風(fēng)險評估過程中,可以利用一些輔助性的工具和方法來采集數(shù)據(jù),包括:
* 調(diào)查問卷 —— 風(fēng)險評估者通過問卷形式對組織信息安全的各個方面進(jìn)行調(diào)查,問卷解答可以進(jìn)行手工分析,也可以輸入自動化評估工具進(jìn)行分析。從問卷調(diào)查中,評估者能夠了解到組織的關(guān)鍵業(yè)務(wù)、關(guān)鍵資產(chǎn)、主要威脅、管理上的缺陷、采用的控制措施和安全策略的執(zhí)行情況?!?/p>
* 檢查列表 —— 檢查列表通常是基于特定標(biāo)準(zhǔn)或基線建立的,對特定系統(tǒng)進(jìn)行審查的項目條款,通過檢查列表,操作者可以快速定位系統(tǒng)目前的安全狀況與基線要求之間的差距?!?/p>
* 人員訪談 —— 風(fēng)險評估者通過與組織內(nèi)關(guān)鍵人員的訪談,可以了解到組織的安全意識、業(yè)務(wù)操作、管理程序等重要信息。 * 漏洞掃描器 —— 漏洞掃描器(包括基于網(wǎng)絡(luò)探測和基于主機(jī)審計)可以對信息系統(tǒng)中存在的技術(shù)性漏洞(弱點(diǎn))進(jìn)行評估。許多掃描器都會列出已發(fā)現(xiàn)漏洞的嚴(yán)重性和被利用的容易程度。典型工具有Nessus、ISS、CyberCop Scanner 等。
* 滲透測試 —— 這是一種模擬黑客行為的漏洞探測活動,它不但要掃描目標(biāo)系統(tǒng)的漏洞,還會通過漏洞利用來驗證此種威脅場景。 除了這些方法和工具外,風(fēng)險評估過程最常用的還是一些專用的自動化的風(fēng)險評估工具,無論是商用的還是免費(fèi)的,此類工具都可以有效地通過輸入數(shù)據(jù)來分析風(fēng)險,最終給出對風(fēng)險的評價并推薦相應(yīng)的安全措施。目前常見的自動化風(fēng)險評估工具包括:
* COBRA —— COBRA(Consultative, Objective and Bi-functional Risk Analysis)是英國的C&A系統(tǒng)安全公司推出的一套風(fēng)險分析工具軟件,它通過問卷的方式來采集和分析數(shù)據(jù),并對組織的風(fēng)險進(jìn)行定性分析,最終的評估報告中包含已識別風(fēng)險的水平和推薦措施。此外,COBRA 還支持基于知識的評估方法,可以將組織的安全現(xiàn)狀與ISO 17799 標(biāo)準(zhǔn)相比較,從中找出差距,提出彌補(bǔ)措施。C&A 公司提供了COBRA 試用版下載:http://www.security-risk-analysis.com/cobdown.htm?!?/p>
* CRAMM —— CRAMM(CCTA Risk Analysis and Management Method)是由英國政府的中央計算機(jī)與電信局Central Computer and Telecommunications Agency,CCTA)于1985年開發(fā)的一種定量風(fēng)險分析工具,同時支持定性分析。經(jīng)過多次版本更新(現(xiàn)在是第四版),目前由Insight 咨詢公司負(fù)責(zé)管理和授權(quán)。CRAMM是一種可以評估信息系統(tǒng)風(fēng)險并確定恰當(dāng)對策的結(jié)構(gòu)化方法,適用于各種類型的信息系統(tǒng)和網(wǎng)絡(luò),也可以在信息系統(tǒng)生命周期的各個階段使用。CRAMM的安全模型數(shù)據(jù)庫基于著名的“資產(chǎn)/威脅/弱點(diǎn)”模型,評估過程經(jīng)過資產(chǎn)識別與評價、威脅和弱點(diǎn)評估、選擇合適的推薦對策這三個階段。CRAMM與BS 7799 標(biāo)準(zhǔn)保持一致,它提供的可供選擇的安全控制多達(dá)3000 個。除了風(fēng)險評估,CRAMM還可以對符合99vIL(99v Infrastructure Library)指南的業(yè)務(wù)連續(xù)性管理提供支持?!?/p>
* ASSET —— ASSET(Automated Security Self-Evaluation Tool)是美國國家標(biāo)準(zhǔn)技術(shù)協(xié)會(National Institute of Standard and Technology,NIST)發(fā)布的一個可用來進(jìn)行安全風(fēng)險自我評估的自動化工具,它采用典型的基于知識的分析方法,利用問卷方式來評估系統(tǒng)安全現(xiàn)狀與NIST SP 800-26 指南之間的差距。NIST Special Publication 800-26,即信息技術(shù)系統(tǒng)安全自我評估指南(Security Self-Assessment Guide for Information Technology Systems),為組織進(jìn)行99v系統(tǒng)風(fēng)險評估提供了眾多控制目標(biāo)和建議技術(shù)。ASSET 是一個免費(fèi)工具,可以在NIST 的網(wǎng)站下載:http://icat.nist.gov。
* CORA —— CORA(Cost-of-Risk Analysis)是由國際安全技術(shù)公司(International Security Technology, Inc. www.ist-usa.com)開發(fā)的一種風(fēng)險管理決策支持系統(tǒng),它采用典型的定量分析方法,可以方便地采集、組織、分析并存儲風(fēng)險數(shù)據(jù),為組織的風(fēng)險管理決策支持提供準(zhǔn)確的依據(jù)。風(fēng)險評估過程中,可以利用一些輔助性的工具和方法來采集數(shù)據(jù),包括:
* 調(diào)查問卷 —— 風(fēng)險評估者通過問卷形式對組織信息安全的各個方面進(jìn)行調(diào)查,問卷解答可以進(jìn)行手工分析,也可以輸入自動化評估工具進(jìn)行分析。從問卷調(diào)查中,評估者能夠了解到組織的關(guān)鍵業(yè)務(wù)、關(guān)鍵資產(chǎn)、主要威脅、管理上的缺陷、采用的控制措施和安全策略的執(zhí)行情況?!?/p>
* 檢查列表 —— 檢查列表通常是基于特定標(biāo)準(zhǔn)或基線建立的,對特定系統(tǒng)進(jìn)行審查的項目條款,通過檢查列表,操作者可以快速定位系統(tǒng)目前的安全狀況與基線要求之間的差距。
* 人員訪談 —— 風(fēng)險評估者通過與組織內(nèi)關(guān)鍵人員的訪談,可以了解到組織的安全意識、業(yè)務(wù)操作、管理程序等重要信息?!? 漏洞掃描器 —— 漏洞掃描器(包括基于網(wǎng)絡(luò)探測和基于主機(jī)審計)可以對信息系統(tǒng)中存在的技術(shù)性漏洞(弱點(diǎn))進(jìn)行評估。許多掃描器都會列出已發(fā)現(xiàn)漏洞的嚴(yán)重性和被利用的容易程度。典型工具有Nessus、ISS、CyberCop Scanner 等?!?/p>
* 滲透測試 —— 這是一種模擬黑客行為的漏洞探測活動,它不但要掃描目標(biāo)系統(tǒng)的漏洞,還會通過漏洞利用來驗證此種威脅場景?! 〕诉@些方法和工具外,風(fēng)險評估過程最常用的還是一些專用的自動化的風(fēng)險評估工具,無論是商用的還是免費(fèi)的,此類工具都可以有效地通過輸入數(shù)據(jù)來分析風(fēng)險,最終給出對風(fēng)險的評價并推薦相應(yīng)的安全措施。目前常見的自動化風(fēng)險評估工具包括:
* COBRA —— COBRA(Consultative, Objective and Bi-functional Risk Analysis)是英國的C&A系統(tǒng)安全公司推出的一套風(fēng)險分析工具軟件,它通過問卷的方式來采集和分析數(shù)據(jù),并對組織的風(fēng)險進(jìn)行定性分析,最終的評估報告中包含已識別風(fēng)險的水平和推薦措施。此外,COBRA 還支持基于知識的評估方法,可以將組織的安全現(xiàn)狀與ISO 17799 標(biāo)準(zhǔn)相比較,從中找出差距,提出彌補(bǔ)措施。C&A 公司提供了COBRA 試用版下載:http://www.security-risk-analysis.com/cobdown.htm?!?/p>
* CRAMM —— CRAMM(CCTA Risk Analysis and Management Method)是由英國政府的中央計算機(jī)與電信局Central Computer and Telecommunications Agency,CCTA)于1985年開發(fā)的一種定量風(fēng)險分析工具,同時支持定性分析。經(jīng)過多次版本更新(現(xiàn)在是第四版),目前由Insight 咨詢公司負(fù)責(zé)管理和授權(quán)。CRAMM是一種可以評估信息系統(tǒng)風(fēng)險并確定恰當(dāng)對策的結(jié)構(gòu)化方法,適用于各種類型的信息系統(tǒng)和網(wǎng)絡(luò),也可以在信息系統(tǒng)生命周期的各個階段使用。CRAMM的安全模型數(shù)據(jù)庫基于著名的“資產(chǎn)/威脅/弱點(diǎn)”模型,評估過程經(jīng)過資產(chǎn)識別與評價、威脅和弱點(diǎn)評估、選擇合適的推薦對策這三個階段。CRAMM與BS 7799 標(biāo)準(zhǔn)保持一致,它提供的可供選擇的安全控制多達(dá)3000 個。除了風(fēng)險評估,CRAMM還可以對符合99vIL(99v Infrastructure Library)指南的業(yè)務(wù)連續(xù)性管理提供支持?!?/p>
* ASSET —— ASSET(Automated Security Self-Evaluation Tool)是美國國家標(biāo)準(zhǔn)技術(shù)協(xié)會(National Institute of Standard and Technology,NIST)發(fā)布的一個可用來進(jìn)行安全風(fēng)險自我評估的自動化工具,它采用典型的基于知識的分析方法,利用問卷方式來評估系統(tǒng)安全現(xiàn)狀與NIST SP 800-26 指南之間的差距。NIST Special Publication 800-26,即信息技術(shù)系統(tǒng)安全自我評估指南(Security Self-Assessment Guide for Information Technology Systems),為組織進(jìn)行99v系統(tǒng)風(fēng)險評估提供了眾多控制目標(biāo)和建議技術(shù)。ASSET 是一個免費(fèi)工具,可以在NIST 的網(wǎng)站下載:http://icat.nist.gov。
* CORA —— CORA(Cost-of-Risk Analysis)是由國際安全技術(shù)公司(International Security Technology, Inc. www.ist-usa.com)開發(fā)的一種風(fēng)險管理決策支持系統(tǒng),它采用典型的定量分析方法,可以方便地采集、組織、分析并存儲風(fēng)險數(shù)據(jù),為組織的風(fēng)險管理決策支持提供準(zhǔn)確的依據(jù)。