2025-12-22 03:59:29 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文介绍了网络安全风险评估的技术方法与工具，包括资产信息收集、网络拓扑发现、漏洞扫描、人工检查、渗透测试、问卷调查、安全访谈、审计数据分析和入侵监测等九种方法，并详细列举了各类工具。同时阐述了网络安全风险评估项目的完整流程，涵盖评估前期准备、方案设计与论证以及方案实施三个阶段的工作内容，为安全工程师提供了系统性的风险评估指导。 综合评分： 86 文章分类： 网络安全,漏洞分析,渗透测试,安全建设,安全运营

cover_image

信安工程师学习笔记（18）网络安全风险评估技术原理（下）

原创

Caigensec

菜根网络安全杂谈

2025年12月17日 10:29 安徽

点击上方蓝字关注我们

免责声明：本公众号尊重知识产权，如有侵权请联系我们删除。

一、网络安全风险评估技术方法与工具

1、资产信息收集

资产信息收集是网络安全风险评估的重要工作之一。通过调查表形式，查询资产登记数据库，对被评估的网络信息系统的资产信息进行收集，以掌握被评估对象的重要资产分布，进而分析这些资产所关联的业务、面临的安全威胁及存在的安全脆弱性。

2、网络拓扑发现

网络拓扑发现工具用于获取被评估网络信息系统的资产关联结构信息，进而获取资产信息。常见的网络拓扑发现工具有ping、traceroute以及网络管理综合平台。利用网管系统生成网络拓扑结构。通过网络拓扑结构图，可以方便地掌握网络重要资产的分布状况及相互关联情况。

3、网络安全漏洞扫描

网络安全漏洞扫描可以自动搜集待评估对象的漏洞信息，以评估其脆弱性。一般可以利用多种专业的扫描工具，对待评估对象进行漏洞扫描，并对不同的扫描结果进行交叉验证，形成扫描结果记录。漏洞扫描内容主要有软件系统版本号、开放端口号、开启的网络服务、安全漏洞情况、网络信息共享情况、密码算法和安全强度、弱口令分布状况等。

目前，进行漏洞扫描的工具有许多，常用的扫描工具如下：

·端口扫描工具，如Nmap(开源)。

·通用漏洞扫描工具，如X-Scan(开源)、绿盟极光(商用)、启明星辰天镜脆弱性扫描与管理系统(商用)、Nessus(开源)等。

·数据库扫描，如SQLMap(开源)、Pangolin(开源)等。

·Web漏洞扫描，如AppScan(商用)、Acunetix Web Vulnerability Scanner(商用)等。

4、人工检查

人工检查是通过人直接操作评估对象以获取所需要的评估信息。一般进行人工检查前，要事先设计好“检查表(CheckList)”,然后评估工作人员按照“检查表”进行查找，以发现系统中的网络结构、网络设备、服务器、客户机等所存在的漏洞和威胁。

5、网络安全渗透测试

网络安全渗透测试是指在获得法律授权后，模拟黑客攻击网络系统，以发现深层次的安全问题。其主要工作有目标系统的安全漏洞发现、网络攻击路径构造、安全漏洞利用验证等。

常见的渗透测试集成工具箱有BackTrack5、Metasploit、Cobalt Strike等。其中，Cobalt Strike 是一个商业化渗透平台，提供网络敌手仿真和渗透操作。口令破解工具有Johnthe Ripper、朔雪、brutus-aet2、Cain and Abel等。Web应用系统安全分析工具，如 Webscarab、AppScan 等。

6、问卷调查

问卷调查采用书面的形式获得被评估信息系统的相关信息，以掌握信息系统的基本安全状况。问卷调查一般根据调查对象进行分别设计，问卷包括管理类和技术类。管理调查问卷涵盖安全策略、安全组织、资产分类和控制、人员安全、业务连续性等，管理调查问卷主要针对管理者、操作人员;而技术调查问卷主要包括物理和环境安全、网络通信、系统访问控制和系统开发与维护，调查对象是IT技术人员。

7、网络安全访谈

安全访谈通过安全专家和网络系统的使用人员、管理人员等相关人员进行直接交谈，以考查和证实对网络系统安全策略的实施、规章制度的执行和管理与技术等一系列情况。

8、审计数据分析

审计数据分析通常用于威胁识别，审计分析的作用包括侵害行为检测、异常事件监测、潜在攻击征兆发现等。

9、入侵监测

入侵监测是威胁识别的重要技术手段。网络安全风险评估人员将入侵监测软件或设备接入待评估的网络中，然后采集评估对象的威胁信息和安全状态。入侵监测软件和设备有许多，按照其用途来划分，可粗略分成主机入侵监测、网络入侵监测、应用入侵监测。

网络协议分析器，如Tcpdump、Wireshark;

入侵检测系统，如开源入侵检测系统Snort、Suricata、Bro;

Windows系统注册表监测，如regedit;

Windows系统安全状态分析，如ProcessExplorer、Autoruns、Process Monitor 等;恶意代码检测，如RootkitRevealer、ClamAV;文件完整性检查，如Tripwire、MD5sum。

二、网络安全风险评估项目流程和工作内容

1、评估工程前期准备

风险评估需求调查是评估工程后续工作开展的前提，其内容包括评估对象确定、评估范围界定、评估的粒度和评估的时间等，在评估工作开始前一定要签订合同和保密协议，以避免纠纷。由于风险评估活动涉及单位的不同领域和人员，需要多方面的协调，必要的、充分的准备是风险评估成功的关键。评估前期准备工作至少包括以下内容：

·确定风险评估的需求目标，其中包括评估对象确定、评估范围界定、评估的粒度和评

估的时间等；

·签订合同和保密协议；

·成立评估工作组；

·选择评估模式。

2、评估方案设计与论证

评估方案设计依据被评估方的安全需求来制定，需经过双方讨论并论证通过后方可进行下一步工作。评估方案设计主要是确认评估方法、评估人员组织、评估工具选择、预期风险分析、评估实施计划等内容。为确保评估方案的可行性，评估工作小组应组织相关人员讨论，听取各方意见，然后修改评估方案，直至论证通过。

3、评估方案实施

在评估方案论证通过后，才能组织相关人员对方案进行实施。评估方案实施内容主要包括评估对象的基本情况调查、安全需求挖掘以及确定具体操作步骤，评估实施过程中应避免改变系统的任何设置或必须备份系统原有的配置，并书面记录操作过程和相关数据。工作实施应必须有工作备忘录，内容包括评估环境描述、操作的详细过程记录、问题简要分析、相关测试数据保存等。敏感系统的测试，参加评估实施的人员要求至少两人，且必须领导签字批准。

END