网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


微软安全风险评估工具(MSAT)

2008-10-22 11:43 推荐: 浏览: 293 字号:

摘要: 微软安全风险评估工具(MSAT)是一种免费工具,它的设计是为了帮助像您这样的企业来评估当前的IT安全环境中所存在的弱点。它按优先等级列出问题,并提供如何将风险降到最低的具体指导。MSAT是一种用来巩固您计算机安全环境和企业安全的工具,它简便而实惠。它通过快速扫...

微软安全风险评估工具(MSAT)是一种免费工具,它的设计是为了帮助像您这样的企业来评估当前的IT安全环境中所存在的弱点。它按优先等级列出问题,并提供如何将风险降到最低的具体指导。MSAT是一种用来巩固您计算机安全环境和企业安全的工具,它简便而实惠。它通过快速扫描您当前的安全状况来启动程序,然后使用MSAT来持续监测您的基础设施应对安全威胁的能力。
对于微软而言,客户的网络、企业服务器、终端用户电脑、移动装置以及数据资产的安全是最为重要的。我们一直致力于提供类似于MSAT 的工具,帮助您提高企业的系统安全状况。

了解您的风险
MSAT是为了识别并解除您IT环境中的安全风险而设计的。 本工具采用整体分析法来检测您的安全状态,检测范围包括人员、程序和技术。
MSAT为您提供:
易于使用性、综合性、持续性的安全意识
带有行业比较分析的纵深防御构架
细节而持续地报告您的基线与发展之间的比较
为安全状况的改善提供建议和优先行动
结构化的微软指导建议和行业

MSAT程序
SAT由200多个问题构成,涵盖的方面包括基础设施、应用、运作和人员。这些问题、相关答案以及建议,均来自公认的最佳做法、ISO 17799及NIST-800.x一类的标准、以及来自微软可靠计算机组和其它外部安全渠道的建议和规范性指导。

本评估的设计是为了确认贵企业所面临的商业风险,并提供降低风险的安全措施。这些问题以常见问题为主,对构成您企业的技术、程序及人员进行高层次的安全风险评估。

开头的一系列问题涉及您公司的业务模式和构成业务风险配置(BRP)的工具,以便检测BRP规定的行业和业务模式为贵公司带来的商业风险。随后的一系列问题由一份清单构成,请在此列出贵公司过去所采用的安全措施。这些安全措施共同构成多重防御,用来避免安全风险和特定弱点。 每一层面都是构成纵深防御的综合策略的一部分,综合起来便是纵深防御指数(DiDI)。 BRP和DiDI被用来检测分析领域(AoAs)的风险分布,分析领域包括:基础设施、应用软件、运作以及人员。

除了检测安全风险及防御之外,此工具也可以检测贵企业的安全成熟度。安全成熟度是高安全性和可维护性实践的进展状态。在低端,很少采用安全防御,而且行动是反应性的。而在高端则建成了经过证实的程序,使得企业更具主动性,并在必要时做出更有效的连贯性反应。

通过综合考虑已有的技术部署、当前的安全状态以及纵深防御策略,对您的IT环境提出风险管理建议。这些建议的设计,是为了让您逐步采用公认的最佳做法。

本评估由问题、措施及建议组成,适用于拥有50至1500台台式电脑的中型机构。它将广泛覆盖您的环境中所有的潜在风险区域,而不是对特定技术或程序进行深度分析。因此,本工具并不能检测已有的安全措施的有效性。应该将本报告当作一个初步指南,帮助您建立一个基线,关注那些需要特别严格关注的区域。根据MSAT提供的指南以及所采取的安全行动,您可以随意使用本工具,进一步了解您相对于MSAT报告中既定基线的进步。

评估工具简介
微软安全风险评估工具的设计是为了协助您发现并解除您计算机环境中的安全风险。本工具采用整体分析法来检测您的安全状态,检测范围包括人员、程序及科技。提供检测结果的同时,还将提供规范性指导和缓解措施的建议,并使您链接至更多信息,获取更多的行业指导。这些资源将使您更好地了解那些可帮助您改变IT环境的安全状态的特定的工具和方法。
评估由200多个问题构成,这些问题分为如下4类:

基础设施
应用软件
运作
人员
工具调查部分的问题及相关答案均来自公认的最佳实践,这些最佳实践包括通用实践和特殊实践,且均同安全有关。这些问题、相关答案以及建议,均以ISO 17799及NIST-800.x一类的标准、以及来自微软可靠计算小组和其它外部安全渠道的建议和规范性指导为基础。

下表列出了安全风险评估所涵盖的内容。



联系站长租广告位!

中国首席信息安全官