网络风险评估与大致流程
by:redhatd
一般信息安全服务所说网络风险评估 参照以下流程
1:资产收集
收集对应单位里面所需评估对象的 确定具体的数量 如:有多少交换机 路由 ips ids 防火墙 服务器 ip地址等 最好制成相应表格 方便后续工作制定项目计划
2:资产赋值
对于服务器 或者网络设备的 重要程度进行 赋值 为以后评估 确定风险和威胁确定依据 (不过也有跳过这个过程的)
3:系统调研
对于服务器和网络设备 还有网络拓扑结构 运行环境进行系统调研 具体的操作系统 软件环境 用途等 如:windows 2003 asp.net sqlserver 2005 办公oa系统 安全设置情况等 网络设备的话 收集对应的 软件版本即可 还有一份对人员网络安全意识的调查问卷 需对方协助填写
4:漏洞扫描
简称漏扫 一般扫描的 会有 3-4个软件 针对的一般是 网页 主机 数据库 比较常用的有 appscan nessus wvs nsfocus(绿盟) 天镜(启明星辰)还有人工经验判断等
5:风险评估报告
人工分析 根据漏洞的扫描的结果 以及现有的网络拓扑 分析可能存在的威胁和脆弱性 出具风险评估报告
6:整改意见
整改建议一般包括 人员制度上的管理 主机加固 网页代码加固 数据库加固 人员安全意识培训 需要添加一些安全设备等等 多以文档的形式体现
7:整改合格后验收
项目收尾阶段 不废话。 关键是人际关系 和文档梳理