韦宁　吕俊虎　李林

摘要：以全面提升互联网运行安全性和稳定性为目的，从理论分析角度入手，阐述了网络综合扫描技术的应用原理以及实际架构，分析了当前信息安全风险评估的发展现状以及发展需求，依托文献研究以及经验总结，建立了以网络综合扫描技术为基础的信息安全风险评估架构，明确具体的评估原则以及技术原理，建立多元化的系统扫描方案以及评估体系，不仅可以提升网络信息安全管控的科学性，还可以最大化漏洞扫描的效率。

关键词：网络综合扫描；信息安全；风险评估

一、前言

随着我国社会发展水平的不断提升，网络系统已经成为串联人们生产生活的媒介，能够为人们提供信息共享的空间。但是网络安全事故的频发也导致人们的日常生产生活受到影响，需要建立完善的网络安全管控系统。本文从理论分析以及案例研究的角度出发，阐述了网络综合扫描技术在信息安全风险评估中的具体应用方向，建立了实际的评估架构，希望能够为相关领域提供参考。

二、基础理论分析

（一）网络综合扫描技术

网络综合扫描技术是建立在硬件、软件、扫描协议的基础上形成的综合性策略，能够及时扫描网络系统中存在的各项问题。从技术应用的层面来讲，网络综合扫描技术并不是针对攻击行为进行防御和反攻击的程序，而是发现目标主机系统中存在弱点以及缺陷的综合性程序[1]。主要是分析目标主机的程序架构是否合理，判断其中是否存在漏洞，它属于一种信息收集类工具，可以结合不同漏洞的特征以及网络数据进行分析，并且将其发给一个或者多个目标服务器，判定某个特定的漏洞是否存在。这一程序不仅可以实现主机扫描，也可以实现网络扫描，依托当前的众多网络架构平台，可以及时检测互联网或者网站中存在的危险行为，进而提升网络信息安全管控的科学性。

（二）信息安全风险评估体系

科学的信息安全风险评估体系，主要指的是结合市场上应用较为广泛的网络安全技术以及网络产品对其网络信息和信息处理体系展开评估，明确分析系统运行过程中存在的设施威胁、影响、薄弱点。

由于网络安全风险评估是实现网络信息安全管理的重点策略，不仅要了解网络运行过程中存在的各种问题，还需要了解不同类型的网络系统以及设备，那么就需要构建完善的数据库，以此来实现全方位的评估。因此信息安全风险评估并不是独立于其他技术之外的，例如以网络综合扫描技术为主，能够及时获取网络系统中存在的各项安全问题，收集到的信息将作为信息安全风险评估的主要依据。二者相融合，意在通过研究漏洞来提升网络安全评估的科学性。

三、网络安全管控现状分析

网络安全管理主要指的是针对网络上的一系列信息进行统一管理，在确保信息真实性和可靠性的基础上能够减少或者全面杜绝对网络系统产生攻击的行为，确保网络服务不中断，信息传递以及储存有保障。而结合近年来的各类网络安全事件来看，对于网络产生威胁和影响的因素，不仅来源于软件以及硬件层面，还来源于外部的非法攻击行为。如何全面提升网络信息管控的精准性和全面性，已经成为近年来相关领域发展的重要研究课题。而结合经验总结以及研究成果共享，可以确定在网络安全管控过程中存在的危险因素有以下几种。明确这些威胁因素，能够为网络信息安全评估以及网络综合扫描的落实，奠定良好基础。

（一）主体行为威胁

人为实物大多数为操作员或者网络管理员在工作的过程中造成的安全漏洞；网络用户使用者在使用的过程中缺乏安全管控意识，防备心理较差导致的信息泄露；随意的转接账号或者密码，无差别进行信息共享都会带来网络安全威胁。

另外，恶意攻击是主体行为威胁中的重要内容，主要指的是黑客攻击以及计算机犯罪，其中可以分为主动攻击和被动攻击两种。主动攻击主要指的是相关人员针对网络系统以及数据进行有选择性和破坏性的攻击，比如伪造、删除、修改、添加、冒充等等；被动攻击是在不影响网络运行稳定性的基础上针对信息系统进行窃听、破译、盗取等行为。

这两种攻击对计算机网络产生的威胁极大，会导致信息泄露影响用户的正常网络体验。

（二）网络系统设计缺陷

由于互联网有着极强的开放性和共享性，在用户使用互联网的过程中，必然存在着信息安全管控先天不足的现象，既然想要实现信息共享以及互通，就必然不能设置较多的防控系统。网络系统设计缺陷主要源于传输控制协议以及网际协议在制定的过程中出现安全机制不足的现象，一部分系统在前期设计的过程中并未全方位的考虑安全问题，虽然整体的质量和服务可靠，但是很容易被外界行为所影响。其中的风险行为包含了路由攻击、序列号欺骗、授权欺骗、源地址欺骗等等[2]。

（三）系统配置问题

一部分系统在前期配置的过程中，往往存在较多的开放性端口，维护人员在进行系统审核的过程中未能及时关闭一部分不必要的服务端口，而攻击者可以利用这些服务端口进行网络攻击，进而导致网络系统受到威胁。

四、基于网络综合扫描的信息安全风险评估建设策略

将网络安全管理进行量化，必须要满足以下要求：评估结果，能够作为安全策略制定的依据；评估可以为网络系统的动态安全调整提供指导评估，不仅能够实现风险评估，还可以从风险的反面确定哪些系统具备较强的安全性；通过评估进行未来网络节点攻击行为的预测，及时把控攻击可能性；评估的最终结果，能够作为不良攻击行为反击的有力依据。以此为依托，可以从以下几个层面运用网络综合扫描来实现信息安全风险评估。

（一）风险评估工具的设计

信息安全风险评估具有极强的挑战性和复杂性，其中的因素较多，且相互影响。在这样的大环境下，为了进一步提升信息风险评估的科学性，就必须制定一套具备可用性的风险评估工具，这样才可以实现自动化的风险评估。

国内当前绝大部分的信息安全工具分成了三个不同的类别，首先是扫描工具，这是建立在网络综合扫描的基础上实现的，用于常规的网络系统漏洞分析；其二，则是入侵检测系统能够统计网络攻击的相关信息，并且实现数据挖掘；最后则是网络渗透测试工具，主要通过人工渗透的方式进行深层次漏洞的评估。以上这三类工具可以提升风险评估的精准性，全面地从信息的角度出发，明确网络攻击的实际特征，并且分析后期结果。笔者以以上这三项理论基础为依托，进一步发挥网络综合扫描的科学性，针对当前应用极为广泛的产业部门建立了信息安全评估系统。

（二）系统目标的设定

风险评估系统的运行在于全面了解网络中存在的安全隐患信息以及常规风险，针对安全要素进行多角度的测评，并且结合测评得出的数据进行挖掘。

找出网络系统运行过程中所使用的安全策略的隐患以及面临的风险级别，给出相关优化策略；系统会形成多元化的信息库以及安全评估知识库，及时根据网络平台以及设备的运行状态提取信息库中的对应信息，自动化判断系统可能面临的威胁，并且提供改进措施。

针对网络的具体运行状况进行评估，评估的结果将作为网络安全性分析的主要依据，能够全面提升系统安全管控的科学性。

（三）基于网络综合扫描的信息安全评估总体架构分析

结合系统的设计目标，可以将风险评估体系划分成三个阶段，主要以信息系统资产分析及风险识别、风险计算、风险评价这三个架构为主。

第一，针对网络系统的资产进行分析和识别，依托用户和评估人员的互动来实现，利用网络综合扫描工具、入侵工具、渗透工具进行操作[3]。而用户需要完成以下内容：提出评估申请，结合安全信息标准进行分类。了解信息系统的实际组成，并且分析各个部分在安全管控中的重要程度，确保评估人员能够整体了解信息系统的运行状态。

评估人员需要结合以上提供的一系列信息，按照各个评估标准进行重点内容的评估，并且结合评估要项、控制措施以及管理目标给出调查表。然后利用扫描、渗透以及入侵工具进行系统漏洞的全过程扫描，从技术以及管理的角度定位其中的风险因素。

第二，及时收集风险因素并且建立数据库，数据库主要以风险评估知识库以及数据信息库为主，能够采集定量和定性的评估方法，结合相关行业的国家标准进行风险因素分析和评估。

第三，从网络系统运行的角度给出评估结果，并且自动生成评估报告。

第四，对收集的风险因素，结合建立的知识库、信息库，采用定性和定量的

评估方法，按照国际标准要求对获得的风险因素进行分析、计算和评估。

最后，从全局角度对计算结果进行综合分析、评估，并自动生成评估报告。其具体的系统扫描以及评估流程如图1所示。

在进行风险评估的过程中，各个环节的内容以及功能包含了以下模块。

漏洞扫描系统会及时扫描系统中存在的实际漏洞并且保存漏洞的实际信息；主机系统会保存系统中可能出现的漏洞数据以及详细信息；日志构建系统主要产生漏洞的扫描日志，结合漏洞扫描系统以及主机系统最终生成清单，并且提取其中的漏洞名以及端口号等重点内容。

标准库主要用于进行网络安全风险评估，能够针对扫描出的漏洞进行安全等级、评判标准的提取，包括漏洞名称、端口号、附加分、基础分。

最终得出有关漏洞扫描的评估分数会记录系统的安全情况，并且给出基础优化建议。

（四）系统评估的方法设计

结合上文论述可知，为了进一步提升评估结果的精准性，必须确保网络系统的扫描、渗透、入侵等一系列评估工具的使用，能够产生最大化的价值，那么系统的评估方法需要在整体定性与定量相结合的基础上全面发挥局部评估的优势。利用定性方式进行风险因素识别以及原因分析，而针对风险影响因素发生概率、威胁程度预测、风险评价等内容需要采取定量的方式完成。

例如，针对系统的资产识别、脆弱性及威胁识别、风险产生原因的判定，可以通过灰色系统理论的故障树分析方式来完成；威胁行为的具体影响模式，需要利用故障模式影响以及危害性分析方法来完成。在这个过程中需要结合各个评估目标的具体内容，将其划分为管理要项、管理目标、风险分析、控制措施这一系列流程，而其中的管理目标则是威胁的具体影响方法；针对各个评估指标进行计算，需要利用科学的公式来完成，而评估的依据的综合定性和定量，则需要考虑不同评估方法的最终效果，并且将评估方法转移到适用范围中，这样可以提升评估结果的精准性。

（五）评估数据库的设计

数据库的设计对于评估结果的准确性有着极大的影响，尤其是能够结合既有的网络安全事故提取其中的关键信息和应对经验，不断丰富评估标准，也可以为网络综合扫描技术的应用提供更多的可参考依据[4]。数据库在满足以上需求的基础上，还需要及时地进行进行更新、维护、管理。

本文所论述的风险评估系统是建立在产业、政府、企业的基础上进行设计的，而这几个领域本身有一定的特殊性，那么在网络综合扫描的过程中，需要结合不同领域的实际特点以及需求，围绕其中的关键数据和信息进行扫描，这样才可以为政府以及交通等行业提供依据。

以此为依托，在数据库设计的过程中，可以结合不同行业的地方发展标准、行业发展标准、国际常用标准进行划分，明确了不同的标准领域之后再提取其中的各项要素，每一项要素还可以进行细化。

例如政府的网络综合扫描要倾向于数据信息的完整性和真实性，同时也要注意隐私保护和权益保护，需要按照国家常用标准进行数据分析，可以将相关数据划分成行政、民生、商业、经济等相关类型，在以上相关类型的基础上进行细化，比如行政包含了常规的业务、财务、人力资源等。

按照以上标准进行细化，之后可以为网络安全风险评估提供最为细化的指标，不仅可以提升综合扫描的科学性和精准性，还可以增加风险评估的特殊性，尤其是针对政府机关的数据信息管理，建立了更为坚实的保障。

（六）风险评估结果的输出

明确了评估方法和评估流程之后，还需要制定科学的评估结果输出系统，这是获取网络扫描结果以及评估结果的重要过程，评估结果必须要清晰明确，不仅可以得出具体的网络漏洞情况，还需要提供具有针对性的应对方案。

其中绝大部分的系统都会选择通过日志表的方式进行漏洞信息保存，并且将其转换到标准库中。如图2所示，则是网络扫描过程中形成的日志表，能够清晰地定位漏洞所存在的位置、类型、端口，以这种形式保存下来，也可以转换成文档数据进行输出。

以上这些数据信息只是资产评估报告中的一部分，在此基础上还需要输出威胁评估报告、风险评估结果、脆弱性评估报告等等，格式与此格式基本相同，不仅能够明确告知系统存在的安全问题，还可以检测出系统可能面临的风险以及脆弱点，进而全面提升信息安全管控的多样性。

五、结语

综上所述，建立在网络综合扫描的基础上，合理把控信息扫描、入侵、渗透，科学选择工具，并且建立信息扫描以及风险评估体系，不仅可以快速地快速地定位网络系统中存在安全隐患，还可以为后续的网络安全管控以及防火墙建设提供保障。这一技术体系在我国未来的网络安全管控中，需要不断进行升级，层层加码，落实全方位的网络信息安全管理。

参考文献

[1]马怡璇，李浩升，黄强，等.基于模糊理论的网络信息安全风险评估系统[J].电子设计工程，2023，31（04）：123-127.

[2]吴嘉诚，余晓.网络安全风险评估方法研究综述[J].电子科技：1-9.

[3]李鸣雷.云计算环境下网络信息安全技术发展研究[J].科技创新与应用，2022，12（36）：170-173.

[4]李好亮.关于信息化时代计算机网络安全问题的探讨[J].数字通信世界，2022，（12）：148-150.

基金项目：广西自然科学基金项目（青年科学基金项目）+“基于跨层次认知的云数据中心内部网络安全态势感控关键技术研究”+项目编号（2020GXNSFBA159042）

作者单位：广西生态工程职业技术学院图文信息中心