文档介绍:国内网络安全风险评估市场和技术操作(doc 17页)
国内网络安全风险评估市场与技术操作
04/19/2004 个人主页: 网络日志:
版本控制
04/01/2004 文档创建,包含大量示例文件内部发布
04/19/2004 删除部份敏感信息,增加国内市场分析、BS7799和OCTAVE概述后,对外发布
近两年网络安全风险评估渐渐为人们所重视,不少大型企业尤其是运营商、金融业都请了专业公司进行评估。本文提出作者个人对国内安全风险评估操作的一些评价,并试图阐述作者所理解的,可裁剪、易操作的风险评估方式。由于内容与商业公司有关,因此不可避免会涉及部份商业利益,在文中作者尽量隐去可能产生直接利害关系的文字,并声明所有评价纯属个人观点,如果你有不同意见,欢迎来函探讨。
1. 什么是风险评估
说起风险评估,大家脑海中首先浮现的可能是:风险、资产、影响、威胁、弱点等一连串的术语,这些术语看起来并不难理解,但一旦综合考虑就会象绕口令般组合。比如风险,用ISO/IEC TR 13335-1:1996中的定义可以解释为: 特定威胁利用某个(些)资产的弱点,造成资产损失或破坏的潜在可能性。
为了帮助理解,我们举一个下里巴人的例子:我口袋里有100块钱,因为打瞌睡,被小偷偷走了,搞得晚上没饭吃。
用风险评估的观点来描述这个案例,我们可以对这些概念作如下理解:
风险 = 钱被偷走
资产 = 100块钱
影响 = 晚上没饭吃
威胁 = 小偷
弱点 = 打瞌睡
回到阳春白雪来,假设这么个案例:某证券公司的数据库服务器因为存在RPC DCOM的漏洞,遭到入侵者攻击,被迫中断3天。
让我们尝试做一道小学时常做的连线题,把左右两边相对应的内容用线段连接起来:
风险 RPC DCOM漏洞
资产 服务器遭到入侵
影响 数据库服务器
威胁 入侵者
弱点 中断三天
如果这道题对你没什么难度,那么恭喜你,你已经和国内大多数风险评估的操作者差不多站在同一个起跑线上了。
2. 国内现有风险评估操作模式
评估市场和竞争分析
如果按照高、中、低端简单对国内的风险评估市场进行分类,那么我们可以很清晰地看到,几类市场的操作方式完全不同。
国内高端市场主要被如IBM(普华永道)、毕马威这样类型会计师事务所类型的公司占领,往往网络安全评估就涵盖在他们的整个审计体系之下。中端市场上则盘踞着国内外大多数较有实力的网络安全公司,其中包括较早提出安全评估并且在运营商市场有比较好的实践的安氏、有作风稳健但却一步一个脚印打下大片疆土的启明星辰、也有异军突起极具竞争力的绿盟科技……低端厂商则数量庞大,往往只是通过简单的***、病毒查杀等方式操作。
主要中端厂商的评估模式分析
以下分析中的数据来源为笔者在从事网络安全评估实践时通过各种渠道获得。但由于信息的时效性,未能确认当前文中所进行的表述与分析就代表着各家企业的最新评估发展状态。希望读者自行鉴别。
启明星辰
启明星辰2002年之前始终比较低调,但风险评估项目从最初对某证券公司进行的纯粹***、人工审计、渗透测试这种类型的纯技术操作到套用BS7799到采用OCTAVE方法再到最终形成自己的网络安全风险评估的方法论、操作模型,有很多专业人员付出了大量劳动。下图是启明星辰的幻灯片中摘录的,他们评估发展的历程,在每个台阶上有该阶段所经过的项目名称,出于安全原因隐去。
业务参与性弱、解决方案可操作性差往往也是高要求的用户对风险评估队伍批评较多的地方,但从启明星辰近期在几家大型客户那里的操作来看,较受客户好评。
启明星辰有较多在风险评估中可以应用的工具:
天镜评估版:扫描器,有专门用于风险评估的版本。
天清:又名SRC,指Security Risk Manage,基于ISO17799的量化、可视化的评估工具。
信息库:名称不详,能够直接导入天镜、Nessus、ISS等扫描器的扫描结果并生成报告。据说是较好的安全评估过程辅助工具。
本地评估软件包。
我理解的启明星辰风险评估特点为:
博采众长
这一方面与启明星辰参与部份安全行业国家标准的制订有关,另一方面则是他们有着较多高学历员工,对高端咨询类型的提炼、深化抓得比较好,对评估要求看得透彻,写得清楚。
变化较快
这可以说既是优点,也是缺点。在每次较大的评估项目中他们一般都要求有所突破。这逼着他们去创新,但同时也导致评估的方法论很容易有变动。
绿盟科技
绿盟科技从最初参与中国电信评估项目开始走进安全评估领域,挟其强大的系统研究技术优势进入市场。下图是他们一份讲稿中的评估流程描述:
我