欢迎来到天天文库
浏览记录
ID:51857004
大小:46.00 KB
页数:6页
时间:2020-03-17
《风险测评的评估工具.doc》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、评估工具发布时间:2008-01-17 录入:启明星辰综合性评估工具。脆弱性检测工具,如漏洞扫描等。渗透性测试工具,如黑客工具等。辅助性评估工具,如入侵监测系统、安全审计系统、漏洞库、安全知识库等。 风险评估工具的分类目前对风险评估工具的分类还没有一个统一的理解。风险评估工具被分为三类:预防、响应和检测。通常情况下技术人员会把漏洞扫描工具称为风险评估工具,确实在对信息基础设施进行风险评估过程中,漏洞扫描工具发挥着不可替代的作用,通过漏洞扫描工具发现系统存在的漏洞、不合理配置等问题,根据漏洞扫描结
2、果提供的线索,利用渗透性测试分析系统存在的风险。随着人们对信息资产的深入理解,发现信息资产不只包括存在于计算机环境中的数据、文档,信息在组织中的各种载体中传播,包括纸质载体、人员等,因此信息安全包括更广泛的范围。同时,信息安全管理者发现解决信息安全的问题在于预防。在此基础上,许多国家和组织都建立了针对于预防安全事件发生的风险评估指南和方法。基于这些方法,开发出了一些工具,如CRAMM、RA等,这些工具统称为风险评估工具。这些工具主要从管理的层面上,考虑包括信息安全技术在内的一系列与信息安全有关的
3、问题,如安全规定、人员管理、通信保障、业务连续性以及法律法规等各方面的因素,对信息安全有一个整体宏观的评价。其实,一个完整的风险评估所考虑的问题不只关键资产在是某个时间状态下的威胁、脆弱点情况,以往一段时间内的攻击情况和安全事故都是风险分析过程中用于确定风险的客观支持。那么对这些攻击事件的检测和记录工具也是风险评估过程中不可缺少的工具。因此,将入侵监测系统也作为风险评估工具的一种。可见,对风险评估工具的类型划分是人们在对信息安全风险评估不断认识、以及对评估过程不断完善的过程中逐渐形成的。根据在风
4、险评估过程中的主要任务和作用原理的不同,将风险评估工具分为三类:综合风险评估与管理工具、信息基础设施风险评估工具、风险评估辅助工具。综合风险评估与管理工具。这种工具根据信息所面临的威胁的不同分布进行全面考虑,在风险评估的同时根据面临的风险提供相应的控制措施和解决办法。这种风险评估工具通常建立在一定的算法之上,风险由关键信息资产、资产所面临的威胁以及威胁所利用的脆弱点三者来确定,如RA。也有通过建立专家系统,利用专家经验进行风险分析,给出专家结论,这种评估工具需要不断进行知识库的扩充,以适应不同的
5、需要,如COBRA。信息基础设施风险评估工具。包括脆弱点评估工具和渗透性测试工具。脆弱点评估工具也称为安全扫描、漏洞扫描器,评估网络或主机系统的安全性并且报告系统脆弱点。这些工具能够扫描网络、服务器、防火墙、路由器和应用程序发现其中的漏洞。通常情况下,这些工具能够发现软件和硬件中已知的安全漏洞,以决定系统是否易受已知攻击的影响,并且寻找系统脆弱点,比如安装方面与建立的安全策略相悖等。渗透性测试工具是根据漏洞扫描工具提供的漏洞,进行模拟黑客测试,判断是否这些漏洞能够被他人利用。这种工具通常包括一些
6、黑客工具,也可以是一些脚本文件。风险评估辅助工具。这种工具在风险评估过程中不可缺少,它用来收集评估所需要的数据和资料,帮助完成现状分析和趋势分析。如入侵监测系统,帮助检测各种攻击试探和误造作,它可以作为一个警报器,提醒管理员发生的安全状况。同时安全漏洞库、知识库都是风险评估不可或缺的支持手段。从风险评估工具的分类来看,风险评估辅助工具涉及到信息安全的其他技术体系,因此这里只分析综合风险评估与管理工具和脆弱点评估工具,他们构成了风险评估工具的主体部分。 信息基础设施风险评估工具目前,每年有数以百计
7、的新的安全漏洞被发现,每月都会发布一打新的补丁。对于系统和网络管理原来说评估和管理网络系统潜在的安全风险变得越来越重要。主动的漏洞扫描能够在证明危险发生前帮助识别不需要的服务或安全漏洞。信息基础设施风险评估工具的研发现状主要分析漏洞扫描工具。漏洞扫描工具是提供网络或主机系统安全漏洞监测和分析的软件。漏洞扫描器扫描网络或主机的安全漏洞,并发布扫描结果使用户对关键漏洞迅速响应。漏洞扫描工具的主要类型基于网络的扫描器:在网络中运行。能够监测如防火墙错误配置或连接到网络上的易受攻击的网络服务器的关键漏洞
8、。基于主机的扫描器:发现主机的操作系统、特殊服务和配置的细节。能够发现潜在的用户行为风险,比如密码强度不够。对于文件系统的检查也是一个很好的工具。战争拨号器(wardialer):通过拨打一系列号码或简单的随机号码能够找到响应的调制解调器。这样用于检查未授权的或不安全的调制解调器,这些调制解调器一旦被渗透将使攻击者越过防火墙进入用户网络。安全专家和系统管理员可以通过战争拨号器评估和测量调制解调器安全策略的有效性。数据库漏洞扫描:对数据库的授权,认证和完整性进行详细的分析。也可以识别数据库系统中潜
此文档下载收益归作者所有