【正文】 安全的守護(hù)者，構(gòu)成了綠盟最難被人超越的技術(shù)壁壘。但這些產(chǎn)品也多是圍繞服務(wù)需要開(kāi)發(fā)的，目的在于形成與服務(wù)的互動(dòng)。在2000年就把服務(wù)作為自己的主營(yíng)業(yè)務(wù)，綠盟無(wú)疑走過(guò)一段并不平坦的路。 從采訪的情況看，目前，能夠提供完整而真實(shí)的安全風(fēng)險(xiǎn)評(píng)估的企業(yè)并不多。在這樣不利的外在環(huán)境和小我的局限面前，大部分企業(yè)更多地將評(píng)估等服務(wù)作為概念或者輔助手段，目的在于推進(jìn)其主體業(yè)務(wù)——產(chǎn)品的銷(xiāo)售。不過(guò)，提出概念容易，提供服務(wù)卻難。 越是新開(kāi)發(fā)的應(yīng)用，越需要進(jìn)行安全評(píng)估?！本┲锌凭W(wǎng)威 吳云坤 除了自身技術(shù)能力比較雄厚的新浪、網(wǎng)易等，不少網(wǎng)站也開(kāi)始借助外力，評(píng)估自己網(wǎng)絡(luò)的安全情況。但隨著電子政務(wù)的進(jìn)一步發(fā)展，與之相關(guān)的網(wǎng)絡(luò)安全方面的需求必然會(huì)有所加強(qiáng)?！耙?yàn)殂y行的業(yè)務(wù)系統(tǒng)大多是自己開(kāi)發(fā)完成的，交給外面的公司做評(píng)估，反而增加了安全風(fēng)險(xiǎn)。金融領(lǐng)域零散的單子雖然不少，但整個(gè)行業(yè)的大規(guī)模啟動(dòng)應(yīng)該在明年。從安絡(luò)科技的業(yè)務(wù)組成上看，來(lái)自銀行與證券的用戶(hù)最多，電信其次。緊隨其后的是金融，包括銀行、證券和保險(xiǎn)。 就安全風(fēng)險(xiǎn)評(píng)估市場(chǎng)來(lái)說(shuō)，電信同樣給了供應(yīng)商希望，并起到了“帶頭”作用。40%的受訪者表示，他們面對(duì)的安全問(wèn)題有所增加。就國(guó)內(nèi)市場(chǎng)來(lái)看，電信行業(yè)顯然是“第一個(gè)吃螃蟹的人”。作為國(guó)內(nèi)安全風(fēng)險(xiǎn)評(píng)估供應(yīng)商，或許可以通過(guò)與保險(xiǎn)公司合作的方式，從側(cè)面拉動(dòng)市場(chǎng)的發(fā)展。如果企業(yè)能證明自己的網(wǎng)絡(luò)非常安全，就有可能以極低的價(jià)格獲得保險(xiǎn)。另外，隨著近年來(lái)網(wǎng)絡(luò)安全事件頻繁發(fā)生，有關(guān)網(wǎng)絡(luò)安全保險(xiǎn)的業(yè)務(wù)開(kāi)始萌芽。 如B2B業(yè)務(wù)的發(fā)展。 網(wǎng)絡(luò)環(huán)境的區(qū)別，或許是國(guó)內(nèi)外網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估市場(chǎng)巨大差異的本質(zhì)原因。 正是因?yàn)閲?guó)外這種無(wú)處不在、隨手可用的網(wǎng)絡(luò)現(xiàn)狀，帶來(lái)方便的同時(shí)，也催生了意愿之外的副產(chǎn)品——網(wǎng)絡(luò)安全隱患。 從不少概念片里看到的，如用手機(jī)買(mǎi)票，通過(guò)機(jī)場(chǎng)免費(fèi)系統(tǒng)查找出租車(chē)，無(wú)需見(jiàn)面就簽合同、買(mǎi)賣(mài)商品（包括企業(yè)間的大訂單），事實(shí)上已經(jīng)成為很多美國(guó)人生活中的必要組成。相比較而言，國(guó)內(nèi)的網(wǎng)絡(luò)安全評(píng)估市場(chǎng)遠(yuǎn)比國(guó)外滯后。增加手中的籌碼 事實(shí)上，安全評(píng)估市場(chǎng)的可重復(fù)性很強(qiáng)，就像檢查身體一樣，不可能一次檢查，一勞永逸。但真正促成這個(gè)市場(chǎng)發(fā)展的因素仍來(lái)自企業(yè)認(rèn)識(shí)的提高以及網(wǎng)絡(luò)變得復(fù)雜后，為保證網(wǎng)絡(luò)可用性、可靠性、保密性，不得不借助外部力量的切實(shí)要求。如黑客大戰(zhàn)爆發(fā)，網(wǎng)絡(luò)投資前的安全評(píng)估，企業(yè)領(lǐng)導(dǎo)對(duì)不斷擴(kuò)大的網(wǎng)絡(luò)安全現(xiàn)狀的了解需求，行業(yè)領(lǐng)頭羊或總部的拉動(dòng)作用、大行業(yè)的引導(dǎo)作用等，都可能促成一個(gè)評(píng)估合同的產(chǎn)生。但是，從這個(gè)需求點(diǎn)開(kāi)始，服務(wù)公司往往幫助用戶(hù)發(fā)現(xiàn)更多的安全隱患，就像“事故”這個(gè)小茶杯里裝入了“評(píng)估”這頭大象，拾遺補(bǔ)缺式的簡(jiǎn)單要求牽扯出的是一系列評(píng)測(cè)、分析與整體解決方案的需求。 從最初的市場(chǎng)需求看，國(guó)內(nèi)的安全風(fēng)險(xiǎn)評(píng)估出產(chǎn)于安全事故。茶杯里的大象 這句話放在任何一個(gè)成熟市場(chǎng)都很合適。因此，對(duì)安全評(píng)估供應(yīng)商來(lái)說(shuō)，打破常規(guī)，改變觀念也是評(píng)估過(guò)程中需要解決的問(wèn)題之一。還有一些銀行，基礎(chǔ)設(shè)施落后，有些甚至還在使用安全性很差的HUB，這種產(chǎn)品，只要隨便連通到一個(gè)端口上，就可監(jiān)看所有的信息流量。最早的一起銀行網(wǎng)絡(luò)安全事故，就是因?yàn)殚_(kāi)發(fā)人員偷看了操作人員登錄密碼，偷走了26萬(wàn)元現(xiàn)金。通過(guò)為一些銀行用戶(hù)做評(píng)估，謝朝霞發(fā)現(xiàn)，很多風(fēng)險(xiǎn)出在管理上，如銀行的生產(chǎn)環(huán)境與網(wǎng)絡(luò)開(kāi)發(fā)環(huán)境本應(yīng)該嚴(yán)格分開(kāi)，非業(yè)務(wù)操作人員進(jìn)出營(yíng)業(yè)現(xiàn)場(chǎng)應(yīng)該有嚴(yán)格的登記制度。 據(jù)有關(guān)機(jī)構(gòu)統(tǒng)計(jì)，目前，國(guó)內(nèi)銀行與網(wǎng)絡(luò)相關(guān)的經(jīng)濟(jì)犯罪100%屬于內(nèi)部作案或內(nèi)外勾結(jié)。 “關(guān)聯(lián)點(diǎn)越多，系統(tǒng)越復(fù)雜，”吳云坤說(shuō)，“相應(yīng)的工作流也呈現(xiàn)多樣化和多角度的形態(tài)。 但內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)，則通常屬于多點(diǎn)對(duì)多點(diǎn)。按照北京中科網(wǎng)威技術(shù)中心副總經(jīng)理吳云坤的說(shuō)法，系統(tǒng)越復(fù)雜，企業(yè)越需要風(fēng)險(xiǎn)評(píng)估，評(píng)估過(guò)程也會(huì)更有挑戰(zhàn)性。 在受過(guò)黑客攻擊和病毒的“洗禮”之后，很多用戶(hù)開(kāi)始在防御外來(lái)風(fēng)險(xiǎn)方面提高了警戒，但是，在漏洞更多、管理更復(fù)雜的內(nèi)部風(fēng)險(xiǎn)方面，大多數(shù)企業(yè)仍疏于防范，或缺少規(guī)則。清內(nèi)憂(yōu)難于除外患 從發(fā)展過(guò)程看，國(guó)內(nèi)安全風(fēng)險(xiǎn)評(píng)估市場(chǎng)經(jīng)歷了三個(gè)階段：不注重標(biāo)準(zhǔn)，過(guò)于依賴(lài)標(biāo)準(zhǔn)，跨越標(biāo)準(zhǔn)。 謝朝霞說(shuō)：“通過(guò)三年的時(shí)間，我們積累了一個(gè)巨大的知識(shí)庫(kù)和工具庫(kù)，新來(lái)的員工，借助這些手段，也能很快進(jìn)入工作狀態(tài)。在沒(méi)有一個(gè)相關(guān)標(biāo)準(zhǔn)的情況下，各家公司更多的是參考國(guó)外標(biāo)準(zhǔn)，憑借各自積累的經(jīng)驗(yàn)、與用戶(hù)多做溝通來(lái)解決。由BS7799派生出來(lái)的ISO17799，強(qiáng)調(diào)了針對(duì)性，卻在安全評(píng)估方面比較簡(jiǎn)單，缺乏對(duì)照的標(biāo)準(zhǔn)。但具體到安全風(fēng)險(xiǎn)評(píng)估上，每個(gè)標(biāo)準(zhǔn)卻都有其局限性。在采訪中，眾多被調(diào)查者一致認(rèn)為，眼下安全風(fēng)險(xiǎn)評(píng)估市場(chǎng)最大的問(wèn)題之一是缺乏評(píng)估標(biāo)準(zhǔn)，這個(gè)答案幾乎是此次采訪中唯一例外的“標(biāo)準(zhǔn)”答案。 實(shí)踐需要理論指導(dǎo)，但市場(chǎng)往往等不得成熟理論的出臺(tái)，就已經(jīng)急切地憑著直覺(jué)向前奔去。實(shí)踐者的方法論 另外，無(wú)論自己提供安全產(chǎn)品與否，作為提供服務(wù)的安全公司，不要忘了，網(wǎng)絡(luò)安全產(chǎn)品本身同樣可能存在漏洞。 “這是一個(gè)明智的選擇，否則，這個(gè)應(yīng)用將帶來(lái)潛在的安全隱患，”謝朝霞評(píng)價(jià)說(shuō)。在這種情況下，只有在防火墻上新打開(kāi)一個(gè)入口，用戶(hù)才能進(jìn)入系統(tǒng)，”服務(wù)工程師說(shuō)。經(jīng)過(guò)查證，請(qǐng)來(lái)解決問(wèn)題的安全服務(wù)公司發(fā)現(xiàn)，因?yàn)樾掳姹九c原來(lái)的網(wǎng)絡(luò)環(huán)境，包括安全系統(tǒng)不匹配，用戶(hù)無(wú)法通過(guò)防火墻。在升級(jí)過(guò)程中，某證券公司的網(wǎng)絡(luò)管理員發(fā)現(xiàn)，自從公司的股票交易系統(tǒng)升級(jí)后，用戶(hù)投訴開(kāi)始增多。作為非標(biāo)準(zhǔn)化的軟件產(chǎn)品，很多應(yīng)用在開(kāi)發(fā)過(guò)程中都缺乏對(duì)安全問(wèn)題的統(tǒng)籌考慮。 除了硬件系統(tǒng)、網(wǎng)絡(luò)、操作系統(tǒng)等的安全風(fēng)險(xiǎn)評(píng)估外，應(yīng)用的安全評(píng)估更顯“真功夫”。 如果一定要聯(lián)接，就不要采用SQL服務(wù)器，除非你能保證在第一時(shí)間打補(bǔ)丁。而這期間，跟蹤漏洞報(bào)告及時(shí)與否，就顯得格外重要。最基本的，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)是動(dòng)態(tài)的。 如果是這樣，服務(wù)公司很難區(qū)分彼此，“現(xiàn)成的掃描工具與產(chǎn)品有很多，我們自己也可以買(mǎi)來(lái)工具做掃描，”作為用戶(hù)，深圳電信的陳波對(duì)此狹義理解也很不能接受。如果三年前，有人提到安全風(fēng)險(xiǎn)評(píng)估概念，那他多半是指漏洞掃描。特定到安全風(fēng)險(xiǎn)評(píng)估領(lǐng)域，在完成最初的認(rèn)知之后，今天的服務(wù)商們，又有誰(shuí)，不是力爭(zhēng)在細(xì)節(jié)上打敗對(duì)手？ 大客戶(hù)則需要全面掌握網(wǎng)絡(luò)安全的情況，要求服務(wù)商從系統(tǒng)到管理，提出全面的風(fēng)險(xiǎn)管理辦法。“中小客戶(hù)通常喜歡采用前者?！澳壳?，國(guó)內(nèi)缺乏相關(guān)網(wǎng)絡(luò)安全定級(jí)標(biāo)準(zhǔn)，因此，國(guó)家還沒(méi)有設(shè)定這樣的專(zhuān)業(yè)評(píng)估機(jī)構(gòu)，”北京中科網(wǎng)威技術(shù)中心副總經(jīng)理吳云坤說(shuō)。綠盟科技工程部安全工程師于慧龍認(rèn)為，目前，國(guó)內(nèi)第二種評(píng)估比較多。非正式評(píng)估是針對(duì)具體問(wèn)題，通過(guò)工具和人的經(jīng)驗(yàn)，找到問(wèn)題，提出解決辦法。從范圍上看，安全風(fēng)險(xiǎn)評(píng)估又可分為基線風(fēng)險(xiǎn)評(píng)估、非正式（快速）風(fēng)險(xiǎn)評(píng)估、詳細(xì)風(fēng)險(xiǎn)評(píng)估與綜合風(fēng)險(xiǎn)評(píng)估。 通常來(lái)講，風(fēng)險(xiǎn)咨詢(xún)公司都會(huì)從資產(chǎn)調(diào)查開(kāi)始，逐步進(jìn)行脆弱性分析、威脅分析、風(fēng)險(xiǎn)分析，針對(duì)風(fēng)險(xiǎn)提出解決方案，并提供業(yè)務(wù)