第1页共13页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第1页共13页http://www
net/netapp/evaluate/index1/13
htm风险评估工具风险评估过程中,可以利用一些辅助性的工具和方法来采集数据,包括:调查问卷——风险评估者通过问卷形式对组织信息安全的各个方面进行调查,问卷解答可以进行手工分析,也可以输入自动化评估工具进行分析
从问卷调查中,评估者能够了解到组织的关键业务、关键资产、主要威胁、管理上的缺陷、采用的控制措施和安全策略的执行情况
检查列表——检查列表通常是基于特定标准或基线建立的,对特定系统进行审查的项目条款,通过检查列表,操作者可以快速定位系统目前的安全状况与基线要求之间的差距
人员访谈——风险评估者通过与组织内关键人员的访谈,可以了解到组织的安全意识、业务操作、管理程序等重要信息
漏洞扫描器——漏洞扫描器(包括基于网络探测和基于主机审计)可以对信息系统中存在的技术性漏洞(弱点)进行评估
许多扫描器都会列出已发现漏洞的严重性和被利用的容易程度
典型工具有Nessus、ISS、CyberCopScanner等
渗透测试——这是一种模拟黑客行为的漏洞探测活动,它不但要扫描目标系统的漏洞,还会通过漏洞利用来验证此种威胁场景
除了这些方法和工具外,风险评估过程最常用的还是一些专用的自动化的风险评估工具,无论是商用的还是免费的,此类工具都可以有效地通过输入数据来分析风险,最终给出对风险的评价并推荐相应的安全措施
目前常见的自动化风险评估工具包括:第2页共13页第1页共13页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第2页共13页COBRA——COBRA(Consultative,ObjectiveandBi-functionalRiskAnalysis)是英国的C&A
