网络安全风险评估要素

网络安全分析评估要素包括：资产、威胁、脆弱性、安全措施、风险，各个要素之间相互作用。

网络安全风险评估模式

①自评估：网络系统拥有者依靠自身力量，对自有的网络系统进行的风险评估活动；

②检查评估：检查评估由网络安全主管机关或业务主管机关发起，依据已经颁布的安全法规、安全标准或安全管理规定等进行检查评估；

③委托评估：委托评估是指网络系统使用单位委托具有风险评估能力的专业评估机构实施的评估活动。

网络安全风险值的计算方法

①定性计算方法：分析结果是无关紧要、可接受、待观察、不可接受；

②定量计算方法：输出结果是一个风险数值；

③综合计算方法：输出结果是一个风险数值，同时给出相应的定性结论。

网络安全风险评估的技术方法包括

①资产信息收集；

②网络拓扑发现；

③漏洞扫描；

④人工检查；

⑤安全渗透测试。

网络安全常用扫描工具

端口扫描工具：Nmap（开源）

通用漏洞扫描工具：X-Scan（开源）、绿盟极光（商用）、启明星辰天镜脆弱性扫描与管理系统（商用）、Nessus（开源）

数据库扫描：SQLMap（开源）、Pangolin（开源）

Web漏洞扫描：AppScan（商用）、Acuneti Web Vunnerblily Saner（商用）

信息安全工程师笔记-网络安全风险评估技术原理与应用相关推荐

信息安全工程师笔记-网络安全主动防御技术与应用
入侵防御系统(IPS) 入侵防御系统(Intrusion Prevention System)是一种主动的.积极的入侵防范及阻止系统(防火墙是被动的),它部署在网络的进出口处,当检测到攻击企图后,自动 ...
信息安全工程师笔记-网络安全测评技术与标准
基于测评目标分类按照测评的目标,网络安全测评分为三种: ①网络信息系统安全等级测评:采用网络等级保护2.0标准: ②网络信息系统安全验收测评:评价该项目是否满足安全验收要求中的各项安全技术指标和安全 ...
信息安全工程师笔记-入侵检测技术原理与应用
入侵检测:通过收集操作系统.系统程序.应用程序.网络包信息,发现系统中违背安全策略或危及系统安全的行为. 具有入侵检测功能的系统称为入侵检测系统,简称为IDS. 通用入侵检测模型通用入侵检测框架模型 ...
信安教程第二版-第16章网络安全风险评估技术原理与应用
第16章网络安全风险评估技术原理与应用 16.1 网络安全风险评估概述 321 16.1.1 网络安全风险评估概念 321 16.1.2 网络安全风险评估要素 322 16.1.3 网络安全风险评估 ...
信息安全工程师笔记-网络安全漏洞防护技术原理与应用
网络安全漏洞概念根据漏洞的补丁情况,漏洞分为: ①普通漏洞:相关漏洞信息已经广泛公开,安全厂商已经有了解决修补方案: ②零日漏洞(zero-day vulnerability):指系统或软件中新发现 ...
信息安全工程师笔记-网络攻击常见技术
前言前面说了端口扫描技术,这次笔记再来补充下其他技术. 口令破解 1.建立与目标网络服务的网络连接: 2.选取用户列表文件及字典文件: 3.在用户列表文件及字典文件中,选取组用户和口令,按网络服务协 ...
信息安全工程师笔记-综合知识冲刺（三）
攻击密码的类型: ①仅知密文攻击:攻击者仅仅是知道密文,来进行破解: ②已知明文攻击:攻击者知道某些明文,对应的密文: ③选择明文攻击:攻击者通过选择一些明文,获得相应的密文: ④选择密文攻击:攻击者 ...
网络安全扫描技术原理及建议分析
摘要: 随着络的飞速发展,网络入侵行为日益严重,网络成为人们的关注点.网络扫描技术是网络安全领域的重要技术之一,本文对其概念.分类进行了概述,并对其中的两种主要技术--端口扫描技术和漏洞扫描技术以及它 ...
信息安全工程师笔记关于主动防御与被动防御、主动攻击与被动攻击的分析
一.主动防御: 1.数据加密 2.访问控制 3.权限设置 4.漏洞扫描技术(网络安全扫描技术) 5.蜜罐技术 6.审计追踪技术 7.入侵防护技术(布防的新型入侵检测技术)(IPS) 8.防火墙与入侵检 ...

信息安全工程师笔记-网络安全风险评估技术原理与应用