网络安全风险评估市场与技术操作现状.pdfVIP

国内网络安全风险评估市场与技术操作

吴鲁加04/19/2023个人主页：网络日志：

版本控制

vO.l04/01/2023文创立，包括大量示例文献内部公布

v0.204/19/2023删除部份敏感信息，增长国内市场分析•、BS7799和OCTAVE概述后，对外

公布

近两年网络安全风险评估渐渐为人们所重视，不少大型企业尤其是运行商、金融业都请了专

业企业进行评估。本文提出作者个人对国内安全风险评估操作的某些评价，并试图论述作者

所埋解的，可裁剪、易操作的风险评估方式。由于内容与商、山企业有关，因此不可防止会波

及部份商业利益，在文中作者尽量隐去也许产生直接利害关系的文字，并申明所有评价纯属

个人观点，假如你有不一一样意见，欢迎来函探讨。

1.什么是风险评估

说起风险评估，大家脑海中首先出现II勺也许是：风险、资产、影响、威肋、弱点等一连串的

术语，这些术语看起来并不难理解，但一旦综合考虑就会象绕口令般组合。例如风险，用

ISO/IECTR13335-1:1996中的定义可以解释为：特定威胁运用某个些（）资产的弱点，导致

资产损失或破坏U勺潜在也许性。

为了协助理解，我们举一种下里巴人的例子：我口袋里有100块钱，由于打瞌睡，被小偷偷

走了，搞得晚上没饭吃。

用风险评估的观点来描述这个案例，我们可以对这些概念作如下理解：

风险=钱被偷走

资产=100块钱

影响=晚上没饭吃

威胁=小偷

弱点=打瞌睡

回到阳春白雪来，假设这样个案例：某证券企业的数据库服务器由于存在RPCDCOMH勺漏

洞，遭到入侵者袭击，被迫中断3天。

让们尝试做一道小课时常做II勺连线题，把左右两边相对应的内容用线段连接起来：

风险RPCDCOM漏洞

资产服务器遭到入侵

影响数据库服务器

威胁入侵者

弱点中断三天

假如这道题对你没什么难度，那么恭喜你，你已经和国内大多数风险评估的操作者差不多站

在同一种起跑线上了。

2.国内既有风险评估操作模式

2.1评估市场和竞争分析

假如按照高、中、低端简朴对国内IJ勺风险评估市场进行分类，那么们可以很清晰地看到，

几类市场的操作方式完全不一样。

国内高端市场重要被如IBM普（华永道）、毕马威这样类型会计师事务所类型的企业占领，往

往网络安全评估就涵盖在他们的整个审计体系之下。中端市场上则盘踞着国内外大多数较有

实力IJ勺网络安全企业，其中包括较早提出安全评估并且在运行商市场有比很好的实践的安

氏、有作风稳健但却一步一种脚印打下大片疆土的启明星辰、也有异军突起极具竞争力的绿

盟科技……低端厂商则数量庞大，往往只是通过简朴的漏洞扫描、病毒查杀等方式操作。

2.2重要中端厂商日勺评估模式分析

如下分析中的数据来源为笔者在从事网络安全评估实践时通过多种渠道获得。但由于信息的

时效性，未能确认目前文中所进行的J表述与分析就代表着各家企业日勺最新评估发展状态。但

愿读者自行鉴别。

2.2.1启明星辰

启明星辰2023年之前•直比低调，但风险评估项目从最初对某证券企业进行的纯粹漏洞

扫描、人工审计、渗透测试这种类型的纯技术操作到套用BS7799到采用OCTAVE措施再

到最终形成自己H勺网络安全风险评估的措施论、操作模型，有诸多专IK人员付出了大量疗动。

下图是启明星辰的幻灯片中摘录的，他们评估发展的历程，在每个台阶上有该阶段所通过的

项目名称，出于安全原因隐去。

■成功案例启明星辰风趁评估发展历程

□Venus

□BST799

口R于应用的评估

□CAOQES技术融合

口NCS，虹计