风险评估的工具与基本过程

风险评估工具

风险评估过程中，能够利用一些辅助性的工具和方法来采集数据，包括：

•调查问卷——风险评估者通过问卷形式对组织信息安全的各个方面进行调查，问卷解答能够进行手工分析，也能够输入自动化评估工具进行分析。从问卷调查中，评估者能够了解到组织的关键业务、关键资产、要紧威胁、治理上的缺陷、采纳的操纵措施和安全策略的执行情况。

•检查列表——检查列表通常是基于特定标准或基线建立的，对特定系统进行审查的项目条款，通过检查列表，操作者能够快速定位系统目前的安全状况与基线要求之间的差距。

•人员访谈——风险评估者通过与组织内关键人员的访谈，能够了解到组织的安全意识、业务操作、治理程序等重要信息。

•漏洞扫描器——漏洞扫描器（包括基于网络探测和基于主机审计）能够对信息系统中存在的技术性漏洞（弱点）进行评估。许多扫描器都会列出已发觉漏洞的严峻性和被利用的容易程度。典型工具有Nessus、ISS、CyberCop Scanner 等。

•渗透测试——这是一种模拟黑客行为的漏洞探测活动，它不但要扫描目标系统的漏洞，还会通过漏洞利用来验证此种威胁场景。

除了这些方法和工具外，风险评估过程最常用的依旧一些

专用的自动化的风险评估工具，不管是商用的依旧免费的，此类工具都能够有效地通过输入数据来分析风险，最终给

出对风险的评价并推举相应的安全措施。目前常见的自动

化风险评估工具包括：

•COBRA —— COBRA（Consultative, Objective and Bi-functional Risk Analysis）是英国的C&A 系统安全公

司推出的一套风险分析工具软件，它通过问卷的方式来采

集和分析数据，并对组织的风险进行定性分析，最终的评

估报告中包含已识不风险的水平和推举措施。此外，COBRA 还支持基于知识的评估方法，能够将组织的安全现状与ISO 17799 标准相比较，从中找出差距，提出弥补措施。C&A 公

司提供了COBRA 试用版下载：。

(COBRA can be purchased instantly via credit card. Simply proceed to the secure server as follows:

* - Special Offer... Only $US 1995

- $US 895

)

•CRAMM —— CRAMM（CCTA Risk Analysis and Management Method）是由英国政府的中央计算机与电信局（Central Computer and Telecommunications Agency，CCTA）于1985 年开发的一种定量风险分析工具，同时支持定性分析。通过多次版本更新（现在是第四版），目前由 Insight 咨询公司负责治理和授权。CRAMM 是一种能够评估信息系统风险并确定恰当对策的结构化方法，适用于各种类型的信息系统和网络，也能够在信息系统生命周期的各个时期使用。

CRAMM 的安全模型数据库基于闻名的“资产/威胁/弱点”

模型，评估过程通过资产识不与评价、威胁和弱点评估、选择合适的推举对策这三个时期。CRAMM 与BS 7799 标准保持一致，它提供的可供选择的安全操纵多达3000 个。除

了风险评估，CRAMM 还能够对符合ITIL（IT

Infrastructure Library）指南的业务连续性治理提供支持。

•ASSET ——ASSET（Automated Security Self-Evaluation Tool）是美国国家标准技术协会（National Institute of Standard and Technology，NIST）公布的一个可用来进行安全风险自我评估的自动化工具，它采纳典型的基于知识的分析方法，利用问卷方式来评估系统安全现状与NIST SP 800-26 指南之间的差距。NIST SpecialPublication

800-26，即信息技术系统安全自我评估指南（Security Self-AssessmentGuide for Information Technology

Systems），为组织进行IT 系统风险评估提供了众多操纵目标和建议技术。ASSET 是一个免费工具，能够在NIST 的网站下载：。

•CORA —— CORA（Cost-of-Risk Analysis）是由国际安全技术公司（InternationalSecurity Technology, Inc.

）开发的一种风险治理决策支持系统，它采纳典型的定量分析方法，能够方便地采集、组织、分析

并存储风险数据，为组织的风险治理决策支持提供准确的

依据。

面对信息安全问题时，需要从组织的角度去评估他们实际上需要爱护什么及其需求的缘故。大多数安全问题深深的根植在一个或者多个组织和业务问题中。在实施安全方案之前，应当通过在业务环境中评估安全需求和风险，刻画出差不多问题的真实本质，决定需要爱护哪些对象，什么缘故要爱护这些对象，需要从哪些方面进行爱护，如何在生存期内进行爱护。下面将从不同的角度比较现有的信息安全风险评估方法。

１）手动评估和工具辅助评估

在各种信息安全风险评估工具出现往常，对信息系统进行安全治理，一切工作都只能手工进行。关于安全风险分析人员而言，这些工作包括识不重要资产、安全需求分析、当前安全实践分析、威胁和弱点发觉、基于资产的风险分析和评估等。关于安全决策者而言，这些工作包括资产估价、安全投资成本以及风险效益之间的平衡决策等。关于系统治理员而言，这些工作包括基于风险评估的风险治理等。总而言之，其劳动量巨大，容易出现疏漏，而且，他们差不多上依据各自的经验，进行与安全风险相关的工作。

风险评估工具的出现在一定程度上解决了手动评估的局限性。1985年，英国CCTA开发了CRAMM风险评估工具。CRAMM包括全面的风险评估工具，同时完全遵循BS 7799规范，包括依靠资产的建模、商业阻碍评估、识不和评估威胁和弱点、评估风险等级、识不需求和基于风险评估调整操纵等。CRAMM评估风险依靠资产价值、威胁和脆弱点，这些参数值是通过CRAMM评估者与资产所