国内网络安全风险评估市场与技术操作04/19/2004 个人主页:网络日志:版本控制04/01/2004 文档创建,包含大量示例文件内部发布04/19/2004 删除部份敏感信息,增加国内市场分析、BS7799 和 OCTAVE 概述后,对外发布近两年网络安全风险评估渐渐为人们所重视,不少大型企业尤其是运营商、金融业都请了专业公司进行评估。 本文提出作者个人对国内安全风险评估操作的一些评价,并试图阐述作者所理解的, 可裁剪、 易操作的风险评估方式。由于内容与商业公司有关,因此不可避免会涉及部份商业利益, 在文中作者尽量隐去可能产生直接利害关系的文字,并声明所有评价纯属个人观点,如果你有不同意见,欢迎来函探讨。1. 什么是风险评估说起风险评估,大家脑海中首先浮现的可能是:风险、资产、影响、威胁、弱点等一连串的术语,这些术语看起来并不难理解,但一旦综合考虑就会象绕口令般组合。比如风险,用ISO/IEC TR 13335-1:1996 中的定义可以解释为:特定威胁利用某个(些)资产的弱点,造成资产损失或破坏的潜在可能性。为了帮助理解, 我们举一个下里巴人的例子:我口袋里有100 块钱,因为打瞌睡,被小偷偷走了,搞得晚上没饭吃。用风险评估的观点来描述这个案例,我们可以对这些概念作如下理解:风险 = 钱被偷走资产 = 100 块钱影响 = 晚上没饭吃威胁 = 小偷弱点 = 打瞌睡回到阳春白雪来,假设这么个案例:某证券公司的数据库服务器因为存在RPC DCOM 的漏洞,遭到入侵者攻击,被迫中断3 天。让我们尝试做一道小学时常做的连线题,把左右两边相对应的内容用线段连接起来:风险RPC DCOM 漏洞资产服务器遭到入侵影响数据库服务器威胁入侵者弱点中断三天如果这道题对你没什么难度,那么恭喜你, 你已经和国内大多数风险评估的操作者差不多站在同一个起跑线上了。2. 国内现有风险评估操作模式评估市场和竞争分析如果按照高、中、低端简单对国内的风险评估市场进行分类,那么我们可以很清晰地看到,几类市场的操作方式完全不同。国内高端市场主要被如IBM( 普华永道 )、毕马威这样类型会计师事务所类型的公司占领,往往网络安全评估就涵盖在他们的整个审计体系之下。中端市场上则盘踞着国内外大多数较有实力的网络安全公司,其中包括较早提出安全评估并且在运营商市场有比较好的实践的安氏、有作风稳健但却一步一个脚印打下大片疆土的启明星辰、也有异军突起极具竞争力的绿盟科技⋯⋯低端厂商则数量庞大,往往只是通过简单...
