1、建立有效的風險分析模型
在風險評估過程中,atsec所使用的風險分析模型會包括多個層面,以更有效地進行風險評價。模型方法如下: 風險發生的可能性 初步的控制措施 風險發生對客戶業務的影響 風險發生對客戶品牌的影響 風險發生對客戶收益的影響 對於具體的分析過程,由評估人員基於訪談情況、滲透情況以及相關的信息輸入,從品牌、收益和客戶三方面的影響進行展開。每壹選項的賦值基於方法論中的準則進行確定,下圖為整個風險評估過程中,對數據庫和應用系統存在威脅的評定示例:
2、使用半定量化的風險計算方法
因威脅本身具有不斷變化和難以測量的性質,推薦明智地使用半定量化的測試方法。在具體的執行過程中,atsec的做法是通過對每個威脅的評估結果給出半定量的評級,並進壹步通過風險計算方法使最終的評估結果更精確。因篇幅原因,在此不展開具體的風險計算方法。
3、使用自動化的風險計算工具
基於風險評估在執行過程中,atsec使用自有開發的計算工具,以最大程度上節省風險計算所占用的工作量。
4、最大限度地使用輔助工具
在對技術類威脅的評估過程中,如關鍵帳號和口令安全性,通過管理訪談方法通常難以做出準確的判斷。atsec則會在類似的過程中盡最大限度地使用各種輔助工具和手段,比如密碼安全性驗證、服務器的技術漏洞等。