B.3 風險評估輔助工具

科學的風險評估需要大量的實踐和經驗數據的支持，這些數據的積累是風險評估科學性的基礎。風險評估過程中，可以利用一些輔助性的工具和方法來采集數據，幫助完成現狀分析和趨勢判斷，如：

a） 檢查列表：檢查列表是基于特定標準或基線建立的，對特定系統進行審查的項目條款。通過檢查列表，操作者可以快速定位系統目前的安全狀況與基線要求之間的差距。

b） 入侵檢測系統：入侵檢測系統通過部署檢測引擎，收集、處理整個網絡中的通信信息，以獲取可能對網絡或主機造成危害的入侵攻擊事件；幫助檢測各種攻擊試探和誤操作；同時也可以作為一個警報器，提醒管理員發生的安全狀況。

c） 安全審計工具：用于記錄網絡行為，分析系統或網絡安全現狀；它的審計記錄可以作為風險評估中的安全現狀數據，并可用于判斷被評估對象威脅信息的來源。

d） 拓撲發現工具：通過接入點接入被評估網絡，完成被評估網絡中的資產發現功能，并提供網絡資產的相關信息，包括操作系統版本、型號等。拓撲發現工具主要是自動完成網絡硬件設備的識別、發現功能。

e） 資產信息收集系統：通過提供調查表形式，完成被評估信息系統數據、管理、人員等資產信息的收集功能，了解到組織的主要業務、重要資產、威脅、管理上的缺陷、采用的控制措施和安全策略的執行情況。此類系統主要采取電子調查表形式，需要被評估系統管理人員參與填寫，并自動完成資產信息獲取。

f） 其他：如用于評估過程參考的評估指標庫、知識庫、漏洞庫、算法庫、模型庫等。