国内网络安全风险评估市场与技术操作.docxVIP

（风险管理）国内网络安全风险评估市场与技术操作 时效性，未能确认当前文中所进行的表述与分析就代表着各家企业的最新评估发展状态。希望读者自行鉴别。 2.2.1 启明星辰 启明星辰 2002 年之前始终比较低调，但风险评估项目从最初对某证券公司进行的纯粹漏洞扫描、人工审计、渗透测试这种类型的纯技术操作到套用 BS7799 到采用 OCTAVE 方法再到最终形成自己的网络安全风险评估的方法论、操作模型，有很多专业人员付出了大量劳动。下图是启明星辰的幻灯片中摘录的，他们评估发展的历程，在每个台阶上有该阶段所经过的项目名称，出于安全原因隐去。 业务参与性弱、解决方案可操作性差往往也是高要求的用户对风险评估队伍批评较多的地方，但从启明星辰近期在几家大型客户那里的操作来看，较受客户好评。启明星辰有较多在风险评估中可以应用的工具： 天镜评估版：扫描器，有专门用于风险评估的版本。 天清：又名 SRC，指 SecurityRiskManage，基于 ISO17799 的量化、可视化的评估工具。 信息库：名称不详，能够直接导入天镜、Nessus、ISS 等扫描器的扫描结果并生成报告。据 说是较好的安全评估过程辅助工具。 本地评估软件包。 我理解的启明星辰风险评估特点为： 博采众长 这一方面与启明星辰参与部份安全行业国家标准的制订有关，另一方面则是他们有着较多高学历员工，对高端咨询类型的提炼、深化抓得比较好，对评估要求看得透彻，写得清楚。变化较快 这可以说既是优点，也是缺点。在每次较大的评估项目中他们一般都要求有所突破。这逼着他们去创新，但同时也导致评估的方法论很容易有变动。 2.2.2 绿盟科技 绿盟科技从最初参与中国电信评估项目开始走进安全评估领域，挟其强大的系统研究技术优势进入市场。下图是他们一份讲稿中的评估流程描述： 我对绿盟科技风险评估方法的总体评价是：它是专业的系统和网络安全评估，不是信息安全 评估，具体有如下几点： 项目可操作性强 管理评估存在不足，风险计算方式不够科学 技术弱点把握精确 2.2.3 安氏 安氏在国内较早从事网络安全风险评估项目的操作，做过较大的评估项目(包括顾问咨询)有：中国移动 CMNET 全网网络安全评估项目、天津电力公司安全咨询项目、中国电信 IP 网安全咨询顾问项目、上海移动 boss 系统安全咨询顾问项目、深圳华为科技公司安全咨询顾问项目等。 个人理解，2001 年前后，IS-ONE 的评估在国内较为领先，一方面是他们与国外公司的沟通较密切，另外其高管层对风险评估、BS7799 比较重视。但到了 2003 年，安氏整体战略转型，产品方面一边中止与 ISS 合作，一面高调宣传做自主产品，SOC 大集成成为其主推概念，在风险评估领域的方法论却缺乏创新和突破。安氏的安全风险评估有几大优势：项目管理较为专业 下图是从安氏给某用户汇报时 ppt 的摘录，是他们项目管理的过程。 文档体系比较规范 这可能与安氏的部份高管强执行力和国外背景有一定关系。他们较为注重方案、咨询建议等 经验的可复用，当然，这同时也容易造成他们考虑问题简单化，对小客户容易用大企业的方案来裁剪套用。就现在他们做过的项目来看，至少有以下标准方案的积累：安全策略评估及建议报告 安全解决方案 本地风险评估报告 远程风险评估报告 网络安全现状报告 网络安全解决方案建议 扫描评估申请报告模版 数据库扫描申请报告 系统扫描申请报告 网络扫描申请报告 …… 这里列举一份安氏的售前方案目录，相信内行人能看出一些门道来吧;) 1 章概述 1.1 项目概述 1.2 项目目标 1.2.4 评估的方式 1.3 评估遵循的原则 1.3.1 保密原则 1.3.2 标准性原则 1.3.3 规范性原则 1.3.4 可控性原则 1.3.5 整体性原则 1.3.6 最小影响原则 1.4 风险评估模型 1.4.1 背景和假设 1.4.2 概述 1.4.3 资产评估 1.4.4 威胁评估 1.4.5 弱点评估 1.4.6 风险评估 1.5 资产识别和赋值 1.5.1 信息资产分类 1.5.2 信息资产赋值 1.6 主要评估方法说明 1.6.1 工具评估 1.6.2 人工评估 1.6.3 安全审计 1.6.4 网络架构分析 1.6.5 策略评估 1.7 项目承诺 1.8 项目组织结构 2 章项目范围和评估内容 第 3 章项目阶段详述 3.1 第一阶段－项目准备和范围确定 3.2 第二阶段-项目定义和蓝图 3.3 第三阶段-风险评估阶段 3.3.1 集团公司层面评估子项目 3.3.2 省网层面评估子项目 3.3.3 安全信息库开发子项目 3.3.4 安全评估风险规避措施 3.3.5 需要客户配合的工作 3.3.6 安全信息库系统原型概要设计 3.4 第四阶段－综合评估和策略阶段 3.4.1