-
风险评估过程主要包括:
“数据采集、安全评测、安全分析、报告处
理”
一、数据采集方法有:问卷调查、
人员访谈、漏洞扫描、渗透性测试
等
1
、
问卷调查:
下图是微软的
Microsoft Security Assessment
Tool
一款风险评估应用程序,目的是提供一些与信息技术
(IT)
基础架
构中的安全最佳经验
有关的信息和建议。
此应用程序是专为拥有
50
到
500
台台式机和(或)
100
到
1,000
名员工的组织设计的。
它首先采集一些信息(已问卷调查的形式),如下图所示。通
过填写
一些配置信息
(图左上)
,
然后通过它的一套算法最后生成一个报告。
产生的分析报表:
2
、人员访谈也可以以调查问卷的形式作为系统参数的输入配置
3
、漏洞扫描、渗透性测试等数据可以通过漏洞扫描
器等检测工具获
得,输入本系统
二、
安全评测、安全分析、报告处理等都属于本系统的功能,并采用
前面数据采集得到的数据
目前常见的自动化风险评估工具还包括:
CORA
——
CORA
(
Cost-of-Risk
Analysis
)是由国际安全技术公司(
Internat
ional
Security Technology, Inc.
)
开发的一种风险管理决策支持系统,
它
采用典型的定量分析方法,可以方便地采集、组织、分析并存储风险数据
,为
组织的风险管理决策支持提供准确的依据。
ASSET
——
ASSET
(
Automated
Security
Self-Evaluation
Tool
)是美国国家标准技
术协会(
National Institute of Standard and Technol
ogy
,
NIST
)发布的一个可用来
进行
安全风险自我评估的自动化工具,它采用典型的基于知识的
分析方法,利
用问卷方式来评估系统安全现状与
NIST
SP
800-26
指南之间的差距。
NIST
SpecialPublication
800-26
,
即
信
息
技
术
系
统
安
全
自
我
评
估
指
南
(
Security
Self-
AssessmentGuide for Information Technology
Systems
)
,为组织进行
IT
系统风
险评估提供了众多控制目标和建议技术。
ASSET
是一个免费工具,
可以在
NIST <
/p>
的
网站下载:
。
CRAMM
——
CRAMM
(
CCTA Risk
Analysis and Management
Method
)是由英国
-
-
-
-
-
-
-
-
-
上一篇:PMP考试常用缩写汇总(中英文对照)
下一篇:200个男女生英语名字