计算机信息安全风险评估工具.ppt

信息安全风险评估工具 信息安全风险评估工具是信息安全风险评估的辅助手段，是保证风险评估结果可信度的一个重要因素。信息安全风险评估工具的使用不但在一定程度上解决了手动评估的局限性，最主要的是它能够将专家知识进行集中，使专家的经验知识被广泛的应用。 本章主要介绍风险评估与管理工具、系统基础平台风险评估工具、风险评估辅助工具、信息安全风险评估工具的发展方向和最新成果。  1风险评估与管理工具  风险评估与管理工具根据信息所面临的威胁的不同分布进 行全面考虑，主要从安全管理方面入手，评估信息资产所面临 的威胁。 风险评估与管理工具主要分为3类： 1．基于信息安全标准的风险评估与管理工具 2．基于知识的风险评估与管理工具 3．基于模型的风险评估与管理工具  1.1 MBSA 1.1.1 MBSA简介 操作系统是各种信息系统的核心，它自身的安全是影响整个信息系统安全的核心因素。作为 Microsoft 战略技术保护计划（Strategic Technology Protection Program）的一部分，并为了 直接满足用户对于可识别安全方面的常见配置错误的简便方法的需求，Microsoft 开发了 Microsoft 基准安全分析器MBSA（Microsoft Baseline Security Analyzer），可对Windows系列操作系统进行基线风险评估。 MBSA可以对本机或者网络上Windows NT/2000/XP的系统进行安全性检测，还可以检测其它的一些微软产品，如SQL7.0/2000、5.01以上版本的Internet Explorer、IIS4.0/5.0/5.1和Office2000/XP，是否缺少安全更新，并及时通过推荐的安全更新进行修补。  1.1.2 MBSA风险评估过程 MBSA在运行的时候需要有网络连接，运行后的界面如图6-1所示，点击“Scan a computer”，然后在右边窗口填写要检查的主机名或IP地址，定义安全报告名，设置选项定制本次检查要检测的内容，之后按下“Start Scan”，开始进行检测。   检测完成后，安全报告会立刻显示出来，如图6-2所示，表示一般性警告，表示严重警告，表示不存在漏洞。对于每一项扫描出漏洞的结果，基本上都提供了三个链接，其中“What was scanned”显示了在这一步中扫描了哪些具体的操作；“Result Details”显示了扫描的详细结果；“How to correct this”显示了建议用户进行的操作，以便能够更好地解决这个问题。   1.2 COBRA 1.2.1 COBRA简介 COBRA（Consultive,Objective and Bi-Functional Risk Analysis）是英国的CA系统安全公司（CA Systems Security Ltd）推出的一套风险分析工具软件，主要依据ISO 17799进行风险评估。COBRA 1版本于1991年推出，用于风险管理评估。随着COBRA的发展，目前的产品不仅仅具有风险管理功能，还可以用于评估是否符合BS7799标准、是否符合组织自身制定的安全策略。COBRA系列工具包括风险咨询工具、ISO17799/BS7799咨询工具、策略一致性分析工具、数据安全性咨询工具。 COBRA是一个基于知识的定性风险评估工具，由3部分组成：问卷构建器、风险测量器、结果生成器。    1.3 CRAMM 1.3.1 CRAMM简介 CRAMM（CCTA Risk Analysis and Management Method）是由英国政府的中央计算机与电信局(Central Computer and Telecommunications Agency，CCTA)于1985 年开发的一种定量风险分析工具，同时支持定性分析。 CRAMM 是一种可以评估信息系统风险并确定恰当对策的结构化方法，适用于各种类型的信息系统和网络，也可以在信息系统生命周期的各个阶段使用。 CRAMM包括全面的风险评估工具，并且完全遵循BS 7799规范，包括依靠资产的建模、商业影响评估、识别和评估威胁和弱点、评估风险等级、识别需求和基于风险评估调整控制等。   1.4 ASSET ASSET（Automated Security Self-Evaluation Tool）是美国国家标准技术协会NIST以NIST SP800-2