网络安全评价案例

网络安全评估案例

一、网络安全评估方法的选择

常见的基本型、周详型和混合型等三种风险评估方法，企业可以采取不同的风险评估模式作为实施风险管理，在具体选择风险评估方法时，应该参考以下主要的影响因素：

1. 企业所处的商业环境。

2. 商务性质和重要性。

3. 企业对信息系统的技术性和非技术性的依赖程度。

4. 商务及其支持系统、应用软件和服务的复杂性。

具体到网络的实际情况，在实际考虑评估方法的选择时，主要应该根据被评估对象对于整个企业中所处的作用地位、被评估对象的物理资产价值和在业务应用中的重要性，以及被评估对象支持系统、应用软件和涉及业务服务的复杂性状况来选择切实可行的风险评估方法。根据已有的评估经验，目前最多采用的为混合型风险评估方式。

二、风险评估流程

一般来说，电信IP网络风险评估实施过程主要包括以下几个阶段：

1. 确定评估范围：调查并了解IP网络节点的网络拓扑、评估对象、系统业务流程和运行环境，确定评估范围的边界以及范围内所有的评估对象；

2. 资产识别和估价：对评估范围内的所有电信资产进行调查和识别，并根据该资产在网络中的位置作用、所承载业务系统的重要性、所存储数据的重要程度等因素，对各资产的相对价值进行评估和赋值；

3. 安全漏洞评估：主要通过工具扫描、手工检查、渗透测试、拓扑分析等手段对网络层、系统层以及应用层面的各种安全漏洞进行识别和评估；

4. 安全威胁评估：通过问卷调查、IDS取样、日志分析等方式识别出资产所面临的各种威胁，并评估它们发生的可能性；

5. 安全管理调查：通过调研、问卷调查和人员访谈等方式对节点安全管理措施的完备性和有效性进行评估；

6. 物理安全检查：通过前往机房现场进行检查、人员访谈、问卷调查等方式对物理环境安全进行检查和评估；

7. 风险评估结果分析：根据上述各阶段实施所得到的评估结果，对评估节点的安全现状进行综合的风险评估，撰写风险评估报告，呈现风险现状。

三、网络安全评估常用手段及工具

1、常用扫描软件的简介和使用

ISS扫描器

Nessus免费扫描工具

2、人工审核的主要内容

操作系统的安全配置审核：Windows、Unix系统

网络设备的安全配置审核：主流路由器、多层交换机的安全审核（如Cisco，Juniper）网络安全产品的配置审核：防火墙产品、防病毒系统等

3、调查与访谈的主要内容

对网络安全管理相关内容的调查和访谈的内容包括：安全策略、资产管理、人员组织、业务连续性、安全管理制度与流程等。