风险评估全称网络安全风险评估（NetworkSecurityScanning，NSS）是灵畅信息向客户提供的一项基本的安全服务，它借助专业人员的经验和各种技术手段，探测并发掘客户网络信息系统中存在的各种安全隐患和漏洞，全面了解网络信息系统的安全现状，杜绝外部和内部违规利用网络资源而引发安全事件的可能。

风险评估的主要内容

1.1策略制度调查分析

策略制度调查是便于分析用于已经形成的安全策略是否能满足符合实际的需求，同时形成策略的同时我们也会充分的分析其策略的有效落实情况。

包括以下内容：

• 现有安全策略文档分析
• 人员访谈&调查问卷
• 策略贯彻执行情况调查
• 安全管理策略调整

3.1.2安全需求分析

分析企业安全风险的最佳方法是定期的进行信息安全的风险评估。安全需求分析可以帮助灵畅信息公司了解，和评估客户的企业财产可能会遇到的风险。要建立一个安全的防护体系，第一步就是要了解这些风险。

3.1.3资产调查分析

风险评估首先要了解自己企业里各项资产的作用，更据各设计信息的资产的重要程度不同，功能不同形式不同来进行分类。这对精确的评估风险的潜在影响是很必要有的。灵畅信息将根据客户提供的资产列表，结合安全需求分析报告对其进行有序的分类及分级。

资产清单能帮助客户确保对资产实施有效的保护，也可以用于其它商业目的，如上市、金融保险等（资产评估）。编辑资产清单的过程是资产评估的一个重要方面。灵畅信息将协助客户确定其资产及其相对价值和重要性。利用以上信息，根据资产的重要性和价值提供相应级别的保护。应该为每个信息系统的关联资产草拟并保存一份清单。

资源评估的主要类别与信息系统相关联的资产示例有：

• 信息资产：数据库和数据文件、系统文档、用户手册、培训材料、操作或支持步骤、连续性计划、退守计划、归档信息；
• 软件资产：应用程序软件、系统软件、开发工具以及实用程序；
• 物质资产：计算机设备（处理器、监视器、膝上型电脑、调制解调器）、通讯设备（路由器、PABX、传真机、应答机）、磁介质（磁带和磁盘）、其它技术设备（电源、空调器）、家具、机房等；
• 其他设备：计算和通讯服务、常用设备，如后备电源、照明设备、电源、空调等。

3.1.4业务流程分析

业务系统安全评估的目标是全方位的提供一个业务系统中的安全可见性，业务系统安全评估不仅仅是对网络、主机和已采用安全产品的评估，还包括客户或者第三方为客户业务开发的应用系统的安全评估，及在该业务系统内的操作和管理的安全评估等几个方面，客观综合地反应客户业务系统安全现状，指出对客户业务系统存在的安全风险，并提出全面的解决方案。

业务系统评估包括：

• 业务系统的基础IT设施评估
• 应用平台规划设计阶段
• 应用系统开发、测试阶段
• 应用系统操作和管理安全
• 业务系统的数据流安全

3.1.5网络架构分析

工具扫描分析网络脆弱性分析将依据灵畅信息的网络安全评估工具及人工检测的方式，通过工程师的综合分析发现网络的脆弱性，其包括防火墙设备、路由设备等其他网关设备的策略配置分析。

其包括：

• 模拟入侵测试分析
• 脆弱性测试分析
• 工具测试分析
• 未知攻击风险分析

3.1.6弱点评估分析

灵畅信息安全小组的技术人员使用网络安全评估工具及人工检测的方式，通过人工方式进行综合分析发现各类Windows/Unix主机的脆弱性，分析并确定主机系统的弱点。

其包括：

• 模拟入侵测试分析
• 脆弱性测试分析
• 工具测试分析
• 未知攻击风险分析

3.1.7渗透测试分析

渗透测试分析用于验证在当前的安全防护措施下网络、系统抵抗黑客攻击的能力。

灵畅信息的技术人员利用各种主流的攻击技术对网络、系统做模拟攻击测试，以发现网络、系统中存在的安全漏洞和风险点。企业、组织根据测试的结果遵循安全策略制定适合的、不同优先级别的安全防护措施。

灵畅信息渗透测试服务是经过授权的，也是有时间限制的。

渗透测试服务主要包括如下内容：

• 敏感业务系统测试
• 针对客户敏感业务系统（办公系统、生产系统等）进行渗透测试
• 现有安全系统测试
• 针对客户现有安全系统（防火墙、专有访问控制系统等）进行渗透测试

风险评估意义

结合以上的各种分析结果，可以得出一份对被评估对象具有较强针对性的评估报告，通过这份报告可以详细得知被评估对象自身信息系统的整体安全情况，根据评估结果可以做出相应判断，使得将来对于此信息系统的安全加固变得有标准可以依据。