計(jì)算機(jī)網(wǎng)絡(luò)脆弱性評(píng)估方法研究

摘 要：隨著全球信息化的迅猛發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)深入社會(huì)的方方面面。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)自身存在的脆弱性是網(wǎng)絡(luò)攻擊事件屢屢發(fā)生的重要因素，網(wǎng)絡(luò)安全深受威脅。網(wǎng)絡(luò)安全問(wèn)題已成為人們關(guān)注的熱點(diǎn)。本文介紹了計(jì)算機(jī)網(wǎng)絡(luò)脆弱性評(píng)估的重要意義，研究了計(jì)算機(jī)網(wǎng)絡(luò)脆弱性評(píng)估方法，對(duì)保障電力網(wǎng)絡(luò)系統(tǒng)安全有一定參考價(jià)值。

關(guān)鍵詞：計(jì)算機(jī)；網(wǎng)絡(luò)脆弱性；評(píng)估方法

中圖分類(lèi)號(hào)：TP393.08

隨著信息技術(shù)的不斷發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用規(guī)模在全球不斷擴(kuò)大。作為支撐國(guó)民經(jīng)濟(jì)的一項(xiàng)重要產(chǎn)業(yè)，現(xiàn)代電力工業(yè)發(fā)展適應(yīng)了新時(shí)代的要求，充分利用現(xiàn)代先進(jìn)的信息技術(shù)，不斷提高電力網(wǎng)絡(luò)信息化建設(shè)水平，力爭(zhēng)建設(shè)成為一個(gè)實(shí)現(xiàn)電力、業(yè)務(wù)、信息等各方面高度集成化的現(xiàn)代電網(wǎng)體系。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)本身存在的脆弱性，使其極易被滲透、被破解，容易招致各類(lèi)黑客工具的非法侵襲，成為一道緊要的安全漏洞。積極利用信息技術(shù)，不斷提高電力系統(tǒng)的智能化水平，電力網(wǎng)絡(luò)系統(tǒng)的信息安全也隨之成為引人關(guān)注的熱點(diǎn)

計(jì)算機(jī)網(wǎng)絡(luò)脆弱性主要是指計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)程序缺陷會(huì)被惡意的攻擊者或者攻擊程序利用，后者通過(guò)已授權(quán)的手段獲得對(duì)資源的未授權(quán)訪(fǎng)問(wèn)或損害網(wǎng)絡(luò)以及網(wǎng)絡(luò)中的主機(jī)。

近年來(lái)，網(wǎng)絡(luò)攻擊事件頻發(fā)，主要表現(xiàn)有蠕蟲(chóng)、特洛伊木馬等病毒入侵、黑客攻擊、數(shù)據(jù)操縱等，通過(guò)攻擊電網(wǎng)自動(dòng)化系統(tǒng)的薄弱之處，嚴(yán)重破壞電網(wǎng)網(wǎng)絡(luò)信息的保密性和完整性，乃至可靠性和可用性，造成難以估算的損失。

1 計(jì)算機(jī)網(wǎng)絡(luò)脆弱性評(píng)估的重要意義

計(jì)算機(jī)網(wǎng)絡(luò)脆弱性評(píng)估其實(shí)是一種類(lèi)似“病癥診斷”的措施，具有主動(dòng)性和預(yù)測(cè)性的特點(diǎn)，通過(guò)評(píng)估網(wǎng)絡(luò)系統(tǒng)中由于操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議、應(yīng)用軟件等軟件系統(tǒng)存在安全漏洞而導(dǎo)致的風(fēng)險(xiǎn)，進(jìn)而判斷網(wǎng)絡(luò)系統(tǒng)的安全健康程度，以便系統(tǒng)安全管理員掌握系統(tǒng)的安全風(fēng)險(xiǎn)態(tài)勢(shì)，為安全應(yīng)對(duì)措施提供有效的決策信息，避免網(wǎng)絡(luò)危險(xiǎn)事件的發(fā)生。

電力系統(tǒng)信息安全問(wèn)題隨著電網(wǎng)信息化業(yè)務(wù)發(fā)展而逐漸突顯，由于電力網(wǎng)絡(luò)系統(tǒng)龐大復(fù)雜，電力相關(guān)站、廠(chǎng)機(jī)構(gòu)之間互動(dòng)信息收發(fā)頻繁、數(shù)據(jù)流向不盡合理，且尚無(wú)統(tǒng)一的計(jì)算機(jī)安全標(biāo)準(zhǔn)，加上電力系統(tǒng)和信息技術(shù)的客觀(guān)脆弱性，導(dǎo)致出現(xiàn)一些諸如數(shù)據(jù)采集與監(jiān)控網(wǎng)絡(luò)與其他系統(tǒng)的內(nèi)外連接環(huán)節(jié)薄弱；某些缺省配置安裝冗雜；安全補(bǔ)丁管理缺乏；軟件程序存在錯(cuò)誤而導(dǎo)致電力網(wǎng)絡(luò)的崩潰等等各種網(wǎng)絡(luò)問(wèn)題。由此，加強(qiáng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)脆弱性的分析與評(píng)估，提高信息傳輸質(zhì)量和可靠性，對(duì)保障電力信息安全，確保整個(gè)電網(wǎng)體系安全、穩(wěn)定的運(yùn)行，持續(xù)、健康的發(fā)展有著非常重要的實(shí)踐意義。

2 計(jì)算機(jī)網(wǎng)絡(luò)脆弱性評(píng)估方法分類(lèi)

由于系統(tǒng)本身存在漏洞和脆弱性，網(wǎng)絡(luò)系統(tǒng)很容易受到各種不同類(lèi)型的攻擊，所以，認(rèn)真評(píng)估系統(tǒng)中存在的各種脆弱性，以便更有針對(duì)性的消除脆弱性，是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的重要措施。計(jì)算機(jī)網(wǎng)絡(luò)脆弱性評(píng)估方法較多，而歸納起來(lái)主要為三類(lèi)：定量評(píng)估法、定性評(píng)估法及定量與定性相結(jié)合的綜合評(píng)估法。

2.1 定量評(píng)估法

定量評(píng)估法是通過(guò)量化風(fēng)險(xiǎn)概率、風(fēng)險(xiǎn)危害度，運(yùn)用數(shù)量指標(biāo)來(lái)評(píng)估網(wǎng)絡(luò)的脆弱性，增加了損失程度的可度量性，使分析目標(biāo)和應(yīng)對(duì)的措施更明確具體。統(tǒng)計(jì)參數(shù)分析法、等風(fēng)險(xiǎn)圖法、聚類(lèi)分析法、決策樹(shù)法、神經(jīng)網(wǎng)絡(luò)法等方法是目前應(yīng)用性較廣的定量評(píng)估方法。定量評(píng)估法，以直觀(guān)的數(shù)據(jù)來(lái)表述評(píng)估的結(jié)果，既一目了然，使研究結(jié)果顯得客觀(guān)、科學(xué)。但也存在一些缺點(diǎn)，主要是有些風(fēng)險(xiǎn)因素被量化后如果不能正確解析，可能會(huì)被誤解。

2.2 定性評(píng)估法

定性評(píng)估法是以與調(diào)查對(duì)象的訪(fǎng)談?dòng)涗涃Y料為基礎(chǔ)，通過(guò)理論演繹、分析的方式編排、整理相關(guān)資料，依據(jù)評(píng)估者的經(jīng)驗(yàn)、知識(shí)、政策等非量化資料對(duì)網(wǎng)絡(luò)系統(tǒng)的脆弱性情況做出判斷，最后得出調(diào)查結(jié)論。定性分析方法主要有歷史分析法、因素分析法、邏輯分析法等，它可以剖析出某些深層次的思想，將評(píng)估的結(jié)論提升到一個(gè)更深刻更全面的層面上來(lái)，但由于較為側(cè)重主觀(guān)性，對(duì)評(píng)估者素質(zhì)能力、知識(shí)水平要求較高。

2.3 綜合評(píng)估法

計(jì)算機(jī)網(wǎng)絡(luò)脆弱性評(píng)估工作面對(duì)的情況較為復(fù)雜，有些評(píng)估要素可量化，有些又難以量化，只能定性分析，因此評(píng)估過(guò)程中不能一味地執(zhí)著于量化評(píng)估，也不能一味地采用定性評(píng)估，兩種方法不能被簡(jiǎn)單的割裂，而是應(yīng)該融合這兩種方法，采用綜合評(píng)估法，定量分析結(jié)合定性分析，對(duì)系統(tǒng)的脆弱性做出正確評(píng)價(jià)，更準(zhǔn)確的判斷系統(tǒng)脆弱性狀況，為進(jìn)一步針對(duì)性修補(bǔ)和消除措施提供可靠的決策依據(jù)。

3 計(jì)算機(jī)網(wǎng)絡(luò)脆弱性評(píng)估方法

源于網(wǎng)絡(luò)攻擊及其防范技術(shù)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)脆弱性評(píng)估方法從手動(dòng)分析向自動(dòng)分析演變，如今已從單機(jī)分析發(fā)展為分布式分析，從局部分析發(fā)展為整體分析，從規(guī)則分析發(fā)展為模型分析。下面介紹目前主要的兩種計(jì)算機(jī)脆弱性評(píng)估方法：針對(duì)單機(jī)的局部脆弱性評(píng)估方法和針對(duì)網(wǎng)絡(luò)系統(tǒng)的整體脆弱性評(píng)估方法。

3.1 局部脆弱性評(píng)估方法

局部脆弱性評(píng)估方法注重檢測(cè)分析單一主機(jī)的脆弱性，評(píng)估工具有ISS，SAINT等，主要采用如漏洞掃描、端口掃描等技術(shù)來(lái)進(jìn)行脆弱性評(píng)估，針對(duì)檢測(cè)出的脆弱性給予一定的風(fēng)險(xiǎn)等級(jí)，然后將脆弱性的實(shí)際數(shù)量結(jié)合其風(fēng)險(xiǎn)等級(jí)來(lái)評(píng)定網(wǎng)絡(luò)系統(tǒng)的安全以及穩(wěn)定程度。大多數(shù)網(wǎng)絡(luò)攻擊中，攻擊者多從薄弱環(huán)節(jié)入手，在整個(gè)網(wǎng)絡(luò)中利用系統(tǒng)存在的某個(gè)脆弱性進(jìn)行單個(gè)攻擊，從而逐步提高自己在網(wǎng)絡(luò)系統(tǒng)中的權(quán)限，從周?chē)P(guān)聯(lián)性設(shè)備滲透，最終控制目標(biāo)設(shè)備?？傮w上，局部脆弱性評(píng)估方法在單機(jī)檢查分析方面功能較強(qiáng)，而在整體分析方面功能較弱，缺乏更深層次的數(shù)據(jù)融合技術(shù)，僅憑孤立的、片面的脆弱性風(fēng)險(xiǎn)等級(jí)還很難使系統(tǒng)安全管理員切實(shí)掌握整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全狀況。

3.2 整體脆弱性評(píng)估方法

整體脆弱性評(píng)估方法是在局部評(píng)估結(jié)果的基礎(chǔ)上，從全局的角度出發(fā)，結(jié)合網(wǎng)絡(luò)系統(tǒng)存在的各種脆弱性以及彼此相互間的關(guān)系，執(zhí)行某些腳本或插件模擬對(duì)系統(tǒng)的攻擊行為，并如實(shí)記錄系統(tǒng)的反應(yīng)，在此基礎(chǔ)上進(jìn)行彼此關(guān)聯(lián)的綜合性分析，從中發(fā)現(xiàn)漏洞。它可運(yùn)行于單個(gè)或多個(gè)主機(jī)，掃描目標(biāo)為本地主機(jī)或者單個(gè)或多個(gè)遠(yuǎn)程主機(jī)，主要掃描范圍涵蓋目標(biāo)的開(kāi)放端口、系統(tǒng)漏洞、遠(yuǎn)程服務(wù)漏洞、系統(tǒng)網(wǎng)絡(luò)服務(wù)、拒絕服務(wù)攻擊等項(xiàng)目。其特點(diǎn)是掃描器的功能設(shè)計(jì)和運(yùn)用是獨(dú)立的，與主機(jī)的操作系統(tǒng)無(wú)關(guān)，除了具有目標(biāo)主機(jī)訪(fǎng)問(wèn)權(quán)限的掃描外，通常的網(wǎng)絡(luò)安全掃描無(wú)法訪(fǎng)問(wèn)目標(biāo)主機(jī)的本地文件。

整體脆弱性評(píng)估方法從侵襲者的角度進(jìn)行檢測(cè)，能夠發(fā)現(xiàn)系統(tǒng)中潛藏的最危險(xiǎn)、最可能被入侵、被滲透的漏洞，掃描層次更深，效率更高。電力龐雜的信息化網(wǎng)絡(luò)系統(tǒng)適宜采用整體脆弱性評(píng)估方法進(jìn)行評(píng)估。提高電力網(wǎng)絡(luò)系統(tǒng)的安全系數(shù)，保證電網(wǎng)系統(tǒng)信息安全，維護(hù)電力網(wǎng)絡(luò)系統(tǒng)穩(wěn)定有序運(yùn)行，是推進(jìn)電力事業(yè)的發(fā)展的重要任務(wù)。

4 結(jié)束語(yǔ)

幫助系統(tǒng)安全管理員在提供網(wǎng)絡(luò)服務(wù)的同時(shí)保障網(wǎng)絡(luò)的安全，是計(jì)算機(jī)網(wǎng)絡(luò)脆弱性評(píng)估研究的根本目的。分析網(wǎng)絡(luò)系統(tǒng)掃描結(jié)果，從中發(fā)現(xiàn)網(wǎng)絡(luò)中存在的各種的脆弱性，為網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行提供解決方案，以便更有效地管理整個(gè)網(wǎng)絡(luò)系統(tǒng)。隨著信息社會(huì)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)脆弱性評(píng)估在電力信息化網(wǎng)絡(luò)系統(tǒng)的合理應(yīng)用，亦有助于推進(jìn)電力事業(yè)安全、健康、有序的發(fā)展。

參考文獻(xiàn)

[1]沈海燕.計(jì)算機(jī)網(wǎng)絡(luò)脆弱性評(píng)估技術(shù)研究[J].無(wú)線(xiàn)互聯(lián)科技，2013（3）：79-80.

[2]賈煒，馮登國(guó)，連一峰.基于網(wǎng)絡(luò)中心性的計(jì)算機(jī)網(wǎng)絡(luò)脆弱性評(píng)估方法[J].中國(guó)科學(xué)院研究生院學(xué)報(bào)，2012（4）：529-535.

[3]繆學(xué)勤.采用縱身防御策略確保智能電網(wǎng)信息安全[J].電氣時(shí)代，2011（3）：24-29.

[4]曹陽(yáng).云計(jì)算模式在電力調(diào)度系統(tǒng)中的應(yīng)用[J].中國(guó)電力，2012（6）：14-18.

作者簡(jiǎn)介：湯尊霖（1982-），男，江西九江人，助理工程師，大學(xué)本科，研究方向：信息運(yùn)維；鄧華英（1973-），女，江西樂(lè)平人，助理工程師，學(xué)歷：大學(xué)專(zhuān)科，研究方向：信息運(yùn)維；陳小華（1971-），男，江西樂(lè)平人，一級(jí)教師，大學(xué)本科，研究方向：信息應(yīng)用。

作者單位：國(guó)網(wǎng)江西電力公司贛東北供電分公司，江西樂(lè)平 333300；樂(lè)平市第五中學(xué)，江西樂(lè)平 333300