ارزیابی امنیتی بطور گسترده به سه شاخه تقسیم میشوند:
۱٫ ممیزی امنیت (Security Audit): ممیزی امنیت نوعا با تمرکز بر روی افراد و فرآینده ها، امنیت را در سطح شبکه طراحی، پیاده سازی و مدیریت میکند. این موضوع خط مبنایی میشود برای درگیر کردن دو مقوله قوانین و فرآینده در یک شرکت. در یک ممیزی امنیت، ارزیاب، قوانین امنیتی سازمان و روش ها همگی از یک خط مبنا استفاده میکنند. مدیریت IT معمولا از ممیزی امنیت شروع میشود. موسسه بین المللی استاندارد و تکنولوژی (NIST)، نحوه و نوع اجرای ممیزی امنیت را در قالب کتابچه ای تدوین کرده و مجموعه ابزارهای مرتبط را با نام ASSET در اختیار گذارده است.
در یک سیستم، پیمایش مورد به مورد امنیت میتواند بصورت دستی و یا بصورت اتوماتیک صورت بپذیرد. شما میتوانید از طریق تکنیک های زیر بصورت دستی از این قابلیت استفاده لازم را ببرید:
• مصاحبه با کارکنان
• کنترل دسترسی بر روی اپلیکیشن ها و سیستم های عامل
• تحلیل دسترسی فیزیکی به سیستم ها
همچنین با استفاده از تکنیک های معرفی شده در ذیل میتوانید بصورت اتوماتیک فرآیند بازرسی مورد به مورد را انجام دهید:
• تولید گزارش های بازرسی
• مانیتورینگ و رصد تغییرات بوجود آمده در فایل ها
۲٫ بازرسی آسیب پذیری: یک بازرسی آسیب پذیری بشما کمک زیادی میکند تا بتوانید آسیب پذیری های موجود در شبکه را شناسایی نمایید. برای انجام یک بازرسی آسیب پذیری، باید مهارت لازم را داشته باشید و بقول معروف در این زمینه حرفه ای عمل کنید. از طریق یک بازرسی صحیح، تهدیدات احتمالی از جانب هکرها، کارمندان سابق، کارمندان شاغل و غیره که ممکن است صورت پذیرند، قابل پیش بینی خواهد بود.
۳٫ تست نفوذ: تست نفوذ در واقع اجرای تست و آزمایش بر روی امنیت یک سازمان توسط شبیه سازی اعمالی که هکرها انجام میدهند است. این تست بشما کمک میکند تا سطوح مختلف آسیب پذیری ها و راه هایی که یک هکر خارجی میتواند به شبکه شما آسیب بزند را قبل از وقوع حمله و نفوذ واقعی، بشناسید.