【正文】 會(huì)以自評為主。 ——安絡(luò)科技 謝朝霞 風(fēng)口浪尖上的淘金者 早在2000年，綠盟科技就提出了NSPS安全服務(wù)體系，由此以后，市場上有關(guān)安全評估、安全服務(wù)的概念如雨后春筍，在各種各樣的安全公司落地生根。即便今天，無論是賣防火墻的，還是賣控制網(wǎng)關(guān)的，大部分以產(chǎn)品起家的安全公司，在安全風(fēng)險(xiǎn)評估這個(gè)環(huán)節(jié)，仍有“掛羊頭，賣狗肉”之嫌。盡管在適應(yīng)市場的過程中，綠盟也陸續(xù)推出相關(guān)的網(wǎng)絡(luò)入侵檢測產(chǎn)品、抗拒絕服務(wù)產(chǎn)品。成立于1996年的啟明星辰在安全檢測產(chǎn)品方面一直有著驕人的成績。 同時(shí)，成員必需在人員安全評估（確定某個(gè)人員可以信任風(fēng)險(xiǎn)評估工作）通過后確定。也只有確定了風(fēng)險(xiǎn)評估的范圍和目的，我們的風(fēng)險(xiǎn)評估才能有的放矢地進(jìn)行。⑤、調(diào)查機(jī)構(gòu)內(nèi)部員工是否在工作時(shí)間使用即時(shí)通信工具，并在法律條件允許的條件下監(jiān)控即時(shí)通信的內(nèi)容。 網(wǎng)絡(luò)操作痕跡信息檢查的風(fēng)險(xiǎn)評估表單信息安全風(fēng)險(xiǎn)評估評估項(xiàng)目： 網(wǎng)絡(luò)操作痕跡信息檢查 評估的目的： 檢查網(wǎng)絡(luò)中遺留的網(wǎng)絡(luò)操作痕跡信息中是否含有機(jī)構(gòu)內(nèi)部機(jī)密 評 估 任 務(wù) 紅勾 順序 評 估 任 務(wù) 描 述 結(jié)果描述 結(jié)束時(shí)間 評估人 備注 1 檢查機(jī)構(gòu)內(nèi)部員工WEB數(shù)據(jù)庫和緩存中的內(nèi)容 2 檢查機(jī)構(gòu)內(nèi)部員工是否通過個(gè)人主頁、博客、論壇，以及發(fā)布網(wǎng)絡(luò)求職簡歷的方式，透露了機(jī)構(gòu)的組織結(jié)構(gòu)，或其它機(jī)構(gòu)內(nèi)部機(jī)密信息 3 調(diào)查機(jī)構(gòu)內(nèi)部員工是否在使用私人電子郵箱，并且在法律允許的條件下，檢查員工是否通過機(jī)構(gòu)分配的電子郵件發(fā)送機(jī)構(gòu)內(nèi)部機(jī)密信息 4 了解機(jī)構(gòu)內(nèi)部員工的計(jì)算機(jī)技術(shù)水平，以及了解計(jì)算機(jī)技術(shù)水平較高的員工所處的部門及其操作權(quán)限 5 調(diào)查機(jī)構(gòu)內(nèi)部員工是否在工作時(shí)間使用即時(shí)通信工具，并在法律條件允許的條件下監(jiān)控即時(shí)通信的內(nèi)容 6 使用互聯(lián)網(wǎng)搜索引擎查找網(wǎng)絡(luò)中是否存在與機(jī)構(gòu)相關(guān)的機(jī)密信息，或者可以在各種特定的新聞組、論壇及博客中搜索 7 檢查機(jī)構(gòu)內(nèi)部員工是否在使用P2P軟件，在法律條件允許下審查P2P通信內(nèi)容 備注：評估開始時(shí)間：年 月 日 時(shí) 分 評估結(jié)束時(shí)間：年 月 日 時(shí) 分項(xiàng)目負(fù)責(zé)人： 考慮完成評估任務(wù)時(shí)會(huì)用到的各種工具，并準(zhǔn)備妥當(dāng)。對于信息系統(tǒng)風(fēng)險(xiǎn)評估來說，如果準(zhǔn)備工作越充分，后續(xù)的風(fēng)險(xiǎn)評估過程就越有效率，評估過程中出現(xiàn)的錯(cuò)誤就越少，評估的最終給果就越真實(shí)有效。同時(shí)，在進(jìn)行某些評估任務(wù)的評估工作時(shí)，例如系統(tǒng)弱點(diǎn)掃描，應(yīng)當(dāng)從由外向內(nèi)看和由內(nèi)向外看的兩個(gè)方式分別進(jìn)行。這些評估任務(wù)可以通過機(jī)構(gòu)員工檔案審查，檢查員工使用的計(jì)算機(jī)中的瀏覽器COOKIE，檢查機(jī)構(gòu)WEB服務(wù)器緩存，審查機(jī)構(gòu)邊界位置網(wǎng)絡(luò)操作行為管理設(shè)備的各種日志，通過網(wǎng)絡(luò)搜索引擎，通過搜索一些獨(dú)特的位置（如新聞組、博客及論壇）來完成。所有的這些信息都可以一個(gè)報(bào)告文件的方式記錄下來。安全修補(bǔ)后，評估對象能達(dá)到什么樣的安全等級。權(quán)威性是指這份報(bào)告應(yīng)當(dāng)出自整個(gè)評估小組在檢測分析之上，并不是某個(gè)人憑空想象造出來的。同時(shí)，也能給出仍然不能防范的安全弱點(diǎn)，以及這些弱點(diǎn)目前應(yīng)當(dāng)如何應(yīng)對才能降低發(fā)生的可能。但是，對于評估對象所在的機(jī)構(gòu)來說，安全風(fēng)險(xiǎn)評估工作的結(jié)束，只是表示另一個(gè)重要的任務(wù)，安全修補(bǔ)任務(wù)的開始。但是，當(dāng)檢測到的弱點(diǎn)可能給機(jī)構(gòu)信息系統(tǒng)帶來中等或高等安全風(fēng)險(xiǎn)時(shí)，就應(yīng)當(dāng)按要求給出針對性的安全解決方案安全風(fēng)險(xiǎn)評估報(bào)告的內(nèi)容可以作為安全策略的一個(gè)強(qiáng)有力的補(bǔ)充，你甚至可以將它們的處理建議加入到已有的安全策略當(dāng)中，以保證安全策略的強(qiáng)壯性。列出防范這些檢測到的威脅和弱點(diǎn)的保障措施。當(dāng)所有評估任務(wù)完成后，將已經(jīng)填入評測答案和評估人簽名的風(fēng)險(xiǎn)評估表單上報(bào)給評估負(fù)責(zé)人，經(jīng)評估負(fù)責(zé)人確認(rèn)并簽字后，這個(gè)風(fēng)險(xiǎn)評估表單中的內(nèi)容才能算真正有效，并在風(fēng)險(xiǎn)評估表單中填入評估結(jié)束時(shí)間。每個(gè)風(fēng)險(xiǎn)評估項(xiàng)目中的所有評估任務(wù)，如沒有特殊要求，就必需按照風(fēng)險(xiǎn)評估表單中排列的順序來進(jìn)行。要完成風(fēng)險(xiǎn)評估表單列出的評估任務(wù)，需要使用一些針對某個(gè)評估任務(wù)的具體解決方法。一個(gè)風(fēng)險(xiǎn)評估策略不僅可以包括上面已經(jīng)列出的這四個(gè)方面，還可以在其中添加與評估任務(wù)實(shí)際需求相關(guān)的內(nèi)容，例如加入說明此次評估任務(wù)的具體流程和細(xì)節(jié)，各種注意事項(xiàng)等等。（4）、考慮一些在風(fēng)險(xiǎn)評估過程中可能發(fā)生的情況，以不影響正常的業(yè)務(wù)為基本條件。具體的評估任務(wù)有：①、檢查機(jī)構(gòu)內(nèi)部員工WEB數(shù)據(jù)庫和緩存中的內(nèi)容。同時(shí)，要為評估任務(wù)指定一個(gè)總的負(fù)責(zé)人，來監(jiān)督整個(gè)評估過程，并協(xié)調(diào)處理評估過程中出現(xiàn)的臨時(shí)狀況。一、安全風(fēng)險(xiǎn)評估準(zhǔn)備階段在每次風(fēng)險(xiǎn)評估開始之前，一個(gè)最好的保證評估過程順利完成，評估結(jié)果真實(shí)有效的方法，就得為此制定一個(gè)風(fēng)險(xiǎn)評估策略?！币苿?dòng) 張明峻 信息系統(tǒng)安全風(fēng)險(xiǎn)評估應(yīng)用：評估過程育龍網(wǎng)安全評估很重要，應(yīng)該每年至少做一次。另外，安氏在安全風(fēng)險(xiǎn)評估方面業(yè)務(wù)開展得也比較早，通過代理ISS的幾個(gè)檢測工具，安氏早期獲得了不錯(cuò)的市場口碑。而中國市場向來南方先行的特征，又讓安絡(luò)科技比別人更有機(jī)會(huì)積累寶貴的評估經(jīng)驗(yàn)。憑借多年的技術(shù)積累與良好的客戶關(guān)系，啟明星辰在評估市場可謂厚積薄發(fā)，雄厚的人才儲(chǔ)備，使啟明星辰一出手就占了先機(jī)。 概念多，服務(wù)少 服務(wù)篇 各種各樣的網(wǎng)站對安全風(fēng)險(xiǎn)評估的需求也開始放大。在這一點(diǎn)上，南北供應(yīng)商認(rèn)識(shí)不一，謝朝霞認(rèn)為，銀行在商務(wù)上的風(fēng)險(xiǎn)最大，因此，對網(wǎng)絡(luò)評估的需求也最強(qiáng)烈。對各種新技術(shù)、新服務(wù)體驗(yàn)的意愿，讓中國的電信市場成為全世界供應(yīng)商眼中“最可愛的人”。先摘夠得著的果子 從保險(xiǎn)公司的角度，費(fèi)率的制定，與客戶網(wǎng)絡(luò)的安全等級大有關(guān)系，網(wǎng)絡(luò)越安全，費(fèi)率越低。而我們，盡管在信息獲得上已經(jīng)對網(wǎng)絡(luò)構(gòu)成依賴，但是，就買賣行為而言，更多的還是發(fā)生在網(wǎng)外，最多上網(wǎng)買個(gè)圖書與CD，多數(shù)情況下，還會(huì)選擇貨到付款。如黑客入侵，病毒發(fā)作，網(wǎng)絡(luò)“無緣無故”的癱瘓，用戶靠自己的力量解決不了，于是開始從外部尋求幫助。多汁的酸桔子 就是這樣一些與網(wǎng)絡(luò)、與技術(shù)沒有本質(zhì)關(guān)聯(lián)的問題，造成了大量事實(shí)上的安全風(fēng)險(xiǎn)。這樣一個(gè)觸目驚心的數(shù)字令人不禁想到，銀行業(yè)內(nèi)部的安全防范是怎樣的脆弱。業(yè)務(wù)部與業(yè)務(wù)部之間、業(yè)務(wù)部與辦公室之間，每個(gè)人與每個(gè)人之間，都將連接在一起。事實(shí)上，這些問題將從各個(gè)角度決定一個(gè)系統(tǒng)安全評估的結(jié)果。 去年，在為政府部門檢測一個(gè)安全評估工具時(shí)，一家安全風(fēng)險(xiǎn)評估公司發(fā)現(xiàn)了掃描軟件自身存在漏洞，這個(gè)漏洞，在某種程度上，使整個(gè)網(wǎng)絡(luò)暴露在危險(xiǎn)之中。 很多情況下，細(xì)節(jié)決定結(jié)果?！?自測系統(tǒng)安全的幾個(gè)漸進(jìn)方法 測試類別敏感性系統(tǒng)的實(shí)施周期普通系統(tǒng)的實(shí)施周期復(fù)雜性工作難度風(fēng)險(xiǎn)任務(wù)和作用網(wǎng)絡(luò)映射3個(gè)月12個(gè)月中中中確定網(wǎng)絡(luò)結(jié)構(gòu)、使用中的主機(jī)個(gè)數(shù)和軟件確定未經(jīng)授權(quán)但卻連接在網(wǎng)