1.建立有效的風險分析模型。
在風險評估過程中,atsec使用的風險分析模型將包括多個層次,以便更有效地進行風險評估。模型方法如下:風險發生的可能性、初始控制措施、風險發生對客戶業務的影響、風險發生對客戶品牌的影響、風險發生對客戶收益的影響。對於具體的分析過程,評估師會根據訪談、滲透、相關信息輸入,從品牌、收入、客戶的影響入手。每個選項的分配是根據方法中的標準確定的。下圖顯示了整個風險評估過程中對數據庫和應用系統的威脅示例:
2.使用半定量風險計算方法。
因為威脅本身是不斷變化的,難以衡量,所以建議明智地使用半定量測試方法。在具體實施過程中,atsec的做法是對每個威脅的評估結果進行半定量評級,並通過風險計算方法進壹步使最終的評估結果更加準確。由於篇幅原因,這裏不展開具體的風險計算方法。
3.使用自動化風險計算工具。
基於風險評估,在實施過程中,atsec使用自主開發的計算工具,最大限度地減少風險計算占用的工作量。
4、最大限度地利用輔助工具
在評估技術威脅的過程中,比如關鍵賬戶和密碼的安全性,通常很難通過管理層面談做出準確的判斷。在類似的過程中,atsec會盡可能地使用各種輔助工具和手段,比如密碼安全驗證、服務器的技術漏洞等。