【正文】 則將這些寶貴的工作總結(jié)出來(lái)，與國(guó)際上的先進(jìn)產(chǎn)品結(jié)合起來(lái)，做成有針對(duì)性的評(píng)估軟件產(chǎn)品。事實(shí)上，這些問(wèn)題將從各個(gè)角度決定一個(gè)系統(tǒng)安全評(píng)估的結(jié)果。來(lái)自實(shí)戰(zhàn)的經(jīng)驗(yàn)表明，在評(píng)估過(guò)程中，咨詢(xún)工程師最常面對(duì)的問(wèn)題是，資產(chǎn)多重要才算重要？什么樣的系統(tǒng)損失可能構(gòu)成什么樣的經(jīng)濟(jì)損失？怎樣的技術(shù)體系達(dá)到怎樣的安全等級(jí)？一個(gè)病毒中斷了郵件系統(tǒng)，企業(yè)因此造成的經(jīng)濟(jì)損失和社會(huì)影響如何計(jì)算？如果黑客入侵，盡管沒(méi)有造成經(jīng)濟(jì)損失，但企業(yè)的名譽(yù)損失又該如何衡量？ 從目前的市場(chǎng)情況看，有關(guān)安全的標(biāo)準(zhǔn)已有一大堆，如美國(guó)TCSEC、BS779ISO1540ISO/IEC17799和ISO13335等。 去年，在為政府部門(mén)檢測(cè)一個(gè)安全評(píng)估工具時(shí)，一家安全風(fēng)險(xiǎn)評(píng)估公司發(fā)現(xiàn)了掃描軟件自身存在漏洞，這個(gè)漏洞，在某種程度上，使整個(gè)網(wǎng)絡(luò)暴露在危險(xiǎn)之中。最后，在服務(wù)公司的建議下，這個(gè)證券公司選擇使用另外一個(gè)應(yīng)用系統(tǒng)。 很多用戶(hù)反映，在輸入賬戶(hù)、密碼、端口號(hào)碼以及代理服務(wù)器的地址后，卻無(wú)法進(jìn)入交易系統(tǒng)。湖北移動(dòng)夢(mèng)網(wǎng)部的張明峻認(rèn)為，應(yīng)用系統(tǒng)安全隱患很多。一些專(zhuān)家還明確指出，在使用SQL服務(wù)器的時(shí)候，不要將1433端口和1434端口打開(kāi)。事實(shí)上，真正的安全評(píng)估服務(wù)價(jià)值遠(yuǎn)遠(yuǎn)超越簡(jiǎn)單的掃描。 很多情況下，細(xì)節(jié)決定結(jié)果。細(xì)節(jié)之中見(jiàn)真章 ” 自測(cè)系統(tǒng)安全的幾個(gè)漸進(jìn)方法 測(cè)試類(lèi)別敏感性系統(tǒng)的實(shí)施周期普通系統(tǒng)的實(shí)施周期復(fù)雜性工作難度風(fēng)險(xiǎn)任務(wù)和作用網(wǎng)絡(luò)映射3個(gè)月12個(gè)月中中中確定網(wǎng)絡(luò)結(jié)構(gòu)、使用中的主機(jī)個(gè)數(shù)和軟件確定未經(jīng)授權(quán)但卻連接在網(wǎng)絡(luò)上的主機(jī)確定打開(kāi)的端口確定未經(jīng)授權(quán)的服務(wù)脆弱性掃描3個(gè)月~6個(gè)月12個(gè)月高高中確定網(wǎng)絡(luò)結(jié)構(gòu)、使用中的主機(jī)和軟件確定需要進(jìn)行脆弱性分析的計(jì)算機(jī)在分析目標(biāo)的計(jì)算機(jī)中找出可能被攻擊的漏洞確定OS和主要應(yīng)用軟件是否及時(shí)升級(jí)或者打補(bǔ)丁滲透性測(cè)試12個(gè)月12個(gè)月高高高決定測(cè)試目標(biāo)，確定脆弱性等級(jí)，以及可能產(chǎn)生的破壞程度檢查系統(tǒng)人員在發(fā)生安全問(wèn)題時(shí)的響應(yīng)速度、對(duì)安全政策的執(zhí)行情況以及安全方面的基礎(chǔ)知識(shí)等安全測(cè)試與評(píng)估至少3年一次，或在系統(tǒng)做出大的改變的時(shí)候至少3年一次高高高發(fā)現(xiàn)設(shè)計(jì)、實(shí)施、以及運(yùn)行中存在的安全問(wèn)題從物理措施、保險(xiǎn)等各個(gè)角度，重新部署安全措施，來(lái)保證安全制度的實(shí)施評(píng)估系統(tǒng)文件與實(shí)際狀況之間的差異性解碼1個(gè)月12個(gè)月低低低確認(rèn)生成密碼的原則是有效且可行的確認(rèn)用戶(hù)是否按照系統(tǒng)制訂的原則設(shè)置密碼日志檢查1周1周中中低確保系統(tǒng)按照設(shè)定的原則運(yùn)行完整性檢查1個(gè)月或根據(jù)實(shí)際需要隨時(shí)進(jìn)行1個(gè)月低低低發(fā)現(xiàn)未經(jīng)授權(quán)的文件修改病毒檢測(cè)1周或根據(jù)需要隨時(shí)進(jìn)行1周或根據(jù)需要隨時(shí)進(jìn)行低低低在病毒發(fā)作前，發(fā)現(xiàn)并刪除病毒撥號(hào)檢測(cè)12個(gè)月12個(gè)月低低中發(fā)現(xiàn)非法Modems，阻止未經(jīng)授權(quán)的進(jìn)入作為目前市場(chǎng)最主要的群體，安全服務(wù)公司提供的評(píng)估又可分為兩大類(lèi)：評(píng)估加固與評(píng)估咨詢(xún)。 詳細(xì)評(píng)估則需從物理系統(tǒng)上、數(shù)據(jù)上以及管理等方面進(jìn)行全面的評(píng)測(cè)。有些咨詢(xún)公司，還會(huì)應(yīng)客戶(hù)的要求，為加固后的網(wǎng)絡(luò)系統(tǒng)做二次評(píng)估。小路公司的要求幾乎涵蓋了安全風(fēng)險(xiǎn)評(píng)估的大部分內(nèi)容。 但是，從IE瀏覽器、Apache HTTP Server、到域名軟件BIND，都可能是下一個(gè)風(fēng)險(xiǎn)的發(fā)源地。作為一家電子商務(wù)公司的網(wǎng)管，小路深感責(zé)任重大。 而對(duì)那些已經(jīng)開(kāi)始這項(xiàng)業(yè)務(wù)卻無(wú)斬獲或?qū)⒁_(kāi)始卻有迷茫的企業(yè)來(lái)說(shuō)，先行成功者的體驗(yàn)無(wú)疑是最可寶貴的。”安絡(luò)科技的CTO謝朝霞對(duì)這個(gè)問(wèn)題的回答很干脆: “用在安全風(fēng)險(xiǎn)評(píng)估上的投資能占用戶(hù)總投資的1%～5%，電信和金融用戶(hù)能達(dá)到3%～5%。在會(huì)后的交流中，四位“英雄”半開(kāi)玩笑地指出:“既然大家都看好安全風(fēng)險(xiǎn)評(píng)估市場(chǎng)，那索性將2003年定名為安全風(fēng)險(xiǎn)評(píng)估年。 盡管很多人看好安全風(fēng)險(xiǎn)評(píng)估的未來(lái)，但是，目前國(guó)內(nèi)提供真正安全風(fēng)險(xiǎn)評(píng)估服務(wù)的卻只有少數(shù)企業(yè)。安全風(fēng)險(xiǎn)評(píng)估的少數(shù)派報(bào)告20030728 00:00:$()■ 本報(bào)記者 徐莉 如果說(shuō)安全市場(chǎng)本身在中國(guó)仍處于方興未艾的階段，那么，安全風(fēng)險(xiǎn)評(píng)估就只能算作尚在萌芽的種子。不過(guò)，通過(guò)對(duì)這些企業(yè)的采訪，我們印證了大多數(shù)人的設(shè)想——安全風(fēng)險(xiǎn)評(píng)估確是一支開(kāi)始萌芽的“潛力股”?！?半年多時(shí)間過(guò)去了，市場(chǎng)為這個(gè)帶有玩笑性質(zhì)的預(yù)測(cè)做了最好的注腳?！卑创吮壤龘Q算，僅銀行市場(chǎng)，每年用于網(wǎng)絡(luò)安全評(píng)估的費(fèi)用將超過(guò)幾個(gè)億。 安全風(fēng)險(xiǎn)評(píng)估的內(nèi)涵與外延 什么是安全風(fēng)險(xiǎn)評(píng)估？夸張地講，一千個(gè)人有一千個(gè)答案。自從2001年成立以來(lái)，公司網(wǎng)絡(luò)多次受到來(lái)自黑客的攻擊，最嚴(yán)重的一次，業(yè)務(wù)因此停頓了24小時(shí)?！帮L(fēng)險(xiǎn)無(wú)處不在，”小路說(shuō)，“如果想到種種可能性，真會(huì)讓人晚上睡不著覺(jué)。如漏洞掃描，可以劃歸脆弱性分析。 從范圍上看，安全風(fēng)險(xiǎn)評(píng)估又可分為基線風(fēng)險(xiǎn)評(píng)估、非正式（快速）風(fēng)險(xiǎn)評(píng)估、詳細(xì)風(fēng)險(xiǎn)評(píng)估與綜合風(fēng)險(xiǎn)評(píng)估。綠盟科技工程部安全工程師于慧龍認(rèn)為，目前，國(guó)內(nèi)第二種評(píng)估比較多?！爸行】蛻?hù)通常喜歡采用前者。特定到安全風(fēng)險(xiǎn)評(píng)估領(lǐng)域，在完成最初的認(rèn)知之后，今天的服務(wù)商們，又有誰(shuí)，不是力爭(zhēng)在細(xì)節(jié)上打敗對(duì)手？ 如果三年前，有人提到安全風(fēng)險(xiǎn)評(píng)估概念，那他多半是指漏洞掃描。 最基本的，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)是動(dòng)態(tài)的。如果一定要聯(lián)接，就不要采用SQL服務(wù)器，除非你能保證在第一時(shí)間打補(bǔ)丁。 作為非標(biāo)準(zhǔn)化的軟件產(chǎn)品，很多應(yīng)用在開(kāi)發(fā)過(guò)程中都缺乏對(duì)安全問(wèn)題的統(tǒng)籌考慮。經(jīng)過(guò)查證，請(qǐng)來(lái)解決問(wèn)題的安全服務(wù)公司發(fā)現(xiàn)，因?yàn)樾掳姹九c原來(lái)的網(wǎng)絡(luò)環(huán)境，包括安全系統(tǒng)不匹配，用戶(hù)無(wú)法通過(guò)防火墻。“這是一個(gè)明智的選擇，否則，這個(gè)應(yīng)用將帶來(lái)潛在的安全隱患，”謝朝霞評(píng)價(jià)說(shuō)。 實(shí)踐者的方法論 實(shí)踐需要理論指導(dǎo)，但市場(chǎng)往往等不得成熟理論的出臺(tái)，就已經(jīng)急切地憑著直覺(jué)向前奔去。但具體到安全風(fēng)險(xiǎn)評(píng)估上，每個(gè)標(biāo)準(zhǔn)卻都有其局限性。在沒(méi)有一個(gè)相關(guān)標(biāo)準(zhǔn)的情況下，各家公司更多的是參考國(guó)外標(biāo)準(zhǔn)，憑借各自積累的經(jīng)驗(yàn)、與用戶(hù)多做溝通來(lái)解決。 從發(fā)展過(guò)程看，國(guó)內(nèi)安全風(fēng)險(xiǎn)評(píng)估市場(chǎng)經(jīng)歷了三個(gè)階段：不注重標(biāo)準(zhǔn)，過(guò)于依賴(lài)標(biāo)準(zhǔn)，跨越標(biāo)準(zhǔn)。 按照北京中科網(wǎng)威技術(shù)中心副總經(jīng)理吳云坤的說(shuō)法，系統(tǒng)越復(fù)雜，企業(yè)越需要風(fēng)險(xiǎn)評(píng)估，評(píng)估過(guò)程也會(huì)更有挑戰(zhàn)性。“關(guān)聯(lián)點(diǎn)越多，系統(tǒng)越復(fù)雜，”吳云坤說(shuō)，“相應(yīng)的工作流也呈現(xiàn)多樣化和多角度的形態(tài)。 通過(guò)為一些銀行用戶(hù)做評(píng)估，謝朝霞發(fā)現(xiàn)，很多風(fēng)險(xiǎn)出在管理上，如銀行的生產(chǎn)環(huán)境與網(wǎng)絡(luò)開(kāi)發(fā)環(huán)境本應(yīng)該嚴(yán)格分開(kāi)，非業(yè)務(wù)操作人員進(jìn)出營(yíng)業(yè)現(xiàn)場(chǎng)應(yīng)該有嚴(yán)格的登記制度。還有一些銀行，基礎(chǔ)設(shè)施落后，有些甚至還在使用安全性很差的HUB，這種產(chǎn)品，只要隨便連通到一個(gè)端口上，就可監(jiān)看所有的