常用的信息安全风险评估自动化工具介绍

风险评估过程最常用的还是一些专用的自动化的风险评估工具，无论是商用的还是免费的，此类工具都可以有效地通过输入数据来分析风险，最终给出对风险的评价并推荐相应的安全措施。目前常见的自动化风险评估工具包括：

      * COBRA —— COBRA（Consultative, Objective and Bi-functional Risk Analysis）是英国的C&A系统安全公司推出的一套风险分析工具软件，它通过问卷的方式来采集和分析数据，并对组织的风险进行定性分析，最终的评估报告中包含已识别风险的水平和推荐措施。此外，COBRA 还支持基于知识的评估方法，可以将组织的安全现状与ISO 17799 标准相比较，从中找出差距，提出弥补措施。C&A 公司提供了COBRA 试用版下载： http://www.security-risk-analysis.com/cobdown.htm。

      * CRAMM —— CRAMM（CCTA Risk Analysis and Management Method）是由英国政府的中央计算机与电信局Central Computer and Telecommunications Agency，CCTA）于1985年开发的一种定量风险分析工具，同时支持定性分析。经过多次版本更新（现在是第四版），目前由Insight 咨询公司负责管理和授权。CRAMM是一种可以评估信息系统风险并确定恰当对策的结构化方法，适用于各种类型的信息系统和网络，也可以在信息系统生命周期的各个阶段使用。CRAMM的安全模型数据库基于著名的“资产/威胁/弱点”模型，评估过程经过资产识别与评价、威胁和弱点评估、选择合适的推荐对策这三个阶段。CRAMM与BS 7799 标准保持一致， 它提供的可供选择的安全控制多达3000 个。除了风险评估，CRAMM还可以对符合99vIL（99v Infrastructure Library）指南的业务连续性管理提供支持。

      * ASSET —— ASSET（Automated Security Self-Evaluation Tool）是美国国家标准技术协会（National Institute of Standard and Technology，NIST）发布的一个可用来进行安全风险自我评估的自动化工具，它采用典型的基于知识的分析方法，利用问卷方式来评估系统安全现状与NIST SP 800-26 指南之间的差距。NIST Special Publication 800-26，即信息技术系统安全自我评估指南（Security Self-Assessment Guide for Information Technology Systems），为组织进行99v系统风险评估提供了众多控制目标和建议技术。ASSET 是一个免费工具，可以在NIST 的网站下载： http://icat.nist.gov。

      * CORA —— CORA（Cost-of-Risk Analysis）是由国际安全技术公司（International Security Technology, Inc. www.ist-usa.com）开发的一种风险管理决策支持系统，它采用典型的定量分析方法，可以方便地采集、组织、分析并存储风险数据，为组织的风险管理决策支持提供准确的依据。

      * 微软的风险评估工具：Microsoft Security Accessment Tool（MSAT）——微软安全评估工具（MSAT）是微软的一个风险评估工具，与MBSA直接扫描和评估系统不同，MSAT通过填写的详细的问卷以及相关信息，MSAT 处理问卷反馈，并评估组织在诸如基础结构、应用程序、操作和人员等领域中的安全实践，然后提出相应的安全风险管理措施和意见。所如果说MBSA是个扫描器，则MSAT就是个风险评估工具。  微软的MSAT是免费工具，可以从微软网站下载，但需要注册。下载地址：http://www.microsoft.com/china/security/msat/default.asp

      * Microsoft 基准安全分析器(MBSA)——作为 Microsoft 战略技术保护计划（Strategic Technology Protection Program）的一部分，并为了直接满足用户对于可识别安全方面的常见配置错误的简便方法的需求，Microsoft 开发了 Microsoft 基准安全分析器(MBSA)。MBSA Version 1.2 包括可执行本地或远程 Windows 系统扫描的图形和命令行界面。MBSA 运行在 Windows 2000 和 Windows XP 系统上，并可以扫描下列产品，以发现常见的系统配置错误：Windows NT 4.0、Windows 2000、Windows XP、Windows Server 2003、Internet Information Server（IIS）、SQL Server、Internet Explorer 和 Office。MBSA 1.2 还可扫描下列产品，以发现缺少哪些安全更新：Windows NT 4.0、Windows 2000、Windows XP、Windows Server 2003、IIS、SQL Server、IE、Exchange Server、Windows Media Player、Microsoft Data Access Components（MDAC）、MSXML、Microsoft Virtual Machine、Commerce Server、Content Management Server、BizTalk Server、Host Integration Server 和 Office。微软的MSAT是免费工具,下载地址：http://www.microsoft.com/china/technet/security/tools/mbsahome.mspx