【正文】 連續(xù)性綜合辦法。如漏洞掃描，可以劃歸脆弱性分析。一旦發(fā)生問題，服務(wù)商承諾在1個小時內(nèi)做出反應(yīng)。“風險無處不在，”小路說，“如果想到種種可能性，真會讓人晚上睡不著覺。到目前為止，僅在IE瀏覽器上，小路就已經(jīng)打了不下7個補丁。自從2001年成立以來，公司網(wǎng)絡(luò)多次受到來自黑客的攻擊，最嚴重的一次，業(yè)務(wù)因此停頓了24小時?；蛟S，從用戶的需求角度，更容易將這個問題講明白，也更具有現(xiàn)實意義。什么是安全風險評估？夸張地講，一千個人有一千個答案。安全風險評估的內(nèi)涵與外延 重要的是，從這些最前沿市場中人的判斷，我們看到了安全風險評估正在從概念走向應(yīng)用，從空中樓閣走向觸手可及。”按此比例換算，僅銀行市場，每年用于網(wǎng)絡(luò)安全評估的費用將超過幾個億。在記者的追問下，劉恒對市場做了一個保守估計：“以2003年上半年的落單情況看，安全風險評估市場的總額應(yīng)該在八千萬到一個億的樣子。半年多時間過去了，市場為這個帶有玩笑性質(zhì)的預測做了最好的注腳?！?在那次會議上，作為安全專題的講演者之一，劉恒頗為有趣地體會了一回什么叫英雄所見，因為與劉恒一樣，另外三名安全專家也不約而同選擇了同一個演講主題——安全風險評估管理。不過，通過對這些企業(yè)的采訪，我們印證了大多數(shù)人的設(shè)想——安全風險評估確是一支開始萌芽的“潛力股”。換句話說，只有企業(yè)的IT系統(tǒng)足夠復雜，安全需求達到一定級別，這把鎖才會派上用場。如果說安全市場本身在中國仍處于方興未艾的階段，那么，安全風險評估就只能算作尚在萌芽的種子?！?本報記者 徐莉 安全風險評估的少數(shù)派報告20030728 00:00:$()因為，作為更高級別的服務(wù)，安全風險評估更像安全系統(tǒng)這道門上的一把鎖，需要有個大前提。盡管很多人看好安全風險評估的未來，但是，目前國內(nèi)提供真正安全風險評估服務(wù)的卻只有少數(shù)企業(yè)。 提起2002年年底的互聯(lián)網(wǎng)大會，啟明星辰首席技術(shù)官劉恒至今印象深刻。 在會后的交流中，四位“英雄”半開玩笑地指出:“既然大家都看好安全風險評估市場，那索性將2003年定名為安全風險評估年。“進入2003年后，公司關(guān)于安全風險評估的單子明顯增多，200萬以上的項目正在執(zhí)行的有兩個，”劉恒說?！卑步j(luò)科技的CTO謝朝霞對這個問題的回答很干脆: “用在安全風險評估上的投資能占用戶總投資的1%～5%，電信和金融用戶能達到3%～5%。 我們無意求證這些數(shù)字的精確程度，因為這不重要。而對那些已經(jīng)開始這項業(yè)務(wù)卻無斬獲或?qū)⒁_始卻有迷茫的企業(yè)來說，先行成功者的體驗無疑是最可寶貴的。 這些答案或許沒有本質(zhì)區(qū)別，但是，因為現(xiàn)階段的市場尚沒有一個明確的定義，每個人對安全風險評估的理解，將會因為內(nèi)涵與外延的不同，呈現(xiàn)溢出或缺損的現(xiàn)象。 作為一家電子商務(wù)公司的網(wǎng)管，小路深感責任重大。為此，小路需要經(jīng)常上網(wǎng)查找最新安全動態(tài)。但是，從IE瀏覽器、Apache HTTP Server、到域名軟件BIND，都可能是下一個風險的發(fā)源地?！睘榱俗屝÷泛凸绢I(lǐng)導都能睡上好覺，2003年初，小路所在的公司請了一家專業(yè)公司為自己的網(wǎng)絡(luò)系統(tǒng)作安全評估，合同期為一年，除了最開始兩個月對系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用作全面地掃描和評測外，在后面的10個月里，安全公司將全面檢測小路公司網(wǎng)絡(luò)流量的進出情況，并將最新發(fā)布的安全漏洞以及補丁情況及時通報給小路。 小路公司的要求幾乎涵蓋了安全風險評估的大部分內(nèi)容。 評測過程，可以算作威脅分析、風險分析。有些咨詢公司，還會應(yīng)客戶的要求，為加固后的網(wǎng)絡(luò)系統(tǒng)做二次評估。其中，基線評估通常會在啟動一個系統(tǒng)建設(shè)項目之前開始。詳細評估則需從物理系統(tǒng)上、數(shù)據(jù)上以及管理等方面進行全面的評測。 從評估主體上看，安全風險評估又可分為自評、國家授權(quán)的專業(yè)評估機構(gòu)評測和以服務(wù)商為主體的市場化評估行為。 作為目前市場最主要的群體，安全服務(wù)公司提供的評估又可分為兩大類：評估加固與評估咨詢?！眲⒑阏f，“他們通常會就網(wǎng)絡(luò)現(xiàn)狀做一個調(diào)查，從主機到網(wǎng)絡(luò)到安全設(shè)備，全面查找安全漏洞，然后，要求咨詢公司提供加固服務(wù)?！?自測系統(tǒng)安全的幾個漸進方法 測試類別敏感性系統(tǒng)的實施周期普通系統(tǒng)的實施周期復雜性工作難度風險任務(wù)和作用網(wǎng)絡(luò)映射3個月12個月中中中確定網(wǎng)絡(luò)結(jié)構(gòu)、使用中的主機個數(shù)和軟件確定未經(jīng)授權(quán)但卻連接在網(wǎng)絡(luò)上的主機確定打開的端口確定未經(jīng)授權(quán)的服務(wù)脆弱性掃描3個月~6個月12個月高高中確定網(wǎng)絡(luò)結(jié)構(gòu)、使用中的主機和軟件確定需要進行脆弱性分析的計算機在分析目標的計算機中找出可能被攻擊的漏洞確定OS和主要應(yīng)用軟件是否及時升級或者打補丁滲透性測試12個月12個月高高高決定測試目標，確定脆弱性等級，以及可能產(chǎn)生的破壞程度檢查系統(tǒng)人員在發(fā)生安全問題時的響應(yīng)速度、對安全政策的執(zhí)行情況以及安全方面的基礎(chǔ)知識等安全測試與評估至少3年一次，或在系統(tǒng)做出大的改變的時候至少3年一次高高高發(fā)現(xiàn)設(shè)計、實施、以及運行中存在的安全問題從物理措施、保險等各個角度，重新部署安全措施，來保證安全制度的實施評估系統(tǒng)文件與實際狀況之間的差異性解碼1個月12個月低低低確認生成密碼的原則是有效且可行的確認用戶是否按照系統(tǒng)制訂的原則設(shè)置密碼日志檢查1周1周中中低確保系統(tǒng)按照設(shè)定的原則運行完整性檢查1個月或根據(jù)實際需要隨時進行1個月低低低發(fā)現(xiàn)未經(jīng)授權(quán)的文件修改病毒檢測1周或根據(jù)需要隨時進行1周或根據(jù)需要隨時進行低低低在病毒發(fā)作前，發(fā)現(xiàn)并刪除病毒撥號檢測12個月12個月低低中發(fā)現(xiàn)非法Modems，阻止未經(jīng)授權(quán)的進入細節(jié)之中見真章 很多情況下，細節(jié)決定結(jié)果。即便在今天，很多企業(yè)仍將這個原本宏大的評估概念狹義地限定為漏洞掃描與修補。 事實上，真正的安全評估服務(wù)價值遠遠超越簡單的掃描。僅從2001年12月到2002年12月，關(guān)于SQL服務(wù)器上的漏洞，就有11個報告。一些專家還明確指出，在使用SQL服務(wù)器的時候，不要將1433端口和1434端口打開。為了這個“第一時間”，小路所在的公司才會找來專業(yè)公司幫忙。湖北移動夢網(wǎng)部的張明峻認為，應(yīng)用系統(tǒng)安全隱患很多?！?，”一個專家警告說。很多用戶反映，在輸入賬戶、密碼、端口號碼以及代理服務(wù)器的地址后，卻無法進入交易系統(tǒng)。“因為證券公司有五個不同的防火墻。 最后，在服務(wù)公司的建議下，這個證券公司選擇使用另外一個應(yīng)用系統(tǒng)。 能在事前幫助用戶排除風險固然不錯，但并非每個用戶都會做出同樣的選擇，當發(fā)生問題時，作為安全風險評估公司，是否能在最短的時間，排除其他可能性，從應(yīng)用層面找到問題癥結(jié)，同樣至關(guān)重要。去年，在為政府部門檢測一個安