计算机信息安全风险评估工具课件

信息安全风险评估工具

信息安全风险评估工具1信息安全风险评估工具是信息安全风险评估的辅助手段，是保证风险评估结果可信度的一个重要因素。信息安全风险评估工具的使用不但在一定程度上解决了手动评估的局限性，最主要的是它能够将专家知识进行集中，使专家的经验知识被广泛的应用。本章主要介绍风险评估与管理工具、系统基础平台风险评估工具、风险评估辅助工具、信息安全风险评估工具的发展方向和最新成果。信息安全风险评估工具是信息安全风险评估的辅助手段2

1风险评估与管理工具

风险评估与管理工具根据信息所面临的威胁的不同分布进

行全面考虑，主要从安全管理方面入手，评估信息资产所面临

的威胁。

风险评估与管理工具主要分为3类：1．基于信息安全标准的风险评估与管理工具2．基于知识的风险评估与管理工具3．基于模型的风险评估与管理工具

1风险评估与管理工具

风险评估与管理3

1.1MBSA1.1.1MBSA简介操作系统是各种信息系统的核心，它自身的安全是影响整个信息系统安全的核心因素。作为Microsoft战略技术保护计划（StrategicTechnologyProtectionProgram）的一部分，并为了直接满足用户对于可识别安全方面的常见配置错误的简便方法的需求，Microsoft开发了Microsoft基准安全分析器MBSA（MicrosoftBaselineSecurityAnalyzer），可对Windows系列操作系统进行基线风险评估。MBSA可以对本机或者网络上WindowsNT/2000/XP的系统进行安全性检测，还可以检测其它的一些微软产品，如SQL7.0/2000、5.01以上版本的InternetExplorer、IIS4.0/5.0/5.1和Office2000/XP，是否缺少安全更新，并及时通过推荐的安全更新进行修补。

1.1MBSA4

1.1.2MBSA风险评估过程

MBSA在运行的时候需要有网络连接，运行后的界面如图6-1所示，点击“Scanacomputer”，然后在右边窗口填写要检查的主机名或IP地址，定义安全报告名，设置选项定制本次检查要检测的内容，之后按下“StartScan”，开始进行检测。

1.1.2MBSA风险评估过程5

图6-1MBSA的开始界面

图6-1MBSA的开始界面6

检测完成后，安全报告会立刻显示出来，如图6-2所示，表示一般性警告，表示严重警告，表示不存在漏洞。对于每一项扫描出漏洞的结果，基本上都提供了三个链接，其中“Whatwasscanned”显示了在这一步中扫描了哪些具体的操作；“ResultDetails”显示了扫描的详细结果；“Howtocorrectthis”显示了建议用户进行的操作，以便能够更好地解决这个问题。

检测完成后，安全报告会立刻显示出来，如图6-27

图6-2安全报告

从扫描结果可以看出，MBSA对扫描的软件全部进行了可靠的安全评估。微软的MBSA是免费工具，下载地址：/china/technet/security/tools/mbsahome.mspx。

图6-2安全报告从扫描结果可以看出，MBSA8

1.2COBRA1.2.1COBRA简介

COBRA（Consultive,ObjectiveandBi-FunctionalRiskAnalysis）是英国的C&A系统安全公司（C&ASystemsSecurityLtd）推出的一套风险分析工具软件，主要依据ISO17799进行风险评估。COBRA1版本于1991年推出，用于风险管理评估。随着COBRA的发展，目前的产品不仅仅具有风险管理功能，还可以用于评估是否符合BS7799标准、是否符合组织自身制定的安全策略。COBRA系列工具包括风险咨询工具、ISO17799/BS7799咨询工具、策略一致性分析工具、数据安全性咨询工具。

COBRA是一个基于知识的定性风险评估工具，由3部分组成：问卷构建器、风险测量器、结果生成器。

1.2COBRA9

最后针对每类风险形成文字评估报告、风险等级（得分），所指出的风险自动与给系统造成的影响相联系。其工作机理如图6-3所示。图6-3COBRA定性风险分析方法

最后针对每类风险形成文字评估报告、风险等级（得分10

1.2.2COBRA风险评估过程COBRA风险

评估过程主要包括3个步骤:1.问题表构建2.风险评估3.报告生成

C&A公司在网站/cobdown.htm中提供了COBRA的免费试用版，但需要注册。

1.2.2COBRA风险评估过程COBRA风险11

1.3CRAMM1.3.1CRAMM简介

CRAMM（CCTARiskAnalysisandManagementMethod）是由英国政府的中央计算机与电信局(CentralComputerandTelecommunicationsAgency，CCTA)于1985年开发的一种定量风险分析工具，同时支持定性分析。 CRAMM是一种可以评估信息系统风险并确定恰当对策的结构化方法，适用于各种类型的信息系统和网络，也可以在信息系统生命周期的各个阶段使用。CRAMM包括全面的风险评估工具，并且完全遵循BS7799规范，包括依靠资产的建模、商业影响评估、识别和评估威胁和弱点、评估风险等级、识别需求和基于风险评估调整控制等。

1.3CRAMM12

1.3.2CRAMM风险评估过程

CRAMM的安全模型数据库基于著名的“资产/威胁/弱点”模型，评估过程主要包括三个阶段。1．定义研究范围和边界，识别和评价资产2．评估风险，即对威胁和弱点进行评估3．选择和推荐适当的对策

1.3.2CRAMM风险评估过程13

1.4ASSET

ASSET（AutomatedSecuritySelf-EvaluationTool）是美国国家标准技术协会NIST以NISTSP800-26（信息系统安全性自我评估向导）为标准制定的，用于安全风险自我评估的软件工具。根据NIST安全性自我评估向导，将安全级别分为五级：一般、策略、实施、测试、检验。

ASSET采用典型的基于知识的分析方法，利用问卷方式来评估系统安全现状与NISTSP800-26指南之间的差距。ASSET是一个免费工具，可以从NIST网站下载，网址是：/asset。

1.4ASSET14

1.5RiskWatch1.5.1RiskWatch简介

美国RiskWatch公司综合各类相关标准，开发了风险分析自动化软件系统，进行风险评估和风险管理，共包括五类产品，分别针对信息系统安全、物理安全、HIPAA标准、RW17799标准、港口和海运安全，分别分析信息系统安全风险、物理安全危险、以HIPAA为标准存在的安全风险、以RW17799为标准存在的安全风险、港口和海运存在的安全风险。

RiskWatch工具具有以下特点：友好的用户界面；预先定义的风险分析模板，给用户提供高效、省时的风险分析和脆弱性评估；数据关联功能；经过证明的风险分析模型。

1.5RiskWatch15

1.5.2RiskWatch风险评估

1．RiskWatch关于风险定义 风险=资产⊙损失⊙威胁⊙脆弱性⊙防护措施即：当组织有价值的资产受到某种形式威胁，形成系统脆弱性，并造成一定损失时，称系统出现风险。2．风险分析应该达到两个目标确定目标系统/设备当前状态下面临的风险；确定并推荐减少风险的防护控制措施，并证明这些措施是有效的。3．RiskWatch9.0通过使用因素关联功能和计算风险来达到上述风险分析目标

1.5.2RiskWatch风险评估16

1.6其它风险评估与管理工具

1.6.1RA/SYS

RA/SYS（RiskAnalysisSystem）是一个定量的自动化风险分析系统，包括50多个有关脆弱性和资产以及60多个有关威胁的交互文件，用于威胁和脆弱性的计算，用于成本效益、投资效益、损失的综合评估，产生威胁等级和威胁频率。

1.6其它风险评估与管理工具17

1.6.2@RISK

@RISK是由美国Palisade公司推出的风险分析工具，并不针对信息安全风险评估，主要用于商业风险分析。@RISK利用蒙特卡洛模拟法进行定量的风险评估，允许在建立模型时应用各种概率分布函数，对所有可能及其发生概率做出评估。@RISK加载到Excel上，为Excel增添了高级模型和风险分析功能，详情可以参见Palisade公司的网页。

1.6.2@RISK181.6.3BDSS

BDSS（BayesianDecisionSupportSystem）是一个定量/定性相结合的风险分析工具，通过程序收集资产评估数据，依据系统提供的数据库，确定系统存在的潜在风险。BDSS使用灵活，除了提供定量的分析评估报告之外，还可以提供定性的、有关弱点及其防护措施的建议。1.6.3BDSS19

1.6.4CC

CC评估工具有美国NIAP发布，CC评估系统依据CC标准进行评估，评估被测信息系统达到CC标准的程度，共由两部分组成：CCPKB（CC知识库）和CCToolBox（CC评估工具集）。CCPKB是进行CC评估的支持数据库，基于Access构建。CCToolBox是进行CC评估的主要工具，主要采用页面调查形式，用户通过依次填充每个页面的调查项来完成评估，最后生成关于评估所进行的详细调查结果和最终评估报告。

1.6.4CC20

1.6.5CORA

CORA（Cost-of-RiskAnalysis）是由国际安全技术公司（InternationalSecurityTechnology,Inc.）开发的一种风险管理决策支持系统，它采用典型的定量分析方法，可以方便地采集、组织、分析并存储风险数据，为组织的风险管理决策支持提供准确的依据。网址是：

1.6.5CORA211.6.6MSAT

MSAT（MicrosoftSecurityAccessmentTool）是微软的一个风险评估工具，与MBSA直接扫描和评估系统不同，MSAT通过填写的详细的问卷以及相关信息，处理问卷反馈，评估组织在诸如基础结构、应用程序、操作和人员等领域中的安全实践，然后提出相应的安全风险管理措施和意见。MSAT是免费工具，可以从微软网站下载，但需要注册。下载地址：/china/security/msat/default.asp。1.6.6MSAT22

1.6.7RiskPAC

RiskPAC是CSCJ公司开发的，对组织进行风险评估、业务影响分析的一个定量和定性风险评估工具。RiskPAC的风险评估过程是：确定风险评估范围、确定对分析评估结果进行反应的人员，选择问卷调查表，进行调查评估分析。RiskPAC将风险分为几个级别，根据不同风险级别问题的构建和回答，完成风险评估。

1.6.7RiskPAC23

1.7常用风险评估与管理工具对比常用风险评估与管理工具对比情况如表6-1所示:表6-1常用风险评估与管理工具对比

1.7常用风险评估与管理工具对比242系统基础平台风险评估工具系统基础平台风险评估工具包括脆弱性扫描工具和渗透测试工具。脆弱性评估工具也称为安全扫描、漏洞扫描器，评估网络或主机系统的安全性并且报告系统的脆弱点。这些工具能够扫描网络、服务器、防火墙、路由器和应用程序，发现其中的漏洞。渗透测试工具是根据漏洞扫描工具提供的漏洞，进行模拟黑客测试，判断这些漏洞是否能够被他人利用。渗透测试的目的是检测已发现的漏洞是否真正会给系统或网络环境带来威胁。通常在风险评估的脆弱性识别阶段将脆弱性扫描工具和渗透测试工具一起使用，确定系统漏洞。2系统基础平台风险评估工具252.1脆弱性扫描工具2.1.1脆弱性扫描概述

脆弱性也称为漏洞(Vulnerability)，是系统或保护机制内的弱点或错误，它们使信息暴露在攻击或破坏之下，如：软件包的缺陷，未受保护的系统端口，或没有上锁的门等。已验证、归档和公布的漏洞称为公开漏洞。漏洞的种类有很多，主要包括：硬件漏洞、软件漏洞和网络漏洞。脆弱性扫描的基本原理是采用模拟黑客攻击的方式对目标可能存在的脆弱性进行逐项检测，可以对工作站、服务器、交换机、数据库等各种对象进行脆弱性检测。按照扫描过程来分，扫描技术又可以分为四大类：Ping扫描技术、端口扫描技术、操作系统探测扫描技术、习惯性以及已知脆弱性的扫描技术。2.1脆弱性扫描工具26

2.1.2脆弱性扫描工具分类

目前对脆弱性扫描工具的研发主要分为以下几种类型：1．基于网络的扫描器：在网络中运行，能够检测如防火墙错误配置或连接到网络上的易受攻击的网络服务器的关键漏洞。2．基于主机的扫描器：发现主机的操作系统、特殊服务和配置的细节，发现潜在的用户行为风险，如密码强度不够，也可实施对文件系统的检查。3．分布式网络扫描器：由远程扫描代理、对这些代理的即插即用更新机制、中心管理点三部分构成，用于企业级网络的脆弱性评估，分布和位于不同的位置、城市甚至不同的国家。4．数据库脆弱性扫描器：对数据库的授权、认证和完整性进行详细的分析，也可以识别数据库系统中潜在的脆弱性。

2.1.2脆弱性扫描工具分类27

2.2流光（Fluxay）脆弱性扫描工具

Fluxay并不是单纯的系统脆弱性扫描工具，而且是一个功能强大的渗透测试工具。其工作原理是：首先，获得计算机系统在网络服务、版本信息、Web应用等相关信息，采用模拟攻击的方法，对目标主机系统进行攻击性的安全漏洞扫描，如弱口令测试等。如果模拟攻击成功，则视为系统脆弱性存在。其次，也可以根据系统事先定义的系统安全漏洞库对可能存在的脆弱性进行逐项检测，按照规则匹配的原则将扫描结果与安全漏洞库进行比对，如果满足匹配条件，则视为脆弱性存在。最后，根据检测结果向系统管理员提供安全性分析报告，作为系统和网络安全整体水平的评估依据。

2.2流光（Fluxay）脆弱性扫描工具28

图6-4流光工具启动界面

启动流光工具后可以看到它的主界面，如图6-4所示:

图6-4流光工具启动界面启动流光工具后可以看到它的主29

单击“文件”菜单下的“高级扫描向导”选项，将会有如图6-5所示的界面。其中，“起始地址”和“结束地址”填写本地IP，“目标系统”可以选择ALL/Windows/Linux/UNIX，“检测项目”选择对目标主机的哪些服务进行漏洞扫描。图6-5高级扫描向导设置

单击“文件”菜单下的“高级扫描向导”选项，将会有30

单击“下一步”按钮，出现如图6-6所示的窗口。

图6-6端口设定通过此窗口可以对扫描主机的端口进行设置，其中自定端口扫描范A围为0～65535。选择“标准端口扫描”，并单击“下一步”按钮，将会弹出尝试获取POP3的版本信息和用户密码的对话框，获取FTP的版本号、尝试匿名登录和尝试猜解用户的对话框，选择这三项后单击“下一步”按钮，将弹出询问获取SMTP的版本号、EXPN/VRFY扫描的对话框，获得IMAP版本信息、尝试猜解用户账号的对话框，以及获取系统版本（TELNET）、SunOSLogin远程溢出和WWW版本信息的（CGI）对话框。选择这些项后单击“下一步”。

单击“下一步”按钮，出现如图6-6所示的窗口。31

CGIRules显示的是扫描Web漏洞的信息，可按照事先定义的CGI漏洞列表选择不同的漏洞对目标主机进行扫描。其中，默认规则有2448条，如图6-7所示。单击“下一步”按钮，出现在对MSSQL2000数据库漏洞、SA密码解密和版本信息进行扫描的对话框，如图6-8所示。

图6-7漏洞扫描设置

CGIRules显示的是扫描Web漏洞的信息，可按照32

单击SQL对话框的“下一步”按钮，出现对话框，如图6-9所示，对计算机系统的IPC漏洞进行扫描，查看是否有空连接、共享资源，获得用户列表并猜解用户密码。图6-8MSSQL数据库漏洞扫描设置

单击SQL对话框的“下一步”按钮，出现对话框，如图33

图6-9IPC漏洞扫描设置

图6-9IPC漏洞扫描设置34

选择需要进行扫描的选项，如果不选择最后一项，则此软件将对所有用户的密码进行猜解，否则只对管理员用户组的用户密码进行猜解。单击“下一步”按钮，弹出如图6-10所示的对话框。

图6-10IIS漏洞扫描设置

选择需要进行扫描的选项，如果不选择最后一项，则35

在这个对话框中，将设置对IIS漏洞的扫描选项，包括Unicode编码漏洞、FrontPage扩展、尝试获取SAM文件和尝试获取PcAnyWhere密码文件。单击“下一步”按钮，弹出设置MISC的对话框，其中包括：BIND版本扫描、猜解MySQL密码和SSH版本扫描。单击对话框中的“下一步”按钮，弹出PLUGINS对话框，如图6-11所示。

图6-11插件漏洞扫描设置

在这个对话框中，将设置对IIS漏洞的36

流光软件提供了对11个插件的漏洞扫描，可根据需要进行选择。单击“下一步”按钮，弹出如图6-12所示的对话框，在这个对话框中，通过“猜解用户名字典”尝试暴力猜解，用于除了IPC之外的项目。单击“完成”按钮，弹出“选择流光主机”对话框，如图6-13所示，可设置扫描引擎。

图6-12猜解字典设置

流光软件提供了对11个插件的漏洞扫描，可根据需要进37

图6-13选择流光主机

选择默认的本地主机作为扫描引擎，可以设置扫描速度。速度越快就越容易单击“开始”按钮进行扫描。

图6-13选择流光主机选择默认的38

经过一段时间后会在探测结果窗口中将出现扫描的结果，类似于图6-14所示。

图6-14扫描结果

经过一段时间后会在探测结果窗口中将出现扫描的结39

我们可以看到，示例的扫描结束后屏幕弹出检测结果框，共检测到14条结果。同时，流光还会生成扫描报告，以网页的形式保存在预设目录之下。示例的扫描结果显示主机有7个端口开放并提供服务。在扫描报告当中我们还可以看到主机的端口，SMTP的版本信息和是否支持VRFY；还可以看到扫描成功的CGI漏洞和MISC信息。按照前面提出的步骤扫描主机，查看扫描结果，了解各种系统漏洞和可能造成的危害。下载相应的系统补丁，修补系统漏洞，从而构造一个相对安全的操作系统。在安装完补丁后，重新使用流光来扫描系统漏洞，检查系统漏洞是否已经修补。

我们可以看到，示例的扫描结束后屏幕弹出检测402.3Nessus脆弱性扫描工具

Nessus是一个功能强大的远程安全扫描器。它不仅免费而且更新极快。安全扫描器的功能是对指定网络进行安全检查，找出该网络是否存在有导致对手攻击的安全漏洞。启动Nessus的安装文件，出现图6-15。按照提示进行安装，安装结束后将在目标目录处出现两个快捷方式，如图6-16所示。双击“NessusClient”图标，进入扫描界面，如图6-17所示。2.3Nessus脆弱性扫描工具N41图6-15安装Nessus界面图6-16Nessus安装结果图6-15安装Nessus界面图6-16Nessus安装42图6-17Nusess的启动界面图6-17Nusess的启动界面43单击“Connect”按钮，选择本地主机，进行连接。连接成功后，“Connect”按钮变成了“Disconnect”。单击界面左侧按钮，向扫描工具添加编辑目标，在这里以本地主机为例，如图6-18所示。保存后回到主界面。单击界面右侧的添加一项新的扫描任务，如图6-19所示。单击“Connect”按钮，选择本地主机，进行连44图6-18扫描目标的设置图6-18扫描目标的设置45图6-19对新扫描任务的设置图6-19对新扫描任务的设置46

在这个界面当中可以设置本次扫描任务的名称，设置扫描端口的范围，漏洞的选择以及关于扫描网络方面的设置等。添加完成后，单击“ScanNow”开始进行扫描。扫描结果如图6-20所示。图6-20扫描结果在这个界面当中可以设置本次扫描任务的名称47单击左侧的各个条目，可以查看具体的说明。扫描的结果还可以通过点击“Export…”按钮导出成HTML文件。在此网页中可以查看详细的扫描结果，它将列出扫描结果的ID号，这些在网页中均有详细的说明。根据说明有无风险来进行修复。扫描结束后，可以将本次任务保存下来。点击扫描界面下的“Disconnet”按钮，退出了此次连接。如有需要再次进行连接即可。Nessus的优点在于：它采用了基于多种安全漏洞的扫描，避免了扫描不完整的情况；它是一个免费工具，比起商业的安全扫描工具如ISS具有价格优势；它的扩展性强、容易使用、功能强大，可以扫描出多种安全漏洞。单击左侧的各个条目，可以查看具体的说明。扫描的482.4

极光远程安全评估系统

2.4.1

概述

绿盟科技自主研发了极光(AURORA)远程安全评估系统，产品针对各类操作系统、网络产品、数据库产品等的安全漏洞进行分析。该产品为嵌入式安全专用硬件扫描系统，基于浏览器的远程使用、分级用户管理、强大的地址本、完善的日志、分布式部署能力，构筑企业级安全评估应用。2.4极光远程安全评估系统

2.4.1概述492.4.2系统架构

极光系统架构如图6-21所示。极光使用Web管理方式，让用户使用浏览器通过SSL加密通道和系统Web界面模块交互，方便用户管理。图6-21极光系统整体架构图2.4.2系统架构 极光系统架构如图6-21所示。50极光专用安全系统平台是具有很高的安全性和稳定性。包括如下主要功能模块:

1.扫描核心模扫描核心模块是系统最重要的模块之一，它负责完成目标的探测评估工作，包括判定主机存活状态、操作系统识别、规则解析匹配等。2.漏洞知识库 漏洞知识库包含漏洞相关信息，是系统运行的基础，扫描调度模块和Web管理模块都依赖它进行工作。3.扫描结果库 扫描结果库包含了扫描任务的结果信息，是扫描结果报告生成的基础，也是查询和分析结果的数据来源。4.汇总数据 汇总数据是综合分析、趋势分析和报表合并的统计信息的数据来源，是任务合并、分布式数据汇总之后的结果。极光专用安全系统平台是具有很高的安全性和稳定性。包括515.Web界面模块

Web界面模块负责和用户进行交互，配合用户的请求完成管理工作。Web管理模块包含多个子模块共同完成用户的请求，其主要子模块有：⑴任务管理子模块⑵报表子模块⑶任务报表辅助管理子模块⑷地址本管理子模块⑸用户和权限系统子模块⑹系统日志和审计策略子模块⑺常用工具子模块⑻系统配置子模块5.Web界面模块

Web界面模块负责和用户进行交526．数据同步模块

主要实现分布式部署中的任务分发、策略分发等功能；完成扫描结果数据向上级AURORA系统的数据上传，在数据上传中使用SSL加密传输通道，保证了数据的保密性；汇总的数据可以进行集中统一的分析。

7．升级模块极光有网络自动升级和用户手动升级的策略，系统的各个模块都可以通过升级模块进行升级。6．数据同步模块主要实现分布式部署中的任务分532.4.3系统应用环境

1．平坦式部署

小型网络中，数据相对集中，网络拓扑结构也相对简单，可采用平坦式部署方式，如图6-22所示。图6-22极光的平坦式部署模式2.4.3系统应用环境

1．平坦式部署542．分布式部署 大型网络中多台极光系统共同工作时，极光的分布部署支持能力可以使得各系统间的数据能共享并汇总。网络中使用分布式部署结构如图6-23所示。图6-23极光的分布式部署模式2．分布式部署 大型网络中多台极光系统共同工作时，极光的分552.5天镜脆弱性扫描与管理系统

2.5.1概述

启明星辰自主研发了天镜脆弱性扫描与管理系统。它的任务是用实践性的方法扫描分析网络系统，检查系统中存在的弱点和漏洞并生成相应的报告，适时提出修补方法和应实施的安全策略，从而达到增强网络安全性的目的。2.5天镜脆弱性扫描与管理系统

2.5.1概述562.5.2系统构成

1．产品组成天镜分布式产品组成包含以下几个部分：⑴管理控制中心⑵综合显示中心⑶日志分析报表⑷扫描引擎软件⑸扫描对象授权⑹数据库2.5.2系统构成

1．产品组成天镜分布式产品组成包57

2．产品部署

⑴方案一：单机式部署图6-24天镜单机式部署

2．产品部署

⑴方案一：单机式部署图6-24天镜单机式58⑵方案二：分布式部署图6-25天镜单机式部署⑵方案二：分布式部署图6-25天镜单机式部署59⑶方案三：多级式部署图6-26天镜多级式部署⑶方案三：多级式部署图6-26天镜多级式部署603．系统配置硬件环境：本系统运行在硬件环境为X86架构的台式机或笔记本电脑。CPU：不低于PentiumIV2.2G。内存：不低于512M。硬盘：不低于50M剩余空间，建议200M以上剩余空间。网卡：至少一块100Mbps以太网卡。软件环境：操作系统：中文版Windows2000SP4以上。浏览器：IE5.0以上版本。3．系统配置硬件环境：612.5.3系统功能

1．管理功能

⑴分布管理、集中分析图6-27天镜管理控制台2.5.3系统功能

1．管理功能

⑴分布管理、集中分析62⑵多级管理对于拥有不同地域、大规模网络的用户，各个地域的网络安全管理员管理着本地域的网络安全状况，其上层的安全管理员可以上传检测结果、下达检测策略、统一管理、统一分析、统一升级；实现大规模网络环境下的全局风险控制、降低管理成本。⑵多级管理对于拥有不同地域、大规模网络的用户，63

2．策略管理

⑴扫描计划定制图6-28天镜扫描计划制定⑵系统使用授权限制

系统提供了硬件强制授权管理，以确保系统的使用安全、防止非法使用。

2．策略管理

⑴扫描计划定制图6-28天镜扫描计划制定643．自定义显示功能

⑴自定义分类结构显示⑵显示自定义窗口⑶重点关注自定义3．自定义显示功能654．扫描功能

⑴端口服务智能识别⑵可识别的扫描对象⑶扫描漏洞分类⑷数据库扫描⑸Web扫描5．报告功能4．扫描功能

⑴端口服务智能识别5．报告功能666．安全信息手册图6-29安全信息手册示例6．安全信息手册图6-29安全信息手册示例677．用户管理与审计⑴系统分用户、分权限使用与管理；⑵支持双因素身份认证：口令、身份卡配合使用；⑶用户、管理员的操作审计。7．用户管理与审计⑴系统分用户、分权限使用与管理；682.5.4扫描技术特色1．渐进式扫描根据被扫描主机的操作系统和主机应用等信息智能确定进一步的扫描流程。2．授权扫描系统支持用户提供被扫描主机的权限信息，以获取更深入、更全面的漏洞信息。3．系统稳定性高扫描过程实时正确处理各种以外情况：如网卡故障、资源耗尽等。4．扫描系统资源占用少、速度快、误报低、漏报低、稳定性高。2.5.4扫描技术特色1．渐进式扫描692.6渗透测试工具

2.6.1渗透测试概述

渗透测试（PenetrationTest）最简单直接的解释就是：完全站在攻击者角度对目标系统进行的安全性测试过程，也就是完全模拟黑客可能使用的攻击技术和漏洞发现技术，对目标系统的安全做深入的探测，发现系统最脆弱的环节。渗透测试能够直观地让管理人员知道自己网络所面临的问题，了解当前系统的安全性，了解攻击者可能利用的途径，以便对危害性严重的漏洞及时修补，以免后患。2.6渗透测试工具

2.6.1渗透测试概述702.6.2渗透测试分类 渗透测试一般分为黑盒测试、白盒测试和隐秘测试。 1.黑盒测试黑盒测试意味着测试人员是在对目标系统一无所知的状态下进行测试工作，目标系统对测试人员来说就像一个“黑盒子”。除了知道目标的基本范围之外，所有的信息都依赖测试人员自行发掘。而目标系统上往往会开启监控机制对渗透过程进行记录，以供测试结束后分析。也就是说虽然黑盒测试的范围比较自由和宽泛，但是仍需要遵循一定的规则和限制。2.6.2渗透测试分类 渗透测试一般分为黑盒测试、白712.白盒测试与黑盒测试不同，白盒测试开始之前测试人员就已经从目标公司获得了足够的初始信息，例如网络地址段、使用的网络协议、拓扑图、应用列表等等。相对来说，白盒测试更多的被应用于审核内部信息管理机制，测试人员可以利用掌握的资料进行内部探查，甚至与企业的员工进行交互。对于发现现有管理机制漏洞以及检验社交工程攻击可能性来说，白盒测试具有非凡的意义。2.白盒测试与黑盒测试不同，白盒测试开始之前测723.隐秘测试隐秘测试类似一种增强的黑盒测试，对于受测机构来说该测试处于保密状态，可以将其想象为特定管理部分雇佣了外部团队来进行内部调查。除了不开启特定措施对测试过程进行监控和记录之外，测试工作的进行也不对员工进行通知，甚至不向信息安全管理部门进行说明。这种测试完全的模拟了真实的攻击，可以综合的考察组织信息安全工作的运转情况，对信息安全工作人员在安全事件响应和处理方面的成效很有帮助。3.隐秘测试隐秘测试类似一种增强的黑盒测试，对732.7Metasploit渗透工具

2.7.1工具简述Metasploit是一款开源的安全漏洞检测工具。由于Metasploit是免费的工具，因此安全工作人员常用Metasploit工具来检测系统的安全性。MetasploitFramework(MSF)是2003年以开放源代码方式发布、可自由获取的开发框架，这个环境为渗透测试、shellcode编写和漏洞研究提供了一个可靠的平台。它集成了各平台上常见的溢出漏洞和流行的shellcode，并且不断更新，最新版本的MSF包含了180多种当前流行的操作系统和应用软件的exploit，以及100多个shellcode。作为安全工具，它在安全检测中起到不容忽视的作用，并为漏洞自动化探测和及时检测系统漏洞提供有力的保障。2.7Metasploit渗透工具

2.7.1工具简742.7.2Metasploit3的使用方法一安装完Metasploit程序后，启动程序菜单如图6-30所示，程序中包含Metasploit的相关文档、常用的一些小工具（Netcat、Putty、VNCViewer、WinVI）、CMDShell、Metasploit3的主程序、NASMShell、在线升级程序、RUBYShell等内容。下面是使用Metasploit进行相关渗透工作的步骤。2.7.2Metasploit3的使用方法一75图6-30启动程序菜单图6-30启动程序菜单761.安装完Metasploit程序，运行Metasploit3，启动Web窗口界面，如图6-31所示。界面中会出现Exploits、Auxiliaries、Payloads、Console、Sessions、About等图标栏。图6-31Metasploit3窗口界面一1.安装完Metasploit程序，运行Metasp772.点击Exploits图标，系统列出所有的Exploits，如图6-32所示。图6-32Metasploit3窗口界面二2.点击Exploits图标，系统列出所有的Exploits783.针对目的主机的信息查找相关漏洞利用程序，比如查找WindowsXP系统的相关漏洞利用程序，如图6-33所示。图6-33Metasploit3窗口界面三3.针对目的主机的信息查找相关漏洞利用程序，比如查794.利用对主机扫描发现的漏洞信息，找到相关的漏洞利用程序，比如“MicrosoftRPCDCOMInterfaceOverflow”的漏洞利用程序，如图6-34所示，选择目的操作系统的种类。图6-34Metasploit3窗口界面四4.利用对主机扫描发现的漏洞信息，找到相关的漏洞利用805.选择特定的ShellCode程序，系统攻击成功后，会执行相关的ShellCode的指令内容。比如选择绑定cmdShell的操作，如图6-35所示。图6-35Metasploit3窗口界面五5.选择特定的ShellCode程序，系统攻击成功后816.输入目的主机的IP地址，比如，然后执行“LaunchExploit”按钮，如图6-36所示。图6-36Metasploit3窗口界面六6.输入目的主机的IP地址，比如192.168.827.渗透攻击成功后，系统返回cmdshell信息，获取主机系统权限，可以做任何的操作了。7.渗透攻击成功后，系统返回cmdshell信息832.7.3Metasploit3的使用方法二除了使用web窗口模式来工作外，还可以使用MSF的命令模式，以Console平台来工作。点击主窗口中的Console图标，如图6-37所示。图6-37Metasploit3命令窗口一2.7.3Metasploit3的使用方法二841.输入Help命令，可以看到很多的操作命令，如图6-38所示。常用的命令也就是show、info、use、set等几个命令。“show”:显示规定类型的一种模块或所有模块，比如:exploit/payload等。“info”:显示一种或更多模块的信息。“use”:选择模块的名字。“set”:设置变量。1.输入Help命令，可以看到很多的操作命令，如图6-85图6-38Metasploit3命令窗口二图6-38Metasploit3命令窗口二862.通过输入“showexploits”指令查看有哪些可用的Exploit程序，如图6-39所示。图6-39Metasploit3命令窗口三2.通过输入“showexploits”指令查看有873.输入“showpayloads”指令，查看有哪些可以加载的ShellCode信息，如图6-40所示。图6-40Metasploit3命令窗口四3.输入“showpayloads”指令，查看有884．输入“infoexploit/windows/dcerpc/ms03_026_dcom”指令，了解MS03_026_dcom利用程序的相关信息内容，如图6-41所示。图6-41Metasploit3命令窗口五4．输入“infoexploit/windows/d89根据了解的MS03_026_dcom的相关信息，使用漏洞利用程序。输入：useexploit/windows/dcerpc/ms03_026_dcom查看利用程序需要设置的相关内容。输入：showoptions设置攻击目的主机的IP地址。输入：setRHOST1设置加载的ShellCode程序。输入：setPAYLOADgeneric/shell_bind_tcp执行利用程序。输入：exploit系统攻击成功，并获取远程主机的权限。Metasploit会不定期更新可利用的漏洞程序，可以通过OnlineUpdate来进行升级。根据了解的MS03_026_dcom的相关信息，使用漏洞利用902.8ImmunityCANVAS渗透测试工具

2.8.1工具简述Canvas是Aitel'sImmunitySec出品的一款安全漏洞检测工具。它包含150个以上的漏洞利用。对于渗透测试人员来说，Canvas是比较专业的安全漏洞利用工具。Canvas也常被用于对IDS和IPS的检测能力的测试。2.8ImmunityCANVAS渗透测试工具

2.8912.8.2支持的平台Canvas工具支持的安装平台有Windows、Linux、MacOSX、其它Python环境（例如：移动手机、商业Unixs）。有些平台下只能通过命令行的操作方式，有些可以通过GUI界面来操作使用。Canvas工具在兼容性设计比较好，可以使用其它团队研发的漏洞利用工具，例如使用Gleg,Ltd'sVulnDisco、theArgenissUltimate0day漏洞利用包。2.8.2支持的平台Canvas工具支持的922.8.3

升级Canvas目前已经使用超过150个的漏洞利用。Immunity公司会仔细选择漏洞，从优先级比较高的漏洞，比如远程执行、认证绕过或者主流软件中新发现的漏洞，每个月会从中挑选出4个漏洞利用做为Canvas的更新升级。2.8.3升级Canvas目前已经使用超过1932.8.4

使用方法第一步：安装GTK

/downloads/canvasinstall/gtk-win32-devel-2.8.18-rc1.exe第二步：安装python

/downloads/canvasinstall/pthon-24.3.msi第三步：安装pyGTK

/downloads/canvasinstall/pygtk-2.8.5-1.win32-py2.4.exe第四步：安装PyGairo

/downloads/canvasinstall/pycairo-1.0.2-1.win32-py2.4.exe第五步：解压Imunity.canvas.6.23.june.2007.rar，运行canvas.bat启动CANVAS的GUI界面，如图6-42所示。2.8.4使用方法第一步：安装GTK94图6-42ImmunityCANVAS工具界面图6-42ImmunityCANVAS工具界面956.3

风险评估辅助工具

信息安全风险评估辅助工具在风险评估过程中不可缺少，主要用于评估中所需要的数据和资料，帮助测试者完成现状分析和趋势分析。如入侵检测系统，帮助检测各种攻击试探和误操作，它可以作为一个警报器，提醒管理员发生的安全状况。同时安全审计工具、安全漏洞库、知识库都是风险评估不可或缺的支持手段。6.3风险评估辅助工具信息安全风险评963.1调查问卷风险评估者通过问卷形式对组织信息安全的各个方面进行调查，问卷解答可以进行手工分析，也可以输入自动化评估工具进行分析，从问卷调查中，评估者能够了解到组织的关键业务、关键资产、主要威胁、管理上的缺陷、采用的控制措施和安全策略的执行情况。3.1调查问卷973.2

检查列表检查列表通常是基于特定标准或基线建立的，对特定系统进行审查的项目条款，通过检查列表，可以快速定位系统目前的安全状况与基线要求之间的差距。3.2检查列表检查列表通常是基于特定标准或基983.3人员访谈风险评估者通过与组织内关键人员的访谈，可以了解到组织的安全意识、业务操作、管理程序等重要信息。3.3人员访谈风险评估者通过与组织内关键人员993.4入侵检测工具入侵检测工具通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。它的主要功能包括：检测并分析用户和系统的活动、识别已知的攻击行为、统计分析异常行为等。在风险评估中，入侵检测系统可以作为异常行为的收集工具，为风险评估提供可能存在的威胁信息。风险评估过程中也可以利用一段时间内入侵检测系统发现的入侵行为，进行风险预测。3.4入侵检测工具入侵检测工具通过对计算1003.5安全审计工具安全审计工具用于记录网络安全行为，分析系统或网络安全现状，包括系统配置、服务检查、操作情况正确与否等内容。它的审计记录可以作为风险评估中的安全现状数据，并可用于判断被评估对象威胁信息的来源。3.5安全审计工具安全审计工具用于记录网络安1013.6拓扑发现工具自动完成对网络硬件设备的识别、发现功能，勾画网络的拓扑结构。

3.7其它

评估指标库、知识库、漏洞库、算法库、模型库

科学的信息安全风险评估需要大量的实践数据和经验数据的支持，历史数据和技术数据的积累是保证信息安全风险评估科学性和预见性的基础。根据各种评估过程中需要的数据和知识，可以将存储和管理评估支持数据或资料的工具分为：评估指标库、知识库、漏洞库、算法库、模型库等。3.6拓扑发现工具自动完成对网络硬件设备的识1024信息安全风险评估工具的发展方向和最新成果随着人们对信息安全风险评估重要性的认识，信息安全风险评估工具也慢慢得到广泛的应用，同时也对信息安全风险评估工具的发展提出新的要求.1．信息安全风险评估工具应整合多种安全技术2．信息安全风险评估工具应实现功能的集成3．信息安全风险评估工具逐步向智能化的决策支持系统发展4．信息安全风险分析工具向定量化方向发展4信息安全风险评估工具的发展方向和最新成果随着103

总之，人们对信息安全风险评估工具的期望不断提高，希望它在信息安全风险评估过程中能够发挥更大的作用。计算机信息安全风险评估工具课件104习题6一.解释下列概念

1.脆弱性扫描

2.渗透测试

3.黑盒测试

4.白盒测试

5.隐秘测试二.简答题

1.信息安全风险评估的工具分为哪三类？简述之。2.信息安全风险评估风险评估与管理工具有哪些？简述之。3.脆弱性扫描工具主要分为哪几种类型？4.渗透测试分为哪几种类型？5.简述极光远程安全评估系统的平坦式部署模式和分布式部署模式。6.天镜分布式产品组成包含哪几部分？7.简述天镜的单机式部署模式、分布式部署模式和多级式部署模式。习题6一.解释下列概念105上机实验实验项目1：WindowsXP基线风险评估实验目的： 了解WindowsXP的典型漏洞，掌握使用MBSA对WindowsXP进行安全评估和检测的方法，并能准确地采取相应措施对系统的安全漏洞进行修正。实验环境：运行WindowsXP的计算机，高于5.0的浏览器，MBSA。实验内容：1.安装微软基准安全分析器MBSA；

2．检查系统漏洞；

3．修补系统漏洞；

4.检查修补后的系统漏洞和风险情况。上机实验实验项目1：WindowsXP基线风险评估106实验项目2：信息安全风险工具的使用实验目的：了解信息安全风险工具的使用。实验环境：计算机，COBRA、ASSET、@RISK、MSAT等。实验内容：运行COBRA、ASSET、@RISK、MSAT等风险评估工具，了解各信息安全风险评估工具的使用及风险评估过程。实验项目2：信息安全风险工具的使用107实验项目3：脆弱性扫描实验目的：掌握流光脆弱性扫描工具、Nessus脆弱性扫描工具、 极光远程安全评估系统、天镜脆弱性扫描与管理系 统的使用。实验环境：计算机，流光脆弱性扫描工具、Nessus脆弱性扫描 工具、极光远程安全评估系统、天镜脆弱性扫描与 管理系统。 实验内容：1.下载安装流光脆弱性扫描工具，检测系统脆弱性；

2.下载安装Nessus脆弱性扫描工具，并检测系统脆 弱性； 3.利用极光远程安全评估系统或天镜脆弱性扫描与 管理统进行系统扫描实验。实验项目3：脆弱性扫描108实验项目4：渗透测试实验目的：掌握Metasploit和ImmunityCANVAS的使用。实验环境：计算机、Metasploit、ImmunityCANVAS。实验内容：1.利用Metasploit进行渗透测试实验；

2.利用ImmunityCANVAS进行渗透测试实验。实验项目4：渗透测试109信息安全风险评估工具

信息安全风险评估工具110信息安全风险评估工具是信息安全风险评估的辅助手段，是保证风险评估结果可信度的一个重要因素。信息安全风险评估工具的使用不但在一定程度上解决了手动评估的局限性，最主要的是它能够将专家知识进行集中，使专家的经验知识被广泛的应用。本章主要介绍风险评估与管理工具、系统基础平台风险评估工具、风险评估辅助工具、信息安全风险评估工具的发展方向和最新成果。信息安全风险评估工具是信息安全风险评估的辅助手段111

1风险评估与管理工具

风险评估与管理工具根据信息所面临的威胁的不同分布进

行全面考虑，主要从安全管理方面入手，评估信息资产所面临

的威胁。

风险评估与管理工具主要分为3类：1．基于信息安全标准的风险评估与管理工具2．基于知识的风险评估与管理工具3．基于模型的风险评估与管理工具

1风险评估与管理工具

风险评估与管理112

1.1MBSA1.1.1MBSA简介操作系统是各种信息系统的核心，它自身的安全是影响整个信息系统安全的核心因素。作为Microsoft战略技术保护计划（StrategicTechnologyProtectionProgram）的一部分，并为了直接满足用户对于可识别安全方面的常见配置错误的简便方法的需求，Microsoft开发了Microsoft基准安全分析器MBSA（MicrosoftBaselineSecurityAnalyzer），可对Windows系列操作系统进行基线风险评估。MBSA可以对本机或者网络上WindowsNT/2000/XP的系统进行安全性检测，还可以检测其它的一些微软产品，如SQL7.0/2000、5.01以上版本的InternetExplorer、IIS4.0/5.0/5.1和Office2000/XP，是否缺少安全更新，并及时通过推荐的安全更新进行修补。

1.1MBSA113

1.1.2MBSA风险评估过程

MBSA在运行的时候需要有网络连接，运行后的界面如图6-1所示，点击“Scanacomputer”，然后在右边窗口填写要检查的主机名或IP地址，定义安全报告名，设置选项定制本次检查要检测的内容，之后按下“StartScan”，开始进行检测。

1.1.2MBSA风险评估过程114

图6-1MBSA的开始界面

图6-1MBSA的开始界面115

检测完成后，安全报告会立刻显示出来，如图6-2所示，表示一般性警告，表示严重警告，表示不存在漏洞。对于每一项扫描出漏洞的结果，基本上都提供了三个链接，其中“Whatwasscanned”显示了在这一步中扫描了哪些具体的操作；“ResultDetails”显示了扫描的详细结果；“Howtocorrectthis”显示了建议用户进行的操作，以便能够更好地解决这个问题。

检测完成后，安全报告会立刻显示出来，如图6-2116

图6-2安全报告

从扫描结果可以看出，MBSA对扫描的软件全部进行了可靠的安全评估。微软的MBSA是免费工具，下载地址：/china/technet/security/tools/mbsahome.mspx。

图6-2安全报告从扫描结果可以看出，MBSA117

1.2COBRA1.2.1COBRA简介

COBRA（Consultive,ObjectiveandBi-FunctionalRiskAnalysis）是英国的C&A系统安全公司（C&ASystemsSecurityLtd）推出的一套风险分析工具软件，主要依据ISO17799进行风险评估。COBRA1版本于1991年推出，用于风险管理评估。随着COBRA的发展，目前的产品不仅仅具有风险管理功能，还可以用于评估是否符合BS7799标准、是否符合组织自身制定的安全策略。COBRA系列工具包括风险咨询工具、ISO17799/BS7799咨询工具、策略一致性分析工具、数据安全性咨询工具。

COBRA是一个基于知识的定性风险评估工具，由3部分组成：问卷构建器、风险测量器、结果生成器。

1.2COBRA118

最后针对每类风险形成文字评估报告、风险等级（得分），所指出的风险自动与给系统造成的影响相联系。其工作机理如图6-3所示。图6-3COBRA定性风险分析方法

最后针对每类风险形成文字评估报告、风险等级（得分119

1.2.2COBRA风险评估过程COBRA风险

评估过程主要包括3个步骤:1.问题表构建2.风险评估3.报告生成

C&A公司在网站/cobdown.htm中提供了COBRA的免费试用版，但需要注册。

1.2.2COBRA风险评估过程COBRA风险120

1.3CRAMM1.3.1CRAMM简介

CRAMM（CCTARiskAnalysisandManagementMethod）是由英国政府的中央计算机与电信局(CentralComputerandTelecommunicationsAgency，CCTA)于1985年开发的一种定量风险分析工具，同时支持定性分析。 CRAMM是一种可以评估信息系统风险并确定恰当对策的结构化方法，适用于各种类型的信息系统和网络，也可以在信息系统生命周期的各个阶段使用。CRAMM包括全面的风险评估工具，并且完全遵循BS7799规范，包括依靠资产的建模、商业影响评估、识别和评估威胁和弱点、评估风险等级、识别需求和基于风险评估调整控制等。

1.3CRAMM121

1.3.2CRAMM风险评估过程

CRAMM的安全模型数据库基于著名的“资产/威胁/弱点”模型，评估过程主要包括三个阶段。1．定义研究范围和边界，识别和评价资产2．评估风险，即对威胁和弱点进行评估3．选择和推荐适当的对策

1.3.2CRAMM风险评估过程122

1.4ASSET

ASSET（AutomatedSecuritySelf-EvaluationTool）是美国国家标准技术协会NIST以NISTSP800-26（信息系统安全性自我评估向导）为标准制定的，用于安全风险自我评估的软件工具。根据NIST安全性自我评估向导，将安全级别分为五级：一般、策略、实施、测试、检验。

ASSET采用典型的基于知识的分析方法，利用问卷方式来评估系统安全现状与NISTSP800-26指南之间的差距。ASSET是一个免费工具，可以从NIST网站下载，网址是：/asset。

1.4ASSET123

1.5RiskWatch1.5.1RiskWatch简介

美国RiskWatch公司综合各类相关标准，开发了风险分析自动化软件系统，进行风险评估和风险管理，共包括五类产品，分别针对信息系统安全、物理安全、HIPAA标准、RW17799标准、港口和海运安全，分别分析信息系统安全风险、物理安全危险、以HIPAA为标准存在的安全风险、以RW17799为标准存在的安全风险、港口和海运存在的安全风险。

RiskWatch工具具有以下特点：友好的用户界面；预先定义的风险分析模板，给用户提供高效、省时的风险分析和脆弱性评估；数据关联功能；经过证明的风险分析模型。

1.5RiskWatch124

1.5.2RiskWatch风险评估

1．RiskWatch关于风险定义 风险=资产⊙损失⊙威胁⊙脆弱性⊙防护措施即：当组织有价值的资产受到某种形式威胁，形成系统脆弱性，并造成一定损失时，称系统出现风险。2．风险分析应该达到两个目标确定目标系统/设备当前状态下面临的风险；确定并推荐减少风险的防护控制措施，并证明这些措施是有效的。3．RiskWatch9.0通过使用因素关联功能和计算风险来达到上述风险分析目标

1.5.2RiskWatch风险评估125

1.6其它风险评估与管理工具

1.6.1RA/SYS

RA/SYS（RiskAnalysisSystem）是一个定量的自动化风险分析系统，包括50多个有关脆弱性和资产以及60多个有关威胁的交互文件，用于威胁和脆弱性的计算，用于成本效益、投资效益、损失的综合评估，产生威胁等级和威胁频率。

1.6其它风险评估与管理工具126

1.6.2@RISK

@RISK是由美国Palisade公司推出的风险分析工具，并不针对信息安全风险评估，主要用于商业风险分析。@RISK利用蒙特卡洛模拟法进行定量的风险评估，允许在建立模型时应用各种概率分布函数，对所有可能及其发生概率做出评估。@RISK加载到Excel上，为Excel增添了高级模型和风险分析功能，详情可以参见Palisade公司的网页。

1.6.2@RISK1271.6.3BDSS

BDSS（BayesianDecisionSupportSystem）是一个定量/定性相结合的风险分析工具，通过程序收集资产评估数据，依据系统提供的数据库，确定系统存在的潜在风险。BDSS使用灵活，除了提供定量的分析评估报告之外，还可以提供定性的、有关弱点及其防护措施的建议。1.6.3BDSS128

1.6.4CC

CC评估工具有美国NIAP发布，CC评估系统依据CC标准进行评估，评估被测信息系统达到CC标准的程度，共由两部分组成：CCPKB（CC知识库）和CCToolBox（CC评估工具集）。CCPKB是进行CC评估的支持数据库，基于Access构建。CCToolBox是进行CC评估的主要工具，主要采用页面调查形式，用户通过依次填充每个页面的调查项来完成评估，最后生成关于评估所进行的详细调查结果和最终评估报告。

1.6.4CC129

1.6.5CORA

CORA（Cost-of-RiskAnalysis）是由国际安全技术公司（InternationalSecurityTechnology,Inc.）开发的一种风险管理决策支持系统，它采用典型的定量分析方法，可以方便地采集、组织、分析并存储风险数据，为组织的风险管理决策支持提供准确的依据。网址是：

1.6.5CORA1301.6.6MSAT

MSAT（MicrosoftSecurityAccessmentTool）是微软的一个风险评估工具，与MBSA直接扫描和评估系统不同，MSAT通过填写的详细的问卷以及相关信息，处理问卷反馈，评估组织在诸如基础结构、应用程序、操作和人员等领域中的安全实践，然后提出相应的安全风险管理措施和意见。MSAT是免费工具，可以从微软网站下载，但需要注册。下载地址：/china/security/msat/default.asp。1.6.6MSAT131

1.6.7RiskPAC

RiskPAC是CSCJ公司开发的，对组织进行风险评估、业务影响分析的一个定量和定性风险评估工具。RiskPAC的风险评估过程是：确定风险评估范围、确定对分析评估结果进行反应的人员，选择问卷调查表，进行调查评估分析。RiskPAC将风险分为几个级别，根据不同风险级别问题的构建和回答，完成风险评估。

1.6.7RiskPAC132

1.7常用风险评估与管理工具对比常用风险评估与管理工具对比情况如表6-1所示:表6-1常用风险评估与管理工具对比

1.7常用风险评估与管理工具对比1332系统基础平台风险评估工具系统基础平台风险评估工具包括脆弱性扫描工具和渗透测试工具。脆弱性评估工具也称为安全扫描、漏洞扫描器，评估网络或主机系统的安全性并且报告系统的脆弱点。这些工具能够扫描网络、服务器、防火墙、路由器和应用程序，发现其中的漏洞。渗透测试工具是根据漏洞扫描工具提供的漏洞，进行模拟黑客测试，判断这些漏洞是否能够被他人利用。渗透测试的目的是检测已发现的漏洞是否真正会给系统或网络环境带来威胁。通常在风险评估的脆弱性识别阶段将脆弱性扫描工具和渗透测试工具一起使用，确定系统漏洞。2系统基础平台风险评估工具1342.1脆弱性扫描工具2.1.1脆弱性扫描概述

脆弱性也称为漏洞(Vulnerability)，是系统或保护机制内的弱点或错误，它们使信息暴露在攻击或破坏之下，如：软件包的缺陷，未受保护的系统端口，或没有上锁的门等。已验证、归档和公布的漏洞称为公开漏洞。漏洞的种类有很多，主要包括：硬件漏洞、软件漏洞和网络漏洞。脆弱性扫描的基本原理是采用模拟黑客攻击的方式对目标可能存在的脆弱性进行逐项检测，可以对工作站、服务器、交换机、数据库等各种对象进行脆弱性检测。按照扫描过程来分，扫描技术又可以分为四