網絡安全風險評估技術方法與工具

資產信息收集，可以通過調查表的形式把我們各類的資產信息進行一個統計和收集，掌握被評估對象的重要資產分布，進而分析這些資產關聯的業務面臨的安全威脅以及存在的安全。

脆弱性就是比如說我們有一個web服務器，你要分析它的風險，你首先要知道WEB服務器底層有哪些支撐，可能它底層有一臺服務器，還有一個數據庫，還有關聯到我們的WINDOWS操作系統或者linux操作系統，只有你把這些底層的資產全部做了收集和統計，最終才能夠更好的分析出我們上層運行的web應用有哪些風險，因為服務器掛了，網頁就運行不了，數據庫出了問題，網頁同樣有問題。

第二步網絡拓撲，發現網絡拓撲的工具有ping、traceroute以及網管平臺，可以通過網絡拓撲圖，方便的掌握一些資產相互關聯的情況。因為在拓補圖里，我們的服務器、交換機、防火墻等等這一系列設備都是連起來的，可以很好的關聯

第三個是網絡安全漏洞的掃描，我們可以利用漏掃的軟件或者一些工具自動的去搜索待評估對象的漏洞信息，以評估其脆弱性。我們常常掃描的內容，比如說有系統的版本，開放的端口，你確定端口基本上就能確定服務了。比如說開放了23端口，對應著telnet服務。開放了80端口，就對應著網頁，然后是漏洞的情況，密碼算法、安全強度弱口令等等，這些都可以掃描出來。

漏洞掃描偏向于用工具自動化的去搜索。當然我們也可以進行人工檢查，在人工檢查前往往要先設計好檢查表，我們根據檢查表的內容，一項一項的去核對我們的網絡結構，網絡設備、服務器或者客戶機，它的一些漏洞和威脅，比如說我去檢查漏洞，第一項我就檢查它的密碼對不對，比如說，它的密碼是一二三四五六很明顯，它密碼就是有弱口令漏洞。

第二項，去檢查它的這個網址，有些網址可能是http的，http不安全，所以是不是后面要升級為https，與之類似的很多，一項一項的對應下來，為了做好評估的依據，所有的檢查操作都必須要有書面的記錄，就跟我們去做機房的巡檢一樣，哪怕你很簡單的打一個勾勾打一個叉叉，但必須要去做記錄。

滲透測試是我們在獲得法律授權之后，模擬黑客攻擊我們的網絡系統，以便發現更深層次的安全問題，滲透測試它的目的是進行安全漏洞的發現，網絡攻擊路徑的構建以及安全漏洞的利用驗證。

問卷調查，書面形式讓我們的信息系統相關的人員填一些表格，做一些反饋。

安全訪談是通過安全專家和網絡系統的使用人員，管理人員等等進行交談，跟他們聊聊天，了解現在的網絡安全狀態，包括現網的一些安全策略、實施規章制度等等一系列的情況

審計數據分析，利用數據統計特征，模式匹配等技術，從審計數據里面找尋相關的一些信息。終端的殺毒軟件，終端的安全行為管理edr。還有IDS、IPS、上網行為管理，這些其實它都具備審計信息

最新的審計設備，還有圖形化的分析和搜索。接著是入侵監測，將入侵監測的軟件或者設備接入待評估的網絡當中，然后采集評估對象的威脅特征和安全狀態。

技術方法以及工具，重點是滲透測試比較簡單，需要檢查表進行人工檢查。