网络安全风险评估的技术方法资产信息收集网络拓扑发现漏洞扫描人工检查安全渗透测试资产信息收集通过调查表形式,查询资产登记数据库,对被评估的网络信息系统的资产信息进行收集,以掌握被评估对象的重要资产分布,进而分析这些资产所关联的业务、面临的安全威胁及存在的安全脆弱性。网络拓扑发现网络拓扑发现工具用于获取被评估网络信息系统的资产关联结构信息,进而获取资产信息。
网络安全风险评估的技术方法
- 资产信息收集
- 网络拓扑发现
- 漏洞扫描
- 人工检查
- 安全渗透测试
资产信息收集
通过调查表形式,查询资产登记数据库,对被评估的网络信息系统的资产信息进行收集,以掌握被评估对象的重要资产分布,进而分析这些资产所关联的业务、面临的安全威胁及存在的安全脆弱性。
网络拓扑发现
网络拓扑发现工具用于获取被评估网络信息系统的资产关联结构信息,进而获取资产信息。
常见的网络拓扑发现工具有ping、traceroute 以及网络管理综合平台。
网络安全漏洞扫描
网络安全漏洞扫描可以自动搜集待评估对象的漏洞信息,以评估其脆弱性。一般可以利用多种专业的扫描工具,对待评估对象进行漏洞扫描,并对不同的扫描结果进行交叉验证,形成扫描结果记录。
漏洞扫描主要内容有:
- 软件系统版本号
- 开放端口号
- 开启的网络服务
- 安全漏洞情况
- 网络信息共享情况
- 密码算法和安全强度
- 弱口令分布状况
常用的扫描工具如下:
- 端口扫描工具,如Nmap (开源)。
- 通用漏洞扫描工具,如X-Scan (开源)、绿盟极光(商用)、启明星辰天镜脆弱性扫描与管理系统(商用)、Nessus (开源)等。
- 数据库扫描, 如SOLMap (开源) Pangolin (开源)等。
- Web 漏洞扫描,如AppScan (商用)、Acunetix Web Vulnerability Scanner (商用)等。
人工检查
人工检查是通过人直接操作评估对象以获取所需要的评估信息。一般进行人工检查面,要事先设计好“检查表(CheckList)",然后评估工作人员按照“检查表”进行查找,以发现系统中的网络结构、网络设备、服务器、客户机等所存在的漏洞和成胁。
网络安全渗透测试
网络安全渗透测试是指在获得法律授权后,模拟黑客攻击网络系统,以发现深层次的安全问题。其主要工作有目标系统的安全漏洞发现、网络攻击路径构造、安全漏洞利用验证等。
常见的渗透测试集成工具箱有BackTrack 5、Metasploit、 Cobalt Strike等。
问卷调查
问卷调查采用书面的形式获得被评估信息系统的相关信息,以掌握信息系统的基本安全状况。
问卷调查一般根据调查对象进行分别设计,问卷包括管理类和技术类。
管理调查问卷涵盖安全策略、安全组织、资产分类和控制、人员安全、业务连续性等,管理调查问卷主要针对管理者、操作人员;
技术调查问卷主要包括物理和环境安全、网络通信、系统访问控制和系统开发与维护,调查对象是IT技术人员。
网络安全访谈
安全访谈通过安全专家和网络系统的使用人员、管理人员等相关人员进行直接交谈,以考查和证实对网络系统安全策略的实施、规章制度的执行和管理与技术等一系列情况。
审计数据分析
审计数据分析通常用于威胁识别,审计分析的作用包括侵害行为检测、异常事件监测、潜在攻击征兆发觉等。
审计数据分析常常采用数据统计、特征模式匹配等多种技术,从审计数据中寻找安全事件有关信息。
人侵监测
入侵监测是威胁识别的重要技术手段。网络安全风险评估人员将入侵监测软件或设备接入待评估的网络中,然后采集评估对象的威胁信息和安全状态。
入侵监测软件和设备有许多,按照其用途来划分,可粗略分成主机入侵监测、网络入侵监测、应用入侵监测。
常用于进行入侵监测的工具和系统如下:
- 网络协议分析器, 如Tepdump、Wireshark;
- 入侵检测系统,如开源入侵检测系统Snort、Suricata、 Bro;
- Windows系统注册表监测,如regedit;
- Windows系统安全状态分析,如Process Explorer、Autoruns、 Process Monitor等;
- 恶意代码检测,如RootkitRevealer、ClamAV;
- 文件完整性检查,如Tripwire、MDSsum.
学习参考资料:
信息安全工程师教程(第二版)
建群网培信息安全工程师系列视频教程
信息安全工程师5天修炼
