網路安全評估(技術評估方法學分支學科)

這是一種純粹的技術評估方法學，他會讓人們對現今的公共網路所面臨的威脅、所存在的漏洞及漏洞披露方式有一個更為深刻的理解。在系統安全領域，所進行的數以萬計的滲透測試的目的是“識別被測系統的技術漏洞，以便糾正這些漏洞或者降低由這些漏洞所帶來的風險”。對於為什麼要進行滲透測試而言，這是一個清晰、簡明但也是錯誤的理由。

會逐漸認識到，大多數情況下漏洞及其披露緣於系統管理不善、沒有及時打補丁、弱口令策略、不完善的存取控制機制，等等。因此，進行滲透測試的主要原因和目的應該是識別和糾正系統管理過程的失效，正是這種失效導致了系統漏洞的出現，並在滲透測試的過程中被披露出來。最常見的系統管理過程失效包括：

* 應用程式軟體配置的失效

* 軟體維護的失效

* 用戶管理和系統管理的失效

不幸的是，很多IT安全顧問僅僅提供特定測試所發現問題的詳細列表，但從來不嘗試進行更高層次的分析，以便回答“為什麼會存在這些問題”。缺乏對那些系統管理失效（系統管理失效是引發測試中所發現的問題的本質原因）的識別和糾正所帶來的後果是：在六個月之後，當IT安全顧問再一次對信息系統進行測試之後，新的問題又會出現。

如果一位負責信息系統安全的專業人員，評估別人所負責管理的網路，他將會有效地列出了敵手所可能採用的攻擊技術和工具；

根據管理範疇劃分的平均漏洞數

如果為客戶進行安全評估的顧問，那些可能引發系統漏洞的管理過程失效是至關重要的。

某一專業網路安全評估公司曾經為一個大型的國際客戶進行過一系列的滲透測試，該客戶的業務系統是多區域性的，所執行的IT安全策略是集中發布、分區域執行的。評估公司把測試得到的技術結果映射到了如下的一些管理範疇：

操作系統配置 由於不正確地配置作業系統軟體所引發的漏洞

軟體維護 由於未對已知漏洞打補丁而引發的漏洞

口令/存取（訪問）控制 由於不遵守口令策略和不正確的存取控制設定引發的漏洞

惡意軟體 存在惡意軟體（木馬、蠕蟲等）或至少有其存在的跡象

危險的服務 存在有漏洞的或易被攻擊者滲透的服務或進程

應用程式配置 由於應用程式配置不當引發的漏洞

周密的網路安全評估與分析，是可靠，

有效的安全防護措施制定的必要前提。網路風險分析應該在網路系統，應用程式或信息資料庫的設計階段進行，這樣可以從設計開始就明確安全需求，確認潛在的損失。因為在設計階段實現安全控制要遠比在網路系統運行後採取同樣的控制要節約的多。即使認為當前的網路系統分析建立的十分完善，在建立安全防護時，風險分析還是會發現一些潛在的安全問題。網路系統的安全性取決於網路系統最薄弱的環節，任何疏忽的地方都可能成為黑客攻擊點，導致網路系統受到很大的威脅，最有效的方法是定期對網路系統進行安全性分析，及時發現並修正存在的弱點和漏洞，保證網路系統的安全性。

基於網路安全分析系統的網路結構圖

網路安全評估指標體系是網路安全評估體系的重要組成部分。網路安全評估指標是網路安全評估的工具，是反映評估對象安全屬性的指示標誌；網路安全評估指標體系則是根據評估目標和評估內容的要求構建的一組反映網路安全水平的相關指標，據以蒐集評估對象的有關信息資料，反映評估對象的網路安全的基本面貌、素質和水平。

隨著信息通信技術的演進和發展，網路信息安全的內涵需要不斷地延伸，從最初的信息保密性發展到信息的完整性、可用性、可控性和不可否認性，進而又發展為“攻（攻擊）、防（防範）、測（檢測）、控（控制）、管（管理）、評（評估）”等多方面的基礎理論和實施技術。網路信息安全風險評估則是進行網路信息安全管理和安全保障的基礎和手段，是網路信息提供者、使用者判定安全風險級別的過程，也是應否實施額外的安全控制以進一步降低安全風險的依據。

加強信息安全保障工作的總體要求和主要原則，並對信息安全保障工作做了全面部署。其中信息安全風險評估是信息安全保障的重要基礎性工作之一。

電信網路作為國民經濟的基礎設施，與國民經濟各領域的聯繫日益緊密，網路安全問題對整個國民經濟信息化進程有著舉足輕重的戰略作用。電信網網路安全作為國家信息安全的一個重要組成部分，要與國家信息安全總體要求和總體部署保持一致，要堅持積極防禦、綜合防範的方針，提高網路防護能力和風險識別能力，加強網路安全評估體系的研究。