信息安全工程师软考（16）：网络安全风险评估技术

网络安全风险评估过程

网络安全风险评估概述

定义

评估依据：依据信息安全技术和管理标准（如等保2.0），对网络系统的保密性©、完整性(I)、可用性(A)等CIA三要素进行综合评价
核心内容：评估网络系统脆弱性、安全威胁及脆弱性被利用后造成的实际影响，通过安全事件发生可能性与影响大小确定风险等级

风险值计算

计算公式：风险值 $R=f(E_p,E_v)$ ，其中 $E_p$ 为事件发生概率， $E_v$ 为事件损失值
实例说明：当某攻击事件发生概率为50%（0.5），造成损失50万元时，风险值= $0.5×50万=25万$ ，属于需重点防范的高风险
决策参考：风险值计算结果直接决定防护优先级，25万量级风险需立即采取处置措施

评估要素

涉及资产、威胁、脆弱性、安全措施、风险等各个要素。

评估模式

自评估：由系统所有者自主开展
检查评估：监管机构依法开展
委托评估：第三方专业机构实施
模式对比：委托评估专业性最强但成本高，自评估灵活性好但可能缺乏客观性，检查评估具有强制约束力

网络安全风险评估过程

1）评估准备与资产识别

评估准备
- 范围要素：包括网络系统拓扑结构、通信协议、地址分配、网络设备、网络服务（如Web/FTP/邮件）、业务信息流程、安全防范措施（防火墙/IDS/监控系统）、操作系统、相关人员及物理环境（机房位置等）
- 关键产出：需生成**《网络风险评估范围界定报告》**，该文档是后续工作的基准依据，具有法律效力
资产识别
- 网络资产鉴别：确认网络资产种类和清单，常见的网络资产：网络设备、主机、服务器、应用、数据和文档资产。
- 网络资产价值估算
  - 评估本质：不是计算物理经济价值（如设备采购价），而是评估其相对价值，基于CIA三要素（保密性/完整性/可用性）对业务的影响程度
  - 典型案例：价值5000元的路由器若故障导致网络中断1天造成10万元损失，则其评估价值为10万元
  - 等级划分：国家标准将资产分为5级（1-5级），等级越高对组织影响越严重，5级为灾难性损害，1级为可忽略影响
  - 资产保密性、完整性和可用性赋值
    - 保密性赋值：
    - 完整性赋值：
    - 可用性赋值：
    - 记忆技巧：CIA三性需联动评估，实际工作中常采用"木桶原理"取最低等级作为最终评级。对于赋值标准，重点掌握5级和1级的典型特征即可覆盖大部分考试场景。

2）威胁识别

分析维度：从威胁来源、途径、能力、效果、意图、频率等多方面进行分析，最终生成威胁列表
核心任务：标记潜在威胁源，明确网络系统面临的各类威胁能力，包括自然威胁和人为威胁

威胁途径

典型手段：计算机病毒、特洛伊木马、蠕虫程序、漏洞利用、嗅探工具等
组合攻击：攻击者往往采用多种方法组合实施威胁

威胁效果

非法访问：破坏系统机密性
欺骗行为：主要影响系统可控性
拒绝服务：破坏系统可用性，使合法用户无法获取服务

威胁意图

挑战型：以技术挑战为目的
情报获取：窃取敏感信息
恐怖主义：制造社会恐慌
经济利益：获取非法收益
报复行为：针对特定目标的打击报复

威胁频率

五级划分
- 5级（很高）：≥1次/周
- 4级（高）：≈1次/月
- 3级（中等）：≈1次/半年
- 2级（低）：发生概率较小
- 1级（很低）：几乎不可能发生
评估依据：历史安全事件记录、行业统计报告、监测数据等

3）脆弱性识别

脆弱性识别的定义
- 本质：发现网络资产中存在的安全缺陷清单
- 危害表现：导致非授权访问、信息泄密、系统失控、服务不可用、安全机制被绕过等
脆弱性识别的核心与目的
- 工作核心：以资产保护为中心，识别可能被利用的弱点
- 评估重点：对脆弱性的严重程度进行量化评估
脆弱性识别方法
- 技术手段：漏洞扫描（使用专业扫描工具）、渗透测试（模拟黑客攻击）
- 人工手段：安全检查、问卷调查（适用于大规模调查）、安全访谈（针对关键人员）
- 方法选择：实际项目中访谈和渗透测试使用频率较高，问卷调查效果有限
脆弱性严重程度的赋值
脆弱性评估的分类
- 技术评估：检验现有安全技术措施的合理性和有效性
- 管理评估：
  - 评估内容：组织结构、人员配置、安全意识、培训体系、操作规程、设备管理、应急响应、制度建设等
  - 评估目的：确认安全策略的实际执行情况
- 标准关联：与等保2.0标准中的管理要求高度契合

4）已有安全措施确认

评估对象：已部署的预防性和保护性安全措施（如防火墙、入侵检测系统等）
评估要点：
- 安全措施能否有效防止脆弱性被利用
- 能否抵御已识别的安全威胁
结果应用：效果良好的措施可继续沿用，无需整改

5）网络安全风险分析

分析基础：在资产评估、威胁评估、脆弱性评估、安全管理评估、安全影响评估基础上，综合运用定性和定量分析方法，确定风险大小与风险等级

6）风险处置与管理

风险处置的目标与计划制定
- 处置目标：针对不可接受风险制定处理计划，降低系统风险
- 计划要素：
  - 具体安全措施（技术/管理）
  - 预期效果量化指标
  - 实施条件与进度安排
  - 明确责任部门
网络安全风险管理的控制措施概述
- 十大控制措施：
  - 制定安全策略与建立安全组织（对应等保2.0安全管理机构）
  - 网络资产分类管理（如敏感数据分级）
  - 人员安全管理（等保2.0安全管理人员要求）
  - 物理与环境安全（门禁、监控等）
  - 安全通信保障（数据传输加密）
  - 访问控制机制（权限管理）
  - 系统开发与维护安全（SDL流程）
  - 业务持续性管理（灾备方案）
  - 合规性管理（符合法律法规）
  - 安全目标一致性检查

网络安全风险评估技术方法与工具

1）资产信息收集

实施方式: 通过调查表形式收集网络信息系统资产信息，掌握重要资产分布情况
分析维度:
- 资产关联的业务系统
- 面临的安全威胁
- 存在的安全脆弱性

2）网络拓扑发现

常用工具:
- ping命令
- traceroute命令
- 网络管理综合平台
应用价值:
- 通过拓扑图直观展示资产分布
- 清晰呈现设备间关联关系
- 工程师需具备拓扑图阅读和绘制能力

3）网络安全漏洞扫描

扫描方式: 自动化工具扫描
扫描内容:
- 系统版本信息
- 开放端口及对应服务（如23端口对应telnet，80端口对应web）
- 存在的安全漏洞
- 密码算法强度
- 弱口令分布情况

4）人工检查

实施步骤:
- 预先设计检查表(CheckList)
- 按表逐项核查
检查对象:
- 网络结构
- 网络设备
- 服务器/客户机
记录要求: 所有检查操作必须形成书面的记录材料

5）渗透测试

核心特征: 获得法律授权后模拟黑客攻击
主要目的:
- 发现安全漏洞
- 构建攻击路径
- 验证漏洞可利用性

6）问卷调查、访谈

问卷调查

实施形式: 书面问卷
调查对象: 信息系统相关人员
调查目的: 获取系统基本安全状况信息

访谈

参与人员:
- 安全专家
- 系统使用人员
- 管理人员
访谈内容:
- 安全策略实施情况
- 规章制度执行情况
- 技术管理现状

7）审计数据分析

技术手段:
- 数据统计
- 特征模式匹配
数据来源:
- 终端安全软件(如EDR)
- 网络设备(IDS/IPS)
- 上网行为管理系统

8）入侵监测

实施方式: 部署入侵监测软件/设备
典型代表: IDS(入侵检测系统)
监测内容:
- 威胁特征信息
- 系统安全状态

网络安全风险评估项目流程与工作内容

评估工程前期准备

核心要素：包括确定评估对象、范围界定、评估粒度和时间等具体需求目标
法律保障：必须签订合同和保密协议，特别是涉及渗透测试等攻击性方法时，保密协议可避免法律纠纷
组织架构：需成立评估工作组，并选择评估模式（客户自评/上级部门评估/第三方专业机构评估）

评估方案设计与论证

设计依据：根据被评估方的安全需求制定，需包含评估方法、人员组织、工具选择、风险分析和实施计划
论证流程：需组织双方讨论，听取各方意见后修改方案直至通过论证
关键要求：确保方案可行性，所有修改必须记录在案

评估方案实施

实施步骤：包括基本情况调查、安全需求挖掘和具体操作步骤确定
操作规范：
- 避免改变系统设置，必要时需备份原配置
- 必须书面记录操作过程和相关数据
- 敏感系统测试需至少两人参与且领导签字批准
文档要求：工作备忘录需包含环境描述、操作记录、问题分析和测试数据

评估报告撰写

数据基础：依据资产评估数据、威胁评估数据和脆弱性评估数据
核心价值：是风险管理的主要依据和评审基础，必须做到有据可查
标准结构：包含绪论、安全现状、资产评估、脆弱性评估、安全管理评估、总结建议等
关键内容：需明确风险评估范围、计算方法、安全问题描述、风险级数及安全建议

评估结果评审与认可

评审形式：通常以PPT汇报形式进行，由项目负责人向客户领导层汇报
验收标准：需最高管理层或其委托机构召开结束会议进行验收
文档归档：评估数据、方案、报告等需备案处理