信息安全风险评估工具

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

第六章信息安全风险评估工具信息安全风险评估工具是信息安全风险评估的辅助手段,是保证风险评估结果可信度的一个重要因素。信息安全风险评估工具的使用不但在一定程度上解决了手动评估的局限性,最主要的是它能够将专家知识进行集中,使专家的经验知识被广泛的应用。本章主要介绍风险评估与管理工具、系统基础平台风险评估工具、风险评估辅助工具、信息安全风险评估工具的发展方向和最新成果。6.1风险评估与管理工具风险评估与管理工具根据信息所面临的威胁的不同分布进行全面考虑,主要从安全管理方面入手,评估信息资产所面临的威胁。风险评估与管理工具主要分为3类:1.基于信息安全标准的风险评估与管理工具2.基于知识的风险评估与管理工具3.基于模型的风险评估与管理工具6.1.1MBSA6.1.1.1MBSA简介操作系统是各种信息系统的核心,它自身的安全是影响整个信息系统安全的核心因素。作为Microsoft战略技术保护计划(StrategicTechnologyProtectionProgram)的一部分,并为了直接满足用户对于可识别安全方面的常见配置错误的简便方法的需求,Microsoft开发了Microsoft基准安全分析器MBSA(MicrosoftBaselineSecurityAnalyzer),可对Windows系列操作系统进行基线风险评估。MBSA可以对本机或者网络上WindowsNT/2000/XP的系统进行安全性检测,还可以检测其它的一些微软产品,如SQL7.0/2000、5.01以上版本的InternetExplorer、IIS4.0/5.0/5.1和Office2000/XP,是否缺少安全更新,并及时通过推荐的安全更新进行修补。6.1.1.2MBSA风险评估过程MBSA在运行的时候需要有网络连接,运行后的界面如图6-1所示,点击“Scanacomputer”,然后在右边窗口填写要检查的主机名或IP地址,定义安全报告名,设置选项定制本次检查要检测的内容,之后按下“StartScan”,开始进行检测。图6-1MBSA的开始界面检测完成后,安全报告会立刻显示出来,如图6-2所示,表示一般性警告,表示严重警告,表示不存在漏洞。对于每一项扫描出漏洞的结果,基本上都提供了三个链接,其中“Whatwasscanned”显示了在这一步中扫描了哪些具体的操作;“ResultDetails”显示了扫描的详细结果;“Howtocorrectthis”显示了建议用户进行的操作,以便能够更好地解决这个问题。图6-2安全报告从扫描结果可以看出,MBSA对扫描的软件全部进行了可靠的安全评估。微软的MBSA是免费工具,下载地址:。6.1.2COBRA6.1.2.1COBRA简介COBRA(Consultive,ObjectiveandBi-FunctionalRiskAnalysis)是英国的C&A系统安全公司(C&ASystemsSecurityLtd)推出的一套风险分析工具软件,主要依据ISO17799进行风险评估。COBRA1版本于1991年推出,用于风险管理评估。随着COBRA的发展,目前的产品不仅仅具有风险管理功能,还可以用于评估是否符合BS7799标准、是否符合组织自身制定的安全策略。COBRA系列工具包括风险咨询工具、ISO17799/BS7799咨询工具、策略一致性分析工具、数据安全性咨询工具。COBRA是一个基于知识的定性风险评估工具,由3部分组成:问卷构建器、风险测量器、结果生成器。最后针对每类风险形成文字评估报告、风险等级(得分),所指出的风险自动与给系统造成的影响相联系。其工作机理如图6-3所示。图6-3COBRA定性风险分析方法6.1.2.2COBRA风险评估过程COBRA风险评估过程主要包括3个步骤:1.问题表构建2.风险评估3.报告生成C&A公司在网站中提供了COBRA的免费试用版,但需要注册。6.1.3CRAMM6.1.3.1CRAMM简介CRAMM(CCTARiskAnalysisandManagementMethod)是由英国政府的中央计算机与电信局(CentralComputerandTelecommunicationsAgency,CCTA)于1985年开发的一种定量风险分析工具,同时支持定性分析。CRAMM是一种可以评估信息系统风险并确定恰当对策的结构化方法,适用于各种类型的信息系统和网络,也可以在信息系统生命周期的各个阶段使用。CRAMM包括全面的风险评估工具,并且完全遵循BS7799规范,包括依靠资产的建模、商业影响评估、识别和评估威胁和弱点、评估风险等级、识别需求和基于风险评估调整控制等。6.1.3.2CRAMM风险评估过程CRAMM的安全模型数据库基于著名的“资产/威胁/弱点”模型,评估过程主要包括三个阶段。1.定义研究范围和边界,识别和评价资产2.评估风险,即对威胁和弱点进行评估3.选择和推荐适当的对策6.1.4ASSETASSET(AutomatedSecuritySelf-EvaluationTool)是美国国家标准技术协会NIST以NISTSP800-26(信息系统安全性自我评估向导)为标准制定的,用于安全风险自我评估的软件工具。根据NIST安全性自我评估向导,将安全级别分为五级:一般、策略、实施、测试、检验。ASSET采用典型的基于知识的分析方法,利用问卷方式来评估系统安全现状与NISTSP800-26指南之间的差距。ASSET是一个免费工具,可以从NIST网站下载,网址是:csrc.nist.gov/asset。6.1.5RiskWatch6.1.5.1RiskWatch简介美国RiskWatch公司综合各类相关标准,开发了风险分析自动化软件系统,进行风险评估和风险管理,共包括五类产品,分别针对信息系统安全、物理安全、HIPAA标准、RW17799标准、港口和海运安全,分别分析信息系统安全风险、物理安全危险、以HIPAA为标准存在的安全风险、以RW17799为标准存在的安全风险、港口和海运存在的安全风险。RiskWatch工具具有以下特点:友好的用户界面;预先定义的风险分析模板,给用户提供高效、省时的风险分析和脆弱性评估;数据关联功能;经过证明的风险分析模型。6.1.5.2RiskWatch风险评估1.RiskWatch关于风险定义风险=资产⊙损失⊙威胁⊙脆弱性⊙防护措施即:当组织有价值的资产受到某种形式威胁,形成系统脆弱性,并造成一定损失时,称系统出现风险。2.风险分析应该达到两个目标确定目标系统/设备当前状态下面临的风险;确定并推荐减少风险的防护控制措施,并证明这些措施是有效的。3.RiskWatch9.0通过使用因素关联功能和计算风险来达到上述风险分析目标6.1.6其它风险评估与管理工具6.1.6.1RA/SYSRA/SYS(RiskAnalysisSystem)是一个定量的自动化风险分析系统,包括50多个有关脆弱性和资产以及60多个有关威胁的交互文件,用于威胁和脆弱性的计算,用于成本效益、投资效益、损失的综合评估,产生威胁等级和威胁频率。6.1.6.2@RISK@RISK是由美国Palisade公司推出的风险分析工具,并不针对信息安全风险评估,主要用于商业风险分析。@RISK利用蒙特卡洛模拟法进行定量的风险评估,允许在建立模型时应用各种概率分布函数,对所有可能及其发生概率做出评估。@RISK加载到Excel上,为Excel增添了高级模型和风险分析功能,详情可以参见Palisade公司的网页。6.1.6.3BDSSBDSS(BayesianDecisionSupportSystem)是一个定量/定性相结合的风险分析工具,通过程序收集资产评估数据,依据系统提供的数据库,确定系统存在的潜在风险。BDSS使用灵活,除了提供定量的分析评估报告之外,还可以提供定性的、有关弱点及其防护措施的建议。6.1.6.4CCCC评估工具有美国NIAP发布,CC评估系统依据CC标准进行评估,评估被测信息系统达到CC标准的程度,共由两部分组成:CCPKB(CC知识库)和CCToolBox(CC评估工具集)。CCPKB是进行CC评估的支持数据库,基于Access构建。CCToolBox是进行CC评估的主要工具,主要采用页面调查形式,用户通过依次填充每个页面的调查项来完成评估,最后生成关于评估所进行的详细调查结果和最终评估报告。6.1.6.5CORACORA(Cost-of-RiskAnalysis)是由国际安全技术公司(InternationalSecurityTechnology,Inc.)开发的一种风险管理决策支持系统,它采用典型的定量分析方法,可以方便地采集、组织、分析并存储风险数据,为组织的风险管理决策支持提供准确的依据。网址是:(MicrosoftSecurityAccessmentTool)是微软的一个风险评估工具,与MBSA直接扫描和评估系统不同,MSAT通过填写的详细的问卷以及相关信息,处理问卷反馈,评估组织在诸如基础结构、应用程序、操作和人员等领域中的安全实践,然后提出相应的安全风险管理措施和意见。MSAT是免费工具,可以从微软网站下载,但需要注册。下载地址:。6.1.6.7RiskPACRiskPAC是CSCJ公司开发的,对组织进行风险评估、业务影响分析的一个定量和定性风险评估工具。RiskPAC的风险评估过程是:确定风险评估范围、确定对分析评估结果进行反应的人员,选择问卷调查表,进行调查评估分析。RiskPAC将风险分为几个级别,根据不同风险级别问题的构建和回答,完成风险评估。6.1.7常用风险评估与管理工具对比常用风险评估与管理工具对比情况如表6-1所示:表6-1常用风险评估与管理工具对比6.2系统基础平台风险评估工具系统基础平台风险评估工具包括脆弱性扫描工具和渗透测试工具。脆弱性评估工具也称为安全扫描、漏洞扫描器,评估网络或主机系统的安全性并且报告系统的脆弱点。这些工具能够扫描网络、服务器、防火墙、路由器和应用程序,发现其中的漏洞。渗透测试工具是根据漏洞扫描工具提供的漏洞,进行模拟黑客测试,判断这些漏洞是否能够被他人利用。渗透测试的目的是检测已发现的漏洞是否真正会给系统或网络环境带来威胁。通常在风险评估的脆弱性识别阶段将脆弱性扫描工具和渗透测试工具一起使用,确定系统漏洞。6.2.1脆弱性扫描工具6.2.1.1脆弱性扫描概述脆弱性也称为漏洞(Vulnerability),是系统或保护机制内的弱点或错误,它们使信息暴露在攻击或破坏之下,如:软件包的缺陷,未受保护的系统端口,或没有上锁的门等。已验证、归档和公布的漏洞称为公开漏洞。漏洞的种类有很多,主要包括:硬件漏洞、软件漏洞和网络漏洞。脆弱性扫描的基本原理是采用模拟黑客攻击的方式对目标可能存在的脆弱性进行逐项检测,可以对工作站、服务器、交换机、数据库等各种对象进行脆弱性检测。按照扫描过程来分,扫描技术又可以分为四大类:Ping扫描技术、端口扫描技术、操作系统探测扫描技术、习惯性以及已知脆弱性的扫描技术。6.2.1.2脆弱性扫描工具分类目前对脆弱性扫描工具的研发主要分为以下几种类型:1.基于网络的扫描器:在网络中运行,能够检测如防火墙错误配置或连接到网络上的易受攻击的网络服务器的关键漏洞。2.基于主机的扫描器:发现主机的操作系统、特殊服务和配置的细节,发现潜在的用户行为风险,如密码强度不够,也可实施对文件系统的检查。3.分布式网络扫描器:由远程扫描代理、对这些代理的即插即用更新机制、中心管理点三部分构成,用于企业级网络的脆弱性评估,分

1 / 109
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功