首页 » 漏洞 » 简单网络风险评估流程

简单网络风险评估流程

 

一般信息安全服务所说网络风险评估 参照以下流程

1:资产收集

收集对应单位里面所需评估对象的  确定具体的数量 如:有多少交换机 路由 ips ids 防火墙 服务器 ip地址等  最好制成相应表格 方便后续工作制定项目计划

2:资产赋值
对于服务器 或者网络设备的 重要程度进行  赋值 为以后评估 确定风险和威胁确定依据   (不过也有跳过这个过程的)

3:系统调研
对 于服务器和网络设备 还有网络拓扑结构 运行环境进行系统调研 具体的操作系统

软件环境 用途等   如:windows 2003 asp.net sqlserver 2005  办公oa系统  安全设置情况等  网络设备的话 收集对应的 软件版本即可   还有一份对人员网络安全意识的调查问卷 需对方协助填写

4:漏洞扫描
简称漏扫  一般扫描的 会有 3-4个软件  针对的一般是 网页 主机  数据库  比较常用的有  appscan  nessus   wvs  nsfocus(绿盟)  天镜(启明星辰)还有人工经验判断等

5:风险评估报告
人工分析 根据漏洞的扫描的结果  以及现有的网络拓扑   分析可能存在的威胁和脆弱性 出具风险评估报告

6:整改意见
整改建议一般包括  人员制度上的管理  主机加固 网页代码加固 数据库加固 人员安全意识培训  需要添加一些安全设备等等   多以文档的形式体现

7:整改合格后验收
项目收尾阶段 不废话。 关键是人际关系 和文档梳理

原文链接:简单网络风险评估流程,转载请注明来源!

0