风险评估范围

　　宏观地讲，风险评估的范围包括被评组织全部的信息及与信息处理相关的各类资产、管理机构，也可能是某个独立的信息系统、关键业务流程、与用户知识产权相关的系统或部门等。
　　从技术层面上看，风险评估的范围包括了网络评估、服务器评估、应用系统评估、终端主机评估、数据流评估。当然，还包括物理评估和管理评估，只不过这二者不属于技术评估范畴。

　　本文档仅对技术层面中的网络评估进行分析。
　　2.        网络评估
　　2.1        网络架构分析
　　对网络架构的分析，首先需要了解并核实以下两个内容：
　　网络拓扑
　　1)        从用户处获取原始网络拓扑图。
　　2)        核实网络拓扑的真实性，包括实地检查、和用户交流沟通，弄清楚有变化的地方，并在拓扑图中进行标注。
　　VLAN划分
　　从用户处了解目前的VLAN划分情况，了解各个VLAN的应用，并结合原始拓扑图，分析各VLAN目前的安全现状。

　　安全域分析

　　分析用户的原始拓扑图，并和用户就安全域问题进行沟通，确定网络目前是否引入安全域概念，是否已经规划了安全域。

　　未规划安全域：如果用户的网络目前并未规划安全域，那根据目前网络的实际情况，从VLAN划分、网络应用、安全等级、工作职能等方面进行划分，一般情况下按照"3+1"模式，分为内部、服务器、外部、安全管理四个区域。如果某个区域内还需要再进行划分，在其中划分子域即可。
　　已规划安全域：如果用户网络目前已规划安全域，那根据目前的实际应用，分析安全域规划是否合理，合理则保持现状，如不合理，使用上述的思路对目前的安全域进行更改或重新规划。