信息系統(tǒng)安全測評(píng)工具

1、信息系統(tǒng)安全測評(píng)工具一、測評(píng)工具分類一）安全測試工具1、脆弱性掃描工具脆弱性掃描工具又稱安全掃描器或漏洞掃描儀，是目前應(yīng)用比較廣泛的安全測試工具之一，主要用于識(shí)別網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用的脆弱性，給出修補(bǔ)建議。1）基于網(wǎng)絡(luò)的掃描工具：通過網(wǎng)絡(luò)實(shí)現(xiàn)掃描，可以看作是一鐘漏洞信息收集工具，根據(jù)不同漏洞的特征，構(gòu)造網(wǎng)絡(luò)數(shù)據(jù)包，發(fā)給網(wǎng)絡(luò)中的一個(gè)或多個(gè)目標(biāo)，以判斷某個(gè)特定的漏洞是否存在，能夠檢測防火墻、IDS等網(wǎng)絡(luò)層設(shè)備的錯(cuò)誤配置或者鏈接到網(wǎng)絡(luò)中的網(wǎng)絡(luò)服務(wù)器的關(guān)鍵漏洞。常用工具：天鏡脆弱性掃描與管理系統(tǒng)、極光遠(yuǎn)程安全評(píng)估系統(tǒng)、榕基網(wǎng)絡(luò)隱患掃描系統(tǒng)、Nessus和Nmap等。2）基于主機(jī)的掃描工具：通常

2、在目標(biāo)系統(tǒng)上安裝一個(gè)代理（Agent）或者是服務(wù)（Services）,以便能夠訪問所有的主機(jī)文件與進(jìn)程，這也使得基于主機(jī)的漏洞掃描器能夠掃描更多系統(tǒng)層面的漏洞。常用工具：微軟基線安全分析器、日志分析工具和木馬查殺工具等。3）數(shù)據(jù)庫安全掃描工具：通過授權(quán)或非授權(quán)模式，自動(dòng)、深入地識(shí)別數(shù)據(jù)庫系統(tǒng)中存在的多種安全隱患，包括數(shù)據(jù)庫的鑒別、授權(quán)、認(rèn)證、配置等一系列安全問題，也可識(shí)別數(shù)據(jù)庫系統(tǒng)中潛在的弱點(diǎn)，并依據(jù)內(nèi)置的知識(shí)庫對違背和不遵循數(shù)據(jù)庫安全性策略的做法推薦修正措施。常用工具：安信通數(shù)據(jù)庫安全掃描工具、明鑒數(shù)據(jù)庫弱點(diǎn)掃描器等商業(yè)產(chǎn)品，還有oscanner、Mysqlweak等專項(xiàng)審核工具。4）Web

3、應(yīng)用安全掃描工具：通過構(gòu)造多種形式的Web訪問請求，遠(yuǎn)程訪問目標(biāo)應(yīng)用特定端口的服務(wù)，記錄反饋信息，并與內(nèi)置的漏洞庫進(jìn)行匹配，判斷確認(rèn)Web應(yīng)用程序中的安全缺陷，確認(rèn)Web應(yīng)用程序遭受惡意攻擊的危險(xiǎn)。常用工具：AppScan、WebRavor、WebInspect、AcunetixWebVulnerabilityScanner、N-Stealth等。2、滲透測試工具滲透測試需要以脆弱性掃描工具掃描的結(jié)果為基礎(chǔ)信息，結(jié)合專用的滲透測試工具開展模擬探測和入侵，判斷被非法訪問者利用的可能性，從而進(jìn)一步判斷已知的脆弱性是否真正會(huì)給系統(tǒng)或網(wǎng)絡(luò)帶來影響。常用工具：流光（Fluxay）、Pangolin、Ca

4、nvas、SQLMap、SQLIer、SQLPowerInjector和SQLNinja等。3、靜態(tài)分析工具靜態(tài)程序分析是指使用自動(dòng)化或半自動(dòng)化工具軟件對程序源代碼進(jìn)行檢查，以分析程序行為的技術(shù)，廣泛應(yīng)用于程序的正確性檢查、安全缺陷檢測、程序優(yōu)化等。常用工具：FortifySCA、CheckmarkCxSuite、IBMRationalAppScanSourceEdition、PC-Lint、KlocWork公司的K7,以及其他的開源軟件及商業(yè)軟件。二）測評(píng)輔助工具測評(píng)輔助工具主要實(shí)現(xiàn)對原始數(shù)據(jù)的采集、現(xiàn)狀分析和趨勢分析等單項(xiàng)功能，其輸出結(jié)果可作為了解被測系統(tǒng)某方面特性或現(xiàn)狀、進(jìn)一步開展相關(guān)安

5、全測試的輸入，也可以直接作為系統(tǒng)安全評(píng)估的技術(shù)依據(jù)。1、性能測試工具性能測試工具是通過自動(dòng)化手段模擬多種正常、峰值以及異常負(fù)載條件來對系統(tǒng)或網(wǎng)絡(luò)負(fù)載、強(qiáng)度或容量等各項(xiàng)性能指標(biāo)進(jìn)行測試的工具。性能測試可分為應(yīng)用在客戶端性能的測試、應(yīng)用在網(wǎng)絡(luò)上性能的測試和應(yīng)用在服務(wù)器端性能的測試。常用工具：IXIA、Avalanche/Refector、BreakingPointSystems、SamrtBits、LoadRunner等。2、協(xié)議分析工具協(xié)議分析工具是指分析網(wǎng)絡(luò)數(shù)據(jù)包、了解信息和相關(guān)的數(shù)據(jù)包在產(chǎn)生和傳輸過程中的行為工具。此類工具既能用于合法網(wǎng)絡(luò)管理也能用于竊取網(wǎng)絡(luò)信息。常用工具：Radcom、Sn

6、ifferPro、Wireshark等。3、物理環(huán)境檢測工具是指對放置信息系統(tǒng)主要設(shè)備（服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)存儲(chǔ)器等）的場所的物理特性進(jìn)行檢測所需的工具。4、網(wǎng)絡(luò)拓?fù)渖a(chǎn)工具是通過接入點(diǎn)接入被測評(píng)網(wǎng)絡(luò)，自動(dòng)完成被測評(píng)網(wǎng)絡(luò)中資產(chǎn)的發(fā)現(xiàn)和統(tǒng)計(jì)功能，并提供網(wǎng)絡(luò)資產(chǎn)的相關(guān)信息，包括網(wǎng)絡(luò)硬件設(shè)備的識(shí)別、操作系統(tǒng)版本、型號(hào)，同時(shí)自動(dòng)生成拓?fù)浣Y(jié)構(gòu)圖等。常見工具：HPOpenView等。5、安全配置檢測工具是按照一定的安全基線或基準(zhǔn)安全標(biāo)準(zhǔn)，形成完整的安全配置內(nèi)置知識(shí)庫，實(shí)現(xiàn)對設(shè)備或軟件安全配置的快速、有效、集中搜集，并識(shí)別與安全基線不符合的項(xiàng)目，形成核查報(bào)告，為進(jìn)一步實(shí)施安全評(píng)估提供數(shù)據(jù)來源。常見工具：綠

7、盟安全配置核查系統(tǒng)（NSFOCUSBenchamarkVerificationSystem,簡稱：NSFOCUSBVS）、安碼科技安全配置檢查系統(tǒng)等。三）測評(píng)管理工具測評(píng)管理工具主要用于規(guī)范測評(píng)過程和操作方法，或者用于收集測評(píng)所需的數(shù)據(jù)和資料，并根據(jù)測評(píng)知識(shí)庫和推理專家?guī)熘R(shí)庫輔助測評(píng)人員進(jìn)行測評(píng)結(jié)果判斷。二、常用測評(píng)工具1、脆弱性掃描工具1）天鏡脆弱性掃描與管理系統(tǒng)是基于網(wǎng)絡(luò)的脆弱性分析、評(píng)估和綜合管理系統(tǒng)，啟明星辰通過總結(jié)多年的市場經(jīng)驗(yàn)和客戶需求，提出了“發(fā)現(xiàn)掃描定性修復(fù)審核”弱點(diǎn)全面評(píng)估法則，能夠快速發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn)，準(zhǔn)確識(shí)別資產(chǎn)屬性、全面掃描安全漏洞，清晰定性安全風(fēng)險(xiǎn)，給出修復(fù)建議和預(yù)防措

8、施，并對風(fēng)險(xiǎn)控制策略進(jìn)行有效審核，從而在弱點(diǎn)全面評(píng)估的基礎(chǔ)上實(shí)現(xiàn)安全自主掌控。2）極光遠(yuǎn)程安全評(píng)估系統(tǒng)依托專業(yè)的NSFOCUS安全小組，綜合運(yùn)用了NSIP等多種領(lǐng)先技術(shù)，會(huì)自動(dòng)、高效、及時(shí)、準(zhǔn)確地發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn)存在的安全漏洞；尤其是可以對發(fā)現(xiàn)的網(wǎng)絡(luò)資產(chǎn)的安全漏洞進(jìn)行詳細(xì)分析，并采用權(quán)威的風(fēng)險(xiǎn)評(píng)估模型將風(fēng)險(xiǎn)量化，給出專業(yè)的解決方案；最值得關(guān)注的是它可以提供OpenVM（開放漏洞管理）工作流程平臺(tái)，將先進(jìn)的漏洞管理理念貫穿于整個(gè)產(chǎn)品實(shí)現(xiàn)過程之中。3）Nessus是一款可以運(yùn)行在Linux、BSD、Solaris以及其他一些系統(tǒng)上的遠(yuǎn)程安全掃描軟件。它是多線程、基于插入式的軟件，擁有很好的GTK界面，

9、能夠完成超過1200項(xiàng)的遠(yuǎn)程安全檢查，具有強(qiáng)大的報(bào)告輸出能力，可以產(chǎn)生HTML、XML、LaTeX和ASCII文本等格式的安全報(bào)告，并且會(huì)為每一個(gè)發(fā)現(xiàn)的安全問題提出解決建議。4）Nmap最早于1997年9月推出，支持Linux、Windows、Solaris、BSD、MacOSX、AmigaOS系統(tǒng)，采用GPL許可證，最初用于掃描開發(fā)網(wǎng)絡(luò)連接端，確定哪些服務(wù)運(yùn)行在哪些連接端，它是評(píng)估網(wǎng)絡(luò)系統(tǒng)安全的重要軟件，也是黑客常用的工具之一。5）微軟基線安全分析器微軟基線安全分析器（MicrosoftBaselineSecurityAnalyzer,MBSA）是微軟公司開發(fā)的安全分析軟件，運(yùn)行Window

10、s系列操作系統(tǒng)上，可通過圖形和命令行界面對本地或遠(yuǎn)程Windows類操作系統(tǒng)進(jìn)行安全性分析，并堅(jiān)持已安裝的其他組件（如：InternetInformationServices（IIS）和SQLServer）,發(fā)現(xiàn)缺少的修補(bǔ)程序和存在安全漏洞;幫助用戶根據(jù)Microsoft的安全建議確定其安全狀態(tài)，并根據(jù)狀態(tài)提供具體的修正指導(dǎo)。6）明鑒WEB應(yīng)用弱點(diǎn)掃描器具有精確的“取證式”掃描功能、強(qiáng)大的安全審計(jì)、滲透測試功能、誤報(bào)率和漏報(bào)率等各項(xiàng)關(guān)鍵指標(biāo)均表現(xiàn)不俗。MatriXay5.0（2011版）全面支持OWASPTOP10檢測，可以幫助用戶充分了解WEB應(yīng)用存在的安全隱患，建立安全可靠的WEB應(yīng)用服務(wù)

11、，改善并提升應(yīng)用系統(tǒng)抗各類WEB應(yīng)用攻擊的能力（如：注入攻擊、跨站腳本、釣魚攻擊、信息泄露、惡意編碼、表單繞過、緩沖區(qū)溢出等），協(xié)助用戶滿足等級(jí)保護(hù)、PCI、內(nèi)控審計(jì)等相關(guān)工作。7）安信通數(shù)據(jù)庫漏洞掃描系統(tǒng)DatabaseSecurityScanSystem（簡稱AXT-DB）支持授權(quán)檢測和非授權(quán)檢測兩種模式，非授權(quán)檢測依據(jù)數(shù)據(jù)庫版本號(hào)按照選定的非授權(quán)檢測策略對目標(biāo)數(shù)據(jù)庫進(jìn)行檢測，授權(quán)檢測使用具有DBA權(quán)限的數(shù)據(jù)庫帳戶，按照選定的授權(quán)檢測策略對目標(biāo)數(shù)據(jù)庫進(jìn)行漏洞檢測，并支持默認(rèn)口令檢測、sql注入、緩沖區(qū)溢出等專項(xiàng)檢測;能夠檢測到掃描口令過于簡單、權(quán)限控制、系統(tǒng)配置等一系列問題，能夠發(fā)現(xiàn)Ora

12、cle、MS-SQLServer、Sybase、MySQL、DB2等主流數(shù)據(jù)庫系統(tǒng)中存在的安全隱患，內(nèi)置的知識(shí)庫能夠?qū)`背和不遵循安全性策略的做法推薦修正的操作，并提供簡單明了的綜合報(bào)告和詳細(xì)報(bào)告。8）AppSanStandardEdition（簡稱Appscan）是一個(gè)產(chǎn)品家族，包括IBM眾多的應(yīng)用安全掃描產(chǎn)品，從開發(fā)階段的源代碼掃描的AppSanSourceEdition，到針對Web應(yīng)用進(jìn)行快速掃描的AppSanStandardEdition，以及進(jìn)行安全管理和匯總整合的AppSanEnterpriseEdition等，能夠在Web開發(fā)、測試、維護(hù)、運(yùn)營的整個(gè)生命周期中，幫助用戶高新的發(fā)

13、現(xiàn)、解決安全漏洞。9）WebInspect是惠普公司的一款應(yīng)用安全測試工具，該軟件建立在Web2.0技術(shù)基礎(chǔ)上，利用創(chuàng)新的動(dòng)態(tài)安全分析技術(shù)及評(píng)估技術(shù)檢查Web服務(wù)及Web應(yīng)用程序的安全，惠普WebInspect提供快速掃描功能，以及準(zhǔn)確的Web應(yīng)用程序安全掃描結(jié)果；支持JavaScript，F(xiàn)lash，Silverlight等客戶端腳本代碼靜態(tài)分析。10）WebRavor來自北京域安領(lǐng)創(chuàng)公司，是國內(nèi)頂尖團(tuán)隊(duì)開發(fā)的一款Web應(yīng)用安全評(píng)估產(chǎn)品。該產(chǎn)品是目前業(yè)界強(qiáng)悍的專注于Web應(yīng)用安全弱點(diǎn)的評(píng)估工具，能應(yīng)對各種復(fù)雜的Web應(yīng)用（Web、ERP、SSL等），全面深入發(fā)現(xiàn)里面存在的安全弱點(diǎn)；掃描策略精

14、確針對各個(gè)數(shù)據(jù)庫系統(tǒng)的特點(diǎn)，結(jié)果準(zhǔn)確性高，誤報(bào)率較低，能夠支持絕大多數(shù)的主流數(shù)據(jù)庫，包括：Oracle、DB2、Sybase、Informix、MicrosoftSQLServer>Access和MySQL，根據(jù)不同數(shù)據(jù)庫的特點(diǎn)進(jìn)行有針對性的漏洞分析；不僅可以全自動(dòng)地進(jìn)行主動(dòng)模式掃描，還可以在用戶的干預(yù)下進(jìn)行被動(dòng)模式的掃描，以便對一些復(fù)雜表格和應(yīng)用進(jìn)行全面檢測；支持SSL掃描；支持對策略的擴(kuò)展，用戶可以根據(jù)需要自行制定或者開發(fā)新的審計(jì)策略，包含了靈活的滲透測試模塊，可根據(jù)需要定制滲透測試方法，對掃描發(fā)現(xiàn)的問題進(jìn)一步驗(yàn)證。2、滲透測試工具1）流光（Fluxay）款功能強(qiáng)大的解密工具，用于檢測POP3/FTP主機(jī)中用戶密碼安全漏洞。Fluxay采用多線程檢測、高效服務(wù)器流模式，可同時(shí)對多臺(tái)POP3/FTP主機(jī)進(jìn)行檢測，最多500個(gè)線程探測，支持10個(gè)字典同時(shí)檢測。2）Canvas是一款商業(yè)的安全漏洞檢測工具，Canvas為滲透測試人員開發(fā)了大量的漏洞