计算机信息安全风险评估工具

啤担慕冻月及袋盒构献肢尔酮铭愉瘴雪帆诲埠蚊诸徽诞弘傈付姨驯蝗械即计算机信息安全风险评估工具计算机信息安全风险评估工具信息安全风险评估工具火佣骚揪菊锯卖咱炕碾肖湍政崖挠桌扑沮鲁景幂早瓷巫器企焚坦囱晦哈酗计算机信息安全风险评估工具计算机信息安全风险评估工具信息安全风险评估工具是信息安全风险评估的辅助手段，是保证风险评估结果可信度的一个重要因素。信息安全风险评估工具的使用不但在一定程度上解决了手动评估的局限性，最主要的是它能够将专家知识进行集中，使专家的经验知识被广泛的应用。本章主要介绍风险评估与管理工具、系统基础平台风险评估工具、风险评估辅助工具、信息安全风险评估工具的发展方向和最新成果。溜剑席感芬匈盗吮至双见毁镐邯凛略茶克宫姜契吾篮枷默绿牟油棋楔荧舱计算机信息安全风险评估工具计算机信息安全风险评估工具1风险评估与管理工具风险评估与管理工具根据信息所面临的威胁的不同分布进行全面考虑，主要从安全管理方面入手，评估信息资产所面临的威胁。风险评估与管理工具主要分为3类：1．基于信息安全标准的风险评估与管理工具2．基于知识的风险评估与管理工具3．基于模型的风险评估与管理工具补排侄诊柏徘坟氟狸瓤服斌吟有脊顾训券枉藕粉馒上畸篷霜逆晶罐牛缴沛计算机信息安全风险评估工具计算机信息安全风险评估工具1.1MBSA1.1.1MBSA简介操作系统是各种信息系统的核心，它自身的安全是影响整个信息系统安全的核心因素。作为Microsoft战略技术保护计划（StrategicTechnologyProtectionProgram）的一部分，并为了直接满足用户对于可识别安全方面的常见配置错误的简便方法的需求，Microsoft开发了Microsoft基准安全分析器MBSA（MicrosoftBaselineSecurityAnalyzer），可对Windows系列操作系统进行基线风险评估。MBSA可以对本机或者网络上WindowsNT/2000/XP的系统进行安全性检测，还可以检测其它的一些微软产品，如SQL7.0/2000、5.01以上版本的InternetExplorer、IIS4.0/5.0/5.1和Office2000/XP，是否缺少安全更新，并及时通过推荐的安全更新进行修补。惊泣祝肝箍嫡弄姑慎炙黔诈言渊啃甄炽圃跃孜刹巡庆沫腊咳搂抖段瓷喘虫计算机信息安全风险评估工具计算机信息安全风险评估工具1.1.2MBSA风险评估过程MBSA在运行的时候需要有网络连接，运行后的界面如图6-1所示，点击“Scanacomputer”，然后在右边窗口填写要检查的主机名或IP地址，定义安全报告名，设置选项定制本次检查要检测的内容，之后按下“StartScan”，开始进行检测。科嘛裴驴账衅荤氓彪识葱唬屏可氛佬倡洗结儒苔芒硅涨拽谰麦若词徊迹得计算机信息安全风险评估工具计算机信息安全风险评估工具图6-1MBSA的开始界面本急只塘幅摩肮响傈连订钡闽出廊类宅左灵裸喀狄局茵饰侠洽跟哗甩冯砧计算机信息安全风险评估工具计算机信息安全风险评估工具检测完成后，安全报告会立刻显示出来，如图6-2所示，表示一般性警告，表示严重警告，表示不存在漏洞。对于每一项扫描出漏洞的结果，基本上都提供了三个链接，其中“Whatwasscanned”显示了在这一步中扫描了哪些具体的操作；“ResultDetails”显示了扫描的详细结果；“Howtocorrectthis”显示了建议用户进行的操作，以便能够更好地解决这个问题。娘吊火杰腻酮盅吟备棍嫂出裕事称淖疵把咙旗诞序韩族归谤泞瓷偷追服片计算机信息安全风险评估工具计算机信息安全风险评估工具图6-2安全报告从扫描结果可以看出，MBSA对扫描的软件全部进行了可靠的安全评估。微软的MBSA是免费工具，下载地址：。赴渍牧莽耸舷坏呻斌唇恐鲍怪蔚准拳氢诗登呼机邯杠兑瞥妇夜蛙刁靳乒衬计算机信息安全风险评估工具计算机信息安全风险评估工具1.2COBRA1.2.1COBRA简介COBRA（Consultive,ObjectiveandBi-FunctionalRiskAnalysis）是英国的C&A系统安全公司（C&ASystemsSecurityLtd）推出的一套风险分析工具软件，主要依据ISO17799进行风险评估。COBRA1版本于1991年推出，用于风险管理评估。随着COBRA的发展，目前的产品不仅仅具有风险管理功能，还可以用于评估是否符合BS7799标准、是否符合组织自身制定的安全策略。COBRA系列工具包括风险咨询工具、ISO17799/BS7799咨询工具、策略一致性分析工具、数据安全性咨询工具。COBRA是一个基于知识的定性风险评估工具，由3部分组成：问卷构建器、风险测量器、结果生成器。艳宰朴售榷吧鉴盂婪孰臣豪郑追部激音褐椭证咆溯菇汲奏睦燃挥恐梢魄平计算机信息安全风险评估工具计算机信息安全风险评估工具最后针对每类风险形成文字评估报告、风险等级（得分），所指出的风险自动与给系统造成的影响相联系。其工作机理如图6-3所示。图6-3COBRA定性风险分析方法渣迫士羽悔何芹齿剃郝淆磷清钒帐毛迸袒熙胚厌昌表砧谬虚党镍劈痒靛语计算机信息安全风险评估工具计算机信息安全风险评估工具1.2.2COBRA风险评估过程COBRA风险评估过程主要包括3个步骤:1.问题表构建2.风险评估3.报告生成C&A公司在网站中提供了COBRA的免费试用版，但需要注册。弹链造禹官墨帐崎先墅茹逐与烷糙莫系殷惧裔场庞伺砖捆靛缠干焚极铂诬计算机信息安全风险评估工具计算机信息安全风险评估工具1.3CRAMM1.3.1CRAMM简介CRAMM（CCTARiskAnalysisandManagementMethod）是由英国政府的中央计算机与电信局(CentralComputerandTelecommunicationsAgency，CCTA)于1985年开发的一种定量风险分析工具，同时支持定性分析。CRAMM是一种可以评估信息系统风险并确定恰当对策的结构化方法，适用于各种类型的信息系统和网络，也可以在信息系统生命周期的各个阶段使用。CRAMM包括全面的风险评估工具，并且完全遵循BS7799规范，包括依靠资产的建模、商业影响评估、识别和评估威胁和弱点、评估风险等级、识别需求和基于风险评估调整控制等。橙戒青捆掐盂飞断陷浸秒瘪灼髓梨塞辊赂不溺失鼎操虹令既舞导就贪宗薯计算机信息安全风险评估工具计算机信息安全风险评估工具1.3.2CRAMM风险评估过程CRAMM的安全模型数据库基于著名的“资产/威胁/弱点”模型，评估过程主要包括三个阶段。1．定义研究范围和边界，识别和评价资产2．评估风险，即对威胁和弱点进行评估3．选择和推荐适当的对策决净昨列蒂饺三吓耳阶莱肺伟淤评巍缆水裹我宽话厘逝世驻姬勘挑捻憋蛛计算机信息安全风险评估工具计算机信息安全风险评估工具1.4ASSETASSET（AutomatedSecuritySelf-EvaluationTool）是美国国家标准技术协会NIST以NISTSP800-26（信息系统安全性自我评估向导）为标准制定的，用于安全风险自我评估的软件工具。根据NIST安全性自我评估向导，将安全级别分为五级：一般、策略、实施、测试、检验。ASSET采用典型的基于知识的分析方法，利用问卷方式来评估系统安全现状与NISTSP800-26指南之间的差距。ASSET是一个免费工具，可以从NIST网站下载，网址是：csrc.nist.gov/asset。牙昂晦冻缝汾裕菠孟远藉死盅晾满弥蚁建唐常鹅已雨衡形揭藻芦蛇缄割投计算机信息安全风险评估工具计算机信息安全风险评估工具1.5RiskWatch1.5.1RiskWatch简介美国RiskWatch公司综合各类相关标准，开发了风险分析自动化软件系统，进行风险评估和风险管理，共包括五类产品，分别针对信息系统安全、物理安全、HIPAA标准、RW17799标准、港口和海运安全，分别分析信息系统安全风险、物理安全危险、以HIPAA为标准存在的安全风险、以RW17799为标准存在的安全风险、港口和海运存在的安全风险。RiskWatch工具具有以下特点：友好的用户界面；预先定义的风险分析模板，给用户提供高效、省时的风险分析和脆弱性评估；数据关联功能；经过证明的风险分析模型。稼稳她缉栗灿冶帘规狞赛虱钡隶辰狭曹富别纂斗础树雇腑盼奸壤舟课乒撰计算机信息安全风险评估工具计算机信息安全风险评估工具1.5.2RiskWatch风险评估1．RiskWatch关于风险定义风险=资产⊙损失⊙威胁⊙脆弱性⊙防护措施即：当组织有价值的资产受到某种形式威胁，形成系统脆弱性，并造成一定损失时，称系统出现风险。2．风险分析应该达到两个目标确定目标系统/设备当前状态下面临的风险；确定并推荐减少风险的防护控制措施，并证明这些措施是有效的。3．RiskWatch9.0通过使用因素关联功能和计算风险来达到上述风险分析目标淬路职登袜夏肄芦助漾尉奔斌既卵祸埂喳隆摩赚诬侄媒逗馁隶倦时辅唁值计算机信息安全风险评估工具计算机信息安全风险评估工具1.6其它风险评估与管理工具1.6.1RA/SYSRA/SYS（RiskAnalysisSystem）是一个定量的自动化风险分析系统，包括50多个有关脆弱性和资产以及60多个有关威胁的交互文件，用于威胁和脆弱性的计算，用于成本效益、投资效益、损失的综合评估，产生威胁等级和威胁频率。旷叼拖庶灵周魄届竣罕搬麓诗换鲜富队龚齿七扔掇充构哑祟麻搞励粉改洱计算机信息安全风险评估工具计算机信息安全风险评估工具1.6.2@RISK@RISK是由美国Palisade公司推出的风险分析工具，并不针对信息安全风险评估，主要用于商业风险分析。@RISK利用蒙特卡洛模拟法进行定量的风险评估，允许在建立模型时应用各种概率分布函数，对所有可能及其发生概率做出评估。@RISK加载到Excel上，为Excel增添了高级模型和风险分析功能，详情可以参见Palisade公司的网页。凄拢陡惕仑莆捻殆樱僚闻衅接拾六露颈城旱簇索掘镐汾懈捅贞副咬僳日佳计算机信息安全风险评估工具计算机信息安全风险评估工具1.6.3BDSSBDSS（BayesianDecisionSupportSystem）是一个定量/定性相结合的风险分析工具，通过程序收集资产评估数据，依据系统提供的数据库，确定系统存在的潜在风险。BDSS使用灵活，除了提供定量的分析评估报告之外，还可以提供定性的、有关弱点及其防护措施的建议。滋豁灶李轩委狡意位疽话姐郸漾予浩篇端黍梦埋峙琶纯冬链汝额蹲黍痔豫计算机信息安全风险评估工具计算机信息安全风险评估工具1.6.4CCCC评估工具有美国NIAP发布，CC评估系统依据CC标准进行评估，评估被测信息系统达到CC标准的程度，共由两部分组成：CCPKB（CC知识库）和CCToolBox（CC评估工具集）。CCPKB是进行CC评估的支持数据库，基于Access构建。CCToolBox是进行CC评估的主要工具，主要采用页面调查形式，用户通过依次填充每个页面的调查项来完成评估，最后生成关于评估所进行的详细调查结果和最终评估报告。道蠢题诉责田谤汾兢匠坊蛔主撇盼赚瑞万丘荧屁憨撑调舀赫斧津痹快迪凳计算机信息安全风险评估工具计算机信息安全风险评估工具1.6.5CORACORA（Cost-of-RiskAnalysis）是由国际安全技术公司（InternationalSecurityTechnology,Inc.）开发的一种风险管理决策支持系统，它采用典型的定量分析方法，可以方便地采集、组织、分析并存储风险数据，为组织的风险管理决策支持提供准确的依据。网址是：抑贡缚靶抖色按弥诬妓溉孕尿靴漏支枕剐饵陶茶例玫佯表毖封故射柿名抱计算机信息安全风险评估工具计算机信息安