風險評估過程最常用的還是一些專用的自動化的風險評估工具,無論是商用的還是免費的,此類工具都可以有效地通過輸入資料來分析風險,最終給出對風險的評價並推薦相應的安全措施。目前常見的自動化風險評估工具包括:
* cramm —— cramm(ccta risk analysis and management method)是由英國**的**計算機與電信局central computer and telecommunications agency,ccta)於1985年開發的一種定量風險分析工具,同時支援定性分析。經過多次版本更新(現在是第四版),目前由insight 諮詢公司負責管理和授權。cramm是一種可以評估資訊系統風險並確定恰當對策的結構化方法,適用於各種型別的資訊系統和網路,也可以在資訊系統生命週期的各個階段使用。cramm的安全模型資料庫基於著名的「資產/威脅/弱點」模型,評估過程經過資產識別與評價、威脅和弱點評估、選擇合適的推薦對策這三個階段。cramm與bs 7799 標準保持一致, 它提供的可供選擇的安全控制多達3000 個。除了風險評估,cramm還可以對符合99vil(99v infrastructure library)指南的業務連續性管理提供支援。
* cora —— cora(cost-of-risk analysis)是由國際安全技術公司(international security technology, inc. www.ist-usa.com)開發的一種風險管理決策支援系統,它採用典型的定量分析方法,可以方便地採集、組織、分析並儲存風險資料,為組織的風險管理決策支援提供準確的依據。
資訊保安風險評估
谷安天下 it 風險管理軟體 itrm 合作伙伴會議邀請 尊敬的閣下 您好!北京谷安天下科技 是一家專業從事it風險管理領域專業服務及產品的廠商,致力於為客戶提供全面it風險管理解決方案及專業服務。谷安天下在國內率先提出了統一it風險管理框架的思想,基於資訊保安與it風險管理領域豐富的諮詢專案經驗,...
資訊保安風險評估實施
風險評估的實施過程包括資訊保安風險評估準備 資產識 別 威脅識別 脆弱性識別 已有安全措施確認和風險分析六個 階段。風險評估準備,隨後進行資產識別,威脅識別,脆弱性識別。三個識別通過後進行已有安全措施的確認,隨後進入風險分析 風險分析前準備評估過程文件,然後風險計算再準備評估過程文件。風險是否接,是...
SOA正在帶來新的安全風險?
soa正在帶來新的安全風險?2006.06.06 來自 電腦商報 隨著網路效能的不斷提升,使軟體 商通過網際網路來發布相關應用程式變得更加容易和便利,今後這些服務的數目和種類將會持續增多。但是,賽門鐵克公司全球安全諮詢部門近來提醒客戶,第三方服務會帶來安全上的風險。賽門鐵克諮詢師samir kapu...
多執行緒帶來的風險 執行緒安全
1 多執行緒的三大特性 案例描述 電影院有三個視窗,售兩種票共 100 張,輸 票情況 class sellticket implements runnuble catch interruptexception e system.out.println thread.currrentthread g...
簡訊身份驗證的安全風險
賬戶接管 這個是簡訊身份驗證最嚴重的安全風險,攻擊者可以竊取任意使用者的賬戶,甚至是事先不知道使用者的手機號碼 使用者模擬 與上面的類似,但是這個的風險取決於具體的服務。通常,如果可以進行模擬,由於確認機制相同,因此也有可能竊取已註冊的帳戶。簡訊轟炸 簡訊轟炸可以針對客戶或任何其他人。易受攻擊的we...