16.2、网络安全风险评估技术与攻击

网络安全风险评估技术方法与工具

资产信息收集，可以通过调查表的形式把我们各类的资产信息进行一个统计和收集，掌握被评估对象的重要资产分布，进而分析这些资产关联的业务面临的安全威胁以及存在的安全。

脆弱性就是比如说我们有一个web服务器，你要分析它的风险，你首先要知道WEB服务器底层有哪些支撑，可能它底层有一台服务器，还有一个数据库，还有关联到我们的WINDOWS操作系统或者linux操作系统，只有你把这些底层的资产全部做了收集和统计，最终才能够更好的分析出我们上层运行的web应用有哪些风险，因为服务器挂了，网页就运行不了，数据库出了问题，网页同样有问题。

第二步网络拓扑，发现网络拓扑的工具有ping、traceroute以及网管平台，可以通过网络拓扑图，方便的掌握一些资产相互关联的情况。因为在拓补图里，我们的服务器、交换机、防火墙等等这一系列设备都是连起来的，可以很好的关联

第三个是网络安全漏洞的扫描，我们可以利用漏扫的软件或者一些工具自动的去搜索待评估对象的漏洞信息，以评估其脆弱性。我们常常扫描的内容，比如说有系统的版本，开放的端口，你确定端口基本上就能确定服务了。比如说开放了23端口，对应着telnet服务。开放了80端口，就对应着网页，然后是漏洞的情况，密码算法、安全强度弱口令等等，这些都可以扫描出来。

漏洞扫描偏向于用工具自动化的去搜索。当然我们也可以进行人工检查，在人工检查前往往要先设计好检查表，我们根据检查表的内容，一项一项的去核对我们的网络结构，网络设备、服务器或者客户机，它的一些漏洞和威胁，比如说我去检查漏洞，第一项我就检查它的密码对不对，比如说，它的密码是一二三四五六很明显，它密码就是有弱口令漏洞。

第二项，去检查它的这个网址，有些网址可能是http的，http不安全，所以是不是后面要升级为https，与之类似的很多，一项一项的对应下来，为了做好评估的依据，所有的检查操作都必须要有书面的记录，就跟我们去做机房的巡检一样，哪怕你很简单的打一个勾勾打一个叉叉，但必须要去做记录。

渗透测试是我们在获得法律授权之后，模拟黑客攻击我们的网络系统，以便发现更深层次的安全问题，渗透测试它的目的是进行安全漏洞的发现，网络攻击路径的构建以及安全漏洞的利用验证。

问卷调查，书面形式让我们的信息系统相关的人员填一些表格，做一些反馈。

安全访谈是通过安全专家和网络系统的使用人员，管理人员等等进行交谈，跟他们聊聊天，了解现在的网络安全状态，包括现网的一些安全策略、实施规章制度等等一系列的情况

审计数据分析，利用数据统计特征，模式匹配等技术，从审计数据里面找寻相关的一些信息。终端的杀毒软件，终端的安全行为管理edr。还有IDS、IPS、上网行为管理，这些其实它都具备审计信息

最新的审计设备，还有图形化的分析和搜索。接着是入侵监测，将入侵监测的软件或者设备接入待评估的网络当中，然后采集评估对象的威胁特征和安全状态。

技术方法以及工具，重点是渗透测试比较简单，需要检查表进行人工检查。