6.1.6.6 MSAT
MSAT（Microsoft Security Accessment Tool）是微 软的一个风险评估工具，与MBSA直接扫描和评估系统不同，M SAT通过填写的详细的问卷以及相关信息，处理问卷反馈，评 估组织在诸如基础结构、应用程序、操作和人员等领域中的 安全实践，然后提出相应的安全风险管理措施和意见。 MSAT是免费工具，可以从微软网站下载，但需要注册。 下载地址：/china/security/msa t/default.asp。
COBRA（Consultive,Objective and Bi-Functional Ris k Analysis）是英国的C&A系统安全公司（C&A Systems Secur ity Ltd）推出的一套风险分析工具软件，主要依据ISO 17799 进行风险评估。COBRA 1版本于1991年推出，用于风险管理评 估。随着COBRA的发展，目前的产品不仅仅具有风险管理功能， 还可以用于评估是否符合BS7799标准、是否符合组织自身制定 的安全策略。COBRA系列工具包括风险咨询工具、ISO17799/BS 7799咨询工具、策略一致性分析工具、数据安全性咨询工具。 COBRA是一个基于知识的定性风险评估工具，由3部分组成： 问卷构建器、风险测量器、结果生成器。Leabharlann 6.1.6.4CC
CC评估工具有美国NIAP发布，CC评估系统依据CC标准进行 评估，评估被测信息系统达到CC标准的程度，共由两部分组成： CC PKB（CC知识库）和CC ToolBox（CC评估工具集）。 CC PKB是进行CC评估的支持数据库，基于Access构建。 CC ToolBox是进行CC评估的主要工具，主要采用页面调查 形式，用户通过依次填充每个页面的调查项来完成评估，最后 生成关于评估所进行的详细调查结果和最终评估报告。
操作系统是各种信息系统的核心，它自身的安全是影响整个 信息系统安全的核心因素。作为 Microsoft 战略技术保护计划 （Strategic Technology Protection Program）的一部分，并 为了 直接满足用户对于可识别安全方面的常见配置错误的简便 方法的需求，Microsoft 开发了 Microsoft 基准安全分析器MBS A（Microsoft Baseline Security Analyzer），可对Windows系 列操作系统进行基线风险评估。 MBSA可以对本机或者网络上Windows NT/2000/XP的系统进行 安全性检测，还可以检测其它的一些微软产品，如SQL7.0/2000、 5.01以上版本的Internet Explorer、IIS4.0/5.0/5.1和Office2 000/XP，是否缺少安全更新，并及时通过推荐的安全更新进行修 补。
6.1.6.5
CORA
CORA（Cost-of-Risk Analysis）是由国际安全技术公 司（International Security Technology, Inc.）开发的一 种风险管理决策支持系统，它采用典型的定量分析方法，可 以方便地采集、组织、分析并存储风险数据，为组织的风险 管理决策支持提供准确的依据。网址是：
6.1.5.2 RiskWatch风险评估
1．RiskWatch关于风险定义 风险=资产⊙损失⊙威胁⊙脆弱性⊙防护措施 即：当组织有价值的资产受到某种形式威胁，形成系统脆弱性， 并造成一定损失时，称系统出现风险。 2．风险分析应该达到两个目标 确定目标系统/设备当前状态下面临的风险； 确定并推荐减少风险的防护控制措施，并证明这些措施是 有效的。 3．RiskWatch9.0通过使用因素关联功能和计算风险来达 到上述风险分析目标
图6-2 安全报告
从扫描结果可以看出，MBSA对扫描的软件全部进行了可靠 的安全评估。微软的MBSA是免费工具，下载地址：www.microsoft. com/china/technet/security/tools/mbsahome.mspx。
6.1.2 COBRA 6.1.2.1 COBRA简介
6.2
6.2.1 脆弱性扫描工具 6.2.1.1 脆弱性扫描概述 脆弱性也称为漏洞(Vulnerability)，是系统或 保护机制内的弱点或错误，它们使信息暴露在攻击或 破坏之下，如：软件包的缺陷，未受保护的系统端口， 或没有上锁的门等。已验证、归档和公布的漏洞称为 公开漏洞。漏洞的种类有很多，主要包括：硬件漏洞、 软件漏洞和网络漏洞。 脆弱性扫描的基本原理是采用模拟黑客攻击的方 式对目标可能存在的脆弱性进行逐项检测，可以对工 作站、服务器、交换机、数据库等各种对象进行脆弱 性检测。按照扫描过程来分，扫描技术又可以分为四 大类：Ping扫描技术、端口扫描技术、操作系统探测 扫描技术、习惯性以及已知脆弱性的扫描技术。
6.1.6.3
BDSS
BDSS（Bayesian Decision Support System）是一个定量 /定性相结合的风险分析工具，通过程序收集资产评估数据， 依据系统提供的数据库，确定系统存在的潜在风险。BDSS使用 灵活，除了提供定量的分析评估报告之外，还可以提供定性的、 有关弱点及其防护措施的建议。
6.1.6.7 RiskPAC
RiskPAC是CSCJ公司开发的，对组织进行风险评估、业 务影响分析的一 个定量和定性风险评估工具。RiskPAC的风险 评估过程是：确定风险评估范围、确定对分析评估结果进行反 应的人员，选择问卷调查表，进行调查评估分析。RiskPAC将 风险分为几个级别，根据不同风险级别问题的构建和回答，完 成风险评估。
检测完成后，安全报告会立刻显示出来，如图6-2所示， 表示一般性警告，表示严重警告，表示不存在漏洞。对于每 一项扫描出漏洞的结果，基本上都提供了三个链接，其中“W hat was scanned”显示了在这一步中扫描了哪些具体的操作； “Result Details”显示了扫描的详细结果；“How to corr ect this”显示了建议用户进行的操作，以便能够更好地解 决这个问题。
6.1.7 常用风险评估与管理工具对比
常用风险评估与管理工具对比情况如表6-1所示:
表6-1 常用风险评估与管理工具对比
系统基础平台风险评估工具 系统基础平台风险评估工具包括脆弱性扫描工具 和渗透测试工具。脆弱性评估工具也称为安全扫描、 漏洞扫描器，评估网络或主机系统的安全性并且报告 系统的脆弱点。这些工具能够扫描网络、服务器、防 火墙、路由器和应用程序，发现其中的漏洞。渗透测 试工具是根据漏洞扫描工具提供的漏洞，进行模拟黑 客测试，判断这些漏洞是否能够被他人利用。渗透测 试的目的是检测已发现的漏洞是否真正会给系统或网 络环境带来威胁。通常在风险评估的脆弱性识别阶段 将脆弱性扫描工具和渗透测试工具一起使用，确定系 统漏洞。
6.1.3.2 CRAMM风险评估过程
CRAMM的安全模型数据库基于著名的“资产/威胁/弱点”模 型，评估过程主要包括三个阶段。 1．定义研究范围和边界，识别和评价资产 2．评估风险，即对威胁和弱点进行评估 3．选择和推荐适当的对策
6.1.4 ASSET
ASSET（Automated Security Self-Evaluation Tool） 是美国国家标准技术协会NIST以NIST SP800-26（信息系统安 全性自我评估向导）为标准制定的，用于安全风险自我评估的 软件工具。 根据NIST安全性自我评估向导，将安全级别分为五级：一 般、策略、实施、测试、检验。 ASSET采用典型的基于知识的 分析方法，利用问卷方式来评估系统安全现状与NIST SP 80026 指南之间的差距。 ASSET是一个免费工具，可以从NIST网站下载，网址是：c /asset。
第六章
信息安全风险评估工具
信息安全风险评估工具是信息安全风险评估的辅助手段，是 保证风险评估结果可信度的一个重要因素。信息安全风险评估工 具的使用不但在一定程度上解决了手动评估的局限性，最主要的 是它能够将专家知识进行集中，使专家的经验知识被广泛的应用。 本章主要介绍风险评估与管理工具、系统基础平台风险评估 工具、风险评估辅助工具、信息安全风险评估工具的发展方向和 最新成果。
最后针对每类风险形成文字评估报告、风险等级（得 分），所指出的风险自动与给系统造成的影响相联系。其 工作机理如图6-3所示。
图6-3 COBRA定性风险分析方法
6.1.2.2 COBRA风险评估过程COBRA风险
评估过程主要包括3个步骤: 1.问题表构建 2.风险评估 3.报告生成 C&A公司在网站http://www.security-risk-analysis. com/cobdown.htm中提供了COBRA的免费试用版，但需要注册。
6.1.5 RiskWatch 6.1.5.1 RiskWatch简介
美国RiskWatch公司综合各类相关标准，开发了风险分析 自动化软件系统，进行风险评估和风险管理，共包括五类产品， 分别针对信息系统安全、物理安全、HIPAA标准、RW17799标准、 港口和海运安全，分别分析信息系统安全风险、物理安全危险、 以HIPAA为标准存在的安全风险、以RW17799为标准存在的安全 风险、港口和海运存在的安全风险。 RiskWatch工具具有以下特点：友好的用户界面；预先定义 的风险分析模板，给用户提供高效、省时的风险分析和脆弱性 评估；数据关联功能；经过证明的风险分析模型。
6.1.6
其它风险评估与管理工具
6.1.6.1 RA/SYS RA/SYS（Risk Analysis System）是一个定量的自动化风 险分析系统，包括50多个有关脆弱性和资产以及60多个有关威 胁的交互文件，用于威胁和脆弱性的计算，用于成本效益、投 资效益、损失的综合评估，产生威胁等级和威胁频率。
6.1.6.2
@RISK
@RISK是由美国Palisade公司推出的风险分析工具，并不 针对信息安全风险评估，主要用于商业风险分析。@RISK利用 蒙特卡洛模拟法进行定量的风险评估，允许在建立模型时应用 各种概率分布函数，对所有可能及其发生概率做出评估。@RIS K加载到Excel上，为Excel增添了高级模型和风险分析功能， 详情可以参见Palisade公司的网页。