信息安全工程师（74）网络安全风险评估技术方法与工具

前言

       网络安全风险评估是依据有关信息安全技术和管理标准，对网络系统的保密性、完整性、可控性等安全数据进行科学评价的过程。

一、网络安全风险评估技术方法

1. 风险评估程序

   • 资产评估：确定需要保护的资源。
   • 威胁评估：确定可能对资产造成危害的威胁。
   • 弱点评估：确定资产及其所处环境中的弱点。
   • 影响评估：确定资产受到威胁时可能造成的影响。
   • 风险计算：依据威胁、弱点和影响等因素，计算出资产面临的风险值。

2. 风险评估模型

   • 风险评估模型包括定性和定量两种。定性评估模型通常用于判断风险的相对大小，而定量评估模型则可以精确计算风险值。
   • 比较常见的定量评估模型有CVSS（Common Vulnerability Scoring System，通用漏洞评分系统）评估模型和DREAD评估模型。CVSS评估模型将漏洞分为攻击向量、攻击复杂度和影响范围三个维度，最终得出漏洞的风险值。DREAD评估模型则包括破坏性、复现性、扩散性、波及范围、可检测性五个要素，通过对每个要素进行评估，最终得出漏洞的风险值。

3. 具体评估方法

   • 资产信息收集：通过调查表形式，查询资产登记数据库，对被评估的网络信息系统的资产信息进行收集，以掌握被评估对象的重要资产分布。
   • 网络拓扑发现：获取被评估网络信息系统的资产关联结构信息，进而获取资产信息。常见的网络拓扑发现工具有ping、traceroute以及网络管理综合平台。
   • 漏洞扫描：自动搜集待评估对象的漏洞信息，以评估其脆弱性。一般可以利用多种专业的扫描工具，如Nessus、OpenVAS、Metasploit等，对待评估对象进行漏洞扫描，并对不同的扫描结果进行交叉验证，形成扫描结果记录。扫描内容主要包括软件系统版本号、开放端口号、开启的网络服务、安全漏洞情况、网络信息共享情况、密码算法和安全强度、弱口令分布状况等。
   • 人工检查：进行人工检查前要事先设计好检查表（CheckList），然后评估工作人员按照检查表进行查找，以发现系统中的网络结构、网络设备、服务器、客户机等所存在的漏洞和威胁。所有的检查操作应有书面的记录材料。
   • 网络安全渗透测试：在获得法律授权后，模拟黑客攻击网络系统，以发现深层次的安全问题。主要工作包括目标系统的安全漏洞发现、网络攻击路径构造、安全漏洞利用验证等。
   • 问卷调查：采用书面的形式获得被评估信息系统的相关信息，以掌握信息系统的基本安全状况。问卷一般根据调查对象进行分别设计，管理类调查问卷涵盖安全策略、安全组织、资产分类和控制、人员安全、业务连续性等，主要针对管理者、操作人员；技术类调查问卷主要包括物理和环境安全、网络通信、系统访问控制和系统开发与维护。
   • 网络安全访谈：通过安全专家和网络系统的使用人员、管理人员等相关人员进行直接交谈，以考查和证实对网络系统安全策略的实施、规章制度的执行和管理与技术等一系列情况。
   • 审计分析：包括侵害行为检测、异常事件监测、潜在攻击征兆发觉等。审计数据分析常常采用数据统计、特征模式匹配等多种技术，从审计数据中寻找安全事件有关信息。
   • 入侵监测：利用入侵监测软件和设备进行监测，按照其用途来划分，可粗略分成主机入侵监测、网络入侵监测、应用入侵监测。

二、网络安全风险评估工具

1. Nessus：一款流行的漏洞扫描工具，可以扫描企业网络中存在的漏洞，并对其进行风险评估。与其他漏洞扫描工具相比，Nessus更加易于使用和配置。
2. OpenVAS：一个开源的漏洞扫描工具，也可以自动执行漏洞扫描和风险评估。OpenVAS的最大优点是其强大的扩展性，可以通过丰富的插件对漏洞库进行更新。
3. Metasploit：一款流行的漏洞利用工具，既可以作为漏洞扫描器，也可以作为漏洞利用平台。Metasploit可以对漏洞进行详细的测试，以便确定漏洞是否可以被利用。
4. Wireshark：原名Ethereal，是一个网络封包分析软件，可以截取网络封包，并尽可能显示出最为详细的网络封包资料。
5. Nmap：一款用于网络浏览或安全审计的免费开源工具。
6. Aircrack：一套用于破解WEP和WPA的工具套装，一般用于无线网络的密钥破解，从而非法进入未经许可的无线网络。

总结

       综上所述，网络安全风险评估技术方法与工具多种多样，在实际应用中需要根据具体场景和需求灵活选择。同时，网络安全风险评估是一个持续的过程，需要定期进行以确保网络系统的安全性。

 结语  

什么都不懂的时候

我曾拥有全部

！！！