【正文】 四、后期安全維護(hù)階段后期安全維護(hù)其實(shí)只是信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估過(guò)程中的一個(gè)附加階段。在本文的實(shí)例中，應(yīng)當(dāng)給出一個(gè)包括下列內(nèi)容的風(fēng)險(xiǎn)評(píng)估報(bào)告，其它評(píng)估對(duì)象的風(fēng)險(xiǎn)評(píng)估報(bào)告給出的內(nèi)容至少也應(yīng)當(dāng)包括下列所示的內(nèi)容：列出完成的評(píng)估任務(wù)清單。而進(jìn)行由里向外看測(cè)試時(shí)，我們就應(yīng)該從內(nèi)部人員對(duì)系統(tǒng)使用權(quán)限的角度，去審查系統(tǒng)的安全性，此時(shí)，我們會(huì)得到比由外向內(nèi)看更多的安全信息。在本次風(fēng)險(xiǎn)評(píng)估中，會(huì)對(duì)機(jī)構(gòu)內(nèi)部人員進(jìn)行網(wǎng)絡(luò)操作行為監(jiān)控，因此，得為它準(zhǔn)備相應(yīng)的網(wǎng)絡(luò)操作行為分析設(shè)備，或者是安裝有網(wǎng)絡(luò)操作行為分析軟件的計(jì)算機(jī)，最好當(dāng)然是筆記本電腦。評(píng)估項(xiàng)目是網(wǎng)絡(luò)操作痕跡信息檢查。在本文中就以信息安全風(fēng)險(xiǎn)評(píng)估對(duì)象中的網(wǎng)絡(luò)操作痕跡信息檢查為信息的安全防范工作一直是整個(gè)信息系統(tǒng)安全防范工作中的重點(diǎn)之一?！钲陔娦?陳波 從2002年開(kāi)始，啟明星辰開(kāi)始逐漸加大安全風(fēng)險(xiǎn)評(píng)估服務(wù)的投入力度。無(wú)論是最早提出安全服務(wù)概念的綠盟，還是爆發(fā)力十足的啟明星辰，他們的共同之處在于是安全服務(wù)的堅(jiān)定實(shí)踐者。產(chǎn)品服務(wù)化和服務(wù)產(chǎn)品化是兩個(gè)發(fā)展趨勢(shì)，我們希望在這其中找準(zhǔn)自己的位置。” 根據(jù)IDC的調(diào)查，2003年，亞太電信公司花在網(wǎng)絡(luò)安全上的開(kāi)支將占整個(gè)IT開(kāi)支的15%。當(dāng)然，你無(wú)需低估人類的智慧，因?yàn)榫o隨其后的，就是各種針對(duì)安全的產(chǎn)品與服務(wù)的誕生和發(fā)展。 不過(guò)，作為一個(gè)全新啟動(dòng)的領(lǐng)域，安全風(fēng)險(xiǎn)評(píng)估市場(chǎng)更像一個(gè)多汁但尚未成熟的桔子，汁液雖然豐富，但要想吃得好，需要先了解桔子的成分，然后想出各種新方法，或蒸或煮或加糖，重要的是，只有打破常規(guī)，才能提前品嘗好味。這些問(wèn)題其實(shí)反映出同一個(gè)本質(zhì)，即用戶內(nèi)部安全防范意識(shí)淡薄。按照于慧龍的說(shuō)法，ISO15408，雖然在功能上比較全面，但卻沒(méi)有安全管理方面的規(guī)范，對(duì)系統(tǒng)評(píng)測(cè)方面的規(guī)范也不足；ISO13335，因?yàn)橹朴喌臅r(shí)間早，與目前的市場(chǎng)情況有些脫節(jié)；BS7799，雖然詳盡但非常復(fù)雜，雖然全面但不夠有針對(duì)性。 從評(píng)估主體上看，安全風(fēng)險(xiǎn)評(píng)估又可分為自評(píng)、國(guó)家授權(quán)的專業(yè)評(píng)估機(jī)構(gòu)評(píng)測(cè)和以服務(wù)商為主體的市場(chǎng)化評(píng)估行為。 評(píng)測(cè)過(guò)程，可以算作威脅分析、風(fēng)險(xiǎn)分析。我們無(wú)意求證這些數(shù)字的精確程度，因?yàn)檫@不重要。換句話說(shuō)，只有企業(yè)的IT系統(tǒng)足夠復(fù)雜，安全需求達(dá)到一定級(jí)別，這把鎖才會(huì)派上用場(chǎng)。到目前為止，僅在IE瀏覽器上，小路就已經(jīng)打了不下7個(gè)補(bǔ)丁。而這期間，跟蹤漏洞報(bào)告及時(shí)與否，就顯得格外重要。在升級(jí)過(guò)程中，某證券公司的網(wǎng)絡(luò)管理員發(fā)現(xiàn)，自從公司的股票交易系統(tǒng)升級(jí)后，用戶投訴開(kāi)始增多。 茶杯里的大象 如黑客大戰(zhàn)爆發(fā)，網(wǎng)絡(luò)投資前的安全評(píng)估，企業(yè)領(lǐng)導(dǎo)對(duì)不斷擴(kuò)大的網(wǎng)絡(luò)安全現(xiàn)狀的了解需求，行業(yè)領(lǐng)頭羊或總部的拉動(dòng)作用、大行業(yè)的引導(dǎo)作用等，都可能促成一個(gè)評(píng)估合同的產(chǎn)生。網(wǎng)絡(luò)環(huán)境的區(qū)別，或許是國(guó)內(nèi)外網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估市場(chǎng)巨大差異的本質(zhì)原因。作為國(guó)內(nèi)安全風(fēng)險(xiǎn)評(píng)估供應(yīng)商，或許可以通過(guò)與保險(xiǎn)公司合作的方式，從側(cè)面拉動(dòng)市場(chǎng)的發(fā)展。 但隨著電子政務(wù)的進(jìn)一步發(fā)展，與之相關(guān)的網(wǎng)絡(luò)安全方面的需求必然會(huì)有所加強(qiáng)?！本┲锌凭W(wǎng)威 吳云坤 在這樣不利的外在環(huán)境和小我的局限面前，大部分企業(yè)更多地將評(píng)估等服務(wù)作為概念或者輔助手段，目的在于推進(jìn)其主體業(yè)務(wù)——產(chǎn)品的銷售。在2000年就把服務(wù)作為自己的主營(yíng)業(yè)務(wù)，綠盟無(wú)疑走過(guò)一段并不平坦的路。而原來(lái)以產(chǎn)品為主的中科網(wǎng)威，近期開(kāi)始向服務(wù)傾斜，并召集了不少精英，意欲在這個(gè)潛力巨大的市場(chǎng)一展身手。因此，安全風(fēng)險(xiǎn)評(píng)估對(duì)我們來(lái)說(shuō)，還不是眼下最要緊的事。制定風(fēng)險(xiǎn)評(píng)估策略一個(gè)好的風(fēng)險(xiǎn)評(píng)估策略，應(yīng)當(dāng)包括下列所示的內(nèi)容：（1）、指定評(píng)估小組成員信息風(fēng)險(xiǎn)評(píng)估小組擔(dān)負(fù)著機(jī)構(gòu)的風(fēng)險(xiǎn)評(píng)估工作，其成員要能代表整個(gè)機(jī)構(gòu)。④、了解機(jī)構(gòu)內(nèi)部員工的計(jì)算機(jī)技術(shù)水平，以及了解計(jì)算機(jī)技術(shù)水平較高的員工所處的部門(mén)及其操作權(quán)限。因此，在制定風(fēng)險(xiǎn)評(píng)估策略時(shí)，應(yīng)當(dāng)發(fā)動(dòng)所有評(píng)估人員，以及評(píng)估對(duì)象的使用人員和設(shè)備供應(yīng)商代表等一起來(lái)分析制定。在本文中的網(wǎng)絡(luò)操作痕跡信息檢測(cè)評(píng)估項(xiàng)目中，所有的評(píng)估任務(wù)都是由內(nèi)向外看的方式來(lái)進(jìn)行的。說(shuō)明每一個(gè)具體的安全建議，能將風(fēng)險(xiǎn)減少到什么程度。另外，非常重要的一點(diǎn)就是：在所有的安全修補(bǔ)工作按要求全部完成后，一定要按本文所描述的風(fēng)險(xiǎn)評(píng)估過(guò)程重新對(duì)修補(bǔ)后的評(píng)估對(duì)象進(jìn)行一次復(fù)查評(píng)估，以便確認(rèn)修補(bǔ)后評(píng)估對(duì)象是否真正達(dá)到了期望的安全水平。安全風(fēng)險(xiǎn)評(píng)估報(bào)告同時(shí)也可以作為上報(bào)給機(jī)構(gòu)領(lǐng)導(dǎo)或評(píng)估小組領(lǐng)導(dǎo)的書(shū)面報(bào)告，你可以在報(bào)告中標(biāo)出哪些方面是必需要修補(bǔ)的，以便能讓上級(jí)領(lǐng)導(dǎo)贊同你的建議。然后就可以進(jìn)入下一個(gè)風(fēng)險(xiǎn)評(píng)估環(huán)節(jié)。解決評(píng)估任務(wù)的方法有很多種，包括問(wèn)卷調(diào)查、訪談、模擬社會(huì)工程攻擊、使用風(fēng)險(xiǎn)評(píng)估工具（包括軟硬件方式的工具）、審查各種日志、審查各種設(shè)備和安全設(shè)備的配置文檔，以及使用實(shí)際的模擬或真實(shí)的攻擊來(lái)檢驗(yàn)等方法，都可以用來(lái)解答評(píng)估項(xiàng)目中所需要完成的評(píng)估任務(wù)。應(yīng)當(dāng)為此制定一個(gè)應(yīng)對(duì)有可能造成業(yè)務(wù)中斷，或造成真實(shí)安全事件發(fā)生事件時(shí)的應(yīng)急措施。還要說(shuō)明評(píng)估結(jié)果的填寫(xiě)和上報(bào)方式，如說(shuō)明每個(gè)評(píng)估人員完成自己的評(píng)測(cè)任務(wù)，填上評(píng)測(cè)結(jié)果后，當(dāng)上交給風(fēng)險(xiǎn)評(píng)估負(fù)責(zé)人時(shí)，還應(yīng)當(dāng)與負(fù)責(zé)人一同簽名才能有效。我們對(duì)目前得到的服務(wù)基本滿意，但就是價(jià)格太貴了?！澳壳?，來(lái)自評(píng)估的業(yè)務(wù)已經(jīng)占到總收入的60%，”謝朝霞說(shuō)，“客戶多來(lái)自銀行和電信，單子很多，規(guī)模一般在幾萬(wàn)到幾十萬(wàn)。除了自身技術(shù)能力比較雄厚的新浪、網(wǎng)易等，不少網(wǎng)站也開(kāi)始借助外力，評(píng)估自己網(wǎng)絡(luò)的安全情況。從安絡(luò)科技的業(yè)務(wù)組成上看，來(lái)自銀行與證券的用戶最多，電信其次。如B2B業(yè)務(wù)的發(fā)展。 還有一些銀行，基礎(chǔ)設(shè)施落后，有些甚至還在使用安全性很差的HUB，這種產(chǎn)品，只要隨便連通到一個(gè)端口上，就可監(jiān)看所有的信息流量?！瓣P(guān)聯(lián)點(diǎn)越多，系統(tǒng)越復(fù)雜，”吳云坤說(shuō)，“相應(yīng)的工作流也呈現(xiàn)多樣化和多角度的形態(tài)。在沒(méi)有一個(gè)相關(guān)標(biāo)準(zhǔn)的情況下，各家公司更多的是參考國(guó)外標(biāo)準(zhǔn)，憑借各自積累的經(jīng)驗(yàn)、與用戶多做溝通來(lái)解決。 綠盟科技工程部安全工程師于慧龍認(rèn)為，目前，國(guó)內(nèi)第二種評(píng)估比較多。什么是安全風(fēng)險(xiǎn)評(píng)估？夸張地講，一千個(gè)人有一千個(gè)答案?！卑创吮壤龘Q算，僅銀行市場(chǎng)，每年用于網(wǎng)絡(luò)安全評(píng)估的費(fèi)用將超過(guò)幾個(gè)億。安全風(fēng)險(xiǎn)評(píng)估的少數(shù)派報(bào)告20030728 00:00:$()”安絡(luò)科技的CTO謝朝霞對(duì)這個(gè)問(wèn)題的回答很干脆: “用在安全風(fēng)險(xiǎn)評(píng)估上的投資能占用戶總投資的1%～5%，電信和金融用戶能達(dá)到3%～5%。 詳細(xì)評(píng)估則需從物理系統(tǒng)上、數(shù)據(jù)上以及管理等方面進(jìn)行全面的評(píng)測(cè)?！?自測(cè)系統(tǒng)安全的幾個(gè)漸進(jìn)方法 測(cè)試類別敏感性系統(tǒng)的實(shí)施周期普通系統(tǒng)的實(shí)施周期復(fù)雜性工作難度風(fēng)險(xiǎn)任務(wù)和作用網(wǎng)絡(luò)映射3個(gè)月12個(gè)月中中中確定網(wǎng)絡(luò)結(jié)構(gòu)、使用中的主機(jī)個(gè)數(shù)和軟件確定未經(jīng)授權(quán)但卻連接在網(wǎng)絡(luò)上的主機(jī)確定打開(kāi)的端口確定未經(jīng)授權(quán)的服務(wù)脆