风险评估过程中主要包括风险评估准备、业务识别、资产识别、威胁识别、脆弱性识别、已有安全措施确认、风险计算、风险分析与评价等阶段。
该安全评估关系模型动态的表现了业务系统所面临的安全风险与其它各个要素之间的内在关系。
系统面临很多威胁(外部威胁、内部威胁),攻击者利用网络存在的漏洞(物理环境、网络结构、流量分析、网络服务、网管系统、主机系统、数据、应用系统、安全系统、安全相关人员、业务流程、安全管理制度、安全策略等等)来攻击网络。
网络架构分析
网络架构分析是通过对公司评估范围内信息系统的网络拓扑及冈络层面细节架构的评
估,主要从以下几个方面进行分析:
l 网络建设的规范性:网络安全规划、设备命名规范性、网络架构安全性:
l 网络的可靠性:网络设备和链路元余、设备选型及可扩展性;
l 网络边界安全:网络设备的 ACL、防火墙、隔离网闸、物理隔离、VLAN(二层ACL) 等:
l 网络协议分析:路由、交换、组播、IGMP、CGMP、IPv4、IPv6 等协议:
l 网络流量分析:带宽流量分析、异常流量分析、QOS配置分析、抗拒绝服务能力:
l 网络通信安全:通信监控、通信加密、VPN 分析等:
l 设备自身安全:SNMP、口令、设备版本、系统漏洞、服务、端口等:
l 网络安全管理:网管系统、客户端远程登陆协议、日志审计、设备身份验证等。