1.一種基于靜態(tài)和動(dòng)態(tài)分析技術(shù)的主機(jī)系統(tǒng)安全評(píng)估方法，其特征在于，包含如下步驟：

1)將分析器接入被評(píng)估主機(jī)系統(tǒng)所處的網(wǎng)絡(luò)中，上傳靜態(tài)安全數(shù)據(jù)采集器，采集主機(jī)系統(tǒng)靜態(tài)安全數(shù)據(jù)，包括概要文件參數(shù)、服務(wù)列表、進(jìn)程信息；

2)靜態(tài)安全數(shù)據(jù)采集器向分析器返回主機(jī)系統(tǒng)靜態(tài)安全數(shù)據(jù)，將上述主機(jī)系統(tǒng)靜態(tài)安全數(shù)據(jù)與標(biāo)準(zhǔn)安全配置數(shù)據(jù)進(jìn)行對(duì)比，若一致則表示主機(jī)系統(tǒng)安全，若不一致則轉(zhuǎn)入步驟3)；

3)若主機(jī)系統(tǒng)開(kāi)放的服務(wù)多于標(biāo)準(zhǔn)安全配置開(kāi)放的服務(wù)，則針對(duì)標(biāo)準(zhǔn)安全配置之外的服務(wù)進(jìn)行動(dòng)態(tài)分析；

4)上述動(dòng)態(tài)分析依據(jù)主機(jī)系統(tǒng)開(kāi)放的標(biāo)準(zhǔn)安全配置之外的服務(wù)而確定，具體為：

若開(kāi)放了ftp、Telnet或者SMTP/POP3服務(wù)，則加載常用的帳戶口令字典表，檢測(cè)是否存在不安全的帳戶；根據(jù)服務(wù)返回的banner信息分析ftp、Telnet或者SMTP/POP3服務(wù)的版本，并確定該版本存在的已知安全漏洞；

若開(kāi)放了Web服務(wù)，則相對(duì)應(yīng)的進(jìn)行SQL注入、目錄遍歷、上傳漏洞，若存在上傳漏洞，則上傳模擬的惡意代碼，測(cè)試是否可以進(jìn)行遠(yuǎn)程控制、權(quán)限提升；

若為Windows?NT系列操作系統(tǒng)，則加載常用的帳戶口令字典表，檢測(cè)是否存在不安全的帳戶；根據(jù)微軟官方網(wǎng)站提供的補(bǔ)丁清單信息檢查系統(tǒng)補(bǔ)丁升級(jí)情況；

若開(kāi)放了SQL?SERVER服務(wù)，則加載常用的帳戶口令字典表，檢測(cè)是否存在不安全的帳戶；根據(jù)服務(wù)返回的banner信息分析SQL?SERVER數(shù)據(jù)庫(kù)的版本，并確定該版本存在的已知安全漏洞；嘗試?yán)么鎯?chǔ)過(guò)程xp_cmdshell執(zhí)行系統(tǒng)命令，測(cè)試是否可以進(jìn)行遠(yuǎn)程控制、權(quán)限提升；

若開(kāi)放了ORACLE服務(wù)，則加載常用的帳戶口令字典表，檢測(cè)是否存在不安全的帳戶；根據(jù)服務(wù)返回的banner信息分析ORACLE數(shù)據(jù)庫(kù)的版本，并確定該版本存在的已知安全漏洞；若監(jiān)聽(tīng)器服務(wù)未設(shè)置口令保護(hù)，則連接服務(wù)，測(cè)試是否可修改服務(wù)配置或停止服務(wù)。

2.根據(jù)權(quán)利要求1所述的一種基于靜態(tài)和動(dòng)態(tài)分析技術(shù)的主機(jī)系統(tǒng)安全評(píng)估方法，其特征在于，所述步驟1)主機(jī)系統(tǒng)包括操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)，概要文件包括但不限于以下方面：

1)操作系統(tǒng)語(yǔ)言、版本、IP地址基本信息、帳戶信息、網(wǎng)絡(luò)配置、共享、服務(wù)、關(guān)鍵文件的權(quán)限信息和補(bǔ)丁與漏洞情況信息；

2)數(shù)據(jù)庫(kù)系統(tǒng)詳細(xì)版本、監(jiān)聽(tīng)器服務(wù)安全性、賬戶口令安全性、初始化參數(shù)設(shè)置安全性、帳戶口令策略、存儲(chǔ)過(guò)程的權(quán)限設(shè)置、啟動(dòng)帳戶權(quán)限、非必需服務(wù)、日志審計(jì)策略和認(rèn)證模式和表空間的使用情況。

3.根據(jù)權(quán)利要求1所述的一種基于靜態(tài)和動(dòng)態(tài)分析技術(shù)的主機(jī)系統(tǒng)安全評(píng)估方法，其特征在于，所述步驟2)中由分析服務(wù)器對(duì)靜態(tài)數(shù)據(jù)采集器返回的數(shù)據(jù)進(jìn)行分析，確定所需進(jìn)行動(dòng)態(tài)分析的具體內(nèi)容，提高動(dòng)態(tài)分析的針對(duì)性和命中率。