【正文】 安全風險評估的少數(shù)派報告20030728 00:00:$()■ 本報記者 徐莉 如果說安全市場本身在中國仍處于方興未艾的階段，那么，安全風險評估就只能算作尚在萌芽的種子。因為，作為更高級別的服務，安全風險評估更像安全系統(tǒng)這道門上的一把鎖，需要有個大前提。換句話說，只有企業(yè)的IT系統(tǒng)足夠復雜，安全需求達到一定級別，這把鎖才會派上用場。盡管很多人看好安全風險評估的未來，但是，目前國內(nèi)提供真正安全風險評估服務的卻只有少數(shù)企業(yè)。不過，通過對這些企業(yè)的采訪，我們印證了大多數(shù)人的設想——安全風險評估確是一支開始萌芽的“潛力股”。 提起2002年年底的互聯(lián)網(wǎng)大會，啟明星辰首席技術官劉恒至今印象深刻。在那次會議上，作為安全專題的講演者之一，劉恒頗為有趣地體會了一回什么叫英雄所見，因為與劉恒一樣，另外三名安全專家也不約而同選擇了同一個演講主題——安全風險評估管理。 在會后的交流中，四位“英雄”半開玩笑地指出:“既然大家都看好安全風險評估市場，那索性將2003年定名為安全風險評估年。” 半年多時間過去了，市場為這個帶有玩笑性質(zhì)的預測做了最好的注腳?！斑M入2003年后，公司關于安全風險評估的單子明顯增多，200萬以上的項目正在執(zhí)行的有兩個，”劉恒說。在記者的追問下，劉恒對市場做了一個保守估計：“以2003年上半年的落單情況看，安全風險評估市場的總額應該在八千萬到一個億的樣子?！卑步j科技的CTO謝朝霞對這個問題的回答很干脆: “用在安全風險評估上的投資能占用戶總投資的1%～5%，電信和金融用戶能達到3%～5%?！卑创吮壤龘Q算，僅銀行市場，每年用于網(wǎng)絡安全評估的費用將超過幾個億。 我們無意求證這些數(shù)字的精確程度，因為這不重要。重要的是，從這些最前沿市場中人的判斷，我們看到了安全風險評估正在從概念走向應用，從空中樓閣走向觸手可及。而對那些已經(jīng)開始這項業(yè)務卻無斬獲或?qū)⒁_始卻有迷茫的企業(yè)來說，先行成功者的體驗無疑是最可寶貴的。 安全風險評估的內(nèi)涵與外延 什么是安全風險評估？夸張地講，一千個人有一千個答案。 這些答案或許沒有本質(zhì)區(qū)別，但是，因為現(xiàn)階段的市場尚沒有一個明確的定義，每個人對安全風險評估的理解，將會因為內(nèi)涵與外延的不同，呈現(xiàn)溢出或缺損的現(xiàn)象?；蛟S，從用戶的需求角度，更容易將這個問題講明白，也更具有現(xiàn)實意義。 作為一家電子商務公司的網(wǎng)管，小路深感責任重大。自從2001年成立以來，公司網(wǎng)絡多次受到來自黑客的攻擊，最嚴重的一次，業(yè)務因此停頓了24小時。為此，小路需要經(jīng)常上網(wǎng)查找最新安全動態(tài)。到目前為止，僅在IE瀏覽器上，小路就已經(jīng)打了不下7個補丁。但是，從IE瀏覽器、Apache HTTP Server、到域名軟件BIND，都可能是下一個風險的發(fā)源地?！帮L險無處不在，”小路說，“如果想到種種可能性，真會讓人晚上睡不著覺?！睘榱俗屝÷泛凸绢I導都能睡上好覺，2003年初，小路所在的公司請了一家專業(yè)公司為自己的網(wǎng)絡系統(tǒng)作安全評估，合同期為一年，除了最開始兩個月對系統(tǒng)、網(wǎng)絡、應用作全面地掃描和評測外，在后面的10個月里，安全公司將全面檢測小路公司網(wǎng)絡流量的進出情況，并將最新發(fā)布的安全漏洞以及補丁情況及時通報給小路。一旦發(fā)生問題，服務商承諾在1個小時內(nèi)做出反應。 小路公司的要求幾乎涵蓋了安全風險評估的大部分內(nèi)容。如漏洞掃描，可以劃歸脆弱性分析。 評測過程，可以算作威脅分析、風險分析。通常來講，風險咨詢公司都會從資產(chǎn)調(diào)查開始，逐步進行脆弱性分析、威脅分析、風險分析，針對風險提出解決方案，并提供業(yè)務連續(xù)性綜合辦法。有些咨詢公司，還會應客戶的要求，為加固后的網(wǎng)絡系統(tǒng)做二次評估。 從范圍上看，安全風險評估又可分為基線風險評估、非正式（快速）風險評估、詳細風險評估與綜合風險評估。其中，基線評估通常會在啟動一個系統(tǒng)建設項目之前開始。非正式評估是針對具體問題，通過工具和人的經(jīng)驗，找到問題，提出解決辦法。詳細評估則需從物理系統(tǒng)上、數(shù)據(jù)上以及管理等方面進行全面的評測。綠盟科技工程部安全工程師于慧龍認為，目前，國內(nèi)第二種評估比較多。 從評估主體上看，安全風險評估又可分為自評、國家授權的專業(yè)評估機構評測和以服務商為主體的市場化評估行為。“目前，國內(nèi)缺乏相關網(wǎng)絡安全定級標準，因此，國家還沒有設定這樣的專業(yè)評估機構，”北京中科網(wǎng)威技術中心副總經(jīng)理吳云坤說。 作為目前市場最主要的群體，安全服務公司提供的評估又可分為兩大類：評估加固與評估咨詢?！爸行】蛻敉ǔＯ矚g采用前者?！眲⒑阏f，“他們通常會就網(wǎng)絡現(xiàn)狀做一個調(diào)查，從主機到網(wǎng)絡到安全設備，全面查找安全漏洞，然后，要求咨詢公司提供加固服務。大客戶則需要全面掌握網(wǎng)絡安全的情況，要求服務商從系統(tǒng)到管理，提出全面的風險管理辦法?！?自測系統(tǒng)安全的幾個漸進方法 測試類別敏感性系統(tǒng)的實施周期普通系統(tǒng)的實施周期復雜性工作難度風險任務和作用網(wǎng)絡映射3個月12個月中中中確定網(wǎng)絡結構、使用中的主機個數(shù)和軟件確定未經(jīng)授權但卻連接在網(wǎng)絡上的主機確定打開的端口確定未經(jīng)授權的服務脆弱性掃描3個月~6個月12個月高高中確定網(wǎng)絡結構、使用中的主機和軟件確定需要進行脆弱性分析的計算機在分析目標的計算機中找出可能被攻擊的漏洞確定OS和主要應用軟件是否及時升級或者打補丁滲透性測試12個月12個月高高高決定測試目標，確定脆弱性等級，以及可能產(chǎn)生的破壞程度檢查系統(tǒng)人員在發(fā)生安全問題時的響應速度、對安全政策的執(zhí)行情況以及安全方面的基礎知識等安全測試與評估至少3年一次，或在系統(tǒng)做出大的改變的時候至少3年一次高高高發(fā)現(xiàn)設計、實施、以及運行中存在的安全問題從物理措施、保險等各個角度，重新部署安全措施，來保證安全制度的實施評估系統(tǒng)文件與實際狀況之間的差異性解碼1個月12個月低低低確認生成密碼的原則是有效且可行的確認用戶是否按照系統(tǒng)制訂的原則設置密碼日志檢查1周1周中中低確保系統(tǒng)按照設定的原則運行完整性檢查1個月或根據(jù)實際需要隨時進行1個月低低低發(fā)現(xiàn)未經(jīng)授權的文件修改病毒檢測1周或根據(jù)需要隨時進行1周或根據(jù)需要隨時進行低低低在病毒發(fā)作前，發(fā)現(xiàn)并刪除病毒撥號檢測12個月12個月低低中發(fā)現(xiàn)非法Modems，阻止未經(jīng)授權的進入細節(jié)之中見真章 很多情況下，細節(jié)決定結果。特定到安全風險評估領域，在完成最初的認知之后，今天的服務商們，又有誰，不是力爭在細節(jié)上打敗對手？ 如果三年前，有人提到安全風險評估概念，那他多半是指漏洞掃描。即便在今天，很多企業(yè)仍將這個原本宏大的評估概念狹義地限定為漏洞掃描與修補