B.2 系統基礎平臺風險評估工具

系統基礎平臺風險評估工具包括脆弱性掃描工具和滲透性測試工具。脆弱性掃描工具又稱為安全掃描器、漏洞掃描儀等，主要用于識別網絡、操作系統、數據庫系統的脆弱性。通常情況下，這些工具能夠發現軟件和硬件中已知的脆弱性，以決定系統是否易受已知攻擊的影響。
脆弱性掃描工具是目前應用最廣泛的風險評估工具，主要完成操作系統、數據庫系統、網絡協議、網絡服務等的安全脆弱性檢測功能，目前常見的脆弱性掃描工具有以下幾種類型：
a）基于網絡的掃描器：在網絡中運行，能夠檢測如防火墻錯誤配置或連接到網絡上的易受攻擊的網絡服務器的關鍵漏洞。
b）基于主機的掃描器：發現主機的操作系統、特殊服務和配置的細節，發現潛在的用戶行為風險，如密碼強度不夠，也可實施對文件系統的檢查。
c）分布式網絡掃描器：由遠程掃描代理、對這些代理的即插即用更新機制、中心管理點三部分構成，用于企業級網絡的脆弱性評估，分布和位于不同的位置、城市甚至不同的國家。
d）數據庫脆弱性掃描器：對數據庫的授權、認證和完整性進行詳細的分析，也可以識別數據庫系統中潛在的脆弱性。
滲透性測試工具是根據脆弱性掃描工具掃描的結果進行模擬攻擊測試，判斷被非法訪問者利用的可能性。這類工具通常包括黑客工具、腳本文件。滲透性測試的目的是檢測已發現的脆弱性是否真正會給系統或網絡帶來影響。通常滲透性工具與脆弱性掃描工具一起使用，并可能會對被評估系統的運行帶來一定影響。