风险评估过程中,可以利用一些辅助性的工具和方法来采集数据,包括:
* 调查问卷 —— 风险评估者通过问卷形式对组织信息安全的各个方面进行调查,问卷解答可以进行手工分析,也可以输入自动化评估工具进行分析。从问卷调查中,评估者能够了解到组织的关键业务、关键资产、主要威胁、管理上的缺陷、采用的控制措施和安全策略的执行情况。
* 检查列表 —— 检查列表通常是基于特定标准或基线建立的,对特定系统进行审查的项目条款,通过检查列表,操作者可以快速定位系统目前的安全状况与基线要求之间的差距。
* 人员访谈 —— 风险评估者通过与组织内关键人员的访谈,可以了解到组织的安全意识、业务操作、管理程序等重要信息。 * 漏洞扫描器 —— 漏洞扫描器(包括基于网络探测和基于主机审计)可以对信息系统中存在的技术性漏洞(弱点)进行评估。许多扫描器都会列出已发现漏洞的严重性和被利用的容易程度。典型工具有Nessus、ISS、CyberCop Scanner 等。
* 渗透测试 —— 这是一种模拟黑客行为的漏洞探测活动,它不但要扫描目标系统的漏洞,还会通过漏洞利用来验证此种威胁场景。 除了这些方法和工具外,风险评估过程最常用的还是一些专用的自动化的风险评估工具,无论是商用的还是免费的,此类工具都可以有效地通过输入数据来分析风险,最终给出对风险的评价并推荐相应的安全措施。目前常见的自动化风险评估工具包括:
* COBRA —— COBRA(Consultative, Objective and Bi-functional Risk Analysis)是英国的C&A系统安全公司推出的一套风险分析工具软件,它通过问卷的方式来采集和分析数据,并对组织的风险进行定性分析,最终的评估报告中包含已识别风险的水平和推荐措施。此外,COBRA 还支持基于知识的评估方法,可以将组织的安全现状与ISO 17799 标准相比较,从中找出差距,提出弥补措施。C&A 公司提供了COBRA 试用版下载:http://www.security-risk-analysis.com/cobdown.htm。
* CRAMM —— CRAMM(CCTA Risk Analysis and Management Method)是由英国政府的中央计算机与电信局Central Computer and Telecommunications Agency,CCTA)于1985年开发的一种定量风险分析工具,同时支持定性分析。经过多次版本更新(现在是第四版),目前由Insight 咨询公司负责管理和授权。CRAMM是一种可以评估信息系统风险并确定恰当对策的结构化方法,适用于各种类型的信息系统和网络,也可以在信息系统生命周期的各个阶段使用。CRAMM的安全模型数据库基于著名的“资产/威胁/弱点”模型,评估过程经过资产识别与评价、威胁和弱点评估、选择合适的推荐对策这三个阶段。CRAMM与BS 7799 标准保持一致,它提供的可供选择的安全控制多达3000 个。除了风险评估,CRAMM还可以对符合99vIL(99v Infrastructure Library)指南的业务连续性管理提供支持。
* ASSET —— ASSET(Automated Security Self-Evaluation Tool)是美国国家标准技术协会(National Institute of Standard and Technology,NIST)发布的一个可用来进行安全风险自我评估的自动化工具,它采用典型的基于知识的分析方法,利用问卷方式来评估系统安全现状与NIST SP 800-26 指南之间的差距。NIST Special Publication 800-26,即信息技术系统安全自我评估指南(Security Self-Assessment Guide for Information Technology Systems),为组织进行99v系统风险评估提供了众多控制目标和建议技术。ASSET 是一个免费工具,可以在NIST 的网站下载:http://icat.nist.gov。
* CORA —— CORA(Cost-of-Risk Analysis)是由国际安全技术公司(International Security Technology, Inc. www.ist-usa.com)开发的一种风险管理决策支持系统,它采用典型的定量分析方法,可以方便地采集、组织、分析并存储风险数据,为组织的风险管理决策支持提供准确的依据。风险评估过程中,可以利用一些辅助性的工具和方法来采集数据,包括:
* 调查问卷 —— 风险评估者通过问卷形式对组织信息安全的各个方面进行调查,问卷解答可以进行手工分析,也可以输入自动化评估工具进行分析。从问卷调查中,评估者能够了解到组织的关键业务、关键资产、主要威胁、管理上的缺陷、采用的控制措施和安全策略的执行情况。
* 检查列表 —— 检查列表通常是基于特定标准或基线建立的,对特定系统进行审查的项目条款,通过检查列表,操作者可以快速定位系统目前的安全状况与基线要求之间的差距。
* 人员访谈 —— 风险评估者通过与组织内关键人员的访谈,可以了解到组织的安全意识、业务操作、管理程序等重要信息。 * 漏洞扫描器 —— 漏洞扫描器(包括基于网络探测和基于主机审计)可以对信息系统中存在的技术性漏洞(弱点)进行评估。许多扫描器都会列出已发现漏洞的严重性和被利用的容易程度。典型工具有Nessus、ISS、CyberCop Scanner 等。
* 渗透测试 —— 这是一种模拟黑客行为的漏洞探测活动,它不但要扫描目标系统的漏洞,还会通过漏洞利用来验证此种威胁场景。 除了这些方法和工具外,风险评估过程最常用的还是一些专用的自动化的风险评估工具,无论是商用的还是免费的,此类工具都可以有效地通过输入数据来分析风险,最终给出对风险的评价并推荐相应的安全措施。目前常见的自动化风险评估工具包括:
* COBRA —— COBRA(Consultative, Objective and Bi-functional Risk Analysis)是英国的C&A系统安全公司推出的一套风险分析工具软件,它通过问卷的方式来采集和分析数据,并对组织的风险进行定性分析,最终的评估报告中包含已识别风险的水平和推荐措施。此外,COBRA 还支持基于知识的评估方法,可以将组织的安全现状与ISO 17799 标准相比较,从中找出差距,提出弥补措施。C&A 公司提供了COBRA 试用版下载:http://www.security-risk-analysis.com/cobdown.htm。
* CRAMM —— CRAMM(CCTA Risk Analysis and Management Method)是由英国政府的中央计算机与电信局Central Computer and Telecommunications Agency,CCTA)于1985年开发的一种定量风险分析工具,同时支持定性分析。经过多次版本更新(现在是第四版),目前由Insight 咨询公司负责管理和授权。CRAMM是一种可以评估信息系统风险并确定恰当对策的结构化方法,适用于各种类型的信息系统和网络,也可以在信息系统生命周期的各个阶段使用。CRAMM的安全模型数据库基于著名的“资产/威胁/弱点”模型,评估过程经过资产识别与评价、威胁和弱点评估、选择合适的推荐对策这三个阶段。CRAMM与BS 7799 标准保持一致,它提供的可供选择的安全控制多达3000 个。除了风险评估,CRAMM还可以对符合99vIL(99v Infrastructure Library)指南的业务连续性管理提供支持。
* ASSET —— ASSET(Automated Security Self-Evaluation Tool)是美国国家标准技术协会(National Institute of Standard and Technology,NIST)发布的一个可用来进行安全风险自我评估的自动化工具,它采用典型的基于知识的分析方法,利用问卷方式来评估系统安全现状与NIST SP 800-26 指南之间的差距。NIST Special Publication 800-26,即信息技术系统安全自我评估指南(Security Self-Assessment Guide for Information Technology Systems),为组织进行99v系统风险评估提供了众多控制目标和建议技术。ASSET 是一个免费工具,可以在NIST 的网站下载:http://icat.nist.gov。
* CORA —— CORA(Cost-of-Risk Analysis)是由国际安全技术公司(International Security Technology, Inc. www.ist-usa.com)开发的一种风险管理决策支持系统,它采用典型的定量分析方法,可以方便地采集、组织、分析并存储风险数据,为组织的风险管理决策支持提供准确的依据。
