信息安全风险评估工具资料.pdfVIP

第六章 信息安全风险评估工具 信息安全风险评估工具是信息安全风险评估的辅助手段，是 保证风险评估结果可信度的一个重要因素。信息安全风险评估工 具的使用不但在一定程度上解决了手动评估的局限性，最主要的 是它能够将专家知识进行集中，使专家的经验知识被广泛的应用。 本章主要介绍风险评估与管理工具、系统基础平台风险评估 工具、风险评估辅助工具、信息安全风险评估工具的发展方向和 最新成果。 6.1风险评估与管理工具 风险评估与管理工具根据信息所面临的威胁的不同分布进 行全面考虑，主要从安全管理方面入手，评估信息资产所面临 的威胁。 风险评估与管理工具主要分为3类： 1．基于信息安全标准的风险评估与管理工具 2．基于知识的风险评估与管理工具 3．基于模型的风险评估与管理工具 6.1.1 MBSA MBSA简介 操作系统是各种信息系统的核心，它自身的安全是影响整个 信息系统安全的核心因素。作为 Microsoft 战略技术保护计划 （Strategic Technology Protection Program）的一部分，并 为了 直接满足用户对于可识别安全方面的常见配置错误的简便 方法的需求，Microsoft 开发了 Microsoft 基准安全分析器MBS A （Microsoft Baseline Security Analyzer），可对Windows系 列操作系统进行基线风险评估。 MBSA可以对本机或者网络上Windows NT/2000/XP的系统进行 安全性检测，还可以检测其它的一些微软产品，如SQL7.0/2000、 5.01以上版本的Internet Explorer、IIS4.0/5.0/5.1和Office2 000/XP，是否缺少安全更新，并及时通过推荐的安全更新进行修 补。 MBSA风险评估过程 MBSA在运行的时候需要有网络连接，运行后的界面如图6-1 所示，点击“Scan a computer”，然后在右边窗口填写要检 查的主机名或IP地址，定义安全报告名，设置选项定制本次检 查要检测的内容，之后按下“Start Scan”，开始进行检测。 图6-1 MBSA的开始界面 检测完成后，安全报告会立刻显示出来，如图6-2所示， 表示一般性警告，表示严重警告，表示不存在漏洞。对于每 一项扫描出漏洞的结果，基本上都提供了三个链接，其中“W hat was scanned”显示了在这一步中扫描了哪些具体的操作； “Result Details”显示了扫描的详细结果；“How to corr ect this”显示了建议用户进行的操作，以便能够更好地解 决这个问题。 图6-2 安全报告 从扫描结果可以看出，MBSA对扫描的软件全部进行了可靠 的安全评估。微软的MBSA是免费工具，下载地址：www.microsoft. com/china/technet/security/tools/mbsahome.mspx。 6.1.2 COBRA COBRA简介 COBRA （Consultive,Objective and Bi-Functional Ris k Analysis）是英国的CA系统安全公司（CA Systems Secur ity Ltd）推出的一套风险分析工具软件，主要依据ISO 17799 进行风险评估。COBRA 1版本于1991年推出，用于风险管理评 估。随着COBRA的发展，目前的产品不仅仅具有风险管理功能， 还可以用于评估是否符合BS7799标准、是否符合组织自身制定 的安全策略。COBRA系列工具包括风险咨询工具、ISO17799/BS 7799咨询工具、策略一致性分析工具、数据安全性咨询工具。 COBRA是一个基于知识的定性风险评估工具，由3部分组成： 问卷构建器、风险测量器、结果生成器。 最后针对每类风险形成文字评估报告、风险等级（得 分），所指出的风险自动与给系统造成的影响相联系。其 工作机理如图6-3所示。 图6-3 COBRA定性风险分析方法 COBRA风险评估过程COBRA风险 评估过程主要包括3个步骤: 1.问题表构建 2.风险评估 3.报告生成 CA公司在网站http: