1.資產信息收集:通過調查問卷的形式,查詢資產登記數據庫,收集被評估網絡信息系統的資產信息,從而掌握被評估對象重要資產的分布情況,進而分析與這些資產相關聯的業務、面臨的安全威脅以及存在的安全漏洞。
2.網絡拓撲發現:網絡拓撲發現工具用於獲取被評估網絡信息系統的資產關聯結構信息,進而獲取資產信息。常見的網絡拓撲發現工具包括ping、traceroute和綜合網絡管理平臺。
3.網絡安全漏洞掃描:網絡安全漏洞掃描可以自動收集待評估對象的漏洞信息,評估其漏洞。壹般可以使用多種專業掃描工具對待評估對象的漏洞進行掃描,對不同的掃描結果進行交叉驗證,形成掃描結果的記錄。
4.人工檢查:人工檢查是通過直接操作評價對象來獲取所需的評價信息。壹般要事先設計壹個“檢查表”進行人工檢查,然後評測人員根據“檢查表”進行搜索,找出系統中網絡結構、網絡設備、服務器、客戶端存在的漏洞和威脅。
5.網絡安全滲透測試:網絡安全滲透測試是指在獲得合法授權後,模擬黑客攻擊網絡系統,從而發現深層次的安全問題。其主要工作包括目標系統安全漏洞發現、網絡攻擊路徑構建、安全漏洞利用驗證等。