信息安全工程师笔记-网络安全风险评估技术原理与应用

Posted 2021-10-10 IT1995

网络安全风险评估要素

网络安全分析评估要素包括：资产、威胁、脆弱性、安全措施、风险，各个要素之间相互作用。

网络安全风险评估模式

①自评估：网络系统拥有者依靠自身力量，对自有的网络系统进行的风险评估活动；

②检查评估：检查评估由网络安全主管机关或业务主管机关发起，依据已经颁布的安全法规、安全标准或安全管理规定等进行检查评估；

③委托评估：委托评估是指网络系统使用单位委托具有风险评估能力的专业评估机构实施的评估活动。

网络安全风险值的计算方法

①定性计算方法：分析结果是无关紧要、可接受、待观察、不可接受；

②定量计算方法：输出结果是一个风险数值；

③综合计算方法：输出结果是一个风险数值，同时给出相应的定性结论。

网络安全风险评估的技术方法包括

①资产信息收集；

②网络拓扑发现；

③漏洞扫描；

④人工检查；

⑤安全渗透测试。

网络安全常用扫描工具

端口扫描工具：Nmap（开源）

通用漏洞扫描工具：X-Scan（开源）、绿盟极光（商用）、启明星辰天镜脆弱性扫描与管理系统（商用）、Nessus（开源）

数据库扫描：SQLMap（开源）、Pangolin（开源）

Web漏洞扫描：AppScan（商用）、Acuneti Web Vunnerblily Saner（商用）