网络分析技术在风险评价中的应用.doc

网络分析技术 在风险评估中的应用 专业的网络和信息安全服务提供商 成都优创信安信息技术有限公司 1. 什么是风险评估 3 2. 什么是网络分析技术 3 3. 网络分析技术在风险评估中的应用 3 3.1 网络流量分析 3 3.2 数据流向分析 5 3.3 出口链路性能分析 8 3.4 网络现状及威胁分析 9 4. 关于我们 9 4.1 我们是谁 9 4.2 服务范围 10 4.3 联系我们 10 什么是风险评估 我们时常都在谈论这样的问题：网络具有怎样的风险，存在怎样的安全隐患，并由此引发了怎样的安全问题。。。。。。 那在网络安全领域，我们通常所说的风险究竟指的是什么呢？ 《信息安全风险评估规范（报批稿）》中，对风险的定义是：人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。 从定义可知，风险综合了多个要素，风险是否存在，风险的高低，需要从多个方面共同考虑，综合多个因素得出的结果，才是准确的风险情况。对风险进行评估的过程，则称之为风险而估。 风险评估的范围包括被评组织全部的信息及与信息处理相关的各类资产、管理机构，也可能是某个独立的信息系统、关键业务流程、与用户知识产权相关的系统或部门等。从技术层面上看，风险评估的范围包括网络、应用系统、数据流、数据包、服务器、终端的评估，同时还包括非技术层面的物理评估和管理评估。 什么是网络分析技术 网络分析技术，是指对网络中传输的底层数据包进行实时地采集和分析，准确得知网络的实时运行状况。如果网络中存在攻击、病毒、木马、P2P、ARP、故障等异常行为时，使用网络分析，即可快速准确定位到相应的攻击源和故障点。 网络分析是网络管理工作必不可少的组成部分之一，它可以对网络中的安全事件，疑难故障，性能问题进行准确的分析和定位，从而保障网络的正常运行。 网络分析技术在风险评估中的应用 网络流量分析 网络流量分析是风险评估中重要的功能之一。通过对网络中流量进行监控和分析，管理人员可以了解网络中的流量分布情况，从而知道当前网络的流量分布是否合理，是否存在异常的流量占用等信息。 一般情况下，流量分析针对于整个网络，且至少需要对以下参数进行分析。 总流量：从开始捕获到现在，捕获到的数据通讯总流量。 发送流量：从开始捕获到现在，捕获到的发送总流量。 接收流量：从开始捕获到现在，捕获到的接收总流量。 利用率：网络的总体繁忙情况，一般以百比分显示，越高则表示网络越繁忙。一般利用率超过70%会出现网络拥塞，速度慢，时断时续的情况。 平均包长：从开始捕获到现在，捕获到的数据包的平均包长。 广播/组播数据包：从开始捕获到现在，捕获到的广播包和组播包的数量。 占用流量TOP N的主机：占用流量TOP N的主机，一般查看TOP 10。 占用流量TOP N的应用：占用流量TOP N的应用，一般查看TOP 10。 上述的这些参数，都可以借助网络分析软件直接看到，如下。 数据流向分析 此处的数据流指的是网络中主要业务的数据流向，如网络中的DMZ区有一台对Internet提供服务的Web服务器，那Internet用户访问Web服务器的路径，就是数据流向情况。 数据流分析一般情况下仅针对网络中的重要业务系统，如ERP，门户网站。通过数据流分析，可以有效梳理这些业务系统的安全现状，从而找到网络中潜在的安全隐患。 数据流分析可以按以下步骤进行： 和用户核实网络拓扑，尽量保证当拓扑图的正确性； 确定网络需要做数据流分析的重要业务，确定可以访问这些业务的用户，用户一般有内部用户、外部用户、VPN用户、系统管理用户等； 将业务系统数据流调查表发给系统管理员或相关的负责人，让其填写并返回到分析人员。 收到调查表后，与用户做详细的业务访谈，主要针对调查表中不清楚的地方，或者调查表中没有涉及的问题进行访谈。 对于不确定数据流向的情况，需要在关键设备（防火墙、路由器、交换机等）上捕获数据包，以了解相应数据是否经过相应设备进行转发。 同时，为核实上述调查的真实性，需要在网络的关键设备上，进行各业务系统的数据包捕获。 通过上述的数据流分析后，可以得出业务系统的数据流向，访问关系和安全现状，从而知道该业务系统存在怎样的安全隐患。下面是针对某用户“外网网站”数据流分析的结果（只截取了图片，文字描述略）。 (数据流向) （访问关系） （安全现状） 出口链路性能分析 对出口链路的性能进行分析，可了解网络总体出口的负载情况，找出可能的潜在故障。分析的参数包括出口链路利用率、带宽上/下行分析、不同应用带宽占用等。和流量分析一样，这些数据，也可以通过网络分析软件获得，如下。 网络现状及威胁分析 经过上述分析后，可得出下表的内容。 分析项目 分析结果 网络流量分析 网络总体的流量占用情况，流量分布是否合理，是否存在异常