国内网络安全风险评估市场与技术操作.doc
《国内网络安全风险评估市场与技术操作.doc》由会员分享,可在线阅读,更多相关《国内网络安全风险评估市场与技术操作.doc(16页珍藏版)》请在冰豆网上搜索。
国内网络安全风险评估市场与技术操作
吴鲁加04/19/2004个人主页:
http:
//risker.org/网络日志:
版本控制
v0.104/01/2004文档创建,包含大量示例文件内部发布
v0.204/19/2004删除部份敏感信息,增加国内市场分析、BS7799和OCTAVE概述后,对外发布
近两年网络安全风险评估渐渐为人们所重视,不少大型企业尤其是运营商、金融业都请了专业公司进行评估。
本文提出作者个人对国内安全风险评估操作的一些评价,并试图阐述作者所理解的,可裁剪、易操作的风险评估方式。
由于内容与商业公司有关,因此不可避免会涉及部份商业利益,在文中作者尽量隐去可能产生直接利害关系的文字,并声明所有评价纯属个人观点,如果你有不同意见,欢迎来函探讨。
1.什么是风险评估
说起风险评估,大家脑海中首先浮现的可能是:
风险、资产、影响、威胁、弱点等一连串的术语,这些术语看起来并不难理解,但一旦综合考虑就会象绕口令般组合。
比如风险,用ISO/IECTR13335-1:
1996中的定义可以解释为:
特定威胁利用某个(些)资产的弱点,造成资产损失或破坏的潜在可能性。
为了帮助理解,我们举一个下里巴人的例子:
我口袋里有100块钱,因为打瞌睡,被小偷偷走了,搞得晚上没饭吃。
用风险评估的观点来描述这个案例,我们可以对这些概念作如下理解:
风险=钱被偷走
资产=100块钱
影响=晚上没饭吃
威胁=小偷
弱点=打瞌睡
回到阳春白雪来,假设这么个案例:
某证券公司的数据库服务器因为存在RPCDCOM的漏洞,遭到入侵者攻击,被迫中断3天。
让我们尝试做一道小学时常做的连线题,把左右两边相对应的内容用线段连接起来:
风险 RPCDCOM漏洞
资产 服务器遭到入侵
影响 数据库服务器
威胁 入侵者
弱点 中断三天
如果这道题对你没什么难度,那么恭喜你,你已经和国内大多数风险评估的操作者差不多站在同一个起跑线上了。
2.国内现有风险评估操作模式
2.1评估市场和竞争分析
如果按照高、中、低端简单对国内的风险评估市场进行分类,那么我们可以很清晰地看到,几类市场的操作方式完全不同。
国内高端市场主要被如IBM(普华永道)、毕马威这样类型会计师事务所类型的公司占领,往往网络安全评估就涵盖在他们的整个审计体系之下。
中端市场上则盘踞着国内外大多数较有实力的网络安全公司,其中包括较早提出安全评估并且在运营商市场有比较好的实践的安氏、有作风稳健但却一步一个脚印打下大片疆土的启明星辰、也有异军突起极具竞争力的绿盟科技……低端厂商则数量庞大,往往只是通过简单的漏洞扫描、病毒查杀等方式操作。
2.2主要中端厂商的评估模式分析
以下分析中的数据来源为笔者在从事网络安全评估实践时通过各种渠道获得。
但由于信息的时效性,未能确认当前文中所进行的表述与分析就代表着各家企业的最新评估发展状态。
希望读者自行鉴别。
2.2.1启明星辰
启明星辰2002年之前始终比较低调,但风险评估项目从最初对某证券公司进行的纯粹漏洞扫描、人工审计、渗透测试这种类型的纯技术操作到套用BS7799到采用OCTAVE方法再到最终形成自己的网络安全风险评估的方法论、操作模型,有很多专业人员付出了大量劳动。
下图是启明星辰的幻灯片中摘录的,他们评估发展的历程,在每个台阶上有该阶段所经过的项目名称,出于安全原因隐去。
业务参与性弱、解决方案可操作性差往往也是高要求的用户对风险评估队伍批评较多的地方,但从启明星辰近期在几家大型客户那里的操作来看,较受客户好评。
启明星辰有较多在风险评估中可以应用的工具:
天镜评估版:
扫描器,有专门用于风险评估的版本。
天清:
又名SRC,指SecurityRiskManage,基于ISO17799的量化、可视化的评估工具。
信息库:
名称不详,能够直接导入天镜、Nessus、ISS等扫描器的扫描结果并生成报告。
据说是较好的安全评估过程辅助工具。
本地评估软件包。
我理解的启明星辰风险评估特点为:
博采众长
这一方面与启明星辰参与部份安全行业国家标准的制订有关,另一方面则是他们有着较多高学历员工,对高端咨询类型的提炼、深化抓得比较好,对评估要求看得透彻,写得清楚。
变化较快
这可以说既是优点,也是缺点。
在每次较大的评估项目中他们一般都要求有所突破。
这逼着他们去创新,但同时也导致评估的方法论很容易有变动。
2.2.2绿盟科技
绿盟科技从最初参与中国电信评估项目开始走进安全评估领域,挟其强大的系统研究技术优势进入市场。
下图是他们一份讲稿中的评估流程描述:
我对绿盟科技风险评估方法的总体评价是:
它是专业的系统和网络安全评估,不是信息安全评估,具体有如下几点:
项目可操作性强
管理评估存在不足,风险计算方式不够科学
技术弱点把握精确
2.2.3安氏
安氏在国内较早从事网络安全风险评估项目的操作,做过较大的评估项目(包括顾问咨询)有:
中国移动CMNET全网网络安全评估项目、天津电力公司安全咨询项目、中国电信IP网安全咨询顾问项目、上海移动boss系统安全咨询顾问项目、深圳华为科技公司安全咨询顾问项目等。
个人理解,2001年前后,IS-ONE的评估在国内较为领先,一方面是他们与国外公司的沟通较密切,另外其高管层对风险评估、BS7799比较重视。
但到了2003年,安氏整体战略转型,产品方面一边中止与ISS合作,一面高调宣传做自主产品,SOC大集成成为其主推概念,在风险评估领域的方法论却缺乏创新和突破。
安氏的安全风险评估有几大优势:
项目管理较为专业
下图是从安氏给某用户汇报时ppt的摘录,是他们项目管理的过程。
文档体系比较规范
这可能与安氏的部份高管强执行力和国外背景有一定关系。
他们较为注重方案、咨询建议等经验的可复用,当然,这同时也容易造成他们考虑问题简单化,对小客户容易用大企业的方案来裁剪套用。
就现在他们做过的项目来看,至少有以下标准方案的积累:
安全策略评估及建议报告
安全解决方案
本地风险评估报告
远程风险评估报告
网络安全现状报告
网络安全解决方案建议
扫描评估申请报告模版
数据库扫描申请报告
系统扫描申请报告
网络扫描申请报告
……
这里列举一份安氏的售前方案目录,相信内行人能看出一些门道来吧;)
第1章概述
1.1项目概述
1.2项目目标
1.2.4评估的方式
1.3评估遵循的原则
1.3.1保密原则
1.3.2标准性原则
1.3.3规范性原则
1.3.4可控性原则
1.3.5整体性原则
1.3.6最小影响原则
1.4风险评估模型
1.4.1背景和假设
1.4.2概述
1.4.3资产评估
1.4.4威胁评估
1.4.5弱点评估
1.4.6风险评估
1.5资产识别和赋值
1.5.1信息资产分类
1.5.2信息资产赋值
1.6主要评估方法说明
1.6.1工具评估
1.6.2人工评估
1.6.3安全审计
1.6.4网络架构分析
1.6.5策略评估
1.7项目承诺
1.8项目组织结构
第2章项目范围和评估内容
第3章项目阶段详述
3.1第一阶段-项目准备和范围确定
3.2第二阶段-项目定义和蓝图
3.3第三阶段-风险评估阶段
3.3.1集团公司层面评估子项目
3.3.2省网层面评估子项目
3.3.3安全信息库开发子项目
3.3.4安全评估风险规避措施
3.3.5需要客户配合的工作
3.3.6安全信息库系统原型概要设计
3.4第四阶段-综合评估和策略阶段
3.4.1报告和建议的形成
3.4.2《XXXX网络安全现状报告》
3.4.3《XXXX网络安全策略改进建议》
3.4.4《XXXX网络安全解决方案建议》
3.5第五阶段-项目评审阶段
3.5.1验收方法和内容
3.5.2验收标准和流程
3.6支持和售后服务
3.6.1安氏客户服务体系简介
3.6.2安氏(中国)的客户服务对象
3.6.3安氏(中国)客户服务中心组织结构
3.6.4安氏(中国)的服务特点
3.6.5服务保证体系CRM
3.6.6在本项目中所提供的支持服务
3.6.7安全通告服务
第4章项目质量保证和管理
4.1配置管理
4.2变更控制管理
4.3项目沟通
4.4记录和备忘录
4.5报告
4.6项目协调会议
第5章项目质量控制
第6章技术培训
6.1安全管理培训(ISO17799)
6.2评估方法培训
6.3评估结果及漏洞修补方法培训
6.4安全信息库系统培训
第7章项目软硬件需求清单
另外,安氏的信息库也能成为他们在风险评估中一项有力的武器。
2.2.4其它
这里所指的其它公司,大部份是实力较强的企业,如联想之流,介入安全行业并凭借良好的渠道和合作伙伴关系,打开一定的局面者。
需要指出的是安络科技,公司不大,但历经风雨,还能够在行业中有一定位置。
但是对于风险评估,则归类到这里的企业多数缺乏自己的风格,甚至评估只是他们很小的“副业”,因此在他们的方案或幻灯片中,常见到的是各种标准的流程、关系图等等,如下面这两副:
几乎在所有企业的的风险评估方案中,我都看到上面的那副安全风险关系图,当然有些公司做了某些修改、美化以强调自己的理解、突出自己评估方法中的核心部份,比如下面这张启明星辰的安全风险关系图:
2.2.4.1亿阳信通
他们的所有业务流程包括:
信息资产的界定、策略文档分析、安全审计、网络结构的评估、业务流程分析、安全技术性弱点的评估、安全威胁的评估、现有安全措施评估、安全弱点综合评估、安全威胁综合分析、综合风险分析。
采用的评估方法包括五种:
工具远程/本地评估、人工评估、白客测试、安全问卷、顾问访谈。
使我印象深刻的是,他们对方案中大多数项目都有比较严格的过程说明、参与人员说明、主要评估方式、输入、输出、参考规范和标准。
比较严谨。
2.2.4.2亚信科技
有着深厚运营商行业的优势,其曾经的子公司玛赛有过相当不错的成绩。
从他们的几个方案中分析,亚信对风险评估的研究并不深入,仅是简单抄了一堆基本风险评估法、详细风险评估法、综合风险评估法等的概念。
他们的评估分为六大部份:
资产、脆弱性、威胁、影响、安全措施评估、风险评估。
风险评估是对前五者的综合,其中的安全措施估计是自己增加的。
我理解起来整体思路感觉比较混乱。
2.2.4.3华为
华为的部份合作风格一直令人左右为难……他们有庞大而有力的销售队伍、运营商方面良好的合作背景,这些都诱惑着其它厂商与之合作。
但华为的高速发展和发展过程的调整,却往往令合作伙伴有些进退维谷。
仅以防火墙市场为例,华为曾经因为要选择合作伙伴,广邀防火墙厂商进行产品测试,对各种产品的功能、性能指标、技术特点都了如指掌。
但2003年华为推出了自己的防火墙产品。
2003年可以说是华为将安全由内部建设转向往外部推动的转折年。
原因或许是他们发现他们的主要客户运营商已经把安全门槛提高了,与其很费劲地迈这个门槛,不如在自已的产品和集成基础上造一个高门槛。
华为的评估与其它安全公司的评估侧重点略有不同,更侧重于网络架构和应用评估(可能是他们
升级会员 