风险测评的评估工具

评估工具

发布时间：2008-01-17 录入：启明星辰

综合性评估工具。

脆弱性检测工具，如漏洞扫描等。

渗透性测试工具，如黑客工具等。

辅助性评估工具，如入侵监测系统、安全审计系统、漏洞库、安全知识库等。

风险评估工具的分类

目前对风险评估工具的分类还没有一个统一的理解。风险评估工具被分为三类：预防、响应和检测。通常情况下技术人员会把漏洞扫描工具称为风险评估工具，确实在对信息基础设施进行风险评估过程中，漏洞扫描工具发挥着不可替代的作用，通过漏洞扫描工具发现系统存在的漏洞、不合理配置等问题，根据漏洞扫描结果提供的线索，利用渗透性测试分析系统存在的风险。随着人们对信息资产的深入理解，发现信息资产不只包括存在于计算机环境中的数据、文档，信息在组织中的各种载体中传播，包括纸质载体、人员等，因此信息安全包括更广泛的范围。同时，信息安全管理者发现解决信息安全的问题在于

预防。在此基础上，许多国家和组织都建立了针对于预防安全事件发生的风险评估指南和方法。基于这些方法，开发出了一些工具，如CRAMM、RA等，这些工具统称为风险评估工具。这些工具主要从管理的层面上，考虑包括信息安全技术在内的一系列与信息安全有关的问题，如安全规定、人员管理、通信保障、业务连续性以及法律法规等各方面的因素，对信息安全有一个整体宏观的评价。其实，一个完整的风险评估所考虑的问题不只关键资产在是某个时间状态下的威胁、脆弱点情况，以往一段时间内的攻击情况和安全事故都是风险分析过程中用于确定风险的客观支持。那么对这些攻击事件的检测和记录工具也是风险评估过程中不可缺少的工具。因此，将入侵监测系统也作为风险评估工具的一种。可见，对风险评估工具的类型划分是人们在对信息安全风险评估不断认识、以及对评估过程不断完善的过程中逐渐形成的。根据在风险评估过程中的主要任务和作用原理的不同，将风险评估工具分为三类：综合风险评估与管理工具、信息基础设施风险评估工具、风险评估辅助工具。

综合风险评估与管理工具。这种工具根据信息所面临的威胁的不同分布进行全面考虑，在风险评估的同时根据面临的风险提供相应的控制措施和解决办法。这种风险评估工具通常建立在一定的算法之上，风险由关键信息资产、资产所面临的威胁以及威胁所利用的脆弱点三者来确定，如RA。也有通过建立专家系统，利用专家经验进行风险分析，给出专家结论，这种评估工具需要不断进行知识库的扩充，以适

应不同的需要，如COBRA。

信息基础设施风险评估工具。包括脆弱点评估工具和渗透性测试工具。脆弱点评估工具也称为安全扫描、漏洞扫描器，评估网络或主机系统的安全性并且报告系统脆弱点。这些工具能够扫描网络、服务器、防火墙、路由器和应用程序发现其中的漏洞。通常情况下，这些工具能够发现软件和硬件中已知的安全漏洞，以决定系统是否易受已知攻击的影响，并且寻找系统脆弱点，比如安装方面与建立的安全策略相悖等。渗透性测试工具是根据漏洞扫描工具提供的漏洞，进行模拟黑客测试，判断是否这些漏洞能够被他人利用。这种工具通常包括一些黑客工具，也可以是一些脚本文件。

风险评估辅助工具。这种工具在风险评估过程中不可缺少，它用来收集评估所需要的数据和资料，帮助完成现状分析和趋势分析。如入侵监测系统，帮助检测各种攻击试探和误造作，它可以作为一个警报器，提醒管理员发生的安全状况。同时安全漏洞库、知识库都是风险评估不可或缺的支持手段。

从风险评估工具的分类来看，风险评估辅助工具涉及到信息安全的其他技术体系，因此这里只分析综合风险评估与管理工具和脆弱点评估工具，他们构成了风险评估工具的主体部分。

信息基础设施风险评估工具

目前，每年有数以百计的新的安全漏洞被发现，每月都会发布一打新的补丁。对于系统和网络管理原来说评估和管理网络系统潜在的安全风险变得越来越重要。主动的漏洞扫描能够在证明危险发生前帮助识别不需要的服务或安全漏洞。信息基础设施风险评估工具的研发现状主要分析漏洞扫描工具。漏洞扫描工具是提供网络或主机系统安全漏洞监测和分析的软件。漏洞扫描器扫描网络或主机的安全漏洞，并发布扫描结果使用户对关键漏洞迅速响应。

漏洞扫描工具的主要类型

基于网络的扫描器：在网络中运行。能够监测如防火墙错误配置或连接到网络上的易受攻击的网络服务器的关键漏洞。

基于主机的扫描器：发现主机的操作系统、特殊服务和配置的细节。能够发现潜在的用户行为风险，比如密码强度不够。对于文件系统的检查也是一个很好的工具。

战争拨号器（wardialer）：通过拨打一系列号码或简单的随机号码能够找到响应的调制解调器。这样用于检查未授权的或不安全的调制解调器，这些调制解调器一旦被渗透将使攻击者越过防火墙进入用户网

络。安全专家和系统管理员可以通过战争拨号器评估和测量调制解调器安全策略的有效性。

数据库漏洞扫描：对数据库的授权，认证和完整性进行详细的分析。也可以识别数据库系统中潜在的安全漏洞。

分布式网络扫描器：用于城市商业银行级网络的漏洞评估，广泛地分布和位于不同的位置，城市甚至不同的国家。通常分布式网络扫描器由远程扫描代理、对这些代理的即插即用更新机制和中心管理点构成。这样漏洞评估可以从一个地方对多个地理分布的网络进行。

目前对漏洞扫描工具衡量标准是：监测到主要漏洞的准确性。过去，对漏洞扫描工具的宣传和开发似乎成了玩弄数字的游戏。厂商经常以能够检测到的漏洞的数量来宣传他们的产平。而纯粹数量计算在很多时候都会给人以误导。比如，入侵监测系统的厂商当提到他们的产品所采用的入侵特征时会强调采用特征的数量。病毒扫描软件厂商也通过强调数量来支持他们监测恶意代码的有效性。漏洞扫描也不例外，也会强调它们产品嵌入的漏洞检测的数量。也许很多人认为数量越多越好，但事实上我们需要的不止这些。我们需要的是能够准确的识别并对紧急漏洞进行报告，而不是不正确报告结论却要经过上亿次扫描的工具。

优秀的漏洞扫描工具特性

最新的漏洞检测库，为此工具开发上应各有不同的办法监控新发现的漏洞。漏洞库的更新不能在一个重大漏洞发现一个月后才进行。

扫描工具必须准确并使误报率减少到最小。在小范围的漏洞扫描报告中存在几个不确定的警告是一回事，经过大范围的扫描后出现成百上千的不确定警报是另外一回事。如果在扫描既有十台机器的环境下的误报率是3%，那么依据此情况类推在大型网络环境下回是什么结果呢?

扫描器有某种可升级的后端，能够存储多个扫描结果并提供趋势分析的手段。比如天镜脆弱性扫描与管理系统、Internet Scanner能够将过去扫描的结果调出与本次扫描地进行比较，而eEye’s Retina[ ] 没有管理多组扫描数据的功能。

理想的扫描工具应包括清晰的且准确地提供弥补发现问题的信息。如Axent's NetRecon，Internet Scanner，天镜脆弱性扫描与管理系统能够提供漏洞修复信息，而SAINT和SARA在这方面有所欠缺