計(jì)算機(jī)信息安全風(fēng)險(xiǎn)評估工具

信息平安風(fēng)險(xiǎn)評估工具信息平安風(fēng)險(xiǎn)評估工具是信息平安風(fēng)險(xiǎn)評估的輔助手段，是保證風(fēng)險(xiǎn)評估結(jié)果可信度的一個(gè)重要因素。信息平安風(fēng)險(xiǎn)評估工具的使用不但在一定程度上解決了手動(dòng)評估的局限性，最主要的是它能夠?qū)＜抑R(shí)進(jìn)行集中，使專家的經(jīng)驗(yàn)知識(shí)被廣泛的應(yīng)用。本章主要介紹風(fēng)險(xiǎn)評估與管理工具、系統(tǒng)根底平臺(tái)風(fēng)險(xiǎn)評估工具、風(fēng)險(xiǎn)評估輔助工具、信息平安風(fēng)險(xiǎn)評估工具的開展方向和最新成果。

1風(fēng)險(xiǎn)評估與管理工具

風(fēng)險(xiǎn)評估與管理工具根據(jù)信息所面臨的威脅的不同分布進(jìn)

行全面考慮，主要從平安管理方面入手，評估信息資產(chǎn)所面臨

的威脅。風(fēng)險(xiǎn)評估與管理工具主要分為3類：1．基于信息平安標(biāo)準(zhǔn)的風(fēng)險(xiǎn)評估與管理工具2．基于知識(shí)的風(fēng)險(xiǎn)評估與管理工具3．基于模型的風(fēng)險(xiǎn)評估與管理工具

1.1MBSA1.1.1MBSA簡介操作系統(tǒng)是各種信息系統(tǒng)的核心，它自身的平安是影響整個(gè)信息系統(tǒng)平安的核心因素。作為Microsoft戰(zhàn)略技術(shù)保護(hù)方案〔StrategicTechnologyProtectionProgram〕的一局部，并為了直接滿足用戶對于可識(shí)別平安方面的常見配置錯(cuò)誤的簡便方法的需求，Microsoft開發(fā)了Microsoft基準(zhǔn)平安分析器MBSA〔MicrosoftBaselineSecurityAnalyzer〕，可對Windows系列操作系統(tǒng)進(jìn)行基線風(fēng)險(xiǎn)評估。MBSA可以對本機(jī)或者網(wǎng)絡(luò)上WindowsNT/2000/XP的系統(tǒng)進(jìn)行平安性檢測，還可以檢測其它的一些微軟產(chǎn)品，如SQL7.0/2000、5.01以上版本的InternetExplorer、IIS4.0/5.0/5.1和Office2000/XP，是否缺少平安更新，并及時(shí)通過推薦的平安更新進(jìn)行修補(bǔ)。

1.1.2MBSA風(fēng)險(xiǎn)評估過程MBSA在運(yùn)行的時(shí)候需要有網(wǎng)絡(luò)連接，運(yùn)行后的界面如圖6-1所示，點(diǎn)擊“Scanacomputer〞，然后在右邊窗口填寫要檢查的主機(jī)名或IP地址，定義平安報(bào)告名，設(shè)置選項(xiàng)定制本次檢查要檢測的內(nèi)容，之后按下“StartScan〞，開始進(jìn)行檢測。

圖6-1MBSA的開始界面

檢測完成后，平安報(bào)告會(huì)立刻顯示出來，如圖6-2所示，表示一般性警告，表示嚴(yán)重警告，表示不存在漏洞。對于每一項(xiàng)掃描出漏洞的結(jié)果，根本上都提供了三個(gè)鏈接，其中“Whatwasscanned〞顯示了在這一步中掃描了哪些具體的操作；“ResultDetails〞顯示了掃描的詳細(xì)結(jié)果；“Howtocorrectthis〞顯示了建議用戶進(jìn)行的操作，以便能夠更好地解決這個(gè)問題。

圖6-2平安報(bào)告從掃描結(jié)果可以看出，MBSA對掃描的軟件全部進(jìn)行了可靠的平安評估。微軟的MBSA是免費(fèi)工具，下載地址：。

1.2COBRA1.2.1COBRA簡介COBRA〔Consultive,ObjectiveandBi-FunctionalRiskAnalysis〕是英國的C&A系統(tǒng)平安公司〔C&ASystemsSecurityLtd〕推出的一套風(fēng)險(xiǎn)分析工具軟件，主要依據(jù)ISO17799進(jìn)行風(fēng)險(xiǎn)評估。COBRA1版本于1991年推出，用于風(fēng)險(xiǎn)管理評估。隨著COBRA的開展，目前的產(chǎn)品不僅僅具有風(fēng)險(xiǎn)管理功能，還可以用于評估是否符合BS7799標(biāo)準(zhǔn)、是否符合組織自身制定的平安策略。COBRA系列工具包括風(fēng)險(xiǎn)咨詢工具、ISO17799/BS7799咨詢工具、策略一致性分析工具、數(shù)據(jù)平安性咨詢工具。COBRA是一個(gè)基于知識(shí)的定性風(fēng)險(xiǎn)評估工具，由3局部組成：問卷構(gòu)建器、風(fēng)險(xiǎn)測量器、結(jié)果生成器。

最后針對每類風(fēng)險(xiǎn)形成文字評估報(bào)告、風(fēng)險(xiǎn)等級〔得分〕，所指出的風(fēng)險(xiǎn)自動(dòng)與給系統(tǒng)造成的影響相聯(lián)系。其工作機(jī)理如圖6-3所示。圖6-3COBRA定性風(fēng)險(xiǎn)分析方法

1.2.2COBRA風(fēng)險(xiǎn)評估過程COBRA風(fēng)險(xiǎn)

評估過程主要包括3個(gè)步驟:1.問題表構(gòu)建2.風(fēng)險(xiǎn)評估3.報(bào)告生成

C&A公司在網(wǎng)站中提供了COBRA的免費(fèi)試用版，但需要注冊。

1.3CRAMM1.3.1CRAMM簡介CRAMM〔CCTARiskAnalysisandManagementMethod〕是由英國政府的中央計(jì)算機(jī)與電信局(CentralComputerandTelecommunicationsAgency，CCTA)于1985年開發(fā)的一種定量風(fēng)險(xiǎn)分析工具，同時(shí)支持定性分析。 CRAMM是一種可以評估信息系統(tǒng)風(fēng)險(xiǎn)并確定恰當(dāng)對策的結(jié)構(gòu)化方法，適用于各種類型的信息系統(tǒng)和網(wǎng)絡(luò)，也可以在信息系統(tǒng)生命周期的各個(gè)階段使用。CRAMM包括全面的風(fēng)險(xiǎn)評估工具，并且完全遵循BS7799標(biāo)準(zhǔn)，包括依靠資產(chǎn)的建模、商業(yè)影響評估、識(shí)別和評估威脅和弱點(diǎn)、評估風(fēng)險(xiǎn)等級、識(shí)別需求和基于風(fēng)險(xiǎn)評估調(diào)整控制等。

1.3.2CRAMM風(fēng)險(xiǎn)評估過程CRAMM的平安模型數(shù)據(jù)庫基于著名的“資產(chǎn)/威脅/弱點(diǎn)〞模型，評估過程主要包括三個(gè)階段。1．定義研究范圍和邊界，識(shí)別和評價(jià)資產(chǎn)2．評估風(fēng)險(xiǎn)，即對威脅和弱點(diǎn)進(jìn)行評估3．選擇和推薦適當(dāng)?shù)膶Σ?/p>

1.4ASSETASSET〔AutomatedSecuritySelf-EvaluationTool〕是美國國家標(biāo)準(zhǔn)技術(shù)協(xié)會(huì)NIST以NISTSP800-26〔信息系統(tǒng)平安性自我評估向?qū)А碁闃?biāo)準(zhǔn)制定的，用于平安風(fēng)險(xiǎn)自我評估的軟件工具。根據(jù)NIST平安性自我評估向?qū)В瑢⑵桨布墑e分為五級：一般、策略、實(shí)施、測試、檢驗(yàn)。ASSET采用典型的基于知識(shí)的分析方法，利用問卷方式來評估系統(tǒng)平安現(xiàn)狀與NISTSP800-26指南之間的差距。ASSET是一個(gè)免費(fèi)工具，可以從NIST網(wǎng)站下載，網(wǎng)址是：。

1.5RiskWatch1.5.1RiskWatch簡介美國RiskWatch公司綜合各類相關(guān)標(biāo)準(zhǔn)，開發(fā)了風(fēng)險(xiǎn)分析自動(dòng)化軟件系統(tǒng)，進(jìn)行風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)管理，共包括五類產(chǎn)品，分別針對信息系統(tǒng)平安、物理平安、HIPAA標(biāo)準(zhǔn)、RW17799標(biāo)準(zhǔn)、港口和海運(yùn)平安，分別分析信息系統(tǒng)平安風(fēng)險(xiǎn)、物理平安危險(xiǎn)、以HIPAA為標(biāo)準(zhǔn)存在的平安風(fēng)險(xiǎn)、以RW17799為標(biāo)準(zhǔn)存在的平安風(fēng)險(xiǎn)、港口和海運(yùn)存在的平安風(fēng)險(xiǎn)。RiskWatch工具具有以下特點(diǎn)：友好的用戶界面；預(yù)先定義的風(fēng)險(xiǎn)分析模板，給用戶提供高效、省時(shí)的風(fēng)險(xiǎn)分析和脆弱性評估；數(shù)據(jù)關(guān)聯(lián)功能；經(jīng)過證明的風(fēng)險(xiǎn)分析模型。

1.5.2RiskWatch風(fēng)險(xiǎn)評估1．RiskWatch關(guān)于風(fēng)險(xiǎn)定義 風(fēng)險(xiǎn)=資產(chǎn)⊙損失⊙威脅⊙脆弱性⊙防護(hù)措施即：當(dāng)組織有價(jià)值的資產(chǎn)受到某種形式威脅，形成系統(tǒng)脆弱性，并造成一定損失時(shí)，稱系統(tǒng)出現(xiàn)風(fēng)險(xiǎn)。2．風(fēng)險(xiǎn)分析應(yīng)該到達(dá)兩個(gè)目標(biāo)確定目標(biāo)系統(tǒng)/設(shè)備當(dāng)前狀態(tài)下面臨的風(fēng)險(xiǎn)；確定并推薦減少風(fēng)險(xiǎn)的防護(hù)控制措施，并證明這些措施是有效的。3．RiskWatch9.0通過使用因素關(guān)聯(lián)功能和計(jì)算風(fēng)險(xiǎn)來到達(dá)上述風(fēng)險(xiǎn)分析目標(biāo)

1.6其它風(fēng)險(xiǎn)評估與管理工具1.6.1RA/SYSRA/SYS〔RiskAnalysisSystem〕是一個(gè)定量的自動(dòng)化風(fēng)險(xiǎn)分析系統(tǒng)，包括50多個(gè)有關(guān)脆弱性和資產(chǎn)以及60多個(gè)有關(guān)威脅的交互文件，用于威脅和脆弱性的計(jì)算，用于本錢效益、投資效益、損失的綜合評估，產(chǎn)生威脅等級和威脅頻率。

1.6.2@RISK @RISK是由美國Palisade公司推出的風(fēng)險(xiǎn)分析工具，并不針對信息平安風(fēng)險(xiǎn)評估，主要用于商業(yè)風(fēng)險(xiǎn)分析。@RISK利用蒙特卡洛模擬法進(jìn)行定量的風(fēng)險(xiǎn)評估，允許在建立模型時(shí)應(yīng)用各種概率分布函數(shù)，對所有可能及其發(fā)生概率做出評估。@RISK加載到Excel上，為Excel增添了高級模型和風(fēng)險(xiǎn)分析功能，詳情可以參見Palisade公司的網(wǎng)頁。1.6.3BDSS BDSS〔BayesianDecisionSupportSystem〕是一個(gè)定量/定性相結(jié)合的風(fēng)險(xiǎn)分析工具，通過程序收集資產(chǎn)評估數(shù)據(jù)，依據(jù)系統(tǒng)提供的數(shù)據(jù)庫，確定系統(tǒng)存在的潛在風(fēng)險(xiǎn)。BDSS使用靈活，除了提供定量的分析評估報(bào)告之外，還可以提供定性的、有關(guān)弱點(diǎn)及其防護(hù)措施的建議。

1.6.4CCCC評估工具有美國NIAP發(fā)布，CC評估系統(tǒng)依據(jù)CC標(biāo)準(zhǔn)進(jìn)行評估，評估被測信息系統(tǒng)到達(dá)CC標(biāo)準(zhǔn)的程度，共由兩局部組成：CCPKB〔CC知識(shí)庫〕和CCToolBox〔CC評估工具集〕。CCPKB是進(jìn)行CC評估的支持?jǐn)?shù)據(jù)庫，基于Access構(gòu)建。CCToolBox是進(jìn)行CC評估的主要工具，主要采用頁面調(diào)查形式，用戶通過依次填充每個(gè)頁面的調(diào)查項(xiàng)來完成評估，最后生成關(guān)于評估所進(jìn)行的詳細(xì)調(diào)查結(jié)果和最終評估報(bào)告。

1.6.5CORACORA〔Cost-of-RiskAnalysis〕是由國際平安技術(shù)公司〔InternationalSecurityTechnology,Inc.〕開發(fā)的一種風(fēng)險(xiǎn)管理決策支持系統(tǒng)，它采用典型的定量分析方法，可以方便地采集、組織、分析并存儲(chǔ)風(fēng)險(xiǎn)數(shù)據(jù)，為組織的風(fēng)險(xiǎn)管理決策支持提供準(zhǔn)確的依據(jù)。網(wǎng)址是：1.6.6MSATMSAT〔MicrosoftSecurityAccessmentTool〕是微軟的一個(gè)風(fēng)險(xiǎn)評估工具，與MBSA直接掃描和評估系統(tǒng)不同，MSAT通過填寫的詳細(xì)的問卷以及相關(guān)信息，處理問卷反響，評估組織在諸如根底結(jié)構(gòu)、應(yīng)用程序、操作和人員等領(lǐng)域中的平安實(shí)踐，然后提出相應(yīng)的平安風(fēng)險(xiǎn)管理措施和意見。MSAT是免費(fèi)工具，可以從微軟網(wǎng)站下載，但需要注冊。下載地址：。

1.6.7RiskPACRiskPAC是CSCJ公司開發(fā)的，對組織進(jìn)行風(fēng)險(xiǎn)評估、業(yè)務(wù)影響分析的一個(gè)定量和定性風(fēng)險(xiǎn)評估工具。RiskPAC的風(fēng)險(xiǎn)評估過程是：確定風(fēng)險(xiǎn)評估范圍、確定對分析評估結(jié)果進(jìn)行反響的人員，選擇問卷調(diào)查表，進(jìn)行調(diào)查評估分析。RiskPAC將風(fēng)險(xiǎn)分為幾個(gè)級別，根據(jù)不同風(fēng)險(xiǎn)級別問題的構(gòu)建和答復(fù)，完成風(fēng)險(xiǎn)評估。

1.7常用風(fēng)險(xiǎn)評估與管理工具比照常用風(fēng)險(xiǎn)評估與管理工具比照情況如表6-1所示:表6-1常用風(fēng)險(xiǎn)評估與管理工具比照2系統(tǒng)根底平臺(tái)風(fēng)險(xiǎn)評估工具系統(tǒng)根底平臺(tái)風(fēng)險(xiǎn)評估工具包括脆弱性掃描工具和滲透測試工具。脆弱性評估工具也稱為平安掃描、漏洞掃描器，評估網(wǎng)絡(luò)或主機(jī)系統(tǒng)的平安性并且報(bào)告系統(tǒng)的脆弱點(diǎn)。這些工具能夠掃描網(wǎng)絡(luò)、效勞器、防火墻、路由器和應(yīng)用程序，發(fā)現(xiàn)其中的漏洞。滲透測試工具是根據(jù)漏洞掃描工具提供的漏洞，進(jìn)行模擬黑客測試，判斷這些漏洞是否能夠被他人利用。滲透測試的目的是檢測已發(fā)現(xiàn)的漏洞是否真正會(huì)給系統(tǒng)或網(wǎng)絡(luò)環(huán)境帶來威脅。通常在風(fēng)險(xiǎn)評估的脆弱性識(shí)別階段將脆弱性掃描工具和滲透測試工具一起使用，確定系統(tǒng)漏洞。2.1脆弱性掃描工具2.1.1脆弱性掃描概述脆弱性也稱為漏洞(Vulnerability)，是系統(tǒng)或保護(hù)機(jī)制內(nèi)的弱點(diǎn)或錯(cuò)誤，它們使信息暴露在攻擊或破壞之下，如：軟件包的缺陷，未受保護(hù)的系統(tǒng)端口，或沒有上鎖的門等。已驗(yàn)證、歸檔和公布的漏洞稱為公開漏洞。漏洞的種類有很多，主要包括：硬件漏洞、軟件漏洞和網(wǎng)絡(luò)漏洞。脆弱性掃描的根本原理是采用模擬黑客攻擊的方式對目標(biāo)可能存在的脆弱性進(jìn)行逐項(xiàng)檢測，可以對工作站、效勞器、交換機(jī)、數(shù)據(jù)庫等各種對象進(jìn)行脆弱性檢測。按照掃描過程來分，掃描技術(shù)又可以分為四大類：Ping掃描技術(shù)、端口掃描技術(shù)、操作系統(tǒng)探測掃描技術(shù)、習(xí)慣性以及脆弱性的掃描技術(shù)。

2.1.2脆弱性掃描工具分類目前對脆弱性掃描工具的研發(fā)主要分為以下幾種類型：1．基于網(wǎng)絡(luò)的掃描器：在網(wǎng)絡(luò)中運(yùn)行，能夠檢測如防火墻錯(cuò)誤配置或連接到網(wǎng)絡(luò)上的易受攻擊的網(wǎng)絡(luò)效勞器的關(guān)鍵漏洞。2．基于主機(jī)的掃描器：發(fā)現(xiàn)主機(jī)的操作系統(tǒng)、特殊效勞和配置的細(xì)節(jié)，發(fā)現(xiàn)潛在的用戶行為風(fēng)險(xiǎn)，如密碼強(qiáng)度不夠，也可實(shí)施對文件系統(tǒng)的檢查。3．分布式網(wǎng)絡(luò)掃描器：由遠(yuǎn)程掃描代理、對這些代理的即插即用更新機(jī)制、中心管理點(diǎn)三局部構(gòu)成，用于企業(yè)級網(wǎng)絡(luò)的脆弱性評估，分布和位于不同的位置、城市甚至不同的國家。4．?dāng)?shù)據(jù)庫脆弱性掃描器：對數(shù)據(jù)庫的授權(quán)、認(rèn)證和完整性進(jìn)行詳細(xì)的分析，也可以識(shí)別數(shù)據(jù)庫系統(tǒng)中潛在的脆弱性。

2.2流光〔Fluxay〕脆弱性掃描工具Fluxay并不是單純的系統(tǒng)脆弱性掃描工具，而且是一個(gè)功能強(qiáng)大的滲透測試工具。其工作原理是：首先，獲得計(jì)算機(jī)系統(tǒng)在網(wǎng)絡(luò)效勞、版本信息、Web應(yīng)用等相關(guān)信息，采用模擬攻擊的方法，對目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的平安漏洞掃描，如弱口令測試等。如果模擬攻擊成功，那么視為系統(tǒng)脆弱性存在。其次，也可以根據(jù)系統(tǒng)事先定義的系統(tǒng)平安漏洞庫對可能存在的脆弱性進(jìn)行逐項(xiàng)檢測，按照規(guī)那么匹配的原那么將掃描結(jié)果與平安漏洞庫進(jìn)行比對，如果滿足匹配條件，那么視為脆弱性存在。最后，根據(jù)檢測結(jié)果向系統(tǒng)管理員提供平安性分析報(bào)告，作為系統(tǒng)和網(wǎng)絡(luò)平安整體水平的評估依據(jù)。

圖6-4流光工具啟動(dòng)界面

啟動(dòng)流光工具后可以看到它的主界面，如圖6-4所示:

單擊“文件〞菜單下的“高級掃描向?qū)Ж曔x項(xiàng)，將會(huì)有如圖6-5所示的界面。其中，“起始地址〞和“結(jié)束地址〞填寫本地IP，“目標(biāo)系統(tǒng)〞可以選擇ALL/Windows/Linux/UNIX，“檢測工程〞選擇對目標(biāo)主機(jī)的哪些效勞進(jìn)行漏洞掃描。圖6-5高級掃描向?qū)гO(shè)置

單擊“下一步〞按鈕，出現(xiàn)如圖6-6所示的窗口。

圖6-6端口設(shè)定通過此窗口可以對掃描主機(jī)的端口進(jìn)行設(shè)置，其中自定端口掃描范A圍為0～65535。選擇“標(biāo)準(zhǔn)端口掃描〞，并單擊“下一步〞按鈕，將會(huì)彈出嘗試獲取POP3的版本信息和用戶密碼的對話框，獲取FTP的版本號(hào)、嘗試匿名登錄和嘗試猜解用戶的對話框，選擇這三項(xiàng)后單擊“下一步〞按鈕，將彈出詢問獲取SMTP的版本號(hào)、EXPN/VRFY掃描的對話框，獲得IMAP版本信息、嘗試猜解用戶賬號(hào)的對話框，以及獲取系統(tǒng)版本〔TELNET〕、SunOSLogin遠(yuǎn)程溢出和WWW版本信息的〔CGI〕對話框。選擇這些項(xiàng)后單擊“下一步〞。

CGIRules顯示的是掃描Web漏洞的信息，可按照事先定義的CGI漏洞列表選擇不同的漏洞對目標(biāo)主機(jī)進(jìn)行掃描。其中，默認(rèn)規(guī)那么有2448條，如圖6-7所示。單擊“下一步〞按鈕，出現(xiàn)在對MSSQL2000數(shù)據(jù)庫漏洞、SA密碼解密和版本信息進(jìn)行掃描的對話框，如圖6-8所示。

圖6-7漏洞掃描設(shè)置

單擊SQL對話框的“下一步〞按鈕，出現(xiàn)對話框，如圖6-9所示，對計(jì)算機(jī)系統(tǒng)的IPC漏洞進(jìn)行掃描，查看是否有空連接、共享資源，獲得用戶列表并猜解用戶密碼。圖6-8MSSQL數(shù)據(jù)庫漏洞掃描設(shè)置

圖6-9IPC漏洞掃描設(shè)置

選擇需要進(jìn)行掃描的選項(xiàng)，如果不選擇最后一項(xiàng)，那么此軟件將對所有用戶的密碼進(jìn)行猜解，否那么只對管理員用戶組的用戶密碼進(jìn)行猜解。單擊“下一步〞按鈕，彈出如圖6-10所示的對話框。

圖6-10IIS漏洞掃描設(shè)置

在這個(gè)對話框中，將設(shè)置對IIS漏洞的掃描選項(xiàng)，包括Unicode編碼漏洞、FrontPage擴(kuò)展、嘗試獲取SAM文件和嘗試獲取PcAnyWhere密碼文件。單擊“下一步〞按鈕，彈出設(shè)置MISC的對話框，其中包括：BIND版本掃描、猜解MySQL密碼和SSH版本掃描。單擊對話框中的“下一步〞按鈕，彈出PLUGINS對話框，如圖6-11所示。

圖6-11插件漏洞掃描設(shè)置

流光軟件提供了對11個(gè)插件的漏洞掃描，可根據(jù)需要進(jìn)行選擇。單擊“下一步〞按鈕，彈出如圖6-12所示的對話框，在這個(gè)對話框中，通過“猜解用戶名字典〞嘗試暴力猜解，用于除了IPC之外的工程。單擊“完成〞按鈕，彈出“選擇流光主機(jī)〞對話框，如圖6-13所示，可設(shè)置掃描引擎。

圖6-12猜解字典設(shè)置

圖6-13選擇流光主機(jī)選擇默認(rèn)的本地主機(jī)作為掃描引擎，可以設(shè)置掃描速度。速度越快就越容易單擊“開始〞按鈕進(jìn)行掃描。

經(jīng)過一段時(shí)間后會(huì)在探測結(jié)果窗口中將出現(xiàn)掃描的結(jié)果，類似于圖6-14所示。

圖6-14掃描結(jié)果

我們可以看到，例如的掃描結(jié)束后屏幕彈出檢測結(jié)果框，共檢測到14條結(jié)果。同時(shí)，流光還會(huì)生成掃描報(bào)告，以網(wǎng)頁的形式保存在預(yù)設(shè)目錄之下。例如的掃描結(jié)果顯示主機(jī)有7個(gè)端口開放并提供效勞。在掃描報(bào)告當(dāng)中我們還可以看到主機(jī)的端口，SMTP的版本信息和是否支持VRFY；還可以看到掃描成功的CGI漏洞和MISC信息。按照前面提出的步驟掃描主機(jī)，查看掃描結(jié)果，了解各種系統(tǒng)漏洞和可能造成的危害。下載相應(yīng)的系統(tǒng)補(bǔ)丁，修補(bǔ)系統(tǒng)漏洞，從而構(gòu)造一個(gè)相對平安的操作系統(tǒng)。在安裝完補(bǔ)丁后，重新使用流光來掃描系統(tǒng)漏洞，檢查系統(tǒng)漏洞是否已經(jīng)修補(bǔ)。2.3Nessus脆弱性掃描工具Nessus是一個(gè)功能強(qiáng)大的遠(yuǎn)程平安掃描器。它不僅免費(fèi)而且更新極快。平安掃描器的功能是對指定網(wǎng)絡(luò)進(jìn)行平安檢查，找出該網(wǎng)絡(luò)是否存在有導(dǎo)致對手攻擊的平安漏洞。啟動(dòng)Nessus的安裝文件，出現(xiàn)圖6-15。按照提示進(jìn)行安裝，安裝結(jié)束后將在目標(biāo)目錄處出現(xiàn)兩個(gè)快捷方式，如圖6-16所示。雙擊“NessusClient〞圖標(biāo)，進(jìn)入掃描界面，如圖6-17所示。圖6-15安裝Nessus界面圖6-16Nessus安裝結(jié)果圖6-17Nusess的啟動(dòng)界面單擊“Connect〞按鈕，選擇本地主機(jī)，進(jìn)行連接。連接成功后，“Connect〞按鈕變成了“Disconnect〞。單擊界面左側(cè)按鈕，向掃描工具添加編輯目標(biāo)，在這里以本地主機(jī)為例，如圖6-18所示。保存后回到主界面。單擊界面右側(cè)的添加一項(xiàng)新的掃描任務(wù)，如圖6-19所示。圖6-18掃描目標(biāo)的設(shè)置圖6-19對新掃描任務(wù)的設(shè)置

在這個(gè)界面當(dāng)中可以設(shè)置本次掃描任務(wù)的名稱，設(shè)置掃描端口的范圍，漏洞的選擇以及關(guān)于掃描網(wǎng)絡(luò)方面的設(shè)置等。添加完成后，單擊“ScanNow〞開始進(jìn)行掃描。掃描結(jié)果如圖6-20所示。圖6-20掃描結(jié)果單擊左側(cè)的各個(gè)條目，可以查看具體的說明。掃描的結(jié)果還可以通過點(diǎn)擊“Export…〞按鈕導(dǎo)出成HTML文件。在此網(wǎng)頁中可以查看詳細(xì)的掃描結(jié)果，它將列出掃描結(jié)果的ID號(hào)，這些在網(wǎng)頁中均有詳細(xì)的說明。根據(jù)說明有無風(fēng)險(xiǎn)來進(jìn)行修復(fù)。掃描結(jié)束后，可以將本次任務(wù)保存下來。點(diǎn)擊掃描界面下的“Disconnet〞按鈕，退出了此次連接。如有需要再次進(jìn)行連接即可。Nessus的優(yōu)點(diǎn)在于：它采用了基于多種平安漏洞的掃描，防止了掃描不完整的情況；它是一個(gè)免費(fèi)工具，比起商業(yè)的平安掃描工具如ISS具有價(jià)格優(yōu)勢；它的擴(kuò)展性強(qiáng)、容易使用、功能強(qiáng)大，可以掃描出多種平安漏洞。2.4極光遠(yuǎn)程平安評估系統(tǒng)

概述綠盟科技自主研發(fā)了極光(AURORA)遠(yuǎn)程平安評估系統(tǒng)，產(chǎn)品針對各類操作系統(tǒng)、網(wǎng)絡(luò)產(chǎn)品、數(shù)據(jù)庫產(chǎn)品等的平安漏洞進(jìn)行分析。該產(chǎn)品為嵌入式平安專用硬件掃描系統(tǒng)，基于瀏覽器的遠(yuǎn)程使用、分級用戶管理、強(qiáng)大的地址本、完善的日志、分布式部署能力，構(gòu)筑企業(yè)級平安評估應(yīng)用。2.4.2系統(tǒng)架構(gòu)

極光系統(tǒng)架構(gòu)如圖6-21所示。極光使用Web管理方式，讓用戶使用瀏覽器通過SSL加密通道和系統(tǒng)Web界面模塊交互，方便用戶管理。圖6-21極光系統(tǒng)整體架構(gòu)圖極光專用平安系統(tǒng)平臺(tái)是具有很高的平安性和穩(wěn)定性。包括如下主要功能模塊:1.掃描核心模掃描核心模塊是系統(tǒng)最重要的模塊之一，它負(fù)責(zé)完成目標(biāo)的探測評估工作，包括判定主機(jī)存活狀態(tài)、操作系統(tǒng)識(shí)別、規(guī)那么解析匹配等。2.漏洞知識(shí)庫 漏洞知識(shí)庫包含漏洞相關(guān)信息，是系統(tǒng)運(yùn)行的根底，掃描調(diào)度模塊和Web管理模塊都依賴它進(jìn)行工作。3.掃描結(jié)果庫 掃描結(jié)果庫包含了掃描任務(wù)的結(jié)果信息，是掃描結(jié)果報(bào)告生成的根底，也是查詢和分析結(jié)果的數(shù)據(jù)來源。4.匯總數(shù)據(jù) 匯總數(shù)據(jù)是綜合分析、趨勢分析和報(bào)表合并的統(tǒng)計(jì)信息的數(shù)據(jù)來源，是任務(wù)合并、分布式數(shù)據(jù)匯總之后的結(jié)果。5.Web界面模塊

Web界面模塊負(fù)責(zé)和用戶進(jìn)行交互，配合用戶的請求完成管理工作。Web管理模塊包含多個(gè)子模塊共同完成用戶的請求，其主要子模塊有：⑴任務(wù)管理子模塊⑵報(bào)表子模塊⑶任務(wù)報(bào)表輔助管理子模塊⑷地址本管理子模塊⑸用戶和權(quán)限系統(tǒng)子模塊⑹系統(tǒng)日志和審計(jì)策略子模塊⑺常用工具子模塊⑻系統(tǒng)配置子模塊6．?dāng)?shù)據(jù)同步模塊

主要實(shí)現(xiàn)分布式部署中的任務(wù)分發(fā)、策略分發(fā)等功能；完成掃描結(jié)果數(shù)據(jù)向上級AURORA系統(tǒng)的數(shù)據(jù)上傳，在數(shù)據(jù)上傳中使用SSL加密傳輸通道，保證了數(shù)據(jù)的保密性；匯總的數(shù)據(jù)可以進(jìn)行集中統(tǒng)一的分析。

7．升級模塊極光有網(wǎng)絡(luò)自動(dòng)升級和用戶手動(dòng)升級的策略，系統(tǒng)的各個(gè)模塊都可以通過升級模塊進(jìn)行升級。2.4.3系統(tǒng)應(yīng)用環(huán)境

1．平坦式部署

小型網(wǎng)絡(luò)中，數(shù)據(jù)相對集中，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)也相對簡單，可采用平坦式部署方式，如圖6-22所示。圖6-22極光的平坦式部署模式2．分布式部署 大型網(wǎng)絡(luò)中多臺(tái)極光系統(tǒng)共同工作時(shí)，極光的分布部署支持能力可以使得各系統(tǒng)間的數(shù)據(jù)能共享并匯總。網(wǎng)絡(luò)中使用分布式部署結(jié)構(gòu)如圖6-23所示。圖6-23極光的分布式部署模式2.5天鏡脆弱性掃描與管理系統(tǒng)

2.5.1概述啟明星辰自主研發(fā)了天鏡脆弱性掃描與管理系統(tǒng)。它的任務(wù)是用實(shí)踐性的方法掃描分析網(wǎng)絡(luò)系統(tǒng)，檢查系統(tǒng)中存在的弱點(diǎn)和漏洞并生成相應(yīng)的報(bào)告，適時(shí)提出修補(bǔ)方法和應(yīng)實(shí)施的平安策略，從而到達(dá)增強(qiáng)網(wǎng)絡(luò)平安性的目的。2.5.2系統(tǒng)構(gòu)成

1．產(chǎn)品組成天鏡分布式產(chǎn)品組成包含以下幾個(gè)局部：⑴管理控制中心⑵綜合顯示中心⑶日志分析報(bào)表⑷掃描引擎軟件⑸掃描對象授權(quán)⑹數(shù)據(jù)庫

2．產(chǎn)品部署

⑴方案一：單機(jī)式部署圖6-24天鏡單機(jī)式部署⑵方案二：分布式部署圖6-25天鏡單機(jī)式部署⑶方案三：多級式部署圖6-26天鏡多級式部署3．系統(tǒng)配置硬件環(huán)境：本系統(tǒng)運(yùn)行在硬件環(huán)境為X86架構(gòu)的臺(tái)式機(jī)或筆記本電腦。CPU：不低于PentiumIV2.2G。內(nèi)存：不低于512M。硬盤：不低于50M剩余空間，建議200M以上剩余空間。網(wǎng)卡：至少一塊100Mbps以太網(wǎng)卡。軟件環(huán)境：操作系統(tǒng)：中文版Windows2000SP4以上。瀏覽器：IE5.0以上版本。2.5.3系統(tǒng)功能

1．管理功能

⑴分布管理、集中分析圖6-27天鏡管理控制臺(tái)⑵多級管理對于擁有不同地域、大規(guī)模網(wǎng)絡(luò)的用戶，各個(gè)地域的網(wǎng)絡(luò)平安管理員管理著本地域的網(wǎng)絡(luò)平安狀況，其上層的平安管理員可以上傳檢測結(jié)果、下達(dá)檢測策略、統(tǒng)一管理、統(tǒng)一分析、統(tǒng)一升級；實(shí)現(xiàn)大規(guī)模網(wǎng)絡(luò)環(huán)境下的全局風(fēng)險(xiǎn)控制、降低管理本錢。

2．策略管理

⑴掃描方案定制圖6-28天鏡掃描方案制定⑵系統(tǒng)使用授權(quán)限制

系統(tǒng)提供了硬件強(qiáng)制授權(quán)管理，以確保系統(tǒng)的使用平安、防止非法使用。3．自定義顯示功能

⑴自定義分類結(jié)構(gòu)顯示⑵顯示自定義窗口⑶重點(diǎn)關(guān)注自定義4．掃描功能

⑴端口效勞智能識(shí)別⑵可識(shí)別的掃描對象⑶掃描漏洞分類⑷數(shù)據(jù)庫掃描⑸Web掃描5．報(bào)告功能6．平安信息手冊圖6-29平安信息手冊例如7．用戶管理與審計(jì)⑴系統(tǒng)分用戶、分權(quán)限使用與管理；⑵支持雙因素身份認(rèn)證：口令、身份卡配合使用；⑶用戶、管理員的操作審計(jì)。2.5.4掃描技術(shù)特色1．漸進(jìn)式掃描根據(jù)被掃描主機(jī)的操作系統(tǒng)和主機(jī)應(yīng)用等信息智能確定進(jìn)一步的掃描流程。2．授權(quán)掃描系統(tǒng)支持用戶提供被掃描主機(jī)的權(quán)限信息，以獲取更深入、更全面的漏洞信息。3．系統(tǒng)穩(wěn)定性高掃描過程實(shí)時(shí)正確處理各種以外情況：如網(wǎng)卡故障、資源耗盡等。4．掃描系統(tǒng)資源占用少、速度快、誤報(bào)低、漏報(bào)低、穩(wěn)定性高。2.6滲透測試工具

滲透測試概述滲透測試〔PenetrationTest〕最簡單直接的解釋就是：完全站在攻擊者角度對目標(biāo)系統(tǒng)進(jìn)行的平安性測試過程，也就是完全模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)，對目標(biāo)系統(tǒng)的平安做深入的探測，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)。滲透測試能夠直觀地讓管理人員知道自己網(wǎng)絡(luò)所面臨的問題，了解當(dāng)前系統(tǒng)的平安性，了解攻擊者可能利用的途徑，以便對危害性嚴(yán)重的漏洞及時(shí)修補(bǔ)，以免后患。2.6.2滲透測試分類 滲透測試一般分為黑盒測試、白盒測試和隱秘測試。 1.黑盒測試黑盒測試意味著測試人員是在對目標(biāo)系統(tǒng)一無所知的狀態(tài)下進(jìn)行測試工作，目標(biāo)系統(tǒng)對測試人員來說就像一個(gè)“黑盒子〞。除了知道目標(biāo)的根本范圍之外，所有的信息都依賴測試人員自行開掘。而目標(biāo)系統(tǒng)上往往會(huì)開啟監(jiān)控機(jī)制對滲透過程進(jìn)行記錄，以供測試結(jié)束后分析。也就是說雖然黑盒測試的范圍比較自由和寬泛，但是仍需要遵循一定的規(guī)那么和限制。2.白盒測試與黑盒測試不同，白盒測試開始之前測試人員就已經(jīng)從目標(biāo)公司獲得了足夠的初始信息，例如網(wǎng)絡(luò)地址段、使用的網(wǎng)絡(luò)協(xié)議、拓?fù)鋱D、應(yīng)用列表等等。相對來說，白盒測試更多的被應(yīng)用于審核內(nèi)部信息管理機(jī)制，測試人員可以利用掌握的資料進(jìn)行內(nèi)部探查，甚至與企業(yè)的員工進(jìn)行交互。對于發(fā)現(xiàn)現(xiàn)有管理機(jī)制漏洞以及檢驗(yàn)社交工程攻擊可能性來說，白盒測試具有非凡的意義。3.隱秘測試隱秘測試類似一種增強(qiáng)的黑盒測試，對于受測機(jī)構(gòu)來說該測試處于保密狀態(tài)，可以將其想象為特定管理局部雇傭了外部團(tuán)隊(duì)來進(jìn)行內(nèi)部調(diào)查。除了不開啟特定措施對測試過程進(jìn)行監(jiān)控和記錄之外，測試工作的進(jìn)行也不對員工進(jìn)行通知，甚至不向信息平安管理部門進(jìn)行說明。這種測試完全的模擬了真實(shí)的攻擊，可以綜合的考察組織信息平安工作的運(yùn)轉(zhuǎn)情況，對信息平安工作人員在平安事件響應(yīng)和處理方面的成效很有幫助。2.7Metasploit滲透工具

2.7.1工具簡述Metasploit是一款開源的平安漏洞檢測工具。由于Metasploit是免費(fèi)的工具，因此平安工作人員常用Metasploit工具來檢測系統(tǒng)的平安性。MetasploitFramework(MSF)是2003年以開放源代碼方式發(fā)布、可自由獲取的開發(fā)框架，這個(gè)環(huán)境為滲透測試、shellcode編寫和漏洞研究提供了一個(gè)可靠的平臺(tái)。它集成了各平臺(tái)上常見的溢出漏洞和流行的shellcode，并且不斷更新，最新版本的MSF包含了180多種當(dāng)前流行的操作系統(tǒng)和應(yīng)用軟件的exploit，以及100多個(gè)shellcode。作為平安工具，它在平安檢測中起到不容無視的作用，并為漏洞自動(dòng)化探測和及時(shí)檢測系統(tǒng)漏洞提供有力的保障。Metasploit3的使用方法一安裝完Metasploit程序后，啟動(dòng)程序菜單如圖6-30所示，程序中包含Metasploit的相關(guān)文檔、常用的一些小工具〔Netcat、Putty、VNCViewer、WinVI〕、CMDShell、Metasploit3的主程序、NASMShell、在線升級程序、RUBYShell等內(nèi)容。下面是使用Metasploit進(jìn)行相關(guān)滲透工作的步驟。圖6-30啟動(dòng)程序菜單1.安裝完Metasploit程序，運(yùn)行Metasploit3，啟動(dòng)Web窗口界面，如圖6-31所示。界面中會(huì)出現(xiàn)Exploits、Auxiliaries、Payloads、Console、Sessions、About等圖標(biāo)欄。圖6-31Metasploit3窗口界面一2.點(diǎn)擊Exploits圖標(biāo)，系統(tǒng)列出所有的Exploits，如圖6-32所示。圖6-32Metasploit3窗口界面二3.針對目的主機(jī)的信息查找相關(guān)漏洞利用程序，比方查找WindowsXP系統(tǒng)的相關(guān)漏洞利用程序，如圖6-33所示。圖6-33Metasploit3窗口界面三4.利用對主機(jī)掃描發(fā)現(xiàn)的漏洞信息，找到相關(guān)的漏洞利用程序，比方“MicrosoftRPCDCOMInterfaceOverflow〞的漏洞利用程序，如圖6-34所示，選擇目的操作系統(tǒng)的種類。圖6-34Metasploit3窗口界面四5.選擇特定的ShellCode程序，系統(tǒng)攻擊成功后，會(huì)執(zhí)行相關(guān)的ShellCode的指令內(nèi)容。比方選擇綁定cmdShell的操作，如圖6-35所示。圖6-35Metasploit3窗口界面五6.輸入目的主機(jī)的IP地址，比方，然后執(zhí)行“LaunchExploit〞按鈕，如圖6-36所示。圖6-36Metasploit3窗口界面六7.滲透攻擊成功后，系統(tǒng)返回cmdshell信息，獲取主機(jī)系統(tǒng)權(quán)限，可以做任何的操作了。2.7.3Metasploit3的使用方法二除了使用web窗口模式來工作外，還可以使用MSF的命令模式，以Console平臺(tái)來工作。點(diǎn)擊主窗口中的Console圖標(biāo)，如圖6-37所示。圖6-37Metasploit3命令窗口一1.輸入Help命令，可以看到很多的操作命令，如圖6-38所示。常用的命令也就是show、info、use、set等幾個(gè)命令?！皊how〞:顯示規(guī)定類型的一種模塊或所有模塊，比方:exploit/payload等。“info〞:顯示一種或更多模塊的信息。“use〞:選擇模塊的名字。“set〞:設(shè)置變量。圖6-38Metasploit3命令窗口二2.通過輸入“showexploits〞指令查看有哪些可用的Exploit程序，如圖6-39所示。圖6-39Metasploit3命令窗口三3.輸入“showpayloads〞指令，查看有哪些可以加載的ShellCode信息，如圖6-40所示。圖6-40Metasploit3命令窗口四4．輸入“infoexploit/windows/dcerpc/ms03_026_dcom〞指令，了解MS03_026_dcom利用程序的相關(guān)信息內(nèi)容，如圖6-41所示。圖6-41Metasploit3命令窗口五根據(jù)了解的MS03_026_dcom的相關(guān)信息，使用漏洞利用程序。輸入：useexploit/windows/dcerpc/ms03_026_dcom查看利用程序需要設(shè)置的相關(guān)內(nèi)容。輸入：showoptions設(shè)置攻擊目的主機(jī)的IP地址。輸入：設(shè)置加載的ShellCode程序。輸入：setPAYLOADgeneric/shell_bind_tcp執(zhí)行利用程序。輸入：exploit系統(tǒng)攻擊成功，并獲取遠(yuǎn)程主機(jī)的權(quán)限。Metasploit會(huì)不定期更新可利用的漏洞程序，可以通過OnlineUpdate來進(jìn)行升級。2.8ImmunityCANVAS滲透測試工具

2.8.1工具簡述Canvas是Aitel'sImmunitySec出品的一款平安漏洞檢測工具。它包含150個(gè)以上的漏洞利用。對于滲透測試人員來說，Canvas是比較專業(yè)的平安漏洞利用工具。Canvas也常被用于對IDS和IPS的檢測能力的測試。2.8.2支持的平臺(tái)Canvas工具支持的安裝平臺(tái)有Windows、Linux、MacOSX、其它Python環(huán)境〔例如：移動(dòng)、商業(yè)Unixs〕。有些平臺(tái)下只能通過命令行的操作方式，有些可以通過GUI界面來操作使用。Canvas工具在兼容性設(shè)計(jì)比較好，可以使用其它團(tuán)隊(duì)研發(fā)的漏洞利用工具，例如使用Gleg,Ltd'sVulnDisco、theArgenissUltimate0day漏洞利用包。

升級Canvas目前已經(jīng)使用超過150個(gè)的漏洞利用。Immunity公司會(huì)仔細(xì)選擇漏洞，從優(yōu)先級比較高的漏洞，比方遠(yuǎn)程執(zhí)行、認(rèn)證繞過或者主流軟件中新發(fā)現(xiàn)的漏洞，每個(gè)月會(huì)從中挑選出4個(gè)漏洞利用做為Canvas的更新升級。

使用方法第一步：安裝GTK

第二步：安裝python

第三步：安裝pyGTK

第四步：安裝PyGairo

第五步：解壓，運(yùn)行canvas.bat啟動(dòng)CANVAS的GUI界面，如圖6-42所示。圖6-42ImmunityCANVAS工具界面6.3

風(fēng)險(xiǎn)評估輔助工具

信息平安風(fēng)險(xiǎn)評估輔助工具在風(fēng)險(xiǎn)評估過程中不可缺少，主要用于評估中所需要的數(shù)據(jù)和資料，幫助測試者完成現(xiàn)狀分析和趨勢分析。如入侵檢測系統(tǒng)，幫助檢測各種攻擊試探和誤操作，它可以作為一個(gè)警報(bào)器，提醒管理員發(fā)生的平安狀況。同時(shí)平安審計(jì)工具、平安漏洞庫、知識(shí)庫都是風(fēng)險(xiǎn)評估不可或缺的支持手段。3.1調(diào)查問卷風(fēng)險(xiǎn)評估者通過問卷形式對組織信息平安的各個(gè)方面進(jìn)行調(diào)查，問卷解答可以進(jìn)行手工分析，也可以輸入自動(dòng)化評估工具進(jìn)行分析，從問卷調(diào)查中，評估者能夠了解到組織的關(guān)鍵業(yè)務(wù)、關(guān)鍵資產(chǎn)、主要威脅、管理上的缺陷、采用的控制措施和平安策略的執(zhí)行情況。3.2

檢查列表檢查列表通常是基于特定標(biāo)準(zhǔn)或基線建立的，對特定系統(tǒng)進(jìn)行審查的工程條款，通過檢查列表，可以快速定位系統(tǒng)目前的平安狀況與基線要求之間的差距。3.3人員訪談風(fēng)險(xiǎn)評估者通過與組織內(nèi)關(guān)鍵人員的訪談，可以了解到組織的平安意識(shí)、業(yè)務(wù)操作、管理程序等重要信息。3.4入侵檢測工具入侵檢測工具通過對計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的假設(shè)干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反平安策略的行為和被攻擊的跡象。它的主要功能包括：檢測并分析用戶和系統(tǒng)的活動(dòng)、識(shí)別的攻擊行為、統(tǒng)計(jì)分析異常行為等。在風(fēng)險(xiǎn)評估中，入侵檢測系統(tǒng)可以作為異常行為的收集工具，為風(fēng)險(xiǎn)評估提供可能存在的威脅信息。風(fēng)險(xiǎn)評估過程中也可以利用一段時(shí)間內(nèi)入侵檢測系統(tǒng)發(fā)現(xiàn)的入侵行為，進(jìn)行風(fēng)險(xiǎn)預(yù)測。3.5平安審計(jì)工具平安審計(jì)工具用于記錄網(wǎng)絡(luò)平安行為，分析系統(tǒng)或網(wǎng)絡(luò)平安現(xiàn)狀，包括系統(tǒng)配置、效勞檢