資安狀態問卷軟體－微軟安全評估工具

微軟安全評估工具（Microsoft Security Assessment Tool，MSAT）是由微軟、賽門鐵克和Ziff Davis等公司共同開發，運用了BS7799/ISO 277001資安認證的部分規格，以問卷調查的方式彙整、解析答題者的企業資安現況，協助他們了解該公司IT基礎架構目前的資安風險與管理缺失，並產生改進的具體建議。填寫完畢需一至兩小時。MSAT適合50臺到500臺電腦或100到1000名員工內的中型企業。

微軟除了提供Microsoft Baseline Security Analyzer（MBSA）這類技術性的弱點掃描工具，還希望透過MSAT建立共識，協助企業自我稽核，進而規畫自己的資安發展藍圖。既然MSAT掛著微軟的名號，工具最後產生的防護產品建議，自然也傾向以微軟或微軟合作夥伴的資安解決方案為主要對象。雖然MSAT有濃厚的微軟色彩，但由於調查的技術和程序現況屬一般問題，以便重複運用在不同的公司核心IT環境和服務，並未針對特定資訊應用，因此微軟強調MSAT的分析重點在找出現階段應立即改善的項目，無法預估後續安全措施執行的成效，而且也不能取代專業廠商的評估資訊和外部稽核結果。

操作介面支援15國語言切換
微軟的資安風險管理工具在2004年還只是幾個Word檔和Excel檔的範本，即Teched 2005中所介紹的MSBE和MSRA兩套工具；2005年五月推出Microsoft Security Risk Self-Assessment Tool （MSRSAT） 1.6.11，接著才是MSAT，目前版本是2.0.45-Intl-1019，使用者操作介面算是穩定，能隨時切換15種多國語言。安裝MSAT主程式時，引導介面上的說明文字都是簡體中文，MSAT提供172項問題，呈現出公司資訊、風險概況與防禦指數，主要是為了辨識企業的人員、程序、資源和技術等層面的安全性風險，並提供建議性做法。這套工具一開始會先詢問公司的相關資訊，建立企業風險概況（Business Risk Profile，BRP），接著調查公司目前建置的安全防禦措施，結算出縱深防禦指數（Defense-in-Depth Index，DiDI），最後系統會比較企業風險概況和縱深防禦指數這兩個分析結果，評量出基礎架構、應用程式、作業和人員等因素的風險分布，同時顯示目前企業的安全成熟度高低。

簡單地說，BRP不需要經常執行，當公司大幅更動IT基礎架構時才需要做，而重新驗證DiDI的頻率則會比較高，因為安全政策有效性不一定能經常維持，微軟建議每兩個月執行一次。

上傳分析結果，即時比較產業水平
做完企業風險概況後，才能繼續計算縱深防禦指數，MSAT最後會產生評估報告的快速摘要和完整檢視，可另存成MHT的網頁封裝檔。摘要版只顯示風險與防禦分布，完整版會呈現細部資訊，提供指導建議和緊急行動清單。除了比較不同時期的風險和防禦狀態，很多企業想知道自己的DiDI和同業的平均水準的差距，MSAT也提供匿名上傳的線上比較報告。

針對應用程式開發的風險管理，微軟也額外提供威脅分析與塑模工具（Microsoft Threat Analysis & Modeling），但這套工具目前只有英文版，無法支援中文輸入和顯示。文⊙李宗翰