风险评估的工具与基本过程.pdfVIP

风险评估工具 风险评估过程中，能够利用一些辅助性的工具和方法来 采集数据，包括： • 调查问卷 —— 风险评估者通过问卷形式对组织信息安全 的各个方面进行调查，问卷解答能够进行手工分析，也能 够输入自动化评估工具进行分析。从问卷调查中，评估者 能够了解到组织的关键业务、关键资产、要紧威胁、管理 上的缺陷、采用的控制措施和安全策略的执行情况。 1 / 1 • 检查列表 —— 检查列表通常是基于特定标准或者基线建立 的，对特定系统进行审查的项目条款，通过检查列表，操 作者能够快速定位系统目前的安全状况与基线要求之间的 差距。 • 人员访谈 —— 风险评估者通过与组织内关键人员的访 谈，能够了解到组织的安全意识、业务操作、管理程序等 重要信息。 • 漏洞扫描器 —— 漏洞扫描器（包括基于网络探测和基于 主机审计）能够对信息系统中存在的技术性漏洞（弱点） 进行评估。许多扫描器都会列出已发觉漏洞的严峻性和被 利用的容易程度。典型工具有 Nessus、ISS、CyberCop Scanner 等。 • 渗透测试 —— 这是一种摹拟黑客行为的漏洞探测活动， 它非但要扫描目标系统的漏洞，还会通过漏洞利用来验证 此种威胁场景。 1 / 1 除了这些方法和工具外，风险评估过程最常用的依旧一些 专用的自动化的风险评估工具，不管是商用的依旧免费的， 此类工具都能够有效地通过输入数据来分析风险，最终给 出对风险的评价并推荐相应的安全措施。目前常见的自动 化风险评估工具包括： • COBRA —— COBRA （Consultative, Objective and Bi-functional Risk Analysis）是英国的CA 系统安全公 司推出的一套风险分析工具软件，它通过问卷的方式来采 集和分析数据，并对组织的风险进行定性分析，最终的评 估报告中包含已识不风险的水平和推荐措施。此外，COBRA 还支持基于知识的评估方法，能够将组织的安全现状与 ISO 17799 标准相比较，从中找出差距，提出弥补措施。CA 公 司提供了COBRA 试用版下载：。 (COBRA can be purchased instantly via credit card. Simply proceed to the secure server as follows: 1 / 1 * - Special Offer... Only $US 1995 - $US 895 ) • CRAMM —— CRAMM （CCTA Risk Analysis and Management Method）是由英国政府的中央计算机与电信局（Central Computer and Telecommunications Agency，CCTA）于 1985 年开辟的一种定量风险分析工具，同时支持定性分析。通 过多次版本更新（现在是第四版），目前由 Insight 咨询 公司负责管理和授权。CRAMM 是一种能够评估信息系统风 险并确定恰当对策的结构化方法，合用于各种类型的信息 系统和网络，也能够在信息系统生命周期的各个时期使用。 CRAMM 的安全模型数据库基于闻名的“资产/威胁/弱点” 模型，评估过程通过资产识不与评价、威胁和弱点评估、 选择合适的推荐对策这三个时期。CRAMM 与BS 7799 标准 保持一致，它提供的可供选择的安全控制多达 3000 个。除 1 / 1 了风险评估，CRAMM 还能够对符合 ITIL （IT Infrastructure Library）指南的业务连续性管理提供支 持。 • ASSET —— ASSET （Automated Security Self-Evaluatio