综合风险评估与管理工具
发布时间:2008-01-17   录入:启明星辰

基于国家或政府颁布的信息安全管理标准或指南建立风险评估工具


目前世界上存在多种不同的风险分析指南和方法。如,NIST(National Institute of standards and Technology)的FIPS 65[ ];DoJ(Department of Justice)的SRAG和GAO(Government Accounting Office)[ ]的信息安全管理的实施指南。针对这些方法,由美国开发了自动的风险评估工具[ ][ ]。英国推行基于BS7799的认证产业,BS7799是一个信息安全管理标准与规定[ ],在建立信息安全管理体系过程中要进行风险评估,根据PD3000中提供风险评估的方法,建立了的CRAMM[ ]、RA等风险分析工具。许多国家也在使用或发展国际标准化组织的ISO/IEC,JTC/SC27信息技术安全管理指南的基础上建立自己的风险评估工具[。

 

基于专家系统的风险评估工具


这种方法经常利用专家系统建立规则和外部知识库,通过调查问卷的方式收集组织内部信息安全的状态。对重要资产的威胁和脆弱点进行评估,产生专家推荐的安全控制措施。这种工具通常会自动形成风险评估报告,安全风险的严重程度提供风险指数,同时分析可能存在的问题,以及处理办法。如COBRA(Consultative,Objective and Bi-functional Risk Analysis)[ ]是一个基于专家系统的风险评估工具,它是一个问卷调查形式的风险分析工具,有三个部分组成:问卷建立器、风险测量器和结果产生器。问卷测量器有四个独立的知识库支持分析工作,这四个知识库分别是:IT安全知识库、操作风险知识库和高风险知识库。除此以外,还有@RISK[ ]、BDSS(The Bayesian Decision Support System)[ ]等工具。

 

基于定性或定量算法的风险分析工具


风险评估根据对各要素的指标量化以及计算方法不同分为定性和定量的风险分析工具。风险分析作为重要的信息安全保障原则已经很长时间。信息安全风险分析算法在很久以前就提出来,而且一些算法被作为正式的信息安全标准。这些标准大部分是定性的——也就是,他们对风险产生的可能性和风险产生的后果基于“低/中/高”这种表达方式,而不是准确的可能性和损失量。随着人们对信息安全风险了解的不断深入,获得了更多的经验数据,因此人们越来越希望用定量的风险分析方法反映事故方式的可能性。定量的信息安全风险管理标准包括美国联邦标准FIPS31和FIPS191,提供定量风险分析技术的手册包括GAO和新版的NISTRMG。好的数据是采用定量风险分析的先决条件。但是“可靠的评估信息安全风险比其他种类的风险更难,因为信息安全风险因素的可能数据经常是非常有限的,因为风险因素持续改变”[ ]。但无论如何,目前产生的一些列风险评估工具都在定量和定性方面各有侧重。如CONTROL-IT、Definitive Scenario、JANBER都是定性的风险评估工具。而@RISK、The Buddy System、RiskCALC、CORA(Cost-of-Risk Analysis)是半定量(定性与定量方法相结合)的风险评估工具。目前还没有完全定量的风险评估工具,因为对于信息安全风险因素的数据的获得还存在很大问题。

 

此外,根据风险评估工具体系结构不同,风险评估工具还包括基于客户机/服务器模式以及单机版风险评估工具。如COBRA就是基于C/S模式,而目前大多数的风险评估工具识基于单机版的。另外基于安全因素调查方式的不同,风险评估工具还包括文件式或过程式,如RA就是过程式风险评估工具。

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号