信息安全系统风险评估常用工具有哪些

信息安全系统风险评估常用工具有以下这些：

• 风险评估与管理工具：风险评估与管理工具大部分是基于某种标准方法或某组织自行开发的评估方法，它是一个集成了风险评估等知识和判据的管理信息系统，能够实现风险评估过程和操作方法的规范化。通过收集评估所需要的数据和资料，并基于专家经验对输入和输出进行模型分析，对输入数据进行风险分析，给出对风险的评价并推荐控制风险的安全措施。

• 系统基础平台风险评估工具：系统基础平台风险评估工具包括脆弱性扫描工具和渗透性测试工具，一般用于对信息系统的主要部件（如操作系统、数据库系统、网络设备等）的脆弱性进行分析，或实施基于脆弱性的攻击。

• 脆弱性扫描工具：脆弱性扫描工具又称为安全扫描器、漏洞扫描仪等，主要用于识别网络、操作系统、数据库系统的脆弱性。通常情况下，这些工具能够发现软件和硬件中已知的脆弱性，以决定系统是否易受已知攻击的影响。脆弱性扫描工具是目前应用最广泛的风险评估工具，可以实现操作系统、数据库系统、网络协议、网络服务等的安全脆弱性检测，目前常见的脆弱性扫描工具有以下几种类型。

• 渗透性测试工具：渗透性测试工具会根据脆弱性扫描工具的扫描结果进行模拟攻击测试，从而判断被非法访问者利用的可能性。渗透性测试的目的是检测已发现的脆弱性是否真的会给系统或网络带来影响。通常渗透性工具与脆弱性扫描工具一起使用，并且有可能会对被评估系统的运行带来一定影响。

• 风险评估辅助工具：在风险评估过程中，可以利用一些辅助性的工具和方法来采集数据，帮助完成现状分析和趋势判断，为风险评估中各要素的赋值和定级提供依据。