1.网络安全风险评估概述

1.1概念

依据有关信息安全技术和管理标准，对网络系统的保密性、完整性、可控性和可用性等安全属性进行科学评价的过程，评估内容涉及网络系统的脆弱性、网络安全威胁以及脆弱性被威胁者利用后所造成的的实际影响，并根据安全事件发生的可能性影响大小来确认网路安全风险等级。（评估威胁者利用网络资产的脆弱性，造成网络资产损失的严重程度）。

1.2为什么要做风险评估

反映企业当前的安全现状

提供信息安全防御机制的建议

同等保测评结合

对安全决策提供支撑和依据

为今后网络安全建设提供参考

提高员工的安全意识

1.3 风险评估步骤

风险识别

风险分析

风险评估

1.4风险评估基本原则

标准性原则

可控性原则

最小影响原则

1.5风险评估要素

信息资产价值

软件、硬件、数据、服务、人员等。

威胁可能性

任何可能发生的、为组织或某种特定资产带来所不希望的或不想要结果的事情。

弱点/脆弱性

资产中的弱点或防护措施/对策的缺乏被称为脆弱性

安全措施

能消除脆弱性或对付一种或多种特定威胁的任何方法。

1.6网络安全风险评估模式

自评估。

检查评估。（安全主管机关或业务主管机关发起）

2.网络安全风险评估方法

2.1漏洞扫描

漏洞扫描工具可自动扫描组织的网络和系统，检测出可能的漏洞和弱点。扫描结果可用于评估组织的网络安全风险，进而制定针对性的安全策略。

2.2威胁建模

威胁建模是一种系统性方法，用于确定攻击者可能采用的攻击路径和方法。通过威胁建模，可以评估组织面临的威胁，并制定相应的安全措施。

2.3漏洞利用测试

漏洞利用测试是一种主动攻击方法，通过利用已知的漏洞和攻击方法，测试组织的网络和系统是否容易受到攻击。漏洞利用测试结果可用于评估组织的网络安全风险，并制定相应的安全措施。

2.4安全评估框架

安全评估框架提供了一套完整的评估方法和工具，用于评估组织的网络安全风险。安全评估框架通常包括安全风险评估、漏洞扫描、威胁建模、漏洞利用测试等多种评估方法，可以全面评估组织的网络安全状况。

2.5安全风险评估标准

安全风险评估标准提供了一套标准化的评估方法和指南，用于评估组织的网络安全风险。常见的安全风险评估标准包括ISO 27001、NIST SP 800-30等。这些标准提供了评估方法和步骤，可以帮助组织系统性地评估网络安全风险。

3.网络安全风险评估方案

3.1确定评估的范围和目标

明确评估的范围，例如网络架构、系统、应用程序等，并确定评估的目标，例如识别网络威胁和漏洞、评估安全策略的有效性等。

3.2收集信息

收集组织的网络架构、系统配置、应用程序等信息，并了解组织的安全策略和措施。同时，收集已知的威胁和漏洞信息，以便在评估过程中进行参考。

3.3评估威胁和漏洞

使用漏洞扫描工具、威胁建模、漏洞利用测试等方法，识别组织面临的威胁和漏洞，并分析其可能的影响和风险。

3.4评估安全控制

评估组织的安全控制措施，例如防火墙、入侵检测系统、访问控制等，以确定其有效性和可靠性。

3.5评估风险和制定建议

综合威胁和漏洞评估、安全控制评估等信息，对组织的网络安全风险进行评估，并提出改进建议和安全措施，以降低组织面临的风险。

3.6报告和沟通

撰写评估报告，向组织的管理层、安全团队等进行沟通和报告，以便制定相应的安全决策和措施。

4.网络安全风险评估实施流程

4.1风险评估准备

4.1.1在考虑风险评估的工作形式、在生命周期中所处阶段和被评估单位的安全评估需求的基础上，确定风险评估目标。Ø 双方就项目目标、范围、项目交付文件、项目实施方案、工作方式、评估成果提交形式等内容讨论确定；

Ø 4.1.2确定风险评估的对象、范围和边界。

Ø 4.1.3组建评估团队、明确评估工具

Ø 4.1.4确定评估依据

4.1.5建立风险评价准则:组织应在考虑国家法律法规要求及行业背景和特点的基础上,建立风险评价准则，以实现对风险的控制与管理。

4.2风险识别阶段

4.2.1资产识别

资产识别是风险评估的核心环节。资产按照层次可划分为业务资产、系统资产、系统组件和单元资产，资产赋值参考：保密性赋值、完整性赋值、可用性赋值（1：很低；2：低；3：中等；4：高；5：很高）。

4.2.2威胁识别

对网络资产有可能受到的安全危害进行分析，通常从威胁来源、威胁主体、威胁种类、威胁动机、威胁时机、威胁频率六个方面来分析。

在对威胁进行分类前，应识别威胁的来源。威胁来源包括环境、意外和人为三类，根据威胁来源的不同,威胁可划分为信息损害和未授权行为等威胁种类。

威胁主体依据人为和环境进行区分,人为的分为国家、组织团体和个人,环境的分为一般的自然灾害、较为严重的自然灾害和严重的自然灾害。

威胁动机是指引导、激发人为威胁进行某种活动，对组织业务、资产产生影响的内部动力和原因.威胁动机可划分为恶意和非恶意,恶意包括攻击、破坏、窃取等,非恶意包括误操作、好奇心等。

威胁时机可划分为普通时期、特殊时期和自然规律。

威胁频率应根据经验和有关的统计数据来进行判断,综合考虑以下四个方面,形成特定评估环境中各种威胁出现的频率:

A)以往安全事件报告中出现过的威胁及其频率统计；

B)实际环境中通过检测工具以及各种日志发现的威胁及其频率统计;

C)实际环境中监测发现的威胁及其频率统计；

D)近期公开发布的社会或特定行业威胁及其频率统计,以及发布的威胁预警；

威胁可能性赋值：威胁赋值应基于威胁行为,依据威胁的行为能力和频率，结合威胁发生的时机,进行综合计算，并设定相应的评级方法进行等级划分,等级越高表示威胁利用脆弱性的可能性越大。

4.2.3脆弱性识别

通过各种测试方法，获得网络资产中所存在的缺陷清单，这些缺陷会导致对信息资产的非授权访问、泄密、失控、破坏或不可用、绕过。

技术脆弱性评估：从现有安全技术措施的合理性和有效性方面进行评估

管理脆弱性评估：从组织结构、人员配备、安全意识、教育培训、安全操作、设备管理、应急响应、安全制度的合理性和有效性方面进行评估。

依据脆弱性和已有安全措施识别结果,得出脆弱性被利用难易程度,并进行等级化处理,不同的等级代表脆弱性被利用难易程度高低。等级数值越大，脆弱性越容易被利用。

4.2.4安全措施识别

识别被评估信息系统的有效对抗风险的防护措施。

4.3风险分析阶段
4.3.1资产分析

在识别出信息资产后，需要对资产进行梳理分类并进行风险分析。将资产按硬件、软件、数据、人员和服务分为5类进行整理，按其资产价值识别出各资产类中的关键资产，从而明确信息安全保护的重点，合理分配各种资源进行安全保护工作。同时进行资产量化分析，其过程也就是对资产进行影响性分析的过程。关键资产在遭受泄密、中断、损害等破坏时对系统所承载的业务系统所产生的影响，这一后果可能会危及信息系统并使其丧失机密性、完整性、可用性，最终还会造成其他破坏。最终生成资产评估报告。

4.3.2威胁分析

威胁识别工作完成之后，整理原始数据，按威胁主体、威胁途径和威胁方式的分类方法进行详细威胁分析，进一步分析被评估信息系统及其关键资产将面临哪一方面的威胁及其所采用的威胁方法，为最后综合风险分析提供参考数据。最终生成威胁评估报告。

4.3.3脆弱性分析

脆弱性识别完成后，将物理环境脆弱性、网络结构脆弱性、主机系统脆弱性、数据库脆弱性、应用中间件脆弱性和安全管理脆弱性各对象的脆弱性评估报告结论性内容整合到一起，并对各脆弱点进行综合分析，得出信息系统总体脆弱性状况，生成脆弱性评估报告。

4.3.4综合风险分析

分析被评估信息系统及其关键资产将面临哪一方面的威胁及其所采用的威胁方法，利用了系统的何种脆弱性，对哪一类资产，产生了什么样的影响，并描述采取何种对策来防范威胁，减少脆弱性，同时将风险量化。

4.4风险评价阶段

4.4.1系统资产分析评价

根据风险评价准则对系统资产风险计算结果进行等级处理。

4.4.2业务风险评价

根据风险评价准则对业务风险计算结果进行等级处理,在进行业务风险评价时,可从社会影响和组织影响两个层面进行分析。社会影响涵盖国家安全,社会秩序,公共利益,公民、法人和其他组织的合法汉益等方面:组织影响涵盖职能履行、业务开展、触犯国家法律法规、财产损失等方面。

1. 风险值计算

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

• 2023届全国高校毕业生预计达到1158万人，就业形势严峻；
• 国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。 

网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才 需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

 1.学习路线图 

 攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

（都打包成一块的了，不能一一展开，总共300多集）

因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。 

 因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。 

 还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取

最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

 因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取