常用的信息安全风险评估自动化工具介绍 风险评估过程最常用的还是一些专用的自动化的风险评估工具,无论是商用的还是免费的,此类工具都可以有效地通过输入数据来分析风险,最终给出对风险的评价并推举相应的安全措施。目前常见的自动化风险评估工具包括: * COBRA —— COBRA(Consultative, Objective and Bi—functional Risk Analysis)是英国的 C&A 系统安全公司推出的一套风险分析工具软件,它通过问卷的方式来采集和分析数据,并对组织的风险进行定性分析,最终的评估报告中包含已识别风险的水平和推举措施.此外,COBRA 还支持基于知识的评估方法,可以将组织的安全现状与 ISO 17799 标准相比较,从中找出差距,提出弥补措施.C&A 公司提供了 COBRA 试用版下载: http://www.security-risk-analysis。com/cobdown.htm。 * CRAMM -- CRAMM(CCTA Risk Analysis and Management Method)是由英国政府的中央计算机与电信局 Central Computer and Telecommunications Agency,CCTA)于 1985 年开发的一种定量风险分析工具,同时支持定性分析。经过多次版本更新(现在是第四版),目前由 Insight 咨询公司负责管理和授权。CRAMM 是一种可以评估信息系统风险并确定恰当对策的结构化方法,适用于各种类型的信息系统和网络,也可以在信息系统生命周期的各个阶段使用.CRAMM 的安全模型数据库基于著名的“资产/威胁/弱点"模型,评估过程经过资产识别与评价、威胁和弱点评估、选择合适的推举对策这三个阶段 .CRAMM 与 BS 7799 标准保持一致, 它提供的可供选择的安全控制多达 3000 个.除了风险评估,CRAMM 还可以对符合 99vIL(99v Infrastructure Library)指南的业务连续性管理提供支持。 * ASSET —- ASSET(Automated Security Self-Evaluation Tool)是美国国家标准技术协会(National Institute of Standard and Technology,NIST)发布的一个可用来进行安全风险自我评估的自动化工具,它采纳典型的基于知识的分析方法,利用问卷方式来评估系统安全现状与 NIST SP 800—26 指南之间的差距。NIST Special Publication 800—26,即信息技术系统安全自我评估指南(Security Self—Assessment Guide for Information Technology Systems),为组织进行 99v 系统风险评估提供了众多控制目标和建议技术。ASSET 是一个免费工具,可以在 NIST 的网站下载: http://icat.nist。gov...
