风险评估工具 .pdfVIP

风险评估工具

风险评估过程中，可以利用一些辅助性的工具和方法来采集数据，包括：

调查问卷——风险评估者通过问卷形式对组织信息安全的各个方面进行

调查，问卷解答可以进行手工分析，也可以输入自动化评估工具进行分析。

从问卷调查中，评估者能够了解到组织的关键业务、关键资产、主要威胁、

管理上的缺陷、采用的控制措施和安全策略的执行情况。

检查列表——检查列表通常是基于特定标准或基线建立的，对特定系统进

行审查的项目条款，通过检查列表，操作者可以快速定位系统目前的安全状

况与基线要求之间的差距。

人员访谈——风险评估者通过与组织内关键人员的访谈，可以了解到组织

的安全意识、业务操作、管理程序等重要信息。

漏洞扫描器——漏洞扫描器（包括基于网络探测和基于主机审计）可以对

信息系统中存在的技术性漏洞（弱点）进行评估。许多扫描器都会列出已发

现漏洞的严重性和被利用的容易程度。典型工具有Nessus、ISS、CyberCop

Scanner等。

渗透测试——这是一种模拟黑客行为的漏洞探测活动，它不但要扫描目标

系统的漏洞，还会通过漏洞利用来验证此种威胁场景。

除了这些方法和工具外，风险评估过程最常用的还是一些专用的自动化的风

险评估工具，无论是商用的还是免费的，此类工具都可以有效地通过输入数

据来分析风险，最终给出对风险的评价并推荐相应的安全措施。目前常见的

自动化风险评估工具包括：

COBRA——COBRA（Consultative,ObjectiveandBi-functionalRisk

Analysis）是英国的CA系统安全公司推出的一套风险分析工具软件，它

通过问卷的方式来采集和分析数据，并对组织的风险进行定性分析，最终的

评估报告中包含已识别风险的水平和推荐措施。此外，COBRA还支持基于知

识的评估方法，可以将组织的安全现状与ISO17799标准相比较，从中找

出差距，提出弥补措施。CA公司提供了COBRA试用版下载：。

(COBRAcanbepurchasedinstantlyviacreditcard.Simplyproceedtothe

secureserverasfollows:

*-SpecialOffer...Only$US1995

-$US895

)

CRAMM——CRAMM（CCTARiskAnalysisandManagementMethod）是由英

国政府的中央计算机与电信局（CentralComputerandTelecommunications

Agency，CCTA）于1985年开发的一种定量风险分析工具，同时支持定性分

析。经过多次版本更新（现在是第四版），目前由Insight咨询公司负责

管理和授权。CRAMM是一种可以评估信息系统风险并确定恰当对策的结构化

方法，适用于各种类型的信息系统和网络，也可以在信息系统生命周期的各

个阶段使用。CRAMM的安全模型数据库基于着名的“资产/威胁/弱点”模

型，评估过程经过资产识别与评价、威胁和弱点评估、选择合适的推荐对策

这三个阶段。CRAMM与BS7799标准保持一致，它提供的可供选择的安全

控制多达3000个。除了风险评估，CRAMM还可以对符合ITIL（IT

InfrastructureLibrary）指南的业务连续性管理提供支持。

CORA——CORA（Cost-of-RiskAnalysis）是由国际安全技术公司

（InternationalSecurityTechnology,Inc.）开发的一种风险管理决策

支持系统，它采用典型的定量分析方法，可以方便地采集、组织、分析并存

储风险数据，为组织的风险管理决策支持提供准确的依据。

面对信息安全问题时，需要从组织的角度去评估他们实际上需要保护什么及其需

求的原因。大多数安全问题深深的根植在一个或者多个组织和业务问题中。在实

施安全方案之前，应当通