【正文】 此，在制定風(fēng)險評估策略時，應(yīng)當(dāng)發(fā)動所有評估人員，以及評估對象的使用人員和設(shè)備供應(yīng)商代表等一起來分析制定。④、了解機構(gòu)內(nèi)部員工的計算機技術(shù)水平，以及了解計算機技術(shù)水平較高的員工所處的部門及其操作權(quán)限。風(fēng)險評估的目的和范圍是相輔相成的，只有指定了評估對象中評估項目的風(fēng)險評估目的，才知道需要什么樣的評估任務(wù)來達(dá)到這個目的，也就圈定了具體的評估范圍。制定風(fēng)險評估策略一個好的風(fēng)險評估策略，應(yīng)當(dāng)包括下列所示的內(nèi)容：（1）、指定評估小組成員信息風(fēng)險評估小組擔(dān)負(fù)著機構(gòu)的風(fēng)險評估工作，其成員要能代表整個機構(gòu)。 2009年05月21日因此，安全風(fēng)險評估對我們來說，還不是眼下最要緊的事。而原來以產(chǎn)品為主的中科網(wǎng)威，近期開始向服務(wù)傾斜，并召集了不少精英，意欲在這個潛力巨大的市場一展身手。而這一點，對供應(yīng)商的行業(yè)理解要求很高。在2000年就把服務(wù)作為自己的主營業(yè)務(wù)，綠盟無疑走過一段并不平坦的路。在這樣不利的外在環(huán)境和小我的局限面前，大部分企業(yè)更多地將評估等服務(wù)作為概念或者輔助手段，目的在于推進(jìn)其主體業(yè)務(wù)——產(chǎn)品的銷售?！本┲锌凭W(wǎng)威 吳云坤 但隨著電子政務(wù)的進(jìn)一步發(fā)展，與之相關(guān)的網(wǎng)絡(luò)安全方面的需求必然會有所加強。金融領(lǐng)域零散的單子雖然不少，但整個行業(yè)的大規(guī)模啟動應(yīng)該在明年。 作為國內(nèi)安全風(fēng)險評估供應(yīng)商，或許可以通過與保險公司合作的方式，從側(cè)面拉動市場的發(fā)展。 網(wǎng)絡(luò)環(huán)境的區(qū)別，或許是國內(nèi)外網(wǎng)絡(luò)安全風(fēng)險評估市場巨大差異的本質(zhì)原因。事實上，安全評估市場的可重復(fù)性很強，就像檢查身體一樣，不可能一次檢查，一勞永逸。如黑客大戰(zhàn)爆發(fā)，網(wǎng)絡(luò)投資前的安全評估，企業(yè)領(lǐng)導(dǎo)對不斷擴大的網(wǎng)絡(luò)安全現(xiàn)狀的了解需求，行業(yè)領(lǐng)頭羊或總部的拉動作用、大行業(yè)的引導(dǎo)作用等，都可能促成一個評估合同的產(chǎn)生。茶杯里的大象 在受過黑客攻擊和病毒的“洗禮”之后，很多用戶開始在防御外來風(fēng)險方面提高了警戒，但是，在漏洞更多、管理更復(fù)雜的內(nèi)部風(fēng)險方面，大多數(shù)企業(yè)仍疏于防范，或缺少規(guī)則。 謝朝霞說：“通過三年的時間，我們積累了一個巨大的知識庫和工具庫，新來的員工，借助這些手段，也能很快進(jìn)入工作狀態(tài)。 在升級過程中，某證券公司的網(wǎng)絡(luò)管理員發(fā)現(xiàn)，自從公司的股票交易系統(tǒng)升級后，用戶投訴開始增多。除了硬件系統(tǒng)、網(wǎng)絡(luò)、操作系統(tǒng)等的安全風(fēng)險評估外，應(yīng)用的安全評估更顯“真功夫”。而這期間，跟蹤漏洞報告及時與否，就顯得格外重要。到目前為止，僅在IE瀏覽器上，小路就已經(jīng)打了不下7個補丁?；蛟S，從用戶的需求角度，更容易將這個問題講明白，也更具有現(xiàn)實意義。在那次會議上，作為安全專題的講演者之一，劉恒頗為有趣地體會了一回什么叫英雄所見，因為與劉恒一樣，另外三名安全專家也不約而同選擇了同一個演講主題——安全風(fēng)險評估管理。換句話說，只有企業(yè)的IT系統(tǒng)足夠復(fù)雜，安全需求達(dá)到一定級別，這把鎖才會派上用場。 “進(jìn)入2003年后，公司關(guān)于安全風(fēng)險評估的單子明顯增多，200萬以上的項目正在執(zhí)行的有兩個，”劉恒說。我們無意求證這些數(shù)字的精確程度，因為這不重要?！睘榱俗屝÷泛凸绢I(lǐng)導(dǎo)都能睡上好覺，2003年初，小路所在的公司請了一家專業(yè)公司為自己的網(wǎng)絡(luò)系統(tǒng)作安全評估，合同期為一年，除了最開始兩個月對系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用作全面地掃描和評測外，在后面的10個月里，安全公司將全面檢測小路公司網(wǎng)絡(luò)流量的進(jìn)出情況，并將最新發(fā)布的安全漏洞以及補丁情況及時通報給小路。 評測過程，可以算作威脅分析、風(fēng)險分析。其中，基線評估通常會在啟動一個系統(tǒng)建設(shè)項目之前開始。從評估主體上看，安全風(fēng)險評估又可分為自評、國家授權(quán)的專業(yè)評估機構(gòu)評測和以服務(wù)商為主體的市場化評估行為?！眲⒑阏f，“他們通常會就網(wǎng)絡(luò)現(xiàn)狀做一個調(diào)查，從主機到網(wǎng)絡(luò)到安全設(shè)備，全面查找安全漏洞，然后，要求咨詢公司提供加固服務(wù)。即便在今天，很多企業(yè)仍將這個原本宏大的評估概念狹義地限定為漏洞掃描與修補。為了這個“第一時間”，小路所在的公司才會找來專業(yè)公司幫忙?！耙驗樽C券公司有五個不同的防火墻。 按照于慧龍的說法，ISO15408，雖然在功能上比較全面，但卻沒有安全管理方面的規(guī)范，對系統(tǒng)評測方面的規(guī)范也不足；ISO13335，因為制訂的時間早，與目前的市場情況有些脫節(jié)；BS7799，雖然詳盡但非常復(fù)雜，雖然全面但不夠有針對性。對一個B2B或B2C的網(wǎng)站來說，它的網(wǎng)絡(luò)結(jié)構(gòu)可以統(tǒng)一歸類為單點對多點模式。但是，在實際中，很多技術(shù)開發(fā)人員隨便出入生產(chǎn)現(xiàn)場。這些問題其實反映出同一個本質(zhì)，即用戶內(nèi)部安全防范意識淡薄。不過，作為一個全新啟動的領(lǐng)域，安全風(fēng)險評估市場更像一個多汁但尚未成熟的桔子，汁液雖然豐富，但要想吃得好，需要先了解桔子的成分，然后想出各種新方法，或蒸或煮或加糖，重要的是，只有打破常規(guī)，才能提前品嘗好味。 從根本上講，網(wǎng)絡(luò)整體發(fā)展階段的不同造成了這種差異。當(dāng)然，你無需低估人類的智慧，因為緊隨其后的，就是各種針對安全的產(chǎn)品與服務(wù)的誕生和發(fā)展。根據(jù)IDC的調(diào)查，2003年，亞太電信公司花在網(wǎng)絡(luò)安全上的開支將占整個IT開支的15%。” 產(chǎn)品服務(wù)化和服務(wù)產(chǎn)品化是兩個發(fā)展趨勢，我們希望在這其中找準(zhǔn)自己的位置。 無論是最早提出安全服務(wù)概念的綠盟，還是爆發(fā)力十足的啟明星辰，他們的共同之處在于是安全服務(wù)的堅定實踐者。應(yīng)該說，綠盟自始至終都是安全服務(wù)的堅持者。從2002年開始，啟明星辰開始逐漸加大安全風(fēng)險評估服務(wù)的投入力度。因此，本地化在服務(wù)中更易突現(xiàn)其作用。——深圳電信 陳波 在本文中就以信息安全風(fēng)險評估對象中的網(wǎng)絡(luò)操作痕跡信息檢查為信息的安全防范工作一直是整個信息系統(tǒng)安全防范工作中的重點之一。評估人員確定后，就要分配相應(yīng)的評估任務(wù)給具體的人員。評估項目是網(wǎng)絡(luò)操作痕跡信息檢查。⑦、檢查機構(gòu)內(nèi)部員工是否在使用P2P軟件，在法律條件允許下審查P2P通信內(nèi)容。在本次風(fēng)險評估中，會對機構(gòu)內(nèi)部人員進(jìn)行網(wǎng)絡(luò)操作行為監(jiān)控，因此，得為它準(zhǔn)備相應(yīng)的網(wǎng)絡(luò)操作行為分析設(shè)備，或者是安裝有網(wǎng)絡(luò)操作行為分析軟件的計算機，最好當(dāng)然是筆記本電腦。二、安全風(fēng)險檢測階段當(dāng)所有風(fēng)險評估工作的事前準(zhǔn)備工作全部妥善完成后，就可以按風(fēng)險評估策略中確定的日期和時間，開始對指定的評估對象的評估項目做相應(yīng)的安全風(fēng)險評估。而進(jìn)行由里向外看測試時，我們就應(yīng)該從內(nèi)部人員對系統(tǒng)使用權(quán)限的角度，去審查系統(tǒng)的安全性，此時，我們會得到比由外向內(nèi)看更多的安全信息。并且檢驗網(wǎng)絡(luò)操作行為監(jiān)控設(shè)備是否能將違規(guī)行為記錄到相應(yīng)的日志當(dāng)中，能否提供有效的警報，收到警報能否產(chǎn)生有效的攔截等等。在本文的實例中，應(yīng)當(dāng)給出一個包括下列內(nèi)容的風(fēng)險評估報告，其它評估對象的風(fēng)險評估報告給出的內(nèi)容至少也應(yīng)當(dāng)包括下列所示的內(nèi)容：列出完成的評估任務(wù)清單。說明實施這些安全修補措施具體應(yīng)當(dāng)花費的安全成本。四、后期安全維護(hù)階段后期安全維護(hù)其實只是信息系統(tǒng)安全風(fēng)險評估過程中的一個附加階段。29 / 29