开展风险评估工作时,多运用各类评估工具,可以起到事半功倍的作用。常见的评估工具可以分为管理类风险评估工具、技术类风险评估工具和风险评估辅助类工具三大类。
1.管理类风险评估工具
管理类风险评估工具一般依据国际安全管理标准或安全模型,基于专家经验对输入、输出进行分析。管理类风险评估工具一般分为定性和定量两类。定量风险评估工具一般都具有专家系统。常见的管理类风险评估工具有英国C&A System Security推出的COBRA定性风险评估工具;英国政府中央计算机与电信局开发的CRAMM定量风险评估工具;美国国家标准技术协会(NIST)发布的ASSET定性风险评估工具;美国Pali-sade推出的@RISK定量风险评估工具等。管理类风险评估工具也可以根据商业银行项目经验积累,进行定制和开发。
2.技术类风险评估工具
技术类风险评估工具主要包括漏洞扫描工具和渗透测试工具。通过使用技术类风险评估工具,可以从主机、网络、操作系统、Web应用、数据库等各种层面发现存在的安全漏洞,不断完善资产风险评估中的脆弱性库。(www.zuozong.com)
常见的漏洞扫描工具有Tenable Network Security公司的Nessus,美国网络协会公司的CyberCop Scanner,美国互联网安全系统公司的ISS Internet Scanner,绿盟科技公司的NSFSRSAS、IBM公司的APPscan、HP公司的Fortify等。常见的渗透测试工具包括黑客工具、脚本文件等,如网络嗅探和渗透测试工具Dsniff等。
3.风险评估辅助类工具
风险评估工作中常用的调查问卷、访谈表、检查表、资产库、威胁库、脆弱性库、入侵检测工具、审计工具等可作为风险评估辅助类工具。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
