风险评估工具

来源：作者：出处：巧巧读书 2006-09-22 进入讨论组

　　风险评估工具
风险评估过程中，可以利用一些辅助性的工具和方法来采集数据，包括：

调查问卷 —— 风险评估者通过问卷形式对组织信息安全的各个方面进行调查，问
卷解答可以进行手工分析，也可以输入自动化评估工具进行分析。从问卷调查中，
评估者能够了解到组织的关键业务、关键资产、主要威胁、管理上的缺陷、采用的
控制措施和安全策略的执行情况。
检查列表 —— 检查列表通常是基于特定标准或基线建立的，对特定系统进行审查
的项目条款，通过检查列表，操作者可以快速定位系统目前的安全状况与基线要求
之间的差距。
人员访谈 —— 风险评估者通过与组织内关键人员的访谈，可以了解到组织的安全
意识、业务操作、管理程序等重要信息。
漏洞扫描器 —— 漏洞扫描器（包括基于网络探测和基于主机审计）可以对信息系
统中存在的技术性漏洞（弱点）进行评估。许多扫描器都会列出已发现漏洞的严重
性和被利用的容易程度。典型工具有Nessus、ISS、CyberCop Scanner 等。
渗透测试 —— 这是一种模拟黑客行为的漏洞探测活动，它不但要扫描目标系统的
漏洞，还会通过漏洞利用来验证此种威胁场景。
除了这些方法和工具外，风险评估过程最常用的还是一些专用的自动化的风险评估工
具，无论是商用的还是免费的，此类工具都可以有效地通过输入数据来分析风险，最终给出
对风险的评价并推荐相应的安全措施。目前常见的自动化风险评估工具包括：
COBRA —— COBRA（Consultative, Objective and Bi-functional Risk Analysis）是
英国的C&A 系统安全公司推出的一套风险分析工具软件，它通过问卷的方式来采
集和分析数据，并对组织的风险进行定性分析，最终的评估报告中包含已识别风险
的水平和推荐措施。此外，COBRA 还支持基于知识的评估方法，可以将组织的安
全现状与ISO 17799 标准相比较，从中找出差距，提出弥补措施。C&A 公司提供
了COBRA 试用版下载：http://www.security-risk-analysis.com/cobdown.htm。
CRAMM —— CRAMM（CCTA Risk Analysis and Management Method）是由英国
政府的中央计算机与电信局（Central Computer and Telecommunications Agency，CCTA）于1985 年开发的一种定量风险分析工具，同时支持定性分析。经过多次
版本更新（现在是第四版），目前由 Insight 咨询公司负责管理和授权。CRAMM 是
一种可以评估信息系统风险并确定恰当对策的结构化方法，适用于各种类型的信息
系统和网络，也可以在信息系统生命周期的各个阶段使用。CRAMM 的安全模型
数据库基于著名的“资产/威胁/弱点”模型，评估过程经过资产识别与评价、威胁
和弱点评估、选择合适的推荐对策这三个阶段。CRAMM 与BS 7799 标准保持一致，
它提供的可供选择的安全控制多达3000 个。除了风险评估，CRAMM 还可以对符
合99vIL（99v Infrastructure Library）指南的业务连续性管理提供支持。
ASSET —— ASSET（Automated Security Self-Evaluation Tool）是美国国家标准技
术协会（National Institute of Standard and Technology，NIST）发布的一个可用来进
行安全风险自我评估的自动化工具，它采用典型的基于知识的分析方法，利用问卷
方式来评估系统安全现状与NIST SP 800-26 指南之间的差距。NIST Special
Publication 800-26，即信息技术系统安全自我评估指南（Security Self-Assessment
Guide for Information Technology Systems），为组织进行99v 系统风险评估提供了众
多控制目标和建议技术。ASSET 是一个免费工具，可以在NIST 的网站下载：
http://icat.nist.gov。
CORA —— CORA（Cost-of-Risk Analysis）是由国际安全技术公司（International
Security Technology, Inc. www.ist-usa.com）开发的一种风险管理决策支持系统，它
采用典型的定量分析方法，可以方便地采集、组织、分析并存储风险数据，为组织
的风险管理决策支持提供准确的依据。