信息安全工程师网络安全风险评估技术方法与工具
一、网络安全风险评估技术方法
风险评估程序
资产评估:确定需要保护的资源。
威胁评估:确定可能对资产造成危害的威胁。
弱点评估:确定资产及其所处环境中的弱点。
影响评估:确定资产受到威胁时可能造成的影响。
风险计算:依据威胁、弱点和影响等因素,计算出资产面临的风险值。
风险评估模型
风险评估模型包括定性和定量两种。定性评估模型通常用于判断风险的相对大小,而定量评估模型则可以精确计算风险值。
比较常见的定量评估模型有CVSS(Common Vulnerability Scoring System,通用漏洞评分系统)评估模型和DREAD评估模型。CVSS评估模型将漏洞分为攻击向量、攻击复杂度和影响范围三个维度,最终得出漏洞的风险值。DREAD评估模型则包括破坏性、复现性、扩散性、波及范围、可检测性五个要素,通过对每个要素进行评估,最终得出漏洞的风险值。
具体评估方法
资产信息收集:通过调查表形式,查询资产登记数据库,对被评估的网络信息系统的资产信息进行收集,以掌握被评估对象的重要资产分布。
网络拓扑发现:获取被评估网络信息系统的资产关联结构信息,进而获取资产信息。常见的网络拓扑发现工具有ping、traceroute以及网络管理综合平台。
漏洞扫描:自动搜集待评估对象的漏洞信息,以评估其脆弱性。一般可以利用多种专业的扫描工具,如Nessus、OpenVAS、Metasploit等,对待评估对象进行漏洞扫描,并对不同的扫描结果进行交叉验证,形成扫描结果记录。扫描内容主要包括软件系统版本号、开放端口号、开启的网络服务、安全漏洞情况、网络信息共享情况、密码算法和安全强度、弱口令分布状况等。
人工检查:进行人工检查前要事先设计好检查表(CheckList),然后评估工作人员按照检查表进行查找,以发现系统中的网络结构、网络设备、服务器、客户机等所存在的漏洞和威胁。所有的检查操作应有书面的记录材料。
网络安全渗透测试:在获得法律授权后,模拟黑客攻击网络系统,以发现深层次的安全问题。主要工作包括目标系统的安全漏洞发现、网络攻击路径构造、安全漏洞利用验证等。
问卷调查:采用书面的形式获得被评估信息系统的相关信息,以掌握信息系统的基本安全状况。问卷一般根据调查对象进行分别设计,管理类调查问卷涵盖安全策略、安全组织、资产分类和控制、人员安全、业务连续性等,主要针对管理者、操作人员;技术类调查问卷主要包括物理和环境安全、网络通信、系统访问控制和系统开发与维护。
网络安全访谈:通过安全专家和网络系统的使用人员、管理人员等相关人员进行直接交谈,以考查和证实对网络系统安全策略的实施、规章制度的执行和管理与技术等一系列情况。
审计分析:包括侵害行为检测、异常事件监测、潜在攻击征兆发觉等。审计数据分析常常采用数据统计、特征模式匹配等多种技术,从审计数据中寻找安全事件有关信息。
入侵监测:利用入侵监测软件和设备进行监测,按照其用途来划分,可粗略分成主机入侵监测、网络入侵监测、应用入侵监测。
二、网络安全风险评估工具
Nessus:一款流行的漏洞扫描工具,可以扫描企业网络中存在的漏洞,并对其进行风险评估。与其他漏洞扫描工具相比,Nessus更加易于使用和配置。
OpenVAS:一个开源的漏洞扫描工具,也可以自动执行漏洞扫描和风险评估。OpenVAS的最大优点是其强大的扩展性,可以通过丰富的插件对漏洞库进行更新。
Metasploit:一款流行的漏洞利用工具,既可以作为漏洞扫描器,也可以作为漏洞利用平台。Metasploit可以对漏洞进行详细的测试,以便确定漏洞是否可以被利用。
Wireshark:原名Ethereal,是一个网络封包分析软件,可以截取网络封包,并尽可能显示出最为详细的网络封包资料。
Nmap:一款用于网络浏览或安全审计的免费开源工具。
Aircrack:一套用于破解WEP和WPA的工具套装,一般用于无线网络的密钥破解,从而非法进入未经许可的无线网络。
总结
综上所述,网络安全风险评估技术方法与工具多种多样,在实际应用中需要根据具体场景和需求灵活选择。同时,网络安全风险评估是一个持续的过程,需要定期进行以确保网络系统的安全性。
