網絡安全風險評估的技術方法如下:資產信息收集、網絡拓撲發現、網絡安全漏洞掃描、人工檢查、網絡安全滲透測試。
1、資產信息收集:通過調查表形式,查詢資產登記數據庫,對被評估的網絡信息系統的資產信息進行收集,以掌握被評估對象的重要資產分布,進而分析這些資產所關聯的業務、面臨的安全威脅及存在的安全脆弱性。
2、網絡拓撲發現:網絡拓撲發現工具用於獲取被評估網絡信息系統的資產關聯結構信息,進而獲取資產信息。常見的網絡拓撲發現工具有ping、traceroute以及網絡管理綜合平臺。
3、網絡安全漏洞掃描:網絡安全漏洞掃描可以自動搜集待評估對象的漏洞信息,以評估其脆弱性。壹般可以利用多種專業的掃描工具,對待評估對象進行漏洞掃描,並對不同的掃描結果進行交叉驗證,形成掃描結果記錄。
4、人工檢查:人工檢查是通過人直接操作評估對象以獲取所需要的評估信息。壹般進行人工檢查面,要事先設計好“檢查表(CheckList)”,然後評估工作人員按照“檢查表”進行查找,以發現系統中的網絡結構、網絡設備、服務器、客戶機等所存在的漏洞和成脅。
5、網絡安全滲透測試:網絡安全滲透測試是指在獲得法律授權後,模擬黑客攻擊網絡系統,以發現深層次的安全問題。其主要工作有目標系統的安全漏洞發現、網絡攻擊路徑構造、安全漏洞利用驗證等。