【正文】 計(jì)算環(huán)境的安全性及其對(duì)內(nèi)外攻擊脆弱性的完整性攻擊。在系統(tǒng)應(yīng)用和配置不斷改變的情況，組織可以通過(guò)執(zhí)行另外一次評(píng)估重新設(shè)置風(fēng)險(xiǎn)基線。此外，它還對(duì)每個(gè)風(fēng)險(xiǎn)類別提供風(fēng)險(xiǎn)分析報(bào)告和風(fēng)險(xiǎn)值（或風(fēng)險(xiǎn)等級(jí)）。COBRA由一系列風(fēng)險(xiǎn)分析、咨詢和安全評(píng)價(jià)工具組成，它改變了傳統(tǒng)的風(fēng)險(xiǎn)管理方法，提供了一個(gè)完整的風(fēng)險(xiǎn)分析服務(wù)，并且兼容許多風(fēng)險(xiǎn)評(píng)估方法學(xué)（如定性分析和定量分析等）。1991年，Camp。CRAMM包括全面的風(fēng)險(xiǎn)評(píng)估工具，并且完全遵循BS 7799規(guī)范，包括依靠資產(chǎn)的建模、商業(yè)影響評(píng)估、識(shí)別和評(píng)估威脅和弱點(diǎn)、評(píng)估風(fēng)險(xiǎn)等級(jí)、識(shí)別需求和基于風(fēng)險(xiǎn)評(píng)估調(diào)整控制等。風(fēng)險(xiǎn)評(píng)估工具的出現(xiàn)在一定程度上解決了手動(dòng)評(píng)估的局限性。對(duì)于系統(tǒng)管理員而言，這些工作包括基于風(fēng)險(xiǎn)評(píng)估的風(fēng)險(xiǎn)管理等。對(duì)于安全風(fēng)險(xiǎn)分析人員而言，這些工作包括識(shí)別重要資產(chǎn)、安全需求分析、當(dāng)前安全實(shí)踐分析、威脅和弱點(diǎn)發(fā)現(xiàn)、基于資產(chǎn)的風(fēng)險(xiǎn)分析和評(píng)估等?！　。保┦謩?dòng)評(píng)估和工具輔助評(píng)估在實(shí)施安全方案之前，應(yīng)當(dāng)通過(guò)在業(yè)務(wù)環(huán)境中評(píng)估安全需求和風(fēng)險(xiǎn)，刻畫出基本問(wèn)題的真實(shí)本質(zhì)，決定需要保護(hù)哪些對(duì)象，為什么要保護(hù)這些對(duì)象，需要從哪些方面進(jìn)行保護(hù)，如何在生存期內(nèi)進(jìn)行保護(hù)。面對(duì)信息安全問(wèn)題時(shí)，需要從組織的角度去評(píng)估他們實(shí)際上需要保護(hù)什么及其需求的原因。NIST SpecialPublication 80026，即信息技術(shù)系統(tǒng)安全自我評(píng)估指南（Security SelfAssessmentGuide for Information Technology Systems），為組織進(jìn)行IT 系統(tǒng)風(fēng)險(xiǎn)評(píng)估提供了眾多控制目標(biāo)和建議技術(shù)。CRAMM 與BS 7799 標(biāo)準(zhǔn)保持一致，它提供的可供選擇的安全控制多達(dá)3000 個(gè)。CRAMM 是一種可以評(píng)估信息系統(tǒng)風(fēng)險(xiǎn)并確定恰當(dāng)對(duì)策的結(jié)構(gòu)化方法，適用于各種類型的信息系統(tǒng)和網(wǎng)絡(luò)，也可以在信息系統(tǒng)生命周期的各個(gè)階段使用。 CRAMM —— CRAMM（CCTA Risk Analysis and Management Method）是由英國(guó)政府的中央計(jì)算機(jī)與電信局（Central Computer and Telemunications Agency，CCTA）于1985 年開發(fā)的一種定量風(fēng)險(xiǎn)分析工具，同時(shí)支持定性分析。 $US 895 Special Offer... Only $US 1995 A 公司提供了COBRA 試用版下載：。此外，COBRA 還支持基于知識(shí)的評(píng)估方法，可以將組織的安全現(xiàn)狀與ISO 17799 標(biāo)準(zhǔn)相比較，從中找出差距，提出彌補(bǔ)措施。 COBRA —— COBRA（Consultative, Objective and Bifunctional Risk Analysis）是英國(guó)的Camp。除了這些方法和工具外，風(fēng)險(xiǎn)評(píng)估過(guò)程最常用的還是一些專用的自動(dòng)化的風(fēng)險(xiǎn)評(píng)估工具，無(wú)論是商用的還是免費(fèi)的，此類工具都可以有效地通過(guò)輸入數(shù)據(jù)來(lái)分析風(fēng)險(xiǎn)，最終給出對(duì)風(fēng)險(xiǎn)的評(píng)價(jià)并推薦相應(yīng)的安全措施。許多掃描器都會(huì)列出已發(fā)現(xiàn)漏洞的嚴(yán)重性和被利用的容易程度。 調(diào)查問(wèn)卷 —— 風(fēng)險(xiǎn)評(píng)估者通過(guò)問(wèn)卷形式對(duì)組織信息安全的各個(gè)方面進(jìn)行調(diào)查，問(wèn)卷解答可以進(jìn)行手工分析，也可以輸入自動(dòng)化評(píng)估工具進(jìn)行分析。風(fēng)險(xiǎn)評(píng)估工具 風(fēng)險(xiǎn)評(píng)估過(guò)程中，可以利用一些輔助性的工具和方法來(lái)采集數(shù)據(jù)，包括：從問(wèn)卷調(diào)查中，評(píng)估者能夠了解到組織的關(guān)鍵業(yè)務(wù)、關(guān)鍵資產(chǎn)、主要威脅、管理上的缺陷、采用的控制措施和安全策略的執(zhí)行情況。 檢查列表 —— 檢查列表通常是基于特定標(biāo)準(zhǔn)或基線建立的，對(duì)特定系統(tǒng)進(jìn)行審查的項(xiàng)目條款，通過(guò)檢查列表，操作者可以快速定位系統(tǒng)目前的安全狀況與基線要求之間的差距。 人員訪談 —— 風(fēng)險(xiǎn)評(píng)估者通過(guò)與組織內(nèi)關(guān)鍵人員的訪談，可以了解到組織的安全意識(shí)、業(yè)務(wù)操作、管理程序等重要信息。 漏洞掃描器 —— 漏洞掃描器（包括基于網(wǎng)絡(luò)探測(cè)和基于主機(jī)審計(jì)）可以對(duì)信息系統(tǒng)中存在的技術(shù)性漏洞（弱點(diǎn)）進(jìn)行評(píng)估。典型工具有Nessus、ISS、CyberCop Scanner 等。 滲透測(cè)試 —— 這是一種模擬黑客行為的漏洞探測(cè)活動(dòng)，它不但要掃描目標(biāo)系統(tǒng)的漏洞，還會(huì)通過(guò)漏洞利用來(lái)驗(yàn)證此種威脅場(chǎng)景。目前常見(jiàn)的自動(dòng)化風(fēng)險(xiǎn)評(píng)估工具包括：A 系統(tǒng)安全公司推出的一套風(fēng)險(xiǎn)分析工具軟件，它通過(guò)問(wèn)卷的方式來(lái)采集和分析數(shù)據(jù)，并對(duì)組織的風(fēng)險(xiǎn)進(jìn)行定性分析，最終的評(píng)估報(bào)告中包含已識(shí)別風(fēng)險(xiǎn)的水平和推薦措施。Camp。(COBRA can be purchased instantly via credit card. Simply proceed to the secure server as follows: * )經(jīng)過(guò)多次版本更新（現(xiàn)在是第四版），目前由 Insight 咨詢公司負(fù)責(zé)管理和授權(quán)。CRAMM 的安全模型數(shù)據(jù)庫(kù)基于著名的“資產(chǎn)/威脅/弱點(diǎn)”模型，評(píng)估過(guò)程經(jīng)過(guò)資產(chǎn)識(shí)別與評(píng)價(jià)、威脅和弱點(diǎn)評(píng)估、選擇合適的推薦對(duì)策這三個(gè)階段。除了風(fēng)險(xiǎn)評(píng)估，CRAMM 還可以對(duì)符合ITIL（IT Infrastructure Library）指南的業(yè)務(wù)連續(xù)性管理提供支持。 ASSET —— ASSET（Automated Security SelfEvaluation Tool）是美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)協(xié)會(huì)（National Institute of Standard and Technology，NIST）發(fā)布的一個(gè)可用來(lái)進(jìn)行安全風(fēng)險(xiǎn)自我評(píng)估的自動(dòng)化工具，它采用典型的基于知識(shí)的分析方法，利用問(wèn)卷方式來(lái)評(píng)估系統(tǒng)安全現(xiàn)狀與NIST SP 80026 指南之間的差距。ASSET 是一個(gè)免費(fèi)工具，可以在NIST 的網(wǎng)站下載：。 CORA —— CORA（CostofRisk Analysis）是由國(guó)際安全技術(shù)公司（InternationalSecurity Technology, Inc. ）開發(fā)的一種風(fēng)險(xiǎn)管理決策支持系統(tǒng)，它采用典型的定量分析方法，可以方便地采集、組織、分析并存儲(chǔ)風(fēng)險(xiǎn)數(shù)據(jù)，為組織的風(fēng)險(xiǎn)管理決策支持提供準(zhǔn)確的依據(jù)。大多數(shù)安全問(wèn)題深深的根植在一個(gè)或者多個(gè)組織和業(yè)務(wù)問(wèn)題中。下面將從不同的角度比較現(xiàn)有的信息安全風(fēng)險(xiǎn)評(píng)估方法。 在各種信息安全風(fēng)險(xiǎn)評(píng)估工具出現(xiàn)以前，對(duì)信息系統(tǒng)進(jìn)行安全管理，一切工作都只能手工進(jìn)行。對(duì)于安全決策者而言，這些工作包括資產(chǎn)估價(jià)、安全投資成本以及風(fēng)險(xiǎn)效益之間的平衡決策等?？偠灾?，其勞動(dòng)量巨大，容易出現(xiàn)疏漏，而且，他們都是依據(jù)各自的經(jīng)驗(yàn)，進(jìn)行與安全風(fēng)險(xiǎn)相關(guān)的工作。1985年，英國(guó)CCTA開發(fā)了CRAMM風(fēng)險(xiǎn)評(píng)估工具。CRAMM評(píng)估風(fēng)險(xiǎn)依靠資產(chǎn)價(jià)值、威脅和脆弱點(diǎn)，這些參數(shù)值是通過(guò)CRAMM評(píng)估者與資產(chǎn)所有者、系統(tǒng)使用者、技術(shù)支持人員和安全部門人員一起的交互活動(dòng)得到，最后給出一套安全解決方案 。A System Security公司推出了COBRA工具，用來(lái)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估。它可以看作一個(gè)基于專家系統(tǒng)和擴(kuò)展知識(shí)庫(kù)的問(wèn)卷系統(tǒng)，對(duì)所有的威脅和脆弱點(diǎn)評(píng)估其相對(duì)重要性，并且給出合適的建議和解決方案。信息安全風(fēng)險(xiǎn)評(píng)估工具的出現(xiàn)，大大縮短了評(píng)估所花費(fèi)的時(shí)間。兩次評(píng)估的時(shí)間間隔可以預(yù)先確定（例如，以月為單位）或者由主要的事件觸發(fā)（例如，企業(yè)重組、組織的計(jì)算基礎(chǔ)結(jié)構(gòu)重新設(shè)計(jì)等）。 ２）技術(shù)評(píng)估和整體評(píng)估這些技術(shù)驅(qū)動(dòng)的評(píng)估通常包括：（1）評(píng)估整個(gè)計(jì)算基礎(chǔ)結(jié)構(gòu)。（3）提供詳細(xì)的分析報(bào)告，說(shuō)明檢測(cè)到的技術(shù)弱點(diǎn)，并且可能為解決這些弱點(diǎn)建議具體的措施。但是組織的安全性遵循“木桶原則”，僅僅與組織內(nèi)最薄弱的環(huán)節(jié)相當(dāng)，而這一環(huán)節(jié)多半是組織中的某個(gè)人。 整體風(fēng)險(xiǎn)評(píng)估擴(kuò)展了上述技術(shù)評(píng)估的范圍，著眼于分析組織內(nèi)部與安全相關(guān)的風(fēng)險(xiǎn)，包括內(nèi)部和外部的風(fēng)險(xiǎn)源、技術(shù)基礎(chǔ)和組織結(jié)構(gòu)以及基于電子的和基于人的風(fēng)險(xiǎn)。這一程序可能包括對(duì)信息進(jìn)行比較分析，根據(jù)工業(yè)標(biāo)準(zhǔn)和最佳實(shí)踐對(duì)信息進(jìn)行等級(jí)評(píng)定。（3）檢查IT的基礎(chǔ)結(jié)構(gòu)，以確定技術(shù)上的弱點(diǎn)。（4）幫助決策制訂者綜合平衡風(fēng)險(xiǎn)以選擇成本效益對(duì)策。OCTAVE方法是一種從系統(tǒng)的、組織的角度開發(fā)的新型信息安全保護(hù)方法，主要針對(duì)大型組織，中小型組織也可以對(duì)其適當(dāng)裁剪，以滿足自身需要。這是從組織的角度進(jìn)行的評(píng)估。分析團(tuán)隊(duì)整理這些信息，確定對(duì)組織最重要的資產(chǎn)（關(guān)鍵資產(chǎn)）并標(biāo)識(shí)對(duì)這些資產(chǎn)的威脅。對(duì)計(jì)算基礎(chǔ)結(jié)構(gòu)進(jìn)行的評(píng)估。（3）開發(fā)安全策略和計(jì)劃。根據(jù)對(duì)收集到的信息所做的分析，為組織開發(fā)保護(hù)策略和緩和計(jì)劃，以解決關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)。 ３）定性評(píng)估和定量評(píng)估該方法通常只關(guān)注威脅事件所帶來(lái)的損失（Loss），而忽略事件發(fā)生的概率（Probability）。在定性評(píng)估時(shí)并不使用具體的數(shù)據(jù)，而是指定期望值，如設(shè)定每種風(fēng)險(xiǎn)的影響值和概率值為“高”