风险评估概念.docVIP

安全风险评估的少数派报告 2003-07-28 00:00:00.0 $page.getAuthor() ????■ 本报记者 徐莉 ????如果说安全市场本身在中国仍处于方兴未艾的阶段，那么，安全风险评估就只能算作尚在萌芽的种子。因为，作为更高级别的服务，安全风险评估更像安全系统这道门上的一把锁，需要有个大前提。换句话说，只有企业的IT系统足够复杂，安全需求达到一定级别，这把锁才会派上用场。尽管很多人看好安全风险评估的未来，但是，目前国内提供真正安全风险评估服务的却只有少数企业。不过，通过对这些企业的采访，我们印证了大多数人的设想——安全风险评估确是一支开始萌芽的“潜力股”。 ????提起2002年年底的互联网大会，启明星辰首席技术官刘恒至今印象深刻。在那次会议上，作为安全专题的讲演者之一，刘恒颇为有趣地体会了一回什么叫英雄所见，因为与刘恒一样，另外三名安全专家也不约而同选择了同一个演讲主题——安全风险评估管理。 ????在会后的交流中，四位“英雄”半开玩笑地指出:“既然大家都看好安全风险评估市场，那索性将2003年定名为安全风险评估年。” ????半年多时间过去了，市场为这个带有玩笑性质的预测做了最好的注脚。“进入2003年后，公司关于安全风险评估的单子明显增多，200万以上的项目正在执行的有两个，”刘恒说。在记者的追问下，刘恒对市场做了一个保守估计：“以2003年上半年的落单情况看，安全风险评估市场的总额应该在八千万到一个亿的样子。”安络科技的CTO谢朝霞对这个问题的回答很干脆: “用在安全风险评估上的投资能占用户总投资的1%～5%，电信和金融用户能达到3%～5%。”按此比例换算，仅银行市场，每年用于网络安全评估的费用将超过几个亿。 ????我们无意求证这些数字的精确程度，因为这不重要。重要的是，从这些最前沿市场中人的判断，我们看到了安全风险评估正在从概念走向应用，从空中楼阁走向触手可及。而对那些已经开始这项业务却无斩获或将要开始却有迷茫的企业来说，先行成功者的体验无疑是最可宝贵的。 ????安全风险评估的内涵与外延 ????什么是安全风险评估？夸张地讲，一千个人有一千个答案。 这些答案或许没有本质区别，但是，因为现阶段的市场尚没有一个明确的定义，每个人对安全风险评估的理解，将会因为内涵与外延的不同，呈现溢出或缺损的现象。或许，从用户的需求角度，更容易将这个问题讲明白，也更具有现实意义。 ????作为一家电子商务公司的网管，小路深感责任重大。自从2001年成立以来，公司网络多次受到来自黑客的攻击，最严重的一次，业务因此停顿了24小时。为此，小路需要经常上网查找最新安全动态。到目前为止，仅在IE浏览器上，小路就已经打了不下7个补丁。但是，从IE浏览器、Apache HTTP Server、到域名软件BIND，都可能是下一个风险的发源地。“风险无处不在，”小路说，“如果想到种种可能性，真会让人晚上睡不着觉。”为了让小路和公司领导都能睡上好觉，2003年初，小路所在的公司请了一家专业公司为自己的网络系统作安全评估，合同期为一年，除了最开始两个月对系统、网络、应用作全面地扫描和评测外，在后面的10个月里，安全公司将全面检测小路公司网络流量的进出情况，并将最新发布的安全漏洞以及补丁情况及时通报给小路。一旦发生问题，服务商承诺在1个小时内做出反应。 ????小路公司的要求几乎涵盖了安全风险评估的大部分内容。如漏洞扫描，可以划归脆弱性分析; 评测过程，可以算作威胁分析、风险分析。通常来讲，风险咨询公司都会从资产调查开始，逐步进行脆弱性分析、威胁分析、风险分析，针对风险提出解决方案，并提供业务连续性综合办法。有些咨询公司，还会应客户的要求，为加固后的网络系统做二次评估。 ????从范围上看，安全风险评估又可分为基线风险评估、非正式（快速）风险评估、详细风险评估与综合风险评估。其中，基线评估通常会在启动一个系统建设项目之前开始。非正式评估是针对具体问题，通过工具和人的经验，找到问题，提出解决办法。详细评估则需从物理系统上、数据上以及管理等方面进行全面的评测。绿盟科技工程部安全工程师于慧龙认为，目前，国内第二种评估比较多。 ????从评估主体上看，安全风险评估又可分为自评、国家授权的专业评估机构评测和以服务商为主体的市场化评估行为。“目前，国内缺乏相关网络安全定级标准，因此，国家还没有设定这样的专业评估机构，”北京中科网威技术中心副总经理吴云坤说。 ????作为目前市场最主要的群体，安全服务公司提供的评估又可分为两大类：评估加固与评估咨询。“中小客户通常喜欢采用前者。”刘恒说，“他们通常会就网络现状做一个调查，从主机到网络到安全设备，全面查找安全漏洞，然后，要求咨询公司提供加固服务。大客户则需要全面掌握网络安全的情