计算机信息安全风险评估工具课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《计算机信息安全风险评估工具课件.ppt》由用户(晟晟文业)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机信息 安全 风险 评估 工具 课件
- 资源描述:
-
1、 信息安全风险评估工具 信息安全风险评估工具是信息安全风险评估的辅助手段,是保证风险评估结果可信度的一个重要因素。信息安全风险评估工具的使用不但在一定程度上解决了手动评估的局限性,最主要的是它能够将专家知识进行集中,使专家的经验知识被广泛的应用。本章主要介绍风险评估与管理工具、系统基础平台风险评估工具、风险评估辅助工具、信息安全风险评估工具的发展方向和最新成果。1风险评估与管理工具风险评估与管理工具 风险评估与管理工具根据信息所面临的威胁的不同分布进 行全面考虑,主要从安全管理方面入手,评估信息资产所面临 的威胁。风险评估与管理工具主要分为3类:1基于信息安全标准的风险评估与管理工具 2基于知
2、识的风险评估与管理工具 3基于模型的风险评估与管理工具 1.1 MBSA 1.1.1 MBSA简介 操作系统是各种信息系统的核心,它自身的安全是影响整个信息系统安全的核心因素。作为 Microsoft 战略技术保护计划(Strategic Technology Protection Program)的一部分,并为了 直接满足用户对于可识别安全方面的常见配置错误的简便方法的需求,Microsoft 开发了 Microsoft 基准安全分析器MBSA(Microsoft Baseline Security Analyzer),可对Windows系列操作系统进行基线风险评估。MBSA可以对本机或者网
3、络上Windows NT/2000/XP的系统进行安全性检测,还可以检测其它的一些微软产品,如SQL7.0/2000、5.01以上版本的Internet Explorer、IIS4.0/5.0/5.1和Office2000/XP,是否缺少安全更新,并及时通过推荐的安全更新进行修补。1.1.2 MBSA风险评估过程 MBSA在运行的时候需要有网络连接,运行后的界面如图6-1所示,点击“Scan a computer”,然后在右边窗口填写要检查的主机名或IP地址,定义安全报告名,设置选项定制本次检查要检测的内容,之后按下“Start Scan”,开始进行检测。图6-1 MBSA的开始界面 检测完成
4、后,安全报告会立刻显示出来,如图6-2所示,表示一般性警告,表示严重警告,表示不存在漏洞。对于每一项扫描出漏洞的结果,基本上都提供了三个链接,其中“What was scanned”显示了在这一步中扫描了哪些具体的操作;“Result Details”显示了扫描的详细结果;“How to correct this”显示了建议用户进行的操作,以便能够更好地解决这个问题。图6-2 安全报告 从扫描结果可以看出,MBSA对扫描的软件全部进行了可靠的安全评估。微软的MBSA是免费工具,下载地址: COBRA 1.2.1 COBRA简介 COBRA(Consultive,Objective and Bi
5、-Functional Risk Analysis)是英国的C&A系统安全公司(C&A Systems Security Ltd)推出的一套风险分析工具软件,主要依据ISO 17799进行风险评估。COBRA 1版本于1991年推出,用于风险管理评估。随着COBRA的发展,目前的产品不仅仅具有风险管理功能,还可以用于评估是否符合BS7799标准、是否符合组织自身制定的安全策略。COBRA系列工具包括风险咨询工具、ISO17799/BS7799咨询工具、策略一致性分析工具、数据安全性咨询工具。COBRA是一个基于知识的定性风险评估工具,由3部分组成:问卷构建器、风险测量器、结果生成器。最后针对每
6、类风险形成文字评估报告、风险等级(得分),所指出的风险自动与给系统造成的影响相联系。其工作机理如图6-3所示。图6-3 COBRA定性风险分析方法1.2.2 COBRA风险评估过程COBRA风险 评估过程主要包括3个步骤:1.问题表构建 2.风险评估 3.报告生成 C&A公司在网站http:/www.security-risk- CRAMM 1.3 CRAMM 1.3.1 CRAMM 1.3.1 CRAMM简介简介 CRAMM(CCTA Risk Analysis and Management Method)是由英国政府的中央计算机与电信局(Central Computer and Telec
7、ommunications Agency,CCTA)于1985 年开发的一种定量风险分析工具,同时支持定性分析。CRAMM 是一种可以评估信息系统风险并确定恰当对策的结构化方法,适用于各种类型的信息系统和网络,也可以在信息系统生命周期的各个阶段使用。CRAMM包括全面的风险评估工具,并且完全遵循BS 7799规范,包括依靠资产的建模、商业影响评估、识别和评估威胁和弱点、评估风险等级、识别需求和基于风险评估调整控制等。1.3.2 CRAMM风险评估过程 CRAMM的安全模型数据库基于著名的“资产/威胁/弱点”模 型,评估过程主要包括三个阶段。1定义研究范围和边界,识别和评价资产 2评估风险,即对
8、威胁和弱点进行评估 3选择和推荐适当的对策 1.4 ASSET ASSET(Automated Security Self-Evaluation Tool)是美国国家标准技术协会NIST以NIST SP800-26(信息系统安全性自我评估向导)为标准制定的,用于安全风险自我评估的软件工具。根据NIST安全性自我评估向导,将安全级别分为五级:一般、策略、实施、测试、检验。ASSET采用典型的基于知识的分析方法,利用问卷方式来评估系统安全现状与NIST SP 800-26 指南之间的差距。ASSET是一个免费工具,可以从NIST网站下载,网址是:csrc.nist.gov/asset。1.5 Ri
9、skWatch 1.5 RiskWatch 1.5.1 RiskWatch简介 美国RiskWatch公司综合各类相关标准,开发了风险分析自动化软件系统,进行风险评估和风险管理,共包括五类产品,分别针对信息系统安全、物理安全、HIPAA标准、RW17799标准、港口和海运安全,分别分析信息系统安全风险、物理安全危险、以HIPAA为标准存在的安全风险、以RW17799为标准存在的安全风险、港口和海运存在的安全风险。RiskWatch工具具有以下特点:友好的用户界面;预先定义的风险分析模板,给用户提供高效、省时的风险分析和脆弱性评估;数据关联功能;经过证明的风险分析模型。1.5.2 RiskWat
10、ch风险评估 1RiskWatch关于风险定义 风险=资产损失威胁脆弱性防护措施 即:当组织有价值的资产受到某种形式威胁,形成系统脆弱性,并造成一定损失时,称系统出现风险。2风险分析应该达到两个目标 确定目标系统/设备当前状态下面临的风险;确定并推荐减少风险的防护控制措施,并证明这些措施是有效的。3RiskWatch9.0通过使用因素关联功能和计算风险来达到上述风险分析目标 1.6 1.6 其它风险评估与管理工具其它风险评估与管理工具 1.6.1 RA/SYS1.6.1 RA/SYS RA/SYS(Risk Analysis System)是一个定量的自动化风险分析系统,包括50多个有关脆弱性
11、和资产以及60多个有关威胁的交互文件,用于威胁和脆弱性的计算,用于成本效益、投资效益、损失的综合评估,产生威胁等级和威胁频率。1.6.2 RISK 1.6.2 RISK RISK是由美国Palisade公司推出的风险分析工具,并不针对信息安全风险评估,主要用于商业风险分析。RISK利用蒙特卡洛模拟法进行定量的风险评估,允许在建立模型时应用各种概率分布函数,对所有可能及其发生概率做出评估。RISK加载到Excel上,为Excel增添了高级模型和风险分析功能,详情可以参见Palisade公司的网页。1.6.3 BDSS 1.6.3 BDSSBDSS(Bayesian Decision Suppor
12、t System)是一个定量/定性相结合的风险分析工具,通过程序收集资产评估数据,依据系统提供的数据库,确定系统存在的潜在风险。BDSS使用灵活,除了提供定量的分析评估报告之外,还可以提供定性的、有关弱点及其防护措施的建议。1.6.4 CC 1.6.4 CC CC评估工具有美国NIAP发布,CC评估系统依据CC标准进行评估,评估被测信息系统达到CC标准的程度,共由两部分组成:CC PKB(CC知识库)和CC ToolBox(CC评估工具集)。CC PKB是进行CC评估的支持数据库,基于Access构建。CC ToolBox是进行CC评估的主要工具,主要采用页面调查形式,用户通过依次填充每个页面
13、的调查项来完成评估,最后生成关于评估所进行的详细调查结果和最终评估报告。1.6.5 1.6.5 CORA CORACORA(Cost-of-Risk AnalysisCost-of-Risk Analysis)是由国际安全技术公)是由国际安全技术公司(司(International Security Technology,Inc.International Security Technology,Inc.)开发的一)开发的一种风险管理决策支持系统,它采用典型的定量分析方法,可种风险管理决策支持系统,它采用典型的定量分析方法,可以方便地采集、组织、分析并存储风险数据,为组织的风险以方便地采集、组
14、织、分析并存储风险数据,为组织的风险管理决策支持提供准确的依据。网址是:管理决策支持提供准确的依据。网址是:www.ist-www.ist- 1.6.6 MSAT MSATMSAT(Microsoft Security Accessment ToolMicrosoft Security Accessment Tool)是微)是微软的一个风险评估工具,与软的一个风险评估工具,与MBSAMBSA直接扫描和评估系统不同,直接扫描和评估系统不同,M MSATSAT通过填写的详细的问卷以及相关信息,处理问卷反馈,评通过填写的详细的问卷以及相关信息,处理问卷反馈,评估组织在诸如基础结构、应用程序、操作和人
15、员等领域中的估组织在诸如基础结构、应用程序、操作和人员等领域中的安全实践,然后提出相应的安全风险管理措施和意见。安全实践,然后提出相应的安全风险管理措施和意见。MSAT MSAT是免费工具,可以从微软网站下载,但需要注册。下是免费工具,可以从微软网站下载,但需要注册。下载地址:载地址:http:/ RiskPAC RiskPAC是CSCJ公司开发的,对组织进行风险评估、业务影响分析的一个定量和定性风险评估工具。RiskPAC的风险评估过程是:确定风险评估范围、确定对分析评估结果进行反应的人员,选择问卷调查表,进行调查评估分析。RiskPAC将风险分为几个级别,根据不同风险级别问题的构建和回答,
16、完成风险评估。1.7 常用风险评估与管理工具对比常用风险评估与管理工具对比情况如表6-1所示:表6-1 常用风险评估与管理工具对比 2 2 系统基础平台风险评估工具系统基础平台风险评估工具 系统基础平台风险评估工具包括脆弱性扫描工具和渗透测试工具。脆弱性评估工具也称为安全扫描、漏洞扫描器,评估网络或主机系统的安全性并且报告系统的脆弱点。这些工具能够扫描网络、服务器、防火墙、路由器和应用程序,发现其中的漏洞。渗透测试工具是根据漏洞扫描工具提供的漏洞,进行模拟黑客测试,判断这些漏洞是否能够被他人利用。渗透测试的目的是检测已发现的漏洞是否真正会给系统或网络环境带来威胁。通常在风险评估的脆弱性识别阶段
17、将脆弱性扫描工具和渗透测试工具一起使用,确定系统漏洞。2.1 脆弱性扫描工具 2.1.1 脆弱性扫描概述 脆弱性也称为漏洞(Vulnerability),是系统或保护机制内的弱点或错误,它们使信息暴露在攻击或破坏之下,如:软件包的缺陷,未受保护的系统端口,或没有上锁的门等。已验证、归档和公布的漏洞称为公开漏洞。漏洞的种类有很多,主要包括:硬件漏洞、软件漏洞和网络漏洞。脆弱性扫描的基本原理是采用模拟黑客攻击的方式对目标可能存在的脆弱性进行逐项检测,可以对工作站、服务器、交换机、数据库等各种对象进行脆弱性检测。按照扫描过程来分,扫描技术又可以分为四大类:Ping扫描技术、端口扫描技术、操作系统探测
18、扫描技术、习惯性以及已知脆弱性的扫描技术。2.1.2 脆弱性扫描工具分类 目前对脆弱性扫描工具的研发主要分为以下几种类型:1 1基于网络的扫描器:在网络中运行,能够检测如防火墙错误配置或连接到网络上的易受攻击的网络服务器的关键漏洞。2基于主机的扫描器:发现主机的操作系统、特殊服务和配置的细节,发现潜在的用户行为风险,如密码强度不够,也可实施对文件系统的检查。3 3分布式网络扫描器:由远程扫描代理、对这些代理的即插即用更新机制、中心管理点三部分构成,用于企业级网络的脆弱性评估,分布和位于不同的位置、城市甚至不同的国家。4数据库脆弱性扫描器:对数据库的授权、认证和完整性进行详细的分析,也可以识别数
19、据库系统中潜在的脆弱性。2.2 流光(Fluxay)脆弱性扫描工具 Fluxay并不是单纯的系统脆弱性扫描工具,而且是一个功能强大的渗透测试工具。其工作原理是:首先,获得计算机系统在网络服务、版本信息、Web应用等相关信息,采用模拟攻击的方法,对目标主机系统进行攻击性的安全漏洞扫描,如弱口令测试等。如果模拟攻击成功,则视为系统脆弱性存在。其次,也可以根据系统事先定义的系统安全漏洞库对可能存在的脆弱性进行逐项检测,按照规则匹配的原则将扫描结果与安全漏洞库进行比对,如果满足匹配条件,则视为脆弱性存在。最后,根据检测结果向系统管理员提供安全性分析报告,作为系统和网络安全整体水平的评估依据。图6-4
20、流光工具启动界面 启动流光工具后可以看到它的主界面,如图6-4所示:单击“文件”菜单下的“高级扫描向导”选项,将会有如图6-5所示的界面。其中,“起始地址”和“结束地址”填写本地IP,“目标系统”可以选择ALL/Windows/Linux/UNIX,“检测项目”选择对目标主机的哪些服务进行漏洞扫描。图6-5 高级扫描向导设置 单击“下一步”按钮,出现如图6-6所示的窗口。图6-6 端口设定 通过此窗口可以对扫描主机的端口进行设置,其中自定端口扫描范A围为065535。选择“标准端口扫描”,并单击“下一步”按钮,将会弹出尝试获取POP3的版本信息和用户密码的对话框,获取FTP的版本号、尝试匿名登
21、录和尝试猜解用户的对话框,选择这三项后单击“下一步”按钮,将弹出询问获取SMTP的版本号、EXPN/VRFY扫描的对话框,获得IMAP版本信息、尝试猜解用户账号的对话框,以及获取系统版本(TELNET)、SunOS Login远程溢出和WWW版本信息的(CGI)对话框。选择这些项后单击“下一步”。CGI Rules显示的是扫描Web漏洞的信息,可按照事先定义的CGI漏洞列表选择不同的漏洞对目标主机进行扫描。其中,默认规则有2448条,如图6-7所示。单击“下一步”按钮,出现在对MS SQL 2000数据库漏洞、SA密码解密和版本信息进行扫描的对话框,如图6-8所示。图6-7 漏洞扫描设置 单击
22、SQL对话框的“下一步”按钮,出现对话框,如图6-9所示,对计算机系统的IPC漏洞进行扫描,查看是否有空连接、共享资源,获得用户列表并猜解用户密码。图6-8 MS SQL数据库漏洞扫描设置 图6-9 IPC漏洞扫描设置 选择需要进行扫描的选项,如果不选择最后一项,则此软件将对所有用户的密码进行猜解,否则只对管理员用户组的用户密码进行猜解。单击“下一步”按钮,弹出如图6-10所示的对话框。图6-10 IIS漏洞扫描设置 在这个对话框中,将设置对IIS漏洞的扫描选项,包括Unicode编码漏洞、FrontPage扩展、尝试获取SAM文件和尝试获取PcAnyWhere密码文件。单击“下一步”按钮,弹
23、出设置MISC的对话框,其中包括:BIND版本扫描、猜解MySQL密码和SSH版本扫描。单击对话框中的“下一步”按钮,弹出PLUGINS对话框,如图6-11所示。图6-11 插件漏洞扫描设置 流光软件提供了对11个插件的漏洞扫描,可根据需要进行选择。单击“下一步”按钮,弹出如图6-12所示的对话框,在这个对话框中,通过“猜解用户名字典”尝试暴力猜解,用于除了 IPC之外的项目。单击“完成”按钮,弹出“选择流光主机”对话框,如图6-13所示,可设置扫描引擎。图6-12 猜解字典设置 图6-13 选择流光主机 选择默认的本地主机作为扫描引擎,可以设置扫描速度。速度越快就越容易单击“开始”按钮进行扫
24、描。经过一段时间后会在探测结果窗口中将出现扫描的结果,类似于图6-14所示。图6-14 扫描结果 我们可以看到,示例的扫描结束后屏幕弹出检测结果框,共检测到14条结果。同时,流光还会生成扫描报告,以网页的形式保存在预设目录之下。示例的扫描结果显示主机127.0.0.1有7个端口开放并提供服务。在扫描报告当中我们还可以看到主机的端口,SMTP的版本信息和是否支持VRFY;还可以看到扫描成功的CGI漏洞和MISC信息。按照前面提出的步骤扫描主机,查看扫描结果,了解各种系统漏洞和可能造成的危害。下载相应的系统补丁,修补系统漏洞,从而构造一个相对安全的操作系统。在安装完补丁后,重新使用流光来扫描系统漏
25、洞,检查系统漏洞是否已经修补。2.3 Nessus脆弱性扫描工具 Nessus是一个功能强大的远程安全扫描器。它不仅免费而且更新极快。安全扫描器的功能是对指定网络进行安全检查,找出该网络是否存在有导致对手攻击的安全漏洞。启动Nessus的安装文件,出现图6-15。按照提示进行安装,安装结束后将在目标目录处出现两个快捷方式,如图6-16所示。双击“Nessus Client”图标,进入扫描界面,如图6-17所示。图6-15 安装Nessus界面图6-16 Nessus安装结果图6-17 Nusess的启动界面 单击“Connect”按钮,选择本地主机,进行连接。连接成功后,“Connect”按钮
展开阅读全文