- 1、本文档共9页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
信息系统安全测评工具
测评工具分类
一、
一)安全测试工具
1、脆弱性扫描工具
脆弱性扫描工具又称安全扫描器或漏洞扫描仪,是目前应用比
较广泛的安全测试工具之一,主要用于识别网络、操作系统、数
据库、应用的脆弱性,给出修补建议。
1)基于网络的扫描工具:通过网络实现扫描,可以看作是一
钟漏洞信息收集工具,根据不同漏洞的特征,构造网络数据包,
发给网络中的一个或多个目标,以判断某个特定的漏洞是否存
在,能够检测防火墙、IDS等网络层设备的错误配置或者链接到
网络中的网络服务器的关键漏洞。
常用工具:天镜脆弱性扫描与管理系统、极光远程安全评估系
统、榕基网络隐患扫描系统、Nessus与Nmap等。
2)基于主机的扫描工具:通常在目标系统上安装一个代理
(Agent)或者是服务(Services),以便能够访问所有的主机文
件与进程,这也使得基于主机的漏洞扫描器能够扫描更多系统层
面的漏洞。
常用工具:微软基线安全分析器、日志分析工具与木马查杀工
具等。
3)数据库安全扫描工具:通过授权或非授权模式,自动、深
入地识别数据库系统中存在的多种安全隐患,包括数据库的鉴
第1页
别、授权、认证、配置等一系列安全问题,也可识别数据库系统
中潜在的弱点,并依据内置的知识库对违背与不遵循数据库安全
性策略的做法推荐修正措施。
常用工具:安信通数据库安全扫描工具、明鉴数据库弱点扫描
器等商业产品,还有oscanner、Mysqlweak等专项审核工具。
4)Web应用安全扫描工具:通过构造多种形式的Web访问
请求,远程访问目标应用特定端口的服务,记录反馈信息,并与
内置的漏洞库进行匹配,判断确认Web应用程序中的安全缺陷,
确认Web应用程序遭受恶意攻击的危险。
常用工具:AppScan、WebRavor、WebInspect、Acunetix
WebVulnerabilityScanner、N-Stealth等。
2、渗透测试工具
渗透测试需要以脆弱性扫描工具扫描的结果为基础信息,结合
专用的渗透测试工具开展模拟探测与入侵,判断被非法访问者利
用的可能性,从而进一步判断已知的脆弱性是否真正会给系统或
网络带来影响。
常用工具:流光(Fluxay)、Pangolin、Canvas、SQLMap、
SQLIer、SQLPowerInjector与SQLNinja等。
3、静态分析工具
静态程序分析是指使用自动化或半自动化工具软件对程序源
代码进行检查,以分析程序行为的技术,广泛应用于程序的正确
性检查、安全缺陷检测、程序优化等。
第2页
常用工具:FortifySCA、CheckmarkCxSuite、IBM
RationalAppScanSourceEdition、PC-Lint、KlocWork公
司的K7,以及其他的开源软件及商业软件。
二)测评辅助工具
测评辅助工具主要实现对原始数据的采集、现状分析与趋势分
析等单项功能,其输出结果可作为了解被测系统某方面特性或现
状、进一步开展相关安全测试的输入,也可以直接作为系统安全
评估的技术依据。
1、性能测试工具
性能测试工具是通过自动化手段模拟多种正常、峰值以及异常
负载条件来对系统或网络负载、强度或容量等各项性能指标进行
测试的工具。性能测试可分为应用在客户端性能的测试、应用在
网络上性能的测试与应用在服务器端性能的测试。
常用工具:IXIA、Ava
文档评论(0)