网络安全风险评估市场与技术操作现状.docx

《网络安全风险评估市场与技术操作现状.docx》由会员分享，可在线阅读，更多相关《网络安全风险评估市场与技术操作现状.docx（26页珍藏版）》请在优知文库上搜索。

1、国内网络安全风险评估市场与技术操作吴鲁加04/19/2023个人主页：网络日志：版本控制v.l04/01/2023文档创立，包括大量示例文献内部公布v.204/19/2023删除部份敏感信息，增长国内市场分析、BS7799和OeTAVE概述后，对外公布近两年网络安全风险评估渐渐为人们所重视，不少大型企业尤其是运行商、金融业都请了专业企业进行评估。本文提出作者个人对国内安全风险评估操作的某些评价，并试图论述作者所理解的，可裁剪、易操作的风险评估方式。由于内容与商业企业有关，因此不可防止会波及部份商业利益，在文中作者尽量隐去也许产生直接利害关系的文字，并申明所有评价纯属个人观点，假如你有不一样意见

2、，欢迎来函探讨。1 .什么是风险评估说起风险评估，大家脑海中首先出现的也许是：风险、资产、影响、威胁、弱点等一连串的术语，这些术语看起来并不难理解，但一旦综合考虑就会象绕口令般组合。例如风险，用ISO/IECTR13335-1:1996中的定义可以解释为：特定威胁运用某个（些）资产的弱点，导致资产损失或破坏的潜在也许性。为了协助理解，我们举一种下里巴人的例子：我口袋里有100块钱，由于打瞌睡，被小偷偷走了，搞得晚上没饭吃。用风险评估的观点来描述这个案例，我们可以对这些概念作如下理解：风险=钱被偷走资产=100块钱影响=晚上没饭吃威胁=小偷弱点=打瞌睡回到阳春白雪来，假设这样个案例：某证券企业的

3、数据库服务器由于存在RPCDCoM的漏洞，遭到入侵者袭击，被迫中断3天。让我们尝试做一道小课时常做的连线题，把左右两边相对应的内容用线段连接起来：风险RPCDCOM漏洞资产服务器遭到入侵影响数据库服务器威胁入侵者弱点中断三天假如这道题对你没什么难度，那么恭喜你，你已经和国内大多数风险评估H勺操作者差不多站在同一种起跑线上了。2 .国内既有风险评估操作模式2.1 评估市场和竞争分析假如按照高、中、低端简朴对国内的风险评估市场进行分类，那么我们可以很清晰地看到，几类市场的操作方式完全不一样。国内高端市场重要被如IBM（普华永道）、毕马威这样类型会计师事务所类型的企业占领，往往网络安全评估就涵盖在他

4、们的整个审计体系之下。中端市场上则盘踞着国内外大多数较有实力的网络安全企业，其中包括较早提出安全评估并且在运行商市场有比很好的实践H勺安氏、有作风稳健但却一步一种脚印打下大片疆土的启明星辰、也有异军突起极具竞争力口勺绿盟科技低端厂商则数量庞大，往往只是通过简朴的漏洞扫描、病毒查杀等方式操作。2.2 重要中端厂商的评估模式分析如下分析中H勺数据来源为笔者在从事网络安全评估实践时通过多种渠道获得。但由于信息的时效性，未能确认目前文中所进行的表述与分析就代表着各家企业的最新评估发展状态。但愿读者自行鉴别。2.2.1 启明星辰启明星辰2023年之前一直比较低调，但风险评估项目从最初对某证券企业进行的纯

5、粹漏洞扫描、人工审计、渗透测试这种类型的纯技术操作到套用BS7799到采用OCTAVE措施再到最终形成自己的网络安全风险评估的措施论、操作模型,有诸多专业人员付出了大量劳动。下图是启明星辰的幻灯片中摘录的I,他们评估发展的）历程，在每个台阶上有该阶段所通过的项目名称，出于安全原因隐去。成功案（列扇明星辰风趁评估发展历程Venus口鼻子登产的冲估 ISO17799口 13015335QGAO口 NCSC彩虹日为 口加拿大 丽请W屏SSE-CMMPMI口cuvefftfc BS7,WAS./NZS4360 口系于砌的济姑 U金耳匕技楞合祝潮MKSlS40S口港请赛试ASWZS4360口矽制台审计N

6、IST业务参与性弱、处理方案可操作性差往往也是高规定日勺顾客对风险评估队伍批评较多的地方，但从启明星辰近期在几家大型客户那里的操作来看，较受客户好评。启明星辰有较多在风险评估中可以应用的工具：天镜评估版：扫描器，有专门用于风险评估的版本。天清：又名SRC,指SeCUrityRiSkManage,基于IScH7799勺量化、可视化的评估工具。信息库：名称不详，可以直接导入天镜、NeSSUs、ISS等扫描器H勺扫描成果并生成汇报。听说是很好的安全评估过程辅助工具。当地评估软件包。我理解H勺启明星辰风险评估特点为：博采众长这首先与启明星辰参与部份安全行业国标的制定有关，另首先则是他们有着较多高学历员

7、工，对高端征询类型的提炼、深化抓得比很好，对评估规定看得透彻，写得清晰。变化较快这可以说既是长处，也是缺陷。在每次较大口勺评估项目中他们一般都规定有所突破。这逼着他们去创新，但同步也导致评估的措施论很轻易有变动。2.2.2 绿盟科技绿盟科技从最初参与中国电信评估项目开始走进安全评估领域,挟其强大口勺系统研究技术优势进入市场。下图是他们份讲稿中的评估流程描述:评估流程威胁主动攻击被动攻击物理隘近攻击内部人员攻击 吩发攻击脆弱怪5?金借玄分网国次次次次次 层层屋层层 理将统用理 物网系应管.风险风险=资产*威胁*晚建性海S范雷ifKSftMirocte Everyday守6KK安全EBayq“y

8、O我对绿盟科技风险评估措施的总体评价是：它是专业的系统和网络安全评估，不是信息安全评估，详细有如下几点：项目可操作性强管理评估存在局限性，风险计算方式不够科学技术弱点把握精确2.2.3 安氏安氏在国内较早从事网络安全风险评估项目的操作，做过较大的评估项目（包括顾问征询）有：中国移动CMNET全网网络安全评估项目、天津电力企业安全征询项目、中国电信IP网安全征询顾问项目、上海移动boss系统安全征询顾问项目、深圳华为科技企业安全征询顾问项目等。个人理解，2023年前后，IS-ONE的评估在国内较为领先，首先是他们与国外企业的沟通较亲密，此外其高管层对风险评估、BS7799比较重视。但到了2023

9、年，安氏整体战略转型,产品方面一边中断与ISS合作，一面高调宣传做自主产品，SOC大集成成为其主推概念，在风险评估领域的措施论却缺乏创新和突破。安氏的安全风险评估有几大优势：项目管理较为专业下图是从安氏给某顾客汇报时ppt的摘录，是他们项目管理H勺过程。1项目准冬与藕困确定原目出a嗔目姐织络构赎目作跖境Kkk off3评估安氏安全评估项目中的阶段定义IT绷哽目危田 定义报缶格式 定义嗔目目标 作好网络环城爸 完衽图并与用户签署5支持和雉护培IM修复和加固防助 重对曲 电话村支持媒合音俗报告综台解决方5K建议 综合安全策略建议项目管理(会议、交茶) 本IsW1 (xxt xx)提交稿解防富WN文

10、档体系比较规范这也许与安氏的部份高管强执行力和国外背景有一定关系。他们较为重视方案、征询提议等经验的可复用，当然，这同步也轻易导致他们考虑问题简朴化，对小客户轻易用大企业的方案来裁剪套用。就目前他们做过的!项目来看，至少有如下原则方案的积累:安全方略评估及提议汇报安全处理方案当地风险评估汇报远程风险评估汇报网络安全现实状况汇报网络安全处理方案提议扫描评估申请汇报模版数据库扫描申请汇报系统扫描申请汇报网络扫描申请汇报这里列举一份安氏的售前方案目录，相信内行人能看出某些门道来吧;)第1章概述1.1 项目概述1.2 项目目的1.2.4评估的方式13评估遵照的原则1.3.1 保密原则1.3.2 原则性

11、原则1.3.3 规范性原则1.3.4 可控性原则1.3.5 整体性原则1.3.6 最小影响原则1.4 风险评估模型1.4.1 背景和假设1.4.2 概述1.4.3 资产评估1.4.4 威胁评估1.4.5 弱点评估1.4.6 风险评估1.5 资产识别和赋值1.5.1 信息资产分类1.5.2 信息资产赋值1.6 重要评估措施阐明1.6.1 工具评估1.6.2 人工评估1.6.3 安全审计1.6.4 网络架构分析1.6.5 方略评估1.7 项目承诺1.8 项目组织构造第2章项目范围和评估内容第3章项目阶段详述3.1 第一阶段一项目准备和范围确定3.3 第三阶段-风险评估阶段3.3.1 集团企业层面评

12、估子项目3.3.2 省网层面评估子项目3.3.3 安全信息库开发子项目3.3.4 安全评估风险规避措施3.3.5 需要客户配合的工作336安全信息库系统原型概要设计3.4 第四阶段一综合评估和方略阶段3.4.1 汇报和提议的形成3.4.2 XXXX网络安全现实状况汇报3.4.3 XXXX网络安全方略改善提议3.4.4 XXXX网络安全处理方案提议3.5 第五阶段一项目评审阶段3.5.1 验收措施和内容3.5.2 验收原则和流程3.6 支持和售后服务3.6.1 安氏客户服务体系简介3.6.2 安氏（中国）H勺客户服务对象3.6.3 安氏（中国）客户服务中心组织构造3.6.4 安氏（中国）的服务特

13、点3.6.6 在本项目中所提供的支持服务3.6.7 安全通告服务第4章项目质量保证和管理4.1 配置管理4.2 变更控制管理4.3 项目沟通4.4 记录和备忘录4.5 汇报4.6 项目协调会议第5章项目质量控制第6章技术培训6.1 安全管理培训（ISOI7799）6.2 评估措施培训63评估成果及漏洞修补措施培训6.4安全信息库系统培训第7章项目软硬件需求清单此外，安氏的信息库也能成为他们在风险评估中项有力的武器。G#,In息戈全管理原院小*7 、 am 、， A“r。*W*Mfc2.2.4其他这里所指的!其他企业，大部份是实力较强的企业，如联想之流，介入安全行业并凭借良好的渠道和合作伙伴关系

14、，打开一定於!局面者。需要指出的是安络科技，企业不大，但历经风雨,还可以在行业中有一定位置。不过对于风险评估，则归类到这里的企业多数缺乏自己的风格,甚至评估只是他们很小的副业”，因此在他们的方案或幻灯片中，常见到的是多种原则的流程、关系图等等，如下面这两副:几乎在所有企业的的风险评估方案中，我都看到上面的那副安全风险关系图，当然有些企业做了某些修改、美化以强调自己的理解、突出自己评估措施中Fl勺关键部份，例如下面这张启成业漏泥明星辰H勺安全风险关系图:利用）Y他们的所有业务流程包括：信息资产的I界定、方略文档分析、安全审计、网络构造的评估、业务流程分析、安全技术性弱点的评估、安全威胁的评估、既

15、有安全措施评估、安全弱点综合评估、安全威胁综合分析、综合风险分析。采用的评估措施包括五种：工具远程/当地评估、人工评估、白客测试、安全问卷、顾问访谈。使我印象深刻的!是，他们对方案中大多数项目均有比较严格Fl勺过程阐明、参与人员阐明、重要评估方式、输入、输出、参照规范和原则。比较严谨。2.2.4.2亚信科技有着深厚运行商行业的优势，其曾经的子企业玛赛有过相称不错的成绩。从他们的几种方案中分析，亚信对风险评估的研究并不深入，仅是简朴抄了一堆基本风险评估法、详细风险评估法、综合风险评估法等的概念。他们的评估分为六大部份：资产、脆弱性、威胁、影响、安全措施评估、风险评估。风险评估是对前五者的综合，其中的安全措施估计是自己增长的。我理解起来整体思绪感觉