-
常用的信息安全风险评估自动化工具介绍
<
/p>
风险评估过程最常用的还是一些专用的自动化的风险评估工具,无论是商用的还是免费的,
此类工具都可以有效地通过输入数据来分析风险,
最终给出对风
险的评价并推荐相应的安全
措施。目前常见的自动化风险评估工具包括:
*
COBRA
——
COBRA
(
Consultative, Objective and
Bi-functional Risk Analysis
)是
英国的
C&A
系统安全公司推出的一套风险分析工具软件,它
通过问卷的方式来采集和分析
数据,
并对组织的风险进行定性分
析,
最终的评估报告中包含已识别风险的水平和推荐措施。
此外
,
COBRA
还支持基于知识的评估方法,
< br>可以将组织的安全现状与
ISO 17799
标准相比
较
,
从
中
p>
找
出
差
距
,
提
出
弥
补
措
施
。
< br>C&A
公
司
提
供
了
COBRA
试
用
版
下
载
:
/
。
* CRAMM
——
CRAMM
(
CCTA Risk
Analysis and Management Method
)是由英国
政府的中央计算机与电信局
Central
Computer
and
Telecommunications
Agency
,
CCTA
)于
19
85
年开发的一种定量风险分析工具,同时支持定性分析。经过多次版本更新(现在是第
四版)
,目前由
Insight
p>
咨询公司负责管理和授权。
CRAMM
是一
种可以评估信息系统风险
并确定恰当对策的结构化方法,
适用于
各种类型的信息系统和网络,
也可以在信息系统生命
周期的各个
阶段使用。
CRAMM
的安全模型数据库基于著名的“资产
p>
/
威胁
/
弱点”模
型,评
估过程经过资产识别与评价、威胁和弱点评估、选择合适的推荐对策这三个阶段。
CRAMM
与
BS 7799
标准保持一致,
它提供的可供选择的安全控制多达
3000
< br>个。除了风险评估,
CRAMM
还可以对符合
99vIL
(
99v
Infrastructure
Library
)指南的业务连续性管理提供支持。
*
ASSET
——
ASSET
(
Automated
Security Self-Evaluation Tool
)是美国国家标准技<
/p>
术协会(
National Institute of
Standard and Technology
,
NIST
)发布的一个可用来进行安全风
险自我评估的自动化工具,
p>
它采用典型的基于知识的分析方法,
利用问卷方式来评估系统安
p>
全现状与
NIST SP 800-26
指南之间的差距。
NIST Special
Publication 800-26
,即信息技术系
统安全
自我评估指南(
Security Self-Assessment Guide
for Information Technology Systems
)
,
为组织进行
99v
系
统风险评估提供了众多控制目标和建议技术。
ASSET
是一个免费工具,
可以在
NIST
的网站下载:
。
*
CORA
——
CORA
(
Cost-of-Risk
Analysis
)是由国际安全技术公司(
< br>International
Security Technology,
Inc.
)开发的一种风险管理决策支持系统,它采用典型
的
定量分析方法,可以方便地采集、
组织、分析并存储风险数据,
为组织的风险管理决策支
持提供准确的依据。
*
微软的风险评估工具:
Microsoft Security
Accessment Tool
(
MSAT
< br>)——微软安全
评估工具
(
MS
AT
)
是微软的一个风险评估工具,
与
MBSA
直接扫描和评估系统不同,
M
SA
T
通过填写的详细的问卷以及相关信息,
< br>MSAT
处理问卷反馈,并评估组织在诸如基础结构、
应用程序、
操作和人员等领域中的安全实践,
然后提出相应的安
全风险管理措施和意见。
所
如果说
MB
SA
是个扫描器,则
MSAT
就是个风
险评估工具。
微软的
MSAT
是免费工具,
可
以
从
微
软
网
p>
站
下
载
,
但
需
要
注
册
。
下
载
< br>地
址
:
/china/secu
rity/msat/
*
Microsoft
基
准
安
全
分
析
器
(MBSA)
—
—
作
为
Microsoft
战
略
技
术
保
护
计
划
(
Strategic
Technology Protection
Program
)的一部分,并为了直接满足用户对于可识别安全
-
-
-
-
-
-
-
-
-
上一篇:美国2010-2017年排名前200的英文名
下一篇:著名景观设计·师