电商网站 支付,帮别人做数学题赚钱的网站,网红营销李佳琦案例分析,上海创意型网站建设目录 网络安全风险评估技术方法与工具 网络安全风险评估技术方法与工具
资产信息收集#xff0c;可以通过调查表的形式把我们各类的资产信息进行一个统计和收集#xff0c;掌握被评估对象的重要资产分布#xff0c;进而分析这些资产关联的业务面临的安全威胁以及存在的安全… 目录 网络安全风险评估技术方法与工具 网络安全风险评估技术方法与工具
资产信息收集可以通过调查表的形式把我们各类的资产信息进行一个统计和收集掌握被评估对象的重要资产分布进而分析这些资产关联的业务面临的安全威胁以及存在的安全。
脆弱性就是比如说我们有一个web服务器你要分析它的风险你首先要知道WEB服务器底层有哪些支撑可能它底层有一台服务器还有一个数据库还有关联到我们的WINDOWS操作系统或者linux操作系统只有你把这些底层的资产全部做了收集和统计最终才能够更好的分析出我们上层运行的web应用有哪些风险因为服务器挂了网页就运行不了数据库出了问题网页同样有问题。
第二步网络拓扑发现网络拓扑的工具有ping、traceroute以及网管平台可以通过网络拓扑图方便的掌握一些资产相互关联的情况。因为在拓补图里我们的服务器、交换机、防火墙等等这一系列设备都是连起来的可以很好的关联
第三个是网络安全漏洞的扫描我们可以利用漏扫的软件或者一些工具自动的去搜索待评估对象的漏洞信息以评估其脆弱性。我们常常扫描的内容比如说有系统的版本开放的端口你确定端口基本上就能确定服务了。比如说开放了23端口对应着telnet服务。开放了80端口就对应着网页然后是漏洞的情况密码算法、安全强度弱口令等等这些都可以扫描出来。
漏洞扫描偏向于用工具自动化的去搜索。当然我们也可以进行人工检查在人工检查前往往要先设计好检查表我们根据检查表的内容一项一项的去核对我们的网络结构网络设备、服务器或者客户机它的一些漏洞和威胁比如说我去检查漏洞第一项我就检查它的密码对不对比如说它的密码是一二三四五六很明显它密码就是有弱口令漏洞。
第二项去检查它的这个网址有些网址可能是http的http不安全所以是不是后面要升级为https与之类似的很多一项一项的对应下来为了做好评估的依据所有的检查操作都必须要有书面的记录就跟我们去做机房的巡检一样哪怕你很简单的打一个勾勾打一个叉叉但必须要去做记录。
渗透测试是我们在获得法律授权之后模拟黑客攻击我们的网络系统以便发现更深层次的安全问题渗透测试它的目的是进行安全漏洞的发现网络攻击路径的构建以及安全漏洞的利用验证。
问卷调查书面形式让我们的信息系统相关的人员填一些表格做一些反馈。
安全访谈是通过安全专家和网络系统的使用人员管理人员等等进行交谈跟他们聊聊天了解现在的网络安全状态包括现网的一些安全策略、实施规章制度等等一系列的情况
审计数据分析利用数据统计特征模式匹配等技术从审计数据里面找寻相关的一些信息。终端的杀毒软件终端的安全行为管理edr。还有IDS、IPS、上网行为管理这些其实它都具备审计信息
最新的审计设备还有图形化的分析和搜索。接着是入侵监测将入侵监测的软件或者设备接入待评估的网络当中然后采集评估对象的威胁特征和安全状态。
技术方法以及工具重点是渗透测试比较简单需要检查表进行人工检查。
