞、系统网络服务、拒绝服务攻击等项目。其特点是扫描器的功能设计和运用是独立的,与主机的操作系统无关,除了具有目标主机访问权限的扫描外,通常的网络安全扫描无法访问目标主机的本地文件。
整体脆弱性评估方法从侵袭者的角度进行检测,能够发现系统中潜藏的最危险、最可能被入侵、被渗透的漏洞,扫描层次更深,效率更高。电力庞杂的信息化网络系统适宜采用整体脆弱性评估方法进行评估。提高电力网络系统的安全系数,保证电网系统信息安全,维护电力网络系统稳定有序运行,是推进电力事业的发展的重要任务。
4 结束语
帮助系统安全管理员在提供网络服务的同时保障网络的安全,是计算机网络脆弱性评估研究的根本目的。分析网络系统扫描结果,从中发现网络中存在的各种的脆弱性,为网络系统安全运行提供解决方案,以便更有效地管理整个网络系统。随着信息社会的发展,计算机网络脆弱性评估在电力信息化网络系统的合理应用,亦有助于推进电力事业安全、健康、有序的发展。
参考文献
[1]沈海燕.计算机网络脆弱性评估技术研究[J].无线互联科技,2013(3):79-80.
[2]贾炜,冯登国,连一峰.基于网络中心性的计算机网络脆弱性评估方法[J].中国科学院研究生院学报,2012(4):529-535.
[3]缪学勤.采用纵身防御策略确保智能电网信息安全[J].电气时代,2011(3):24-29.
[4]曹阳.云计算模式在电力调度系统中的应用[J].中国电力,2012(6):14-18.
作者简介:汤尊霖(1982-),男,江西九江人,助理工程师,大学本科,研究方向:信息运维;邓华英(1973-),女,江西乐平人,助理工程师,学历:大学专科,研究方向:信息运维;陈小华(1971-),男,江西乐平人,一级教师,大学本科,研究方向:信息应用。
作者单位:国网江西电力公司赣东北供电分公司,江西乐平 333300;乐平市第五中学,江西乐平 333300