信息安全风险评估工具资料下载.pdf
《信息安全风险评估工具资料下载.pdf》由会员分享,可在线阅读,更多相关《信息安全风险评估工具资料下载.pdf(109页珍藏版)》请在冰豆网上搜索。
6.1.1.2MBSA风险评估过程MBSA在运行的时候需要有网络连接,运行后的界面如图6-1所示,点击“Scanacomputer”,然后在右边窗口填写要检查的主机名或IP地址,定义安全报告名,设置选项定制本次检查要检测的内容,之后按下“StartScan”,开始进行检测。
图6-1MBSA的开始界面检测完成后,安全报告会立刻显示出来,如图6-2所示,表示一般性警告,表示严重警告,表示不存在漏洞。
对于每一项扫描出漏洞的结果,基本上都提供了三个链接,其中“Whatwasscanned”显示了在这一步中扫描了哪些具体的操作;
“ResultDetails”显示了扫描的详细结果;
“Howtocorrectthis”显示了建议用户进行的操作,以便能够更好地解决这个问题。
图6-2安全报告从扫描结果可以看出,MBSA对扫描的软件全部进行了可靠的安全评估。
微软的MBSA是免费工具,下载地址:
COBRA6.1.2.1COBRA简介COBRA(Consultive,ObjectiveandBi-FunctionalRiskAnalysis)是英国的C&
A系统安全公司(C&
ASystemsSecurityLtd)推出的一套风险分析工具软件,主要依据ISO17799进行风险评估。
COBRA1版本于1991年推出,用于风险管理评估。
随着COBRA的发展,目前的产品不仅仅具有风险管理功能,还可以用于评估是否符合BS7799标准、是否符合组织自身制定的安全策略。
COBRA系列工具包括风险咨询工具、ISO17799/BS7799咨询工具、策略一致性分析工具、数据安全性咨询工具。
COBRA是一个基于知识的定性风险评估工具,由3部分组成:
问卷构建器、风险测量器、结果生成器。
最后针对每类风险形成文字评估报告、风险等级(得分),所指出的风险自动与给系统造成的影响相联系。
其工作机理如图6-3所示。
图6-3COBRA定性风险分析方法6.1.2.2COBRA风险评估过程COBRA风险评估过程主要包括3个步骤:
1.问题表构建2.风险评估3.报告生成C&
A公司在网站http:
/www.security-risk-CRAMM6.1.3CRAMM6.1.3.1CRAMM6.1.3.1CRAMM简介简介CRAMM(CCTARiskAnalysisandManagementMethod)是由英国政府的中央计算机与电信局(CentralComputerandTelecommunicationsAgency,CCTA)于1985年开发的一种定量风险分析工具,同时支持定性分析。
CRAMM是一种可以评估信息系统风险并确定恰当对策的结构化方法,适用于各种类型的信息系统和网络,也可以在信息系统生命周期的各个阶段使用。
CRAMM包括全面的风险评估工具,并且完全遵循BS7799规范,包括依靠资产的建模、商业影响评估、识别和评估威胁和弱点、评估风险等级、识别需求和基于风险评估调整控制等。
6.1.3.2CRAMM风险评估过程CRAMM的安全模型数据库基于著名的“资产/威胁/弱点”模型,评估过程主要包括三个阶段。
1定义研究范围和边界,识别和评价资产2评估风险,即对威胁和弱点进行评估3选择和推荐适当的对策6.1.4ASSETASSET(AutomatedSecuritySelf-EvaluationTool)是美国国家标准技术协会NIST以NISTSP800-26(信息系统安全性自我评估向导)为标准制定的,用于安全风险自我评估的软件工具。
根据NIST安全性自我评估向导,将安全级别分为五级:
一般、策略、实施、测试、检验。
ASSET采用典型的基于知识的分析方法,利用问卷方式来评估系统安全现状与NISTSP800-26指南之间的差距。
ASSET是一个免费工具,可以从NIST网站下载,网址是:
csrc.nist.gov/asset。
6.1.5RiskWatch6.1.5RiskWatch6.1.5.1RiskWatch简介美国RiskWatch公司综合各类相关标准,开发了风险分析自动化软件系统,进行风险评估和风险管理,共包括五类产品,分别针对信息系统安全、物理安全、HIPAA标准、RW17799标准、港口和海运安全,分别分析信息系统安全风险、物理安全危险、以HIPAA为标准存在的安全风险、以RW17799为标准存在的安全风险、港口和海运存在的安全风险。
RiskWatch工具具有以下特点:
友好的用户界面;
预先定义的风险分析模板,给用户提供高效、省时的风险分析和脆弱性评估;
数据关联功能;
经过证明的风险分析模型。
6.1.5.2RiskWatch风险评估1RiskWatch关于风险定义风险=资产损失威胁脆弱性防护措施即:
当组织有价值的资产受到某种形式威胁,形成系统脆弱性,并造成一定损失时,称系统出现风险。
2风险分析应该达到两个目标确定目标系统/设备当前状态下面临的风险;
确定并推荐减少风险的防护控制措施,并证明这些措施是有效的。
3RiskWatch9.0通过使用因素关联功能和计算风险来达到上述风险分析目标6.1.66.1.6其它风险评估与管理工具其它风险评估与管理工具6.1.6.1RA/SYS6.1.6.1RA/SYSRA/SYS(RiskAnalysisSystem)是一个定量的自动化风险分析系统,包括50多个有关脆弱性和资产以及60多个有关威胁的交互文件,用于威胁和脆弱性的计算,用于成本效益、投资效益、损失的综合评估,产生威胁等级和威胁频率。
6.1.6.2RISK6.1.6.2RISKRISK是由美国Palisade公司推出的风险分析工具,并不针对信息安全风险评估,主要用于商业风险分析。
RISK利用蒙特卡洛模拟法进行定量的风险评估,允许在建立模型时应用各种概率分布函数,对所有可能及其发生概率做出评估。
RISK加载到Excel上,为Excel增添了高级模型和风险分析功能,详情可以参见Palisade公司的网页。
6.1.6.3BDSS6.1.6.3BDSSBDSS(BayesianDecisionSupportSystem)是一个定量/定性相结合的风险分析工具,通过程序收集资产评估数据,依据系统提供的数据库,确定系统存在的潜在风险。
BDSS使用灵活,除了提供定量的分析评估报告之外,还可以提供定性的、有关弱点及其防护措施的建议。
6.1.6.4CC6.1.6.4CCCC评估工具有美国NIAP发布,CC评估系统依据CC标准进行评估,评估被测信息系统达到CC标准的程度,共由两部分组成:
CCPKB(CC知识库)和CCToolBox(CC评估工具集)。
CCPKB是进行CC评估的支持数据库,基于Access构建。
CCToolBox是进行CC评估的主要工具,主要采用页面调查形式,用户通过依次填充每个页面的调查项来完成评估,最后生成关于评估所进行的详细调查结果和最终评估报告。
6.1.6.56.1.6.5CORACORACORA(CostCost-ofof-RiskAnalysisRiskAnalysis)是由国际安全技术公)是由国际安全技术公司(司(InternationalSecurityTechnology,Inc.InternationalSecurityTechnology,Inc.)开发的一)开发的一种风险管理决策支持系统,它采用典型的定量分析方法,可种风险管理决策支持系统,它采用典型的定量分析方法,可以方便地采集、组织、分析并存储风险数据,为组织的风险以方便地采集、组织、分析并存储风险数据,为组织的风险管理决策支持提供准确的依据。
网址是:
管理决策支持提供准确的依据。
www.istwww.ist-6.1.6.6MSATMSATMSAT(MicrosoftSecurityAccessmentToolMicrosoftSecurityAccessmentTool)是微)是微软的一个风险评估工具,与软的一个风险评估工具,与MBSAMBSA直接扫描和评估系统不同,直接扫描和评估系统不同,MMSATSAT通过填写的详细的问卷以及相关信息,处理问卷反馈,评通过填写的详细的问卷以及相关信息,处理问卷反馈,评估组织在诸如基础结构、应用程序、操作和人员等领域中的估组织在诸如基础结构、应用程序、操作和人员等领域中的安全实践,然后提出相应的安全风险管理措施和意见。
安全实践,然后提出相应的安全风险管理措施和意见。
MSATMSAT是免费工具,可以从微软网站下载,但需要注册。
是免费工具,可以从微软网站下载,但需要注册。
下载地址:
http:
/RiskPACRiskPAC是CSCJ公司开发的,对组织进行风险评估、业务影响分析的一个定量和定性风险评估工具。
RiskPAC的风险评估过程是:
确定风险评估范围、确定对分析评估结果进行反应的人员,选择问卷调查表,进行调查评估分析。
RiskPAC将风险分为几个级别,根据不同风险级别问题的构建和回答,完成风险评估。
6.1.7常用风险评估与管理工具对比常用风险评估与管理工具对比情况如表6-1所示:
表6-1常用风险评估与管理工具对比6.26.2系统基础平台风险评估工具系统基础平台风险评估工具系统基础平台风险评估工具包括脆弱性扫描工具和渗透测试工具。
脆弱性评估工具也称为安全扫描、漏洞扫描器,评估网络或主机系统的安全性并且报告系统的脆弱点。
这些工具能够扫描网络、服务器、防火墙、路由器和应用程序,发现其中的漏洞。
渗透测试工具是根据漏洞扫描工具提供的漏洞,进行模拟黑客测试,判断这些漏洞是否能够被他人利用。
渗透测试的目的是检测已发现的漏洞是否真正会给系统或网络环境带来威胁。
通常在风险评估的脆弱性识别阶段将脆弱性扫描工具和渗透测试工具一起使用,确定系统漏洞。
6.2.1脆弱性扫描工具6.2.1.1脆弱性扫描概述脆弱性也称为漏洞(Vulnerability),是系统或保护机制内的弱点或错误,它们使信息暴露在攻击或破坏之下,如:
软件包的缺陷,未受保护的系统端口,或没有上锁的门等。
已验证、归档和公布的漏洞称为公开漏洞。
漏洞的种类有很多,主要包括:
硬件漏洞、软件漏洞和网络漏洞。
脆弱
升级会员 