微軟安全評估工具(Microsoft Security Assessment Tool,MSAT)是由微軟、賽門鐵克和Ziff Davis等公司共同開發,運用了BS7799/ISO 277001資安認證的部分規格,以問卷調查的方式彙整、解析答題者的企業資安現況,協助他們了解該公司IT基礎架構目前的資安風險與管理缺失,並產生改進的具體建議。填寫完畢需一至兩小時。MSAT適合50臺到500臺電腦或100到1000名員工內的中型企業。

微軟除了提供Microsoft Baseline Security Analyzer(MBSA)這類技術性的弱點掃描工具,還希望透過MSAT建立共識,協助企業自我稽核,進而規畫自己的資安發展藍圖。既然MSAT掛著微軟的名號,工具最後產生的防護產品建議,自然也傾向以微軟或微軟合作夥伴的資安解決方案為主要對象。雖然MSAT有濃厚的微軟色彩,但由於調查的技術和程序現況屬一般問題,以便重複運用在不同的公司核心IT環境和服務,並未針對特定資訊應用,因此微軟強調MSAT的分析重點在找出現階段應立即改善的項目,無法預估後續安全措施執行的成效,而且也不能取代專業廠商的評估資訊和外部稽核結果。

操作介面支援15國語言切換
微軟的資安風險管理工具在2004年還只是幾個Word檔和Excel檔的範本,即Teched 2005中所介紹的MSBE和MSRA兩套工具;2005年五月推出Microsoft Security Risk Self-Assessment Tool (MSRSAT) 1.6.11,接著才是MSAT,目前版本是2.0.45-Intl-1019,使用者操作介面算是穩定,能隨時切換15種多國語言。安裝MSAT主程式時,引導介面上的說明文字都是簡體中文,MSAT提供172項問題,呈現出公司資訊、風險概況與防禦指數,主要是為了辨識企業的人員、程序、資源和技術等層面的安全性風險,並提供建議性做法。這套工具一開始會先詢問公司的相關資訊,建立企業風險概況(Business Risk Profile,BRP),接著調查公司目前建置的安全防禦措施,結算出縱深防禦指數(Defense-in-Depth Index,DiDI),最後系統會比較企業風險概況和縱深防禦指數這兩個分析結果,評量出基礎架構、應用程式、作業和人員等因素的風險分布,同時顯示目前企業的安全成熟度高低。

簡單地說,BRP不需要經常執行,當公司大幅更動IT基礎架構時才需要做,而重新驗證DiDI的頻率則會比較高,因為安全政策有效性不一定能經常維持,微軟建議每兩個月執行一次。

上傳分析結果,即時比較產業水平
做完企業風險概況後,才能繼續計算縱深防禦指數,MSAT最後會產生評估報告的快速摘要和完整檢視,可另存成MHT的網頁封裝檔。摘要版只顯示風險與防禦分布,完整版會呈現細部資訊,提供指導建議和緊急行動清單。除了比較不同時期的風險和防禦狀態,很多企業想知道自己的DiDI和同業的平均水準的差距,MSAT也提供匿名上傳的線上比較報告。

針對應用程式開發的風險管理,微軟也額外提供威脅分析與塑模工具(Microsoft Threat Analysis & Modeling),但這套工具目前只有英文版,無法支援中文輸入和顯示。文⊙李宗翰


微軟安全評估工具

建議售價:免費

微軟

(02)3725-3888

www.microsoft.com

作業系統需求 Windows 2000/XP/2003
執行環境 .NET Framework 2.0,IE 6.0
下載網址 tinyurl.com/psoxt


Advertisement

更多 iThome相關內容