國(guó)內(nèi)網(wǎng)絡(luò)安全安全風(fēng)險(xiǎn)評(píng)估市場(chǎng)與技術(shù)操作

1、PAGE16國(guó)內(nèi)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估市場(chǎng)與技術(shù)操作 HYPERLINK 吳魯加 04/19/2004 個(gè)人主頁(yè)： HYPERLINK 網(wǎng)絡(luò)日志： HYPERLINK 版本控制 04/01/2004 文檔創(chuàng)建，包含大量示例文件內(nèi)部發(fā)布 04/19/2004 刪除部份敏感信息，增加國(guó)內(nèi)市場(chǎng)分析、BS7799和OCTAVE概述后，對(duì)外發(fā)布近兩年網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估漸漸為人們所重視，不少大型企業(yè)尤其是運(yùn)營(yíng)商、金融業(yè)都請(qǐng)了專業(yè)公司進(jìn)行評(píng)估。本文提出作者個(gè)人對(duì)國(guó)內(nèi)安全風(fēng)險(xiǎn)評(píng)估操作的一些評(píng)價(jià)，并試圖闡述作者所理解的，可裁剪、易操作的風(fēng)險(xiǎn)評(píng)估方式。由于內(nèi)容與商業(yè)公司有關(guān)，因此不可避免會(huì)涉及部份商業(yè)利益，在文中作者盡量

2、隱去可能產(chǎn)生直接利害關(guān)系的文字，并聲明所有評(píng)價(jià)純屬個(gè)人觀點(diǎn)，如果你有不同意見(jiàn)，歡迎來(lái)函探討。1. 什么是風(fēng)險(xiǎn)評(píng)估說(shuō)起風(fēng)險(xiǎn)評(píng)估，大家腦海中首先浮現(xiàn)的可能是：風(fēng)險(xiǎn)、資產(chǎn)、影響、威脅、弱點(diǎn)等一連串的術(shù)語(yǔ)，這些術(shù)語(yǔ)看起來(lái)并不難理解，但一旦綜合考慮就會(huì)象繞口令般組合。比如風(fēng)險(xiǎn)，用ISO/IEC TR 13335-1:1996中的定義可以解釋為： 特定威脅利用某個(gè)(些)資產(chǎn)的弱點(diǎn)，造成資產(chǎn)損失或破壞的潛在可能性。為了幫助理解，我們舉一個(gè)下里巴人的例子：我口袋里有100塊錢，因?yàn)榇蝾?，被小偷偷走了，搞得晚上沒(méi)飯吃。用風(fēng)險(xiǎn)評(píng)估的觀點(diǎn)來(lái)描述這個(gè)案例，我們可以對(duì)這些概念作如下理解：風(fēng)險(xiǎn) = 錢被偷走資產(chǎn) = 1

3、00塊錢影響 = 晚上沒(méi)飯吃威脅 = 小偷弱點(diǎn) = 打瞌睡回到陽(yáng)春白雪來(lái)，假設(shè)這么個(gè)案例：某證券公司的數(shù)據(jù)庫(kù)服務(wù)器因?yàn)榇嬖赗PC DCOM的漏洞，遭到入侵者攻擊，被迫中斷3天。讓我們嘗試做一道小學(xué)時(shí)常做的連線題，把左右兩邊相對(duì)應(yīng)的內(nèi)容用線段連接起來(lái)：風(fēng)險(xiǎn)RPC DCOM漏洞資產(chǎn)服務(wù)器遭到入侵影響數(shù)據(jù)庫(kù)服務(wù)器威脅入侵者弱點(diǎn)中斷三天如果這道題對(duì)你沒(méi)什么難度，那么恭喜你，你已經(jīng)和國(guó)內(nèi)大多數(shù)風(fēng)險(xiǎn)評(píng)估的操作者差不多站在同一個(gè)起跑線上了。2. 國(guó)內(nèi)現(xiàn)有風(fēng)險(xiǎn)評(píng)估操作模式 評(píng)估市場(chǎng)和競(jìng)爭(zhēng)分析如果按照高、中、低端簡(jiǎn)單對(duì)國(guó)內(nèi)的風(fēng)險(xiǎn)評(píng)估市場(chǎng)進(jìn)行分類，那么我們可以很清晰地看到，幾類市場(chǎng)的操作方式完全不同。國(guó)內(nèi)高端市場(chǎng)

4、主要被如IBM(普華永道)、畢馬威這樣類型會(huì)計(jì)師事務(wù)所類型的公司占領(lǐng)，往往網(wǎng)絡(luò)安全評(píng)估就涵蓋在他們的整個(gè)審計(jì)體系之下。中端市場(chǎng)上則盤踞著國(guó)內(nèi)外大多數(shù)較有實(shí)力的網(wǎng)絡(luò)安全公司，其中包括較早提出安全評(píng)估并且在運(yùn)營(yíng)商市場(chǎng)有比較好的實(shí)踐的安氏、有作風(fēng)穩(wěn)健但卻一步一個(gè)腳印打下大片疆土的啟明星辰、也有異軍突起極具競(jìng)爭(zhēng)力的綠盟科技低端廠商則數(shù)量龐大，往往只是通過(guò)簡(jiǎn)單的漏洞掃描、病毒查殺等方式操作。 主要中端廠商的評(píng)估模式分析以下分析中的數(shù)據(jù)來(lái)源為筆者在從事網(wǎng)絡(luò)安全評(píng)估實(shí)踐時(shí)通過(guò)各種渠道獲得。但由于信息的時(shí)效性，未能確認(rèn)當(dāng)前文中所進(jìn)行的表述與分析就代表著各家企業(yè)的最新評(píng)估發(fā)展?fàn)顟B(tài)。希望讀者自行鑒別。 啟明星辰啟

5、明星辰2002年之前始終比較低調(diào)，但風(fēng)險(xiǎn)評(píng)估項(xiàng)目從最初對(duì)某證券公司進(jìn)行的純粹漏洞掃描、人工審計(jì)、滲透測(cè)試這種類型的純技術(shù)操作到套用BS7799到采用OCTAVE方法再到最終形成自己的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的方法論、操作模型，有很多專業(yè)人員付出了大量勞動(dòng)。下圖是啟明星辰的幻燈片中摘錄的，他們?cè)u(píng)估發(fā)展的歷程，在每個(gè)臺(tái)階上有該階段所經(jīng)過(guò)的項(xiàng)目名稱，出于安全原因隱去。業(yè)務(wù)參與性弱、解決方案可操作性差往往也是高要求的用戶對(duì)風(fēng)險(xiǎn)評(píng)估隊(duì)伍批評(píng)較多的地方，但從啟明星辰近期在幾家大型客戶那里的操作來(lái)看，較受客戶好評(píng)。啟明星辰有較多在風(fēng)險(xiǎn)評(píng)估中可以應(yīng)用的工具：天鏡評(píng)估版：掃描器，有專門用于風(fēng)險(xiǎn)評(píng)估的版本。 天清：又名S

6、RC，指Security Risk Manage，基于ISO17799的量化、可視化的評(píng)估工具。 信息庫(kù)：名稱不詳，能夠直接導(dǎo)入天鏡、Nessus、ISS等掃描器的掃描結(jié)果并生成報(bào)告。據(jù)說(shuō)是較好的安全評(píng)估過(guò)程輔助工具。 本地評(píng)估軟件包。 我理解的啟明星辰風(fēng)險(xiǎn)評(píng)估特點(diǎn)為：博采眾長(zhǎng) 這一方面與啟明星辰參與部份安全行業(yè)國(guó)家標(biāo)準(zhǔn)的制訂有關(guān)，另一方面則是他們有著較多高學(xué)歷員工，對(duì)高端咨詢類型的提煉、深化抓得比較好，對(duì)評(píng)估要求看得透徹，寫得清楚。變化較快 這可以說(shuō)既是優(yōu)點(diǎn)，也是缺點(diǎn)。在每次較大的評(píng)估項(xiàng)目中他們一般都要求有所突破。這逼著他們?nèi)?chuàng)新，但同時(shí)也導(dǎo)致評(píng)估的方法論很容易有變動(dòng)。 綠盟科技綠盟科技從最

7、初參與中國(guó)電信評(píng)估項(xiàng)目開(kāi)始走進(jìn)安全評(píng)估領(lǐng)域，挾其強(qiáng)大的系統(tǒng)研究技術(shù)優(yōu)勢(shì)進(jìn)入市場(chǎng)。下圖是他們一份講稿中的評(píng)估流程描述：我對(duì)綠盟科技風(fēng)險(xiǎn)評(píng)估方法的總體評(píng)價(jià)是：它是專業(yè)的系統(tǒng)和網(wǎng)絡(luò)安全評(píng)估，不是信息安全評(píng)估，具體有如下幾點(diǎn)：項(xiàng)目可操作性強(qiáng) 管理評(píng)估存在不足，風(fēng)險(xiǎn)計(jì)算方式不夠科學(xué) 技術(shù)弱點(diǎn)把握精確 安氏安氏在國(guó)內(nèi)較早從事網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目的操作，做過(guò)較大的評(píng)估項(xiàng)目(包括顧問(wèn)咨詢)有：中國(guó)移動(dòng)CMNET全網(wǎng)網(wǎng)絡(luò)安全評(píng)估項(xiàng)目、天津電力公司安全咨詢項(xiàng)目、中國(guó)電信IP網(wǎng)安全咨詢顧問(wèn)項(xiàng)目、上海移動(dòng)boss系統(tǒng)安全咨詢顧問(wèn)項(xiàng)目、深圳華為科技公司安全咨詢顧問(wèn)項(xiàng)目等。個(gè)人理解，2001年前后，IS-ONE的評(píng)估在國(guó)

8、內(nèi)較為領(lǐng)先，一方面是他們與國(guó)外公司的溝通較密切，另外其高管層對(duì)風(fēng)險(xiǎn)評(píng)估、BS7799比較重視。但到了2003年，安氏整體戰(zhàn)略轉(zhuǎn)型，產(chǎn)品方面一邊中止與ISS合作，一面高調(diào)宣傳做自主產(chǎn)品，SOC大集成成為其主推概念，在風(fēng)險(xiǎn)評(píng)估領(lǐng)域的方法論卻缺乏創(chuàng)新和突破。安氏的安全風(fēng)險(xiǎn)評(píng)估有幾大優(yōu)勢(shì)：項(xiàng)目管理較為專業(yè) 下圖是從安氏給某用戶匯報(bào)時(shí)ppt的摘錄，是他們項(xiàng)目管理的過(guò)程。文檔體系比較規(guī)范 這可能與安氏的部份高管強(qiáng)執(zhí)行力和國(guó)外背景有一定關(guān)系。他們較為注重方案、咨詢建議等經(jīng)驗(yàn)的可復(fù)用，當(dāng)然，這同時(shí)也容易造成他們考慮問(wèn)題簡(jiǎn)單化，對(duì)小客戶容易用大企業(yè)的方案來(lái)裁剪套用。就現(xiàn)在他們做過(guò)的項(xiàng)目來(lái)看，至少有以下標(biāo)準(zhǔn)方案的

9、積累：安全策略評(píng)估及建議報(bào)告安全解決方案本地風(fēng)險(xiǎn)評(píng)估報(bào)告遠(yuǎn)程風(fēng)險(xiǎn)評(píng)估報(bào)告網(wǎng)絡(luò)安全現(xiàn)狀報(bào)告網(wǎng)絡(luò)安全解決方案建議掃描評(píng)估申請(qǐng)報(bào)告模版數(shù)據(jù)庫(kù)掃描申請(qǐng)報(bào)告系統(tǒng)掃描申請(qǐng)報(bào)告網(wǎng)絡(luò)掃描申請(qǐng)報(bào)告這里列舉一份安氏的售前方案目錄，相信內(nèi)行人能看出一些門道來(lái)吧 ;)第 1 章 概述 項(xiàng)目概述 項(xiàng)目目標(biāo) 評(píng)估的方式 評(píng)估遵循的原則 保密原則 標(biāo)準(zhǔn)性原則 規(guī)范性原則 可控性原則 整體性原則 最小影響原則 風(fēng)險(xiǎn)評(píng)估模型 背景和假設(shè) 概述 資產(chǎn)評(píng)估 威脅評(píng)估 弱點(diǎn)評(píng)估 風(fēng)險(xiǎn)評(píng)估 資產(chǎn)識(shí)別和賦值 信息資產(chǎn)分類 信息資產(chǎn)賦值 主要評(píng)估方法說(shuō)明 工具評(píng)估 人工評(píng)估 安全審計(jì) 網(wǎng)絡(luò)架構(gòu)分析 策略評(píng)估 項(xiàng)目承諾 項(xiàng)目組織結(jié)構(gòu)第 2

10、章 項(xiàng)目范圍和評(píng)估內(nèi)容第 3 章 項(xiàng)目階段詳述 第一階段項(xiàng)目準(zhǔn)備和范圍確定 第二階段-項(xiàng)目定義和藍(lán)圖 第三階段-風(fēng)險(xiǎn)評(píng)估階段 集團(tuán)公司層面評(píng)估子項(xiàng)目 省網(wǎng)層面評(píng)估子項(xiàng)目 安全信息庫(kù)開(kāi)發(fā)子項(xiàng)目 安全評(píng)估風(fēng)險(xiǎn)規(guī)避措施 需要客戶配合的工作 安全信息庫(kù)系統(tǒng)原型概要設(shè)計(jì) 第四階段綜合評(píng)估和策略階段 報(bào)告和建議的形成 XXXX網(wǎng)絡(luò)安全現(xiàn)狀報(bào)告 XXXX網(wǎng)絡(luò)安全策略改進(jìn)建議 XXXX網(wǎng)絡(luò)安全解決方案建議 第五階段項(xiàng)目評(píng)審階段 驗(yàn)收方法和內(nèi)容 驗(yàn)收標(biāo)準(zhǔn)和流程 支持和售后服務(wù) 安氏客戶服務(wù)體系簡(jiǎn)介 安氏（中國(guó)）的客戶服務(wù)對(duì)象 安氏（中國(guó)）客戶服務(wù)中心組織結(jié)構(gòu) 安氏（中國(guó)）的服務(wù)特點(diǎn) 服務(wù)保證體系CRM 在本項(xiàng)目

11、中所提供的支持服務(wù) 安全通告服務(wù)第 4 章 項(xiàng)目質(zhì)量保證和管理 配置管理 變更控制管理 項(xiàng)目溝通 記錄和備忘錄 報(bào)告 項(xiàng)目協(xié)調(diào)會(huì)議第 5 章 項(xiàng)目質(zhì)量控制第 6 章 技術(shù)培訓(xùn) 安全管理培訓(xùn)（ISO 17799） 評(píng)估方法培訓(xùn) 評(píng)估結(jié)果及漏洞修補(bǔ)方法培訓(xùn) 安全信息庫(kù)系統(tǒng)培訓(xùn)第 7 章 項(xiàng)目軟硬件需求清單另外，安氏的信息庫(kù)也能成為他們?cè)陲L(fēng)險(xiǎn)評(píng)估中一項(xiàng)有力的武器。 其它這里所指的其它公司，大部份是實(shí)力較強(qiáng)的企業(yè)，如聯(lián)想之流，介入安全行業(yè)并憑借良好的渠道和合作伙伴關(guān)系，打開(kāi)一定的局面者。需要指出的是安絡(luò)科技，公司不大，但歷經(jīng)風(fēng)雨，還能夠在行業(yè)中有一定位置。但是對(duì)于風(fēng)險(xiǎn)評(píng)估，則歸類到這里的企業(yè)多數(shù)缺乏自

12、己的風(fēng)格，甚至評(píng)估只是他們很小的“副業(yè)”，因此在他們的方案或幻燈片中，常見(jiàn)到的是各種標(biāo)準(zhǔn)的流程、關(guān)系圖等等，如下面這兩副：幾乎在所有企業(yè)的的風(fēng)險(xiǎn)評(píng)估方案中，我都看到上面的那副安全風(fēng)險(xiǎn)關(guān)系圖，當(dāng)然有些公司做了某些修改、美化以強(qiáng)調(diào)自己的理解、突出自己評(píng)估方法中的核心部份，比如下面這張啟明星辰的安全風(fēng)險(xiǎn)關(guān)系圖： 億陽(yáng)信通他們的所有業(yè)務(wù)流程包括：信息資產(chǎn)的界定、策略文檔分析、安全審計(jì)、網(wǎng)絡(luò)結(jié)構(gòu)的評(píng)估、業(yè)務(wù)流程分析、安全技術(shù)性弱點(diǎn)的評(píng)估、安全威脅的評(píng)估、現(xiàn)有安全措施評(píng)估、安全弱點(diǎn)綜合評(píng)估、安全威脅綜合分析、綜合風(fēng)險(xiǎn)分析。采用的評(píng)估方法包括五種：工具遠(yuǎn)程/本地評(píng)估、人工評(píng)估、白客測(cè)試、安全問(wèn)卷、顧問(wèn)訪談。

13、使我印象深刻的是，他們對(duì)方案中大多數(shù)項(xiàng)目都有比較嚴(yán)格的過(guò)程說(shuō)明、參與人員說(shuō)明、主要評(píng)估方式、輸入、輸出、參考規(guī)范和標(biāo)準(zhǔn)。比較嚴(yán)謹(jǐn)。 亞信科技有著深厚運(yùn)營(yíng)商行業(yè)的優(yōu)勢(shì)，其曾經(jīng)的子公司瑪賽有過(guò)相當(dāng)不錯(cuò)的成績(jī)。從他們的幾個(gè)方案中分析，亞信對(duì)風(fēng)險(xiǎn)評(píng)估的研究并不深入，僅是簡(jiǎn)單抄了一堆基本風(fēng)險(xiǎn)評(píng)估法、詳細(xì)風(fēng)險(xiǎn)評(píng)估法、綜合風(fēng)險(xiǎn)評(píng)估法等的概念。他們的評(píng)估分為六大部份：資產(chǎn)、脆弱性、威脅、影響、安全措施評(píng)估、風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估是對(duì)前五者的綜合，其中的安全措施估計(jì)是自己增加的。我理解起來(lái)整體思路感覺(jué)比較混亂。 華為華為的部份合作風(fēng)格一直令人左右為難他們有龐大而有力的銷售隊(duì)伍、運(yùn)營(yíng)商方面良好的合作背景，這些都誘惑著

14、其它廠商與之合作。但華為的高速發(fā)展和發(fā)展過(guò)程的調(diào)整，卻往往令合作伙伴有些進(jìn)退維谷。僅以防火墻市場(chǎng)為例，華為曾經(jīng)因?yàn)橐x擇合作伙伴，廣邀防火墻廠商進(jìn)行產(chǎn)品測(cè)試，對(duì)各種產(chǎn)品的功能、性能指標(biāo)、技術(shù)特點(diǎn)都了如指掌。但2003年華為推出了自己的防火墻產(chǎn)品。2003年可以說(shuō)是華為將安全由內(nèi)部建設(shè)轉(zhuǎn)向往外部推動(dòng)的轉(zhuǎn)折年。原因或許是他們發(fā)現(xiàn)他們的主要客戶運(yùn)營(yíng)商已經(jīng)把安全門檻提高了，與其很費(fèi)勁地邁這個(gè)門檻，不如在自已的產(chǎn)品和集成基礎(chǔ)上造一個(gè)高門檻。華為的評(píng)估與其它安全公司的評(píng)估側(cè)重點(diǎn)略有不同，更側(cè)重于網(wǎng)絡(luò)架構(gòu)和應(yīng)用評(píng)估(可能是他們這方面的人才更多的緣故)。2003年市場(chǎng)上也略有斬獲。 聯(lián)想聯(lián)想的網(wǎng)絡(luò)安全事業(yè)部和

15、他們網(wǎng)御系列的安全產(chǎn)品一直令我很迷惑為什么聯(lián)想投資一方面注資綠盟科技，另一方面卻自己力圖創(chuàng)立安全產(chǎn)品和服務(wù)品牌從目前的情形來(lái)看，網(wǎng)御防火墻已經(jīng)在市場(chǎng)上取得不錯(cuò)的銷售成績(jī)，網(wǎng)御入侵檢測(cè)也初露頭角。但筆者個(gè)人測(cè)試，這兩款安全產(chǎn)品從功能、性能上來(lái)說(shuō)都遠(yuǎn)離聯(lián)想的大廠商風(fēng)范。安全服務(wù)和風(fēng)險(xiǎn)評(píng)估方面，聯(lián)想介入市場(chǎng)比較遲，但由有幾位掌握方面論和攻擊滲透的安氏員工的加盟(由此也可見(jiàn)安氏的方法論積累很不錯(cuò);)，他們很快站在前人的基礎(chǔ)上號(hào)稱有了一套自己的標(biāo)準(zhǔn)方法和操作流程。 安絡(luò)科技安絡(luò)科技創(chuàng)立伊始，在國(guó)內(nèi)的網(wǎng)絡(luò)安全界有比較高的知名度。但多年來(lái)始終偏安于深圳，失去了飛速增長(zhǎng)的機(jī)會(huì)。因此被從國(guó)內(nèi)安全廠商的第一梯隊(duì)擠

16、出。在他們的很多方案中，同時(shí)包括了評(píng)估建議書和中長(zhǎng)期安全規(guī)劃建議。他們的遠(yuǎn)程風(fēng)險(xiǎn)評(píng)估乏善可陳，本地風(fēng)險(xiǎn)評(píng)估分得很細(xì)，包括實(shí)施安全、平臺(tái)安全、數(shù)據(jù)安全、通信安全、應(yīng)用安全、運(yùn)行安全、管理安全的評(píng)估。但在可操作性方面下的功夫還不夠。 部份低端廠商的評(píng)估模式部份低端評(píng)估廠商在市場(chǎng)上不但存在，而且有很大的生存空間。他們的目標(biāo)客戶群體是小型企業(yè)。不會(huì)為評(píng)估花費(fèi)太多的精力和金錢，安全也只需要簡(jiǎn)單達(dá)到某一基線即可。通常這些廠商的做法快速簡(jiǎn)潔：漏洞掃描 - 遠(yuǎn)程掃描報(bào)告抽樣人工審計(jì) - 人工審計(jì)報(bào)告抽樣病毒掃描與查殺 - 病毒監(jiān)測(cè)報(bào)告之后就可以坐地分金了，這種操作模式僅需要少數(shù)技術(shù)骨干就能很好地進(jìn)行。3. B

17、S7799和OCTAVE BS7799的優(yōu)勢(shì)和弱點(diǎn)要初步了解BS7799，我覺(jué)得從兩個(gè)角度入手了解BS7799的安全管理流程，也就是建立信息安全管理體系的方法和步驟 系統(tǒng)了解BS7799中提到的10類127個(gè)控制項(xiàng)的內(nèi)容 并且能夠在此基礎(chǔ)上針對(duì)不同行業(yè)選擇(甚至新增)控制項(xiàng)。就如最近移動(dòng)集團(tuán)提出的NISS(網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn))一樣。 個(gè)人感覺(jué)BS7799的最大缺陷就在于可操作性不強(qiáng)，如果僅僅按BS7799的要求操作(類似ISO9000的評(píng)審)，有可能最終達(dá)不到初始的安全目標(biāo)。這或許也是BS7799和ISO17799呼聲很高，但實(shí)際應(yīng)用或者通過(guò)評(píng)審的企業(yè)并不多的原因之一。作為參考，這里給出一份s

18、ans提供的 HYPERLINK files/RiskEvaluation/files/ BS7799檢查列表。 OCTAVE的有效補(bǔ)充所謂OCTAVE，實(shí)際上是Operationally Critical Threat, Asset, and Vulnerability Evaluation的縮寫，指的是可操作的關(guān)鍵威脅、資產(chǎn)和弱點(diǎn)評(píng)估。在我的理解中，OCTAVE首先強(qiáng)調(diào)的是O，其次是C，也就是說(shuō)，它最注重可操作性，其次對(duì)關(guān)鍵性很關(guān)注，把握80/20原則 :)簡(jiǎn)單描述我理解OCTAVE的幾個(gè)重點(diǎn)(實(shí)際上在OCTAVE中的每個(gè)環(huán)節(jié)都是不可忽視的，這里所說(shuō)的幾個(gè)重點(diǎn)是我認(rèn)為OCTAVE較好、或者

19、評(píng)估過(guò)程中比較關(guān)鍵的部份環(huán)節(jié))：過(guò)程控制(整體) OCTAVE將整體網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估過(guò)程分為三個(gè)階段九個(gè)環(huán)節(jié)，分別是：階段一：建立基于資產(chǎn)的威脅配置文件01. 標(biāo)識(shí)高層管理知識(shí)02. 標(biāo)識(shí)業(yè)務(wù)區(qū)域知識(shí)03. 標(biāo)識(shí)一般員工知識(shí)04. 建立威脅配置文件階段二：標(biāo)識(shí)基礎(chǔ)結(jié)構(gòu)的弱點(diǎn)05. 標(biāo)識(shí)關(guān)鍵資產(chǎn)06. 評(píng)估選定的資產(chǎn)階段三：確定安全策略和計(jì)劃07. 執(zhí)行風(fēng)險(xiǎn)分析8A. 開(kāi)發(fā)保護(hù)策略A8B. 開(kāi)發(fā)保護(hù)策略B下圖是CERT在為一家醫(yī)院進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)的進(jìn)程時(shí)間表，我們可以作為參考。創(chuàng)建威脅統(tǒng)計(jì)(process 4) 這個(gè)過(guò)程實(shí)際上完成兩件事，一是對(duì)前面三個(gè)過(guò)程中收集的數(shù)據(jù)進(jìn)行整理，使數(shù)據(jù)分析清晰。二是

20、能夠通過(guò)分析資產(chǎn)的威脅，創(chuàng)建重要資產(chǎn)及資產(chǎn)面臨威脅的全局視圖。從下圖我們可以看到，OCTAVE對(duì)某一資產(chǎn)的資產(chǎn)、訪問(wèn)、動(dòng)機(jī)、參與者和結(jié)果都進(jìn)行了分析(該圖僅是針對(duì)一項(xiàng)資產(chǎn)個(gè)人計(jì)算機(jī)，和一種訪問(wèn)網(wǎng)絡(luò)而建立的威脅視圖)，這種方式的確有助于我們看清企業(yè)內(nèi)部的威脅情況。識(shí)別關(guān)鍵資產(chǎn)(process 5) 也是第一階段的延續(xù)，按OCTAVE的說(shuō)法，分成兩步：標(biāo)識(shí)組件的關(guān)鍵種類和標(biāo)識(shí)要分析的基礎(chǔ)結(jié)構(gòu)組件。如果從操作靈活性考慮，我們也可以在階段一的時(shí)候?yàn)橘Y產(chǎn)和知識(shí)標(biāo)識(shí)出CIA(機(jī)密性、完整性和可用性)，通過(guò)對(duì)CIA的綜合運(yùn)算得出最終結(jié)論。進(jìn)行風(fēng)險(xiǎn)分析(process 7) 與創(chuàng)建威脅統(tǒng)計(jì)中的威脅視圖相對(duì)應(yīng)，

21、在這里需要標(biāo)識(shí)出威脅可能造成的影響。要注意到的是，風(fēng)險(xiǎn)分析并非僅象下圖那樣是單一的，而是多種系統(tǒng)之間可能交叉影響，因此這個(gè)視圖最終完成后將會(huì)是很大的一張圖表。4. 中小企業(yè)的特點(diǎn)和對(duì)OCTAVE的重新評(píng)價(jià) 中小型企業(yè)和大型企業(yè)在評(píng)估活動(dòng)中的異同點(diǎn)最直接的想法，大型企業(yè)和中小型企業(yè)對(duì)安全的關(guān)注要點(diǎn)是否完全相同又是否完全不同哪些在大型企業(yè)中做過(guò)的事是可復(fù)用的我很少看到關(guān)于這些方面的討論，因此也想在這里將問(wèn)題提出，并給出我的粗淺考慮，希望能夠引玉。相同點(diǎn)(可以復(fù)用的部份) 1. 資產(chǎn)評(píng)估資產(chǎn)調(diào)查表格資產(chǎn)屬性和賦值調(diào)研表格與方法關(guān)鍵資產(chǎn)的調(diào)查方法2. 威脅評(píng)估(部份中小企業(yè)甚至可以不用進(jìn)行)BS779

22、9評(píng)審表OCTAVE威脅分析方法和視圖事件分析方法3. 弱點(diǎn)評(píng)估遠(yuǎn)程掃描方法和工具人工審計(jì)方法和工具滲透測(cè)試方法和工具4. 風(fēng)險(xiǎn)分析現(xiàn)有風(fēng)險(xiǎn)視圖提煉方法和報(bào)告不同點(diǎn)(需要單獨(dú)開(kāi)發(fā)調(diào)研的部份) 1. 資產(chǎn)評(píng)估資產(chǎn)報(bào)告(不同行業(yè)、規(guī)模的企業(yè)，關(guān)鍵資產(chǎn)有很大區(qū)別)2. 威脅評(píng)估面臨的威脅面比小企業(yè)更廣3. 弱點(diǎn)評(píng)估風(fēng)險(xiǎn)規(guī)避措施4. 風(fēng)險(xiǎn)分析針對(duì)組織特點(diǎn)的解決方案管理制度和策略框架 重新評(píng)價(jià)OCTAVE通過(guò)對(duì)OCTAVE的初步學(xué)習(xí)，我們可以認(rèn)識(shí)到它具有許多BS7799的所缺乏的可操作性方面的特點(diǎn)，但離完美還有一定距離，簡(jiǎn)單談幾點(diǎn)不足：過(guò)份強(qiáng)調(diào)對(duì)大企業(yè)的評(píng)估活動(dòng)，評(píng)估流程比較繁瑣，完整視圖建立不易操作，

23、要求組織中多人參與。 風(fēng)險(xiǎn)控制行動(dòng)列表粒度較粗，與企業(yè)后續(xù)安全建設(shè)的實(shí)際工作有一定距離。 由于強(qiáng)調(diào)了操作，執(zhí)行時(shí)所依據(jù)的標(biāo)準(zhǔn)就相對(duì)簡(jiǎn)單(可能有主觀臆斷的因素在內(nèi))。 任何事物，就算非常優(yōu)秀，也都不能全盤照搬，是需要批判接受的，從上面對(duì)BS7799和OCTAVE的簡(jiǎn)單分析，你是否能夠提煉出你自己的評(píng)估方法5. 如何制訂最適合您企業(yè)的風(fēng)險(xiǎn)評(píng)估計(jì)劃這里考慮采用一個(gè)小企業(yè)的評(píng)估實(shí)例來(lái)說(shuō)明制訂適合自身當(dāng)前狀態(tài)的企業(yè)風(fēng)險(xiǎn)評(píng)估的方法。由于暫時(shí)沒(méi)有適合的案例提供，因此留待下一版本完善。6. 實(shí)施過(guò)程簡(jiǎn)述 定義階段實(shí)際上是售前工作的延續(xù)，即明確項(xiàng)目范圍，清晰界定用戶的需求。這點(diǎn)看似簡(jiǎn)單，但實(shí)際操作者卻需要相當(dāng)有

24、經(jīng)驗(yàn)，能夠判斷自己所擁有的資源;能夠在既定時(shí)間內(nèi)完成多少工作;能夠與客戶有技巧地談判將其需求控制在最恰當(dāng)?shù)乃讲⒕S持到項(xiàng)目結(jié)束。我們?cè)谶@里列出了五個(gè)模塊：前期交流、初步方案、投標(biāo)方案、答標(biāo)文檔和參考報(bào)價(jià)。按照實(shí)際項(xiàng)目操作流程，在售前階段這五個(gè)模塊的工作應(yīng)該完整進(jìn)行一遍。進(jìn)入項(xiàng)目定義階段時(shí)，實(shí)際上用戶已經(jīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估有了一定了解，并且比較清楚自己的網(wǎng)絡(luò)環(huán)境需要評(píng)估到什么程度，因此本階段用戶會(huì)就投標(biāo)方案要求廠商進(jìn)行進(jìn)一步描述，并且就他們感興趣的細(xì)節(jié)進(jìn)行展開(kāi)。 藍(lán)圖階段雙方擬定項(xiàng)目的詳細(xì)進(jìn)度計(jì)劃，建議在計(jì)劃過(guò)程中至少要包含下面幾部份內(nèi)容：?jiǎn)栴}描述、目標(biāo)和范圍、SWOT分析、工作分解、里程碑和進(jìn)

25、度計(jì)劃、雙方資源需求、變更控制方法。在藍(lán)圖階段中需要召開(kāi)藍(lán)圖會(huì)議，在會(huì)議結(jié)束后，必須在雙方認(rèn)可的基礎(chǔ)上制訂并簽署項(xiàng)目藍(lán)圖，后續(xù)一切工作嚴(yán)格按藍(lán)圖進(jìn)行。評(píng)估項(xiàng)目對(duì)客戶的知識(shí)水平要求較高，通常在項(xiàng)目前期需要就評(píng)估方法進(jìn)行培訓(xùn)，建議在藍(lán)圖階段完成項(xiàng)目的培訓(xùn)工作。另外需要提醒的是，由于多數(shù)企業(yè)的資產(chǎn)并沒(méi)有很好地理順，因此資產(chǎn)評(píng)估的前期協(xié)調(diào)工作如果能夠盡早開(kāi)始，可以有效地保證項(xiàng)目的時(shí)間。 執(zhí)行階段這是最關(guān)鍵的階段，絕大多數(shù)操作都在這一階段完成，我們可以再將這一階段細(xì)分為四個(gè)環(huán)節(jié)，分別如下： 資產(chǎn)評(píng)估(可以遠(yuǎn)程完成) 系統(tǒng)和業(yè)務(wù)信息收集資產(chǎn)列表資產(chǎn)分類與賦值資產(chǎn)報(bào)告資產(chǎn)評(píng)估的內(nèi)容并不復(fù)雜，在這部份工作中，

26、重點(diǎn)在于與客戶共同進(jìn)行資產(chǎn)的分類與賦值。同時(shí)需要注意控制資產(chǎn)評(píng)估的完成時(shí)間，因?yàn)槊鞔_資產(chǎn)后才能有效進(jìn)行后續(xù)的威脅與弱點(diǎn)評(píng)估，否則容易導(dǎo)致事倍功半。威脅評(píng)估(本地完成) IDS部署搜集威脅源收集并評(píng)估策略文檔BS7799顧問(wèn)訪談事件分析威脅報(bào)告威脅評(píng)估中訪談?wù)剂爽F(xiàn)場(chǎng)工作的最大部份。但由于現(xiàn)階段業(yè)界對(duì)于威脅的界定存在多種標(biāo)準(zhǔn)，因此可以說(shuō)威脅評(píng)估是較難操作的一部份。建議在實(shí)施前先參考威脅評(píng)估報(bào)告樣例。如果能夠通過(guò)訪談獲取到較為完整的安全事件信息，則可以考慮將不進(jìn)行威脅評(píng)估，以更能夠清晰分析本質(zhì)的事件分析代替。弱點(diǎn)評(píng)估(本地完成) 遠(yuǎn)程掃描人工審計(jì)滲透測(cè)試弱點(diǎn)報(bào)告弱點(diǎn)評(píng)估屬于純技術(shù)操作，這里不加詳述。

27、風(fēng)險(xiǎn)分析和控制(可以遠(yuǎn)程完成) 數(shù)據(jù)整理、入庫(kù)及分析安全現(xiàn)狀報(bào)告安全解決方案當(dāng)現(xiàn)場(chǎng)工作結(jié)束，基礎(chǔ)數(shù)據(jù)收集完畢后，如何對(duì)浩如煙海的信息進(jìn)行提煉和挖掘，其中也有很多技巧。最終的風(fēng)險(xiǎn)分析需要看得清晰透徹，而且方案的表現(xiàn)形式要比較切合客戶需求。解決方案就三個(gè)字：可操作。 報(bào)告階段在項(xiàng)目報(bào)告階段，所有的現(xiàn)場(chǎng)工作和大部份文檔工作已經(jīng)完成，這時(shí)的關(guān)鍵任務(wù)是：讓用戶真正理解并且認(rèn)可我們的工作成績(jī)。因此這階段建議需要與用戶進(jìn)行深入細(xì)致的溝通(需要面對(duì)面交流，以達(dá)到最佳效果)。報(bào)告階段需要注意各種細(xì)節(jié)調(diào)整(有些需要結(jié)合項(xiàng)目特點(diǎn)進(jìn)行考慮)，例如：1.在報(bào)告的最前面增加“文檔導(dǎo)讀”章節(jié);2.將客戶方配合工作人員也寫入報(bào)告作者;3.給領(lǐng)導(dǎo)提供一份簡(jiǎn)潔有力的總結(jié);4.等等 售后服務(wù)按照Octave評(píng)估方法的觀點(diǎn)，用戶在完成一次安全評(píng)估之后，相當(dāng)于獲取了其當(dāng)前風(fēng)險(xiǎn)的快照(Snapshot)，同時(shí)也就完成了對(duì)其信息安全風(fēng)險(xiǎn)基線的設(shè)置。之后，組織必須解決或管理評(píng)估過(guò)程中標(biāo)識(shí)的優(yōu)先級(jí)最高的風(fēng)險(xiǎn)，并按照開(kāi)發(fā)的解決方案進(jìn)行風(fēng)險(xiǎn)的控制和消除。但由于組織的安全狀態(tài)會(huì)隨著時(shí)間而發(fā)生變化，所以必須通過(guò)執(zhí)行另外一次評(píng)估定期地為用戶重設(shè)基線。所以在這里我們可以按照PDCA循環(huán)(Plan、Do、Check、Action)來(lái)定義一次評(píng)估后的工作。7. 評(píng)估中的項(xiàng)目管理 確定項(xiàng)目管理小組明