风险评估（Vulnerability Assessment）是网络安全防御中的一项重要技术，其原理是根据已知的安全漏洞知识库，对目标可能存在的安全隐患进行逐项检查。目标可以是工作站、服务器、交换机、数据库应用等各种对象。然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。在网络安全体系的建设中，安全扫描工具花费低、效果好、见效快、与网络的运行相对对立、安装运行简单，可以大规模减少安全管理员的手工劳动，有利于保持全网安全政策的统一和稳定。风险评估技术基本上也可分为基于主机的和基于网络的两种，前者主要关注软件所在主机上面的风险漏洞，而后者则是通过网络远程探测其它主机的安全风险漏洞。

　　由于网络采用的通信协议并不是为安全通信而设计的，这些协议和网络设备存在一些固有的安全隐患，入侵者可利用这些漏洞，通过网络实施攻击。基于网络的风险评估技术，主要是模拟黑客攻击的方法，检测网络协议、网络服务、网络设备等方面的漏洞。 

　　现代操作系统代码数量巨大，成百上千工程师的共同设计编制，很难避免产生安全漏洞。随着及计算机技术的发展，操作系统的功能越来越强大，但配置越来越复杂。面对横跨多种平台、不同版本、不同种类的操作系统，系统管理员显得力不从心，经常会造成配置上失误，产生安全问题。系统安全漏洞涉及口令设置、文件权限、账户管理、组管理、系统配置等。基于主机的风险评估技术，主要检查操作系统本身固有的安全漏洞和系统文件的不安全配置。并指示用户如何修补漏洞以使操作系统安全风险降到最小，也就增加了整个网络系统的安全性。

　　越来越多的关键业务系统和宝贵的信息资源依赖于数据库平台，数据库本身的漏洞和错误配置同样会引起严重的安全问题。数据库风险评估技术主要针对数据库系统的授权、认证和完整性方面进行安全漏洞检测。