風(fēng)險(xiǎn)評估概念

1、安全風(fēng)險(xiǎn)險(xiǎn)評估的的少數(shù)派派報(bào)告20033-077-288 000:000:000.0$pagge.ggetAAuthhor() 本本報(bào)記者者 徐莉莉 如果說說安全市市場本身身在中國國仍處于于方興未未艾的階階段，那那么，安安全風(fēng)險(xiǎn)險(xiǎn)評估就就只能算算作尚在在萌芽的的種子。因?yàn)椋鳛楦呒墑e別的服務(wù)務(wù)，安全全風(fēng)險(xiǎn)評評估更像像安全系系統(tǒng)這道道門上的的一把鎖鎖，需要要有個(gè)大大前提。換句話話說，只只有企業(yè)業(yè)的ITT系統(tǒng)足足夠復(fù)雜雜，安全全需求達(dá)達(dá)到一定定級別，這把鎖鎖才會派派上用場場。盡管管很多人人看好安安全風(fēng)險(xiǎn)險(xiǎn)評估的的未來，但是，目前國國內(nèi)提供供真正安安全風(fēng)險(xiǎn)險(xiǎn)評估服服務(wù)的卻卻只有少少數(shù)企業(yè)業(yè)。不過

2、過，通過過對這些些企業(yè)的的采訪，我們印印證了大大多數(shù)人人的設(shè)想想安安全風(fēng)險(xiǎn)險(xiǎn)評估確確是一支支開始萌萌芽的“潛力股股”。 提起220022年年底底的互聯(lián)聯(lián)網(wǎng)大會會，啟明明星辰首首席技術(shù)術(shù)官劉恒恒至今印印象深刻刻。在那那次會議議上，作作為安全全專題的的講演者者之一，劉恒頗頗為有趣趣地體會會了一回回什么叫叫英雄所所見，因因?yàn)榕c劉劉恒一樣樣，另外外三名安安全專家家也不約約而同選選擇了同同一個(gè)演演講主題題安安全風(fēng)險(xiǎn)險(xiǎn)評估管管理。 在會后后的交流流中，四四位“英英雄”半半開玩笑笑地指出出:“既既然大家家都看好好安全風(fēng)風(fēng)險(xiǎn)評估估市場，那索性性將20003年年定名為為安全風(fēng)風(fēng)險(xiǎn)評估估年。” 半年多多時(shí)間過過去

3、了，市場為為這個(gè)帶帶有玩笑笑性質(zhì)的的預(yù)測做做了最好好的注腳腳?！斑M(jìn)進(jìn)入20003年年后，公公司關(guān)于于安全風(fēng)風(fēng)險(xiǎn)評估估的單子子明顯增增多，2200萬萬以上的的項(xiàng)目正正在執(zhí)行行的有兩兩個(gè)，”劉恒說說。在記記者的追追問下，劉恒對對市場做做了一個(gè)個(gè)保守估估計(jì)：“以20003年年上半年年的落單單情況看看，安全全風(fēng)險(xiǎn)評評估市場場的總額額應(yīng)該在在八千萬萬到一個(gè)個(gè)億的樣樣子?！卑步j(luò)科科技的CCTO謝謝朝霞對對這個(gè)問問題的回回答很干干脆: “用在在安全風(fēng)風(fēng)險(xiǎn)評估估上的投投資能占占用戶總總投資的的1%5%，電信和和金融用用戶能達(dá)達(dá)到3%5%?！卑窗创吮壤龘Q算，僅銀行行市場，每年用用于網(wǎng)絡(luò)絡(luò)安全評評估的費(fèi)費(fèi)用將超

4、超過幾個(gè)個(gè)億。 我們無無意求證證這些數(shù)數(shù)字的精精確程度度，因?yàn)闉檫@不重重要。重重要的是是，從這這些最前前沿市場場中人的的判斷，我們看看到了安安全風(fēng)險(xiǎn)險(xiǎn)評估正正在從概概念走向向應(yīng)用，從空中中樓閣走走向觸手手可及。而對那那些已經(jīng)經(jīng)開始這這項(xiàng)業(yè)務(wù)務(wù)卻無斬?cái)孬@或?qū)⒁_始始卻有迷迷茫的企企業(yè)來說說，先行行成功者者的體驗(yàn)驗(yàn)無疑是是最可寶寶貴的。 安全風(fēng)風(fēng)險(xiǎn)評估估的內(nèi)涵涵與外延延 什么是是安全風(fēng)風(fēng)險(xiǎn)評估估？夸張張地講，一千個(gè)個(gè)人有一一千個(gè)答答案。 這些答答案或許許沒有本本質(zhì)區(qū)別別，但是是，因?yàn)闉楝F(xiàn)階段段的市場場尚沒有有一個(gè)明明確的定定義，每每個(gè)人對對安全風(fēng)風(fēng)險(xiǎn)評估估的理解解，將會會因?yàn)閮?nèi)內(nèi)涵與外外延的不不

5、同，呈呈現(xiàn)溢出出或缺損損的現(xiàn)象象?；蛟S許，從用用戶的需需求角度度，更容容易將這這個(gè)問題題講明白白，也更更具有現(xiàn)現(xiàn)實(shí)意義義。 作為一一家電子子商務(wù)公公司的網(wǎng)網(wǎng)管，小小路深感感責(zé)任重重大。自自從20001年年成立以以來，公公司網(wǎng)絡(luò)絡(luò)多次受受到來自自黑客的的攻擊，最嚴(yán)重重的一次次，業(yè)務(wù)務(wù)因此停停頓了224小時(shí)時(shí)。為此此，小路路需要經(jīng)經(jīng)常上網(wǎng)網(wǎng)查找最最新安全全動態(tài)。到目前前為止，僅在IIE瀏覽覽器上，小路就就已經(jīng)打打了不下下7個(gè)補(bǔ)補(bǔ)丁。但但是，從從IE瀏瀏覽器、Apaachee HTTTP Serrverr、到域域名軟件件BINND，都都可能是是下一個(gè)個(gè)風(fēng)險(xiǎn)的的發(fā)源地地?！帮L(fēng)風(fēng)險(xiǎn)無處處不在，”小路路說

6、，“如果想想到種種種可能性性，真會會讓人晚晚上睡不不著覺。”為了了讓小路路和公司司領(lǐng)導(dǎo)都都能睡上上好覺，20003年初初，小路路所在的的公司請請了一家家專業(yè)公公司為自自己的網(wǎng)網(wǎng)絡(luò)系統(tǒng)統(tǒng)作安全全評估，合同期期為一年年，除了了最開始始兩個(gè)月月對系統(tǒng)統(tǒng)、網(wǎng)絡(luò)絡(luò)、應(yīng)用用作全面面地掃描描和評測測外，在在后面的的10個(gè)個(gè)月里，安全公公司將全全面檢測測小路公公司網(wǎng)絡(luò)絡(luò)流量的的進(jìn)出情情況，并并將最新新發(fā)布的的安全漏漏洞以及及補(bǔ)丁情情況及時(shí)時(shí)通報(bào)給給小路。一旦發(fā)發(fā)生問題題，服務(wù)務(wù)商承諾諾在1個(gè)個(gè)小時(shí)內(nèi)內(nèi)做出反反應(yīng)。 小路公公司的要要求幾乎乎涵蓋了了安全風(fēng)風(fēng)險(xiǎn)評估估的大部部分內(nèi)容容。如漏漏洞掃描描，可以以劃歸脆脆

7、弱性分分析; 評測過過程，可可以算作作威脅分分析、風(fēng)風(fēng)險(xiǎn)分析析。通常常來講，風(fēng)險(xiǎn)咨咨詢公司司都會從從資產(chǎn)調(diào)調(diào)查開始始，逐步步進(jìn)行脆脆弱性分分析、威威脅分析析、風(fēng)險(xiǎn)險(xiǎn)分析，針對風(fēng)風(fēng)險(xiǎn)提出出解決方方案，并并提供業(yè)業(yè)務(wù)連續(xù)續(xù)性綜合合辦法。有些咨咨詢公司司，還會會應(yīng)客戶戶的要求求，為加加固后的的網(wǎng)絡(luò)系系統(tǒng)做二二次評估估。 從范圍圍上看，安全風(fēng)風(fēng)險(xiǎn)評估估又可分分為基線線風(fēng)險(xiǎn)評評估、非非正式（快速）風(fēng)險(xiǎn)評評估、詳詳細(xì)風(fēng)險(xiǎn)險(xiǎn)評估與與綜合風(fēng)風(fēng)險(xiǎn)評估估。其中中，基線線評估通通常會在在啟動一一個(gè)系統(tǒng)統(tǒng)建設(shè)項(xiàng)項(xiàng)目之前前開始。非正式式評估是是針對具具體問題題，通過過工具和和人的經(jīng)經(jīng)驗(yàn)，找找到問題題，提出出解決辦辦法。

8、詳詳細(xì)評估估則需從從物理系系統(tǒng)上、數(shù)據(jù)上上以及管管理等方方面進(jìn)行行全面的的評測。綠盟科科技工程程部安全全工程師師于慧龍龍認(rèn)為，目前，國內(nèi)第第二種評評估比較較多。 從評估估主體上上看，安安全風(fēng)險(xiǎn)險(xiǎn)評估又又可分為為自評、國家授授權(quán)的專專業(yè)評估估機(jī)構(gòu)評評測和以以服務(wù)商商為主體體的市場場化評估估行為?！澳壳扒埃瑖鴥?nèi)內(nèi)缺乏相相關(guān)網(wǎng)絡(luò)絡(luò)安全定定級標(biāo)準(zhǔn)準(zhǔn)，因此此，國家家還沒有有設(shè)定這這樣的專專業(yè)評估估機(jī)構(gòu)，”北京京中科網(wǎng)網(wǎng)威技術(shù)術(shù)中心副副總經(jīng)理理吳云坤坤說。 作為目目前市場場最主要要的群體體，安全全服務(wù)公公司提供供的評估估又可分分為兩大大類：評評估加固固與評估估咨詢?！爸行⌒】蛻敉ㄍǔＯ矚g歡采用前前者。”劉

9、恒說說，“他他們通常常會就網(wǎng)網(wǎng)絡(luò)現(xiàn)狀狀做一個(gè)個(gè)調(diào)查，從主機(jī)機(jī)到網(wǎng)絡(luò)絡(luò)到安全全設(shè)備，全面查查找安全全漏洞，然后，要求咨咨詢公司司提供加加固服務(wù)務(wù)。大客客戶則需需要全面面掌握網(wǎng)網(wǎng)絡(luò)安全全的情況況，要求求服務(wù)商商從系統(tǒng)統(tǒng)到管理理，提出出全面的的風(fēng)險(xiǎn)管管理辦法法。” 自測系系統(tǒng)安全全的幾個(gè)個(gè)漸進(jìn)方方法測試類別敏感性系統(tǒng)的實(shí)施周期普通系統(tǒng)的實(shí)施周期復(fù)雜性工作難度風(fēng)險(xiǎn)任務(wù)和作用網(wǎng)絡(luò)映射3個(gè)月12個(gè)月中中中確定網(wǎng)絡(luò)結(jié)構(gòu)、使用中的主機(jī)個(gè)數(shù)和軟件確定未經(jīng)授權(quán)但卻連接在網(wǎng)絡(luò)上的主機(jī)確定打開的端口確定未經(jīng)授權(quán)的服務(wù)脆弱性掃描3個(gè)月6個(gè)月12個(gè)月高高中確定網(wǎng)絡(luò)結(jié)構(gòu)、使用中的主機(jī)和軟件確定需要進(jìn)行脆弱性分析的計(jì)算機(jī)在分

10、析目標(biāo)的計(jì)算機(jī)中找出可能被攻擊的漏洞確定OS和主要應(yīng)用軟件是否及時(shí)升級或者打補(bǔ)丁滲透性測試12個(gè)月12個(gè)月高高高決定測試目標(biāo)，確定脆弱性等級，以及可能產(chǎn)生的破壞程度檢查系統(tǒng)人員在發(fā)生安全問題時(shí)的響應(yīng)速度、對安全政策的執(zhí)行情況以及安全方面的基礎(chǔ)知識等安全測試與評估至少3年一次，或在系統(tǒng)做出大的改變的時(shí)候至少3年一次高高高發(fā)現(xiàn)設(shè)計(jì)、實(shí)施、以及運(yùn)行中存在的安全問題從物理措施、保險(xiǎn)等各個(gè)角度，重新部署安全措施，來保證安全制度的實(shí)施評估系統(tǒng)文件與實(shí)際狀況之間的差異性解碼1個(gè)月12個(gè)月低低低確認(rèn)生成密碼的原則是有效且可行的確認(rèn)用戶是否按照系統(tǒng)制訂的原則設(shè)置密碼日志檢查1周1周中中低確保系統(tǒng)按照設(shè)定的原則運(yùn)

11、行完整性檢查1個(gè)月或根據(jù)實(shí)際需要隨時(shí)進(jìn)行1個(gè)月低低低發(fā)現(xiàn)未經(jīng)授權(quán)的文件修改病毒檢測1周或根據(jù)需要隨時(shí)進(jìn)行1周或根據(jù)需要隨時(shí)進(jìn)行低低低在病毒發(fā)作前，發(fā)現(xiàn)并刪除病毒撥號檢測12個(gè)月12個(gè)月低低中發(fā)現(xiàn)非法Modems，阻止未經(jīng)授權(quán)的進(jìn)入細(xì)節(jié)之之中見真真章 很多情情況下，細(xì)節(jié)決決定結(jié)果果。特定定到安全全風(fēng)險(xiǎn)評評估領(lǐng)域域，在完完成最初初的認(rèn)知知之后，今天的的服務(wù)商商們，又又有誰，不是力力爭在細(xì)細(xì)節(jié)上打打敗對手手？ 如果三三年前，有人提提到安全全風(fēng)險(xiǎn)評評估概念念，那他他多半是是指漏洞洞掃描。即便在在今天，很多企企業(yè)仍將將這個(gè)原原本宏大大的評估估概念狹狹義地限限定為漏漏洞掃描描與修補(bǔ)補(bǔ)。如果果是這樣樣，服務(wù)

12、務(wù)公司很很難區(qū)分分彼此，“現(xiàn)成成的掃描描工具與與產(chǎn)品有有很多，我們自自己也可可以買來來工具做做掃描，”作為為用戶，深圳電電信的陳陳波對此此狹義理理解也很很不能接接受。 事實(shí)上上，真正正的安全全評估服服務(wù)價(jià)值值遠(yuǎn)遠(yuǎn)超超越簡單單的掃描描。 最基本本的，網(wǎng)網(wǎng)絡(luò)安全全風(fēng)險(xiǎn)是是動態(tài)的的。僅從從20001年112月到到20002年112月，關(guān)于SSQL服服務(wù)器上上的漏洞洞，就有有11個(gè)個(gè)報(bào)告。而這期期間，跟跟蹤漏洞洞報(bào)告及及時(shí)與否否，就顯顯得格外外重要。一些專專家還明明確指出出，在使使用SQQL服務(wù)務(wù)器的時(shí)時(shí)候，不不要將114333端口和和14334端口口打開。如果一一定要聯(lián)聯(lián)接，就就不要采采用SQQL服

13、務(wù)務(wù)器，除除非你能能保證在在第一時(shí)時(shí)間打補(bǔ)補(bǔ)丁。為為了這個(gè)個(gè)“第一一時(shí)間”，小路路所在的的公司才才會找來來專業(yè)公公司幫忙忙。 除了硬硬件系統(tǒng)統(tǒng)、網(wǎng)絡(luò)絡(luò)、操作作系統(tǒng)等等的安全全風(fēng)險(xiǎn)評評估外，應(yīng)用的的安全評評估更顯顯“真功功夫”。湖北移移動夢網(wǎng)網(wǎng)部的張張明峻認(rèn)認(rèn)為，應(yīng)應(yīng)用系統(tǒng)統(tǒng)安全隱隱患很多多。 作為非非標(biāo)準(zhǔn)化化的軟件件產(chǎn)品，很多應(yīng)應(yīng)用在開開發(fā)過程程中都缺缺乏對安安全問題題的統(tǒng)籌籌考慮?！?.0版本本的軟件件通常會會有很多多安全方方面的問問題，”一個(gè)專專家警告告說。在在升級過過程中，某證券券公司的的網(wǎng)絡(luò)管管理員發(fā)發(fā)現(xiàn)，自自從公司司的股票票交易系系統(tǒng)升級級后，用用戶投訴訴開始增增多。很很多用戶戶反映

14、，在輸入入賬戶、密碼、端口號號碼以及及代理服服務(wù)器的的地址后后，卻無無法進(jìn)入入交易系系統(tǒng)。經(jīng)經(jīng)過查證證，請來來解決問問題的安安全服務(wù)務(wù)公司發(fā)發(fā)現(xiàn)，因因?yàn)樾掳姘姹九c原原來的網(wǎng)網(wǎng)絡(luò)環(huán)境境，包括括安全系系統(tǒng)不匹匹配，用用戶無法法通過防防火墻。“因?yàn)闉樽C券公公司有五五個(gè)不同同的防火火墻。在在這種情情況下，只有在在防火墻墻上新打打開一個(gè)個(gè)入口，用戶才才能進(jìn)入入系統(tǒng)，”服務(wù)務(wù)工程師師說。 最后，在服務(wù)務(wù)公司的的建議下下，這個(gè)個(gè)證券公公司選擇擇使用另另外一個(gè)個(gè)應(yīng)用系系統(tǒng)?！斑@是一一個(gè)明智智的選擇擇，否則則，這個(gè)個(gè)應(yīng)用將將帶來潛潛在的安安全隱患患，”謝謝朝霞評評價(jià)說。 能在事事前幫助助用戶排排除風(fēng)險(xiǎn)險(xiǎn)固然不不

15、錯(cuò)，但但并非每每個(gè)用戶戶都會做做出同樣樣的選擇擇，當(dāng)發(fā)發(fā)生問題題時(shí)，作作為安全全風(fēng)險(xiǎn)評評估公司司，是否否能在最最短的時(shí)時(shí)間，排排除其他他可能性性，從應(yīng)應(yīng)用層面面找到問問題癥結(jié)結(jié)，同樣樣至關(guān)重重要。 另外，無論自自己提供供安全產(chǎn)產(chǎn)品與否否，作為為提供服服務(wù)的安安全公司司，不要要忘了，網(wǎng)絡(luò)安安全產(chǎn)品品本身同同樣可能能存在漏漏洞。去去年，在在為政府府部門檢檢測一個(gè)個(gè)安全評評估工具具時(shí)，一一家安全全風(fēng)險(xiǎn)評評估公司司發(fā)現(xiàn)了了掃描軟軟件自身身存在漏漏洞，這這個(gè)漏洞洞，在某某種程度度上，使使整個(gè)網(wǎng)網(wǎng)絡(luò)暴露露在危險(xiǎn)險(xiǎn)之中。 實(shí)踐者者的方法法論 實(shí)踐需需要理論論指導(dǎo)，但市場場往往等等不得成成熟理論論的出臺臺，就

16、已已經(jīng)急切切地憑著著直覺向向前奔去去。不過過，聰明明的實(shí)踐踐者總能能在忽左左忽右的的摸索中中找到平平衡點(diǎn)，進(jìn)而形形成自己己的方法法論，高高明的，更會在在日后成成為完整整理論的的奠基者者。 在采訪訪中，眾眾多被調(diào)調(diào)查者一一致認(rèn)為為，眼下下安全風(fēng)風(fēng)險(xiǎn)評估估市場最最大的問問題之一一是缺乏乏評估標(biāo)標(biāo)準(zhǔn)，這這個(gè)答案案幾乎是是此次采采訪中唯唯一例外外的“標(biāo)標(biāo)準(zhǔn)”答答案。 從目前前的市場場情況看看，有關(guān)關(guān)安全的的標(biāo)準(zhǔn)已已有一大大堆，如如美國TTCSEEC、BBS77799、ISOO154408、ISOO/IEEC1777999和ISSO1333355等。但但具體到到安全風(fēng)風(fēng)險(xiǎn)評估估上，每每個(gè)標(biāo)準(zhǔn)準(zhǔn)卻都有有其

17、局限限性。按按照于慧慧龍的說說法，IISO1154008，雖雖然在功功能上比比較全面面，但卻卻沒有安安全管理理方面的的規(guī)范，對系統(tǒng)統(tǒng)評測方方面的規(guī)規(guī)范也不不足；IISO1133335，因因?yàn)橹朴営喌臅r(shí)間間早，與與目前的的市場情情況有些些脫節(jié)；BS777999，雖然然詳盡但但非常復(fù)復(fù)雜，雖雖然全面面但不夠夠有針對對性。由由BS777999派生出出來的IISO1177999，強(qiáng)強(qiáng)調(diào)了針針對性，卻在安安全評估估方面比比較簡單單，缺乏乏對照的的標(biāo)準(zhǔn)。 來自實(shí)實(shí)戰(zhàn)的經(jīng)經(jīng)驗(yàn)表明明，在評評估過程程中，咨咨詢工程程師最常常面對的的問題是是，資產(chǎn)產(chǎn)多重要要才算重重要？什什么樣的的系統(tǒng)損損失可能能構(gòu)成什什么樣的的

18、經(jīng)濟(jì)損損失？怎怎樣的技技術(shù)體系系達(dá)到怎怎樣的安安全等級級？一個(gè)個(gè)病毒中中斷了郵郵件系統(tǒng)統(tǒng)，企業(yè)業(yè)因此造造成的經(jīng)經(jīng)濟(jì)損失失和社會會影響如如何計(jì)算算？如果果黑客入入侵，盡盡管沒有有造成經(jīng)經(jīng)濟(jì)損失失，但企企業(yè)的名名譽(yù)損失失又該如如何衡量量？ 事實(shí)上上，這些些問題將將從各個(gè)個(gè)角度決決定一個(gè)個(gè)系統(tǒng)安安全評估估的結(jié)果果。在沒沒有一個(gè)個(gè)相關(guān)標(biāo)標(biāo)準(zhǔn)的情情況下，各家公公司更多多的是參參考國外外標(biāo)準(zhǔn)，憑借各各自積累累的經(jīng)驗(yàn)驗(yàn)、與用用戶多做做溝通來來解決。有心的的公司，更是將將這些經(jīng)經(jīng)驗(yàn)累計(jì)計(jì)下來，形成文文檔，總總結(jié)出各各自的咨咨詢規(guī)范范。謝朝朝霞說：“通過過三年的的時(shí)間，我們積積累了一一個(gè)巨大大的知識識庫和工工具

19、庫，新來的的員工，借助這這些手段段，也能能很快進(jìn)進(jìn)入工作作狀態(tài)?！眴⒚髅餍浅絼t則將這些些寶貴的的工作總總結(jié)出來來，與國國際上的的先進(jìn)產(chǎn)產(chǎn)品結(jié)合合起來，做成有有針對性性的評估估軟件產(chǎn)產(chǎn)品。 從發(fā)展展過程看看，國內(nèi)內(nèi)安全風(fēng)風(fēng)險(xiǎn)評估估市場經(jīng)經(jīng)歷了三三個(gè)階段段：1、不注重重標(biāo)準(zhǔn)，2、過過于依賴賴標(biāo)準(zhǔn)，3、跨跨越標(biāo)準(zhǔn)準(zhǔn)。“我我們現(xiàn)在在處于第第三階段段，在具具有適應(yīng)應(yīng)性特點(diǎn)點(diǎn)的國家家標(biāo)準(zhǔn)出出臺之前前，我們們先在內(nèi)內(nèi)部制定定具有可可操作性性的行為為規(guī)范，”劉恒恒說。 清內(nèi)憂憂難于除除外患 在受過過黑客攻攻擊和病病毒的“洗禮”之后，很多用用戶開始始在防御御外來風(fēng)風(fēng)險(xiǎn)方面面提高了了警戒，但是，在漏洞洞更多、管理

20、更更復(fù)雜的的內(nèi)部風(fēng)風(fēng)險(xiǎn)方面面，大多多數(shù)企業(yè)業(yè)仍疏于于防范，或缺少少規(guī)則。與之相相對應(yīng)的的，內(nèi)部部安全風(fēng)風(fēng)險(xiǎn)評估估難度也也就更高高。 按照北北京中科科網(wǎng)威技技術(shù)中心心副總經(jīng)經(jīng)理吳云云坤的說說法，系系統(tǒng)越復(fù)復(fù)雜，企企業(yè)越需需要風(fēng)險(xiǎn)險(xiǎn)評估，評估過過程也會會更有挑挑戰(zhàn)性。 對一個(gè)個(gè)B2BB或B22C的網(wǎng)網(wǎng)站來說說，它的的網(wǎng)絡(luò)結(jié)結(jié)構(gòu)可以以統(tǒng)一歸歸類為單單點(diǎn)對多多點(diǎn)模式式。 但但內(nèi)部的的網(wǎng)絡(luò)結(jié)結(jié)構(gòu)，則則通常屬屬于多點(diǎn)點(diǎn)對多點(diǎn)點(diǎn)。業(yè)務(wù)務(wù)部與業(yè)業(yè)務(wù)部之之間、業(yè)業(yè)務(wù)部與與辦公室室之間，每個(gè)人人與每個(gè)個(gè)人之間間，都將將連接在在一起?！瓣P(guān)聯(lián)聯(lián)點(diǎn)越多多，系統(tǒng)統(tǒng)越復(fù)雜雜，”吳吳云坤說說，“相相應(yīng)的工工作流也也呈現(xiàn)多多樣

21、化和和多角度度的形態(tài)態(tài)。”因因此，在在提供安安全評估估的過程程中，服服務(wù)商必必須對企企業(yè)內(nèi)部部的業(yè)務(wù)務(wù)流程、管理模模式有相相當(dāng)?shù)牧肆私猓挪拍芮兄兄幸Α?據(jù)有關(guān)關(guān)機(jī)構(gòu)統(tǒng)統(tǒng)計(jì)，目目前，國國內(nèi)銀行行與網(wǎng)絡(luò)絡(luò)相關(guān)的的經(jīng)濟(jì)犯犯罪1000%屬屬于內(nèi)部部作案或或內(nèi)外勾勾結(jié)。這這樣一個(gè)個(gè)觸目驚驚心的數(shù)數(shù)字令人人不禁想想到，銀銀行業(yè)內(nèi)內(nèi)部的安安全防范范是怎樣樣的脆弱弱。 通過為為一些銀銀行用戶戶做評估估，謝朝朝霞發(fā)現(xiàn)現(xiàn)，很多多風(fēng)險(xiǎn)出出在管理理上，如如銀行的的生產(chǎn)環(huán)環(huán)境與網(wǎng)網(wǎng)絡(luò)開發(fā)發(fā)環(huán)境本本應(yīng)該嚴(yán)嚴(yán)格分開開，非業(yè)業(yè)務(wù)操作作人員進(jìn)進(jìn)出營業(yè)業(yè)現(xiàn)場應(yīng)應(yīng)該有嚴(yán)嚴(yán)格的登登記制度度。但是是，在實(shí)實(shí)際中，很多技技術(shù)開發(fā)發(fā)人

22、員隨隨便出入入生產(chǎn)現(xiàn)現(xiàn)場。最最早的一一起銀行行網(wǎng)絡(luò)安安全事故故，就是是因?yàn)殚_開發(fā)人員員偷看了了操作人人員登錄錄密碼，偷走了了26萬萬元現(xiàn)金金。就是是這樣一一些與網(wǎng)網(wǎng)絡(luò)、與與技術(shù)沒沒有本質(zhì)質(zhì)關(guān)聯(lián)的的問題，造成了了大量事事實(shí)上的的安全風(fēng)風(fēng)險(xiǎn)。還還有一些些銀行，基礎(chǔ)設(shè)設(shè)施落后后，有些些甚至還還在使用用安全性性很差的的HUBB，這種種產(chǎn)品，只要隨隨便連通通到一個(gè)個(gè)端口上上，就可可監(jiān)看所所有的信信息流量量。 這些問問題其實(shí)實(shí)反映出出同一個(gè)個(gè)本質(zhì)，即用戶戶內(nèi)部安安全防范范意識淡淡薄。因因此，對對安全評評估供應(yīng)應(yīng)商來說說，打破破常規(guī)，改變觀觀念也是是評估過過程中需需要解決決的問題題之一。 需求篇篇 多汁的的

23、酸桔子子 柳傳志志曾說過過一句話話，利潤潤像海綿綿里的水水，是擠擠出來的的。這句句話放在在任何一一個(gè)成熟熟市場都都很合適適。不過過，作為為一個(gè)全全新啟動動的領(lǐng)域域，安全全風(fēng)險(xiǎn)評評估市場場更像一一個(gè)多汁汁但尚未未成熟的的桔子，汁液雖雖然豐富富，但要要想吃得得好，需需要先了了解桔子子的成分分，然后后想出各各種新方方法，或或蒸或煮煮或加糖糖，重要要的是，只有打打破常規(guī)規(guī)，才能能提前品品嘗好味味。 茶杯里里的大象象 從最初初的市場場需求看看，國內(nèi)內(nèi)的安全全風(fēng)險(xiǎn)評評估出產(chǎn)產(chǎn)于安全全事故。如黑客客入侵，病毒發(fā)發(fā)作，網(wǎng)網(wǎng)絡(luò)“無無緣無故故”的癱癱瘓，用用戶靠自自己的力力量解決決不了，于是開開始從外外部尋求求幫

24、助。 但是，從這個(gè)個(gè)需求點(diǎn)點(diǎn)開始，服務(wù)公公司往往往幫助用用戶發(fā)現(xiàn)現(xiàn)更多的的安全隱隱患，就就像“事事故”這這個(gè)小茶茶杯里裝裝入了“評估”這頭大大象，拾拾遺補(bǔ)缺缺式的簡簡單要求求牽扯出出的是一一系列評評測、分分析與整整體解決決方案的的需求。 隨著網(wǎng)網(wǎng)絡(luò)大環(huán)環(huán)境與企企業(yè)小網(wǎng)網(wǎng)絡(luò)環(huán)境境的日趨趨復(fù)雜，各種“茶杯”多了起起來。如如黑客大大戰(zhàn)爆發(fā)發(fā)，網(wǎng)絡(luò)絡(luò)投資前前的安全全評估，企業(yè)領(lǐng)領(lǐng)導(dǎo)對不不斷擴(kuò)大大的網(wǎng)絡(luò)絡(luò)安全現(xiàn)現(xiàn)狀的了了解需求求，行業(yè)業(yè)領(lǐng)頭羊羊或總部部的拉動動作用、大行業(yè)業(yè)的引導(dǎo)導(dǎo)作用等等，都可可能促成成一個(gè)評評估合同同的產(chǎn)生生。除此此之外，政策的的原因，如某個(gè)個(gè)行業(yè)整整體提升升網(wǎng)絡(luò)安安全的需需求，大大

25、事件的的發(fā)生，如兩會會期間的的網(wǎng)絡(luò)安安全問題題，也會會誘發(fā)短短期需求求。但真真正促成成這個(gè)市市場發(fā)展展的因素素仍來自自企業(yè)認(rèn)認(rèn)識的提提高以及及網(wǎng)絡(luò)變變得復(fù)雜雜后，為為保證網(wǎng)網(wǎng)絡(luò)可用用性、可可靠性、保密性性，不得得不借助助外部力力量的切切實(shí)要求求。 “因?yàn)闉檎摺⒁驗(yàn)楦鞲鞣N外在在因素促促成的需需求是不不可靠的的，這樣樣的用戶戶，即使使簽了單單，未來來開發(fā)潛潛力也不不會很大大，”劉劉恒說。事實(shí)上上，安全全評估市市場的可可重復(fù)性性很強(qiáng)，就像檢檢查身體體一樣，不可能能一次檢檢查，一一勞永逸逸。因此此，了解解現(xiàn)有用用戶需求求動機(jī)，洞察用用戶發(fā)展展?jié)摿?，對供?yīng)應(yīng)者來說說，是獲獲得事半半功倍效效果的關(guān)關(guān)鍵之

26、一一。 增加手手中的籌籌碼 相比較較而言，國內(nèi)的的網(wǎng)絡(luò)安安全評估估市場遠(yuǎn)遠(yuǎn)比國外外滯后。從根本本上講，網(wǎng)絡(luò)整整體發(fā)展展階段的的不同造造成了這這種差異異。從不不少概念念片里看看到的，如用手手機(jī)買票票，通過過機(jī)場免免費(fèi)系統(tǒng)統(tǒng)查找出出租車，無需見見面就簽簽合同、買賣商商品（包包括企業(yè)業(yè)間的大大訂單），事實(shí)實(shí)上已經(jīng)經(jīng)成為很很多美國國人生活活中的必必要組成成。而我我們，盡盡管在信信息獲得得上已經(jīng)經(jīng)對網(wǎng)絡(luò)絡(luò)構(gòu)成依依賴，但但是，就就買賣行行為而言言，更多多的還是是發(fā)生在在網(wǎng)外，最多上上網(wǎng)買個(gè)個(gè)圖書與與CD，多數(shù)情情況下，還會選選擇貨到到付款。 正是因因?yàn)閲馔膺@種無無處不在在、隨手手可用的的網(wǎng)絡(luò)現(xiàn)現(xiàn)狀，帶帶

27、來方便便的同時(shí)時(shí)，也催催生了意意愿之外外的副產(chǎn)產(chǎn)品網(wǎng)絡(luò)安安全隱患患。當(dāng)然然，你無無需低估估人類的的智慧，因?yàn)榫o緊隨其后后的，就就是各種種針對安安全的產(chǎn)產(chǎn)品與服服務(wù)的誕誕生和發(fā)發(fā)展。 網(wǎng)絡(luò)環(huán)環(huán)境的區(qū)區(qū)別，或或許是國國內(nèi)外網(wǎng)網(wǎng)絡(luò)安全全風(fēng)險(xiǎn)評評估市場場巨大差差異的本本質(zhì)原因因。因?yàn)闉檫@樣的的環(huán)境，由此衍衍生的各各種服務(wù)務(wù)又反過過來對評評估市場場帶來新新的動力力。 如B22B業(yè)務(wù)務(wù)的發(fā)展展。很多多國外企企業(yè)為了了向客戶戶證明自自己的網(wǎng)網(wǎng)絡(luò)是安安全的，在建立立B2BB業(yè)務(wù)之之前，紛紛紛尋找找第三方方安全風(fēng)風(fēng)險(xiǎn)評估估公司，為自己己的網(wǎng)絡(luò)絡(luò)安全做做評估，有些在在遵循評評估公司司的建議議，修補(bǔ)補(bǔ)網(wǎng)絡(luò)后后，還會

28、會進(jìn)行二二次評估估，確定定自己網(wǎng)網(wǎng)絡(luò)安全全的等級級，最終終贏得用用戶的信信任。 另外，隨著近近年來網(wǎng)網(wǎng)絡(luò)安全全事件頻頻繁發(fā)生生，有關(guān)關(guān)網(wǎng)絡(luò)安安全保險(xiǎn)險(xiǎn)的業(yè)務(wù)務(wù)開始萌萌芽。從從保險(xiǎn)公公司的角角度，費(fèi)費(fèi)率的制制定，與與客戶網(wǎng)網(wǎng)絡(luò)的安安全等級級大有關(guān)關(guān)系，網(wǎng)網(wǎng)絡(luò)越安安全，費(fèi)費(fèi)率越低低。如果果企業(yè)能能證明自自己的網(wǎng)網(wǎng)絡(luò)非常常安全，就有可可能以極極低的價(jià)價(jià)格獲得得保險(xiǎn)。而這一一現(xiàn)象，同樣促促進(jìn)安全全風(fēng)險(xiǎn)評評估市場場的發(fā)展展。作為為國內(nèi)安安全風(fēng)險(xiǎn)險(xiǎn)評估供供應(yīng)商，或許可可以通過過與保險(xiǎn)險(xiǎn)公司合合作的方方式，從從側(cè)面拉拉動市場場的發(fā)展展。 先摘夠夠得著的的果子 如果按按照每年年幾個(gè)億億計(jì)算，今天的的安全風(fēng)風(fēng)險(xiǎn)

29、評估估市場只只能算作作小菜。就國內(nèi)內(nèi)市場來來看，電電信行業(yè)業(yè)顯然是是“第一一個(gè)吃螃螃蟹的人人”。根根據(jù)IDDC的調(diào)調(diào)查，220033年，亞亞太電信信公司花花在網(wǎng)絡(luò)絡(luò)安全上上的開支支將占整整個(gè)ITT開支的的15%。400%的受受訪者表表示，他他們面對對的安全全問題有有所增加加。對各各種新技技術(shù)、新新服務(wù)體體驗(yàn)的意意愿，讓讓中國的的電信市市場成為為全世界界供應(yīng)商商眼中“最可愛愛的人”。就安安全風(fēng)險(xiǎn)險(xiǎn)評估市市場來說說，電信信同樣給給了供應(yīng)應(yīng)商希望望，并起起到了“帶頭”作用。“今年年，我們們幾個(gè)大大的評估估單子都都是來自自電信，”劉恒恒說。 緊隨其其后的是是金融，包括銀銀行、證證券和保保險(xiǎn)。在在這一點(diǎn)

30、點(diǎn)上，南南北供應(yīng)應(yīng)商認(rèn)識識不一，謝朝霞霞認(rèn)為，銀行在在商務(wù)上上的風(fēng)險(xiǎn)險(xiǎn)最大，因此，對網(wǎng)絡(luò)絡(luò)評估的的需求也也最強(qiáng)烈烈。從安安絡(luò)科技技的業(yè)務(wù)務(wù)組成上上看，來來自銀行行與證券券的用戶戶最多，電信其其次。劉劉恒則指指出，在在安全風(fēng)風(fēng)險(xiǎn)評估估業(yè)務(wù)上上，今年年，電信信市場真真正啟動動了。金金融領(lǐng)域域零散的的單子雖雖然不少少，但整整個(gè)行業(yè)業(yè)的大規(guī)規(guī)模啟動動應(yīng)該在在明年。而吳云云坤則認(rèn)認(rèn)為，未未來，隨隨著安全全評估標(biāo)標(biāo)準(zhǔn)的確確定，銀銀行將會會以自評評為主?！耙?yàn)闉殂y行的的業(yè)務(wù)系系統(tǒng)大多多是自己己開發(fā)完完成的，交給外外面的公公司做評評估，反反而增加加了安全全風(fēng)險(xiǎn)?！?政府方方面，總總體來看看，目前前在安全全風(fēng)險(xiǎn)

31、評評估上的的需求還還不很明明確。但但隨著電電子政務(wù)務(wù)的進(jìn)一一步發(fā)展展，與之之相關(guān)的的網(wǎng)絡(luò)安安全方面面的需求求必然會會有所加加強(qiáng)。 各種各各樣的網(wǎng)網(wǎng)站對安安全風(fēng)險(xiǎn)險(xiǎn)評估的的需求也也開始放放大。除除了自身身技術(shù)能能力比較較雄厚的的新浪、網(wǎng)易等等，不少少網(wǎng)站也也開始借借助外力力，評估估自己網(wǎng)網(wǎng)絡(luò)的安安全情況況。 產(chǎn)品服服務(wù)化和和服務(wù)產(chǎn)產(chǎn)品化是是兩個(gè)發(fā)發(fā)展趨勢勢，我們們希望在在這其中中找準(zhǔn)自自己的位位置。 北北京中科科網(wǎng)威 吳云坤坤 越是新新開發(fā)的的應(yīng)用，越需要要進(jìn)行安安全評估估。 安安絡(luò)科技技 謝朝朝霞 服務(wù)篇篇 風(fēng)口浪浪尖上的的淘金者者 概念多多，服務(wù)務(wù)少 早在220000年，綠綠盟科技技就提出出

32、了NSSPS安安全服務(wù)務(wù)體系，由此以以后，市市場上有有關(guān)安全全評估、安全服服務(wù)的概概念如雨雨后春筍筍，在各各種各樣樣的安全全公司落落地生根根。 不過，提出概概念容易易，提供供服務(wù)卻卻難。而而國內(nèi)市市場對有有償服務(wù)務(wù)的接受受程度過過低也一一直為企企業(yè)界所所詬病。在這樣樣不利的的外在環(huán)環(huán)境和小小我的局局限面前前，大部部分企業(yè)業(yè)更多地地將評估估等服務(wù)務(wù)作為概概念或者者輔助手手段，目目的在于于推進(jìn)其其主體業(yè)業(yè)務(wù)產(chǎn)品的的銷售。即便今今天，無無論是賣賣防火墻墻的，還還是賣控控制網(wǎng)關(guān)關(guān)的，大大部分以以產(chǎn)品起起家的安安全公司司，在安安全風(fēng)險(xiǎn)險(xiǎn)評估這這個(gè)環(huán)節(jié)節(jié)，仍有有“掛羊羊頭，賣賣狗肉”之嫌。從采訪訪的情況況

33、看，目目前，能能夠提供供完整而而真實(shí)的的安全風(fēng)風(fēng)險(xiǎn)評估估的企業(yè)業(yè)并不多多。 堅(jiān)定者者的殊途途同歸 無論是是最早提提出安全全服務(wù)概概念的綠綠盟，還還是爆發(fā)發(fā)力十足足的啟明明星辰，他們的的共同之之處在于于是安全全服務(wù)的的堅(jiān)定實(shí)實(shí)踐者。 在20000年年就把服服務(wù)作為為自己的的主營業(yè)業(yè)務(wù)，綠綠盟無疑疑走過一一段并不不平坦的的路。盡盡管在適適應(yīng)市場場的過程程中，綠綠盟也陸陸續(xù)推出出相關(guān)的的網(wǎng)絡(luò)入入侵檢測測產(chǎn)品、抗拒絕絕服務(wù)產(chǎn)產(chǎn)品。但但這些產(chǎn)產(chǎn)品也多多是圍繞繞服務(wù)需需要開發(fā)發(fā)的，目目的在于于形成與與服務(wù)的的互動。應(yīng)該說說，綠盟盟自始至至終都是是安全服服務(wù)的堅(jiān)堅(jiān)持者。最為業(yè)業(yè)界津津津樂道的的是，綠綠盟網(wǎng)羅

34、羅了不少少高手，這些網(wǎng)網(wǎng)絡(luò)安全全的守護(hù)護(hù)者，構(gòu)構(gòu)成了綠綠盟最難難被人超超越的技技術(shù)壁壘壘。 成立于于19996年的的啟明星星辰在安安全檢測測產(chǎn)品方方面一直直有著驕驕人的成成績。迄迄今為止止，已經(jīng)經(jīng)承擔(dān)了了國家級級、部級級重點(diǎn)信信息安全全科研項(xiàng)項(xiàng)目三十十多項(xiàng)。從20002年年開始，啟明星星辰開始始逐漸加加大安全全風(fēng)險(xiǎn)評評估服務(wù)務(wù)的投入入力度?！?0003年年上半年年，安全全風(fēng)險(xiǎn)評評估的單單子比預(yù)預(yù)計(jì)的翻翻了一倍倍，”劉劉恒說。憑借多多年的技技術(shù)積累累與良好好的客戶戶關(guān)系，啟明星星辰在評評估市場場可謂厚厚積薄發(fā)發(fā)，雄厚厚的人才才儲備，使啟明明星辰一一出手就就占了先先機(jī)。 服務(wù)好好壞，響響應(yīng)速度度顯

35、然是是服務(wù)一一個(gè)重要要的衡量量指標(biāo)。因此，本地化化在服務(wù)務(wù)中更易易突現(xiàn)其其作用。地處深深圳的安安絡(luò)科技技在南方方市場因因此具有有優(yōu)勢。而中國國市場向向來南方方先行的的特征，又讓安安絡(luò)科技技比別人人更有機(jī)機(jī)會積累累寶貴的的評估經(jīng)經(jīng)驗(yàn)?！澳壳埃瑏碜栽u評估的業(yè)業(yè)務(wù)已經(jīng)經(jīng)占到總總收入的的60%，”謝謝朝霞說說，“客客戶多來來自銀行行和電信信，單子子很多，規(guī)模一一般在幾幾萬到幾幾十萬。”具體體到評估估內(nèi)容，安絡(luò)強(qiáng)強(qiáng)調(diào)應(yīng)用用系統(tǒng)的的安全評評估與安安全管理理的規(guī)范范上。而而這一點(diǎn)點(diǎn)，對供供應(yīng)商的的行業(yè)理理解要求求很高。 另外，安氏在在安全風(fēng)風(fēng)險(xiǎn)評估估方面業(yè)業(yè)務(wù)開展展得也比比較早，通過代代理ISSS的幾幾個(gè)檢

36、測測工具，安氏早早期獲得得了不錯(cuò)錯(cuò)的市場場口碑。與安氏氏類似，瑪賽網(wǎng)網(wǎng)絡(luò)也曾曾在這個(gè)個(gè)市場顯顯山露水水，并為為業(yè)界培培養(yǎng)了不不少人才才。但是是，因?yàn)闉槿耸伦冏儎拥仍颍敩斮愐呀?jīng)經(jīng)被投資資方亞信收收回，它它下一步步的市場場舉動還還有待觀觀察。而而原來以以產(chǎn)品為為主的中中科網(wǎng)威威，近期期開始向向服務(wù)傾傾斜，并并召集了了不少精精英，意意欲在這這個(gè)潛力力巨大的的市場一一展身手手。 安全評評估很重重要，應(yīng)應(yīng)該每年年至少做做一次。我們對對目前得得到的服服務(wù)基本本滿意，但就是是價(jià)格太太貴了。 深深圳電信信 陳波波 目前，數(shù)據(jù)業(yè)業(yè)務(wù)占的的比例還還不高，相關(guān)的的網(wǎng)絡(luò)攻攻擊雖然然有，但但并未構(gòu)構(gòu)成太大大的威脅

37、脅。因此此，安全全風(fēng)險(xiǎn)評評估對我我們來說說，還不不是眼下下最要緊緊的事。 湖湖北移動動 張明明峻 HYPERLINK /rjsp/rkzj/20090521/8029_1.html# l # 信息系統(tǒng)統(tǒng)安全風(fēng)風(fēng)險(xiǎn)評估估應(yīng)用：評估過過程育龍網(wǎng)WWWW.CHHINAA-B.C0MM 20009年005月221日來源源：互聯(lián)聯(lián)網(wǎng) HYPERLINK / 育龍網(wǎng)核核心提示示： 信信息的安安全防范范工作一一直是整整個(gè)信息息系統(tǒng)安安全防范范工作中中的重點(diǎn)點(diǎn)之一。在本文文中就以以信息安安全風(fēng)險(xiǎn)險(xiǎn)評估對對象中的的網(wǎng)絡(luò)操操作痕跡跡信息檢檢查為信息的安安全防范范工作一一直是整整個(gè)信息息系統(tǒng)安安全防范范工作中中的重

38、點(diǎn)點(diǎn)之一。在本文文中就以以 HYPERLINK / 信息安安全風(fēng)險(xiǎn)險(xiǎn)評估對對象中的的網(wǎng)絡(luò)操操作痕跡跡信息檢檢查為評評估項(xiàng)目目，來說說明一次次安全風(fēng)風(fēng)險(xiǎn)評估估該如何何具體地地去做。一、安全全風(fēng)險(xiǎn)評評估準(zhǔn)備備階段在每次風(fēng)風(fēng)險(xiǎn)評估估開始之之前，一一個(gè)最好好的保證證評估過過程順利利完成，評估結(jié)結(jié)果真實(shí)實(shí)有效的的方法，就得為為此制定定一個(gè)風(fēng)風(fēng)險(xiǎn)評估估策略。但如果果只是對對某個(gè)獨(dú)獨(dú)立的或或者是臨臨時(shí)決定定的小評評估項(xiàng)目目進(jìn)行風(fēng)風(fēng)險(xiǎn)評估估， 而而且你和和你的評評估團(tuán)隊(duì)隊(duì)以前經(jīng)經(jīng)常對些些小評估估項(xiàng)目進(jìn)進(jìn)行風(fēng)險(xiǎn)險(xiǎn)評估，那么，只要為為它做一一些相應(yīng)應(yīng)的準(zhǔn)備備工作就就可以直直接進(jìn)行行評估了了。風(fēng)險(xiǎn)評估估策略的的具體

39、內(nèi)內(nèi)容是根根據(jù)實(shí)際際的評估估對象和和評估項(xiàng)項(xiàng)目來決決定的，因此，不同的的評估對對象的風(fēng)風(fēng)險(xiǎn)評估估策略是是不相同同，就是是同一評評估對象象，如果果評估的的具體項(xiàng)項(xiàng)目不同同，其風(fēng)風(fēng)險(xiǎn)評估估策略也也不會相相同。1、制定定風(fēng)險(xiǎn)評評估策略略一個(gè)好的的風(fēng)險(xiǎn)評評估策略略，應(yīng)當(dāng)當(dāng)包括下下列所示示的內(nèi)容容：（1）、指定評評估小組組成員信息風(fēng)險(xiǎn)險(xiǎn)評估小小組擔(dān)負(fù)負(fù)著機(jī)構(gòu)構(gòu)的風(fēng)險(xiǎn)險(xiǎn)評估工工作，其其成員要要能代表表整個(gè)機(jī)機(jī)構(gòu)。同同時(shí)，成成員必需需在人員員安全評評估（確確定某個(gè)個(gè)人員可可以信任任風(fēng)險(xiǎn)評評估工作作）通過過后確定定。具體體的成員員應(yīng)當(dāng)包包括：IIT部門門主管、風(fēng)險(xiǎn)評評估負(fù)責(zé)責(zé)人、系系統(tǒng)或網(wǎng)網(wǎng)絡(luò)管理理員、 HY

40、PERLINK / 信信息安全全技術(shù)人人員，還還可以包包括安全全產(chǎn)品供供應(yīng)商代代表及合合作伙伴伴代表等等。評估人員員確定后后，就要要分配相相應(yīng)的評評估任務(wù)務(wù)給具體體的人員員。確定定每個(gè)評評估人員員各自的的職責(zé)，所要承承擔(dān)的法法律責(zé)任任，并做做成文檔檔分發(fā)到到每個(gè)評評估人員員手中。同時(shí)，要為評評估任務(wù)務(wù)指定一一個(gè)總的的負(fù)責(zé)人人，來監(jiān)監(jiān)督整個(gè)個(gè)評估過過程，并并協(xié)調(diào)處處理評估估過程中中出現(xiàn)的的臨時(shí)狀狀況。還還要說明明評估結(jié)結(jié)果的填填寫和上上報(bào)方式式，如說說明每個(gè)個(gè)評估人人員完成成自己的的評測任任務(wù)，填填上評測測結(jié)果后后，當(dāng)上上交給風(fēng)風(fēng)險(xiǎn)評估估負(fù)責(zé)人人時(shí)，還還應(yīng)當(dāng)與與負(fù)責(zé)人人一同簽簽名才能能有效。（2

41、）、確定風(fēng)風(fēng)險(xiǎn)評估估的范圍圍和目的的確定風(fēng)險(xiǎn)險(xiǎn)評估的的范圍也也就是指指指定具具體的評評估對象象和評估估項(xiàng)目，風(fēng)險(xiǎn)評評估的目目的就是是指此次次風(fēng)險(xiǎn)評評估要達(dá)達(dá)到的期期望值。風(fēng)險(xiǎn)評評估的目目的和范范圍是相相輔相成成的，只只有指定定了評估估對象中中評估項(xiàng)項(xiàng)目的風(fēng)風(fēng)險(xiǎn)評估估目的，才知道道需要什什么樣的的評估任任務(wù)來達(dá)達(dá)到這個(gè)個(gè)目的，也就圈圈定了具具體的評評估范圍圍。也只只有確定定了風(fēng)險(xiǎn)險(xiǎn)評估的的范圍和和目的，我們的的風(fēng)險(xiǎn)評評估才能能有的放放矢地進(jìn)進(jìn)行。在本例中中，我們們的評估估對象是是 HYPERLINK / 信息安安全風(fēng)險(xiǎn)險(xiǎn)評估;評估項(xiàng)項(xiàng)目是網(wǎng)網(wǎng)絡(luò)操作作痕跡信信息檢查查;評估估的目的的是檢查查網(wǎng)絡(luò)中

42、中遺留的的網(wǎng)絡(luò)操操作痕跡跡信息中中是否含含有機(jī)構(gòu)構(gòu)內(nèi)部機(jī)機(jī)密;具具體的評評估任務(wù)務(wù)有：、檢查查機(jī)構(gòu)內(nèi)內(nèi)部員工工WEBB HYPERLINK / 數(shù)據(jù)庫庫和緩存存中的內(nèi)內(nèi)容;、檢查查機(jī)構(gòu)內(nèi)內(nèi)部員工工是否通通過個(gè)人人主頁、博客、論壇，以及發(fā)發(fā)布網(wǎng)絡(luò)絡(luò)求職簡簡歷的方方式，透透露了機(jī)機(jī)構(gòu)的組組織結(jié)構(gòu)構(gòu)，或其其它機(jī)構(gòu)構(gòu)內(nèi)部機(jī)機(jī)密信息息;、調(diào)查查機(jī)構(gòu)內(nèi)內(nèi)部員工工是否在在使用私私人電子子郵箱，并且在在法律允允許的條條件下，檢查員員工是否否通過機(jī)機(jī)構(gòu)分配配的電子子郵件發(fā)發(fā)送機(jī)構(gòu)構(gòu)內(nèi)部機(jī)機(jī)密信息息;、了解解機(jī)構(gòu)內(nèi)內(nèi)部員工工的 HYPERLINK / 計(jì)算算機(jī)技術(shù)術(shù)水平，以及了了解 HYPERLINK / 計(jì)算算

43、機(jī)技術(shù)術(shù)水平較較高的員員工所處處的部門門及其操操作權(quán)限限;、調(diào)查查機(jī)構(gòu)內(nèi)內(nèi)部員工工是否在在工作時(shí)時(shí)間使用用即時(shí)通通信工具具，并在在法律條條件允許許的條件件下監(jiān)控控即時(shí)通通信的內(nèi)內(nèi)容;、使用用互聯(lián)網(wǎng)網(wǎng)搜索引引擎查找找網(wǎng)絡(luò)中中是否存存在與機(jī)機(jī)構(gòu)相關(guān)關(guān)的機(jī)密密信息，或者可可以在各各種特定定的新聞聞組、論論壇及博博客中搜搜索;、檢查查機(jī)構(gòu)內(nèi)內(nèi)部員工工是否在在使用PP2P軟軟件，在在法律條條件允許許下審查查P2PP通信內(nèi)內(nèi)容。（3）、確定本本次評估估任務(wù)的的開始和和結(jié)束的的具體日日期和時(shí)時(shí)間，如如有可能能，還有有決定具具體的風(fēng)風(fēng)險(xiǎn)評估估時(shí)間，并在風(fēng)風(fēng)險(xiǎn)評估估文檔中中留出相相應(yīng)的位位置用來來標(biāo)明評評估工作

44、作的開始始和結(jié)束束時(shí)間。（4）、考慮一一些在風(fēng)風(fēng)險(xiǎn)評估估過程中中可能發(fā)發(fā)生的情情況，以以不影響響正常的的業(yè)務(wù)為為基本條條件。應(yīng)應(yīng)當(dāng)為此此制定一一個(gè)應(yīng)對對有可能能造成業(yè)業(yè)務(wù)中斷斷，或造造成真實(shí)實(shí)安全事事件發(fā)生生事件時(shí)時(shí)的應(yīng)急急措施。2、根據(jù)據(jù)評估項(xiàng)項(xiàng)目和要要完成的的評估任任務(wù)制作作風(fēng)險(xiǎn)評評估表單單風(fēng)險(xiǎn)評估估表單就就是在一一張表單單上將要要評估的的項(xiàng)目及及評估任任務(wù)一一一列出，然后在在進(jìn)行具具體的風(fēng)風(fēng)險(xiǎn)評估估時(shí)，就就可以按按表單中中的內(nèi)容容來依次次進(jìn)行。圖2.11就是網(wǎng)網(wǎng)絡(luò)操作作痕跡信信息檢查查評估項(xiàng)項(xiàng)目的風(fēng)風(fēng)險(xiǎn)評估估表單。圖2.11 網(wǎng)絡(luò)絡(luò)操作痕痕跡信息息檢查的的風(fēng)險(xiǎn)評評估表單單 HYPERLI

45、NK / 信息安全全風(fēng)險(xiǎn)評評估評估項(xiàng)目目： 網(wǎng)絡(luò)操作作痕跡信信息檢查查 評估的目目的： 檢查網(wǎng)絡(luò)絡(luò)中遺留留的網(wǎng)絡(luò)絡(luò)操作痕痕跡信息息中是否否含有機(jī)機(jī)構(gòu)內(nèi)部部機(jī)密 評 估 任 務(wù)務(wù) 紅勾 順序 評 估 任 務(wù)務(wù) 描 述 結(jié)果描述述 結(jié)束時(shí)間間 評估人 備注 1 檢查機(jī)構(gòu)構(gòu)內(nèi)部員員工WEEB HYPERLINK / 數(shù)據(jù)據(jù)庫和緩緩存中的的內(nèi)容 2 檢查機(jī)構(gòu)構(gòu)內(nèi)部員員工是否否通過個(gè)個(gè)人主頁頁、博客客、論壇壇，以及及發(fā)布網(wǎng)網(wǎng)絡(luò)求職職簡歷的的方式，透露了了機(jī)構(gòu)的的組織結(jié)結(jié)構(gòu)，或或其它機(jī)機(jī)構(gòu)內(nèi)部部機(jī)密信信息 3 調(diào)查機(jī)構(gòu)構(gòu)內(nèi)部員員工是否否在使用用私人電電子郵箱箱，并且且在法律律允許的的條件下下，檢查查員工是

46、是否通過過機(jī)構(gòu)分分配的電電子郵件件發(fā)送機(jī)機(jī)構(gòu)內(nèi)部部機(jī)密信信息 4 了解機(jī)構(gòu)構(gòu)內(nèi)部員員工的 HYPERLINK / 計(jì)計(jì)算機(jī)技技術(shù)水平平，以及及了解 HYPERLINK / 計(jì)計(jì)算機(jī)技技術(shù)水平平較高的的員工所所處的部部門及其其操作權(quán)權(quán)限 5 調(diào)查機(jī)構(gòu)構(gòu)內(nèi)部員員工是否否在工作作時(shí)間使使用即時(shí)時(shí)通信工工具，并并在法律律條件允允許的條條件下監(jiān)監(jiān)控即時(shí)時(shí)通信的的內(nèi)容 6 使用互聯(lián)聯(lián)網(wǎng)搜索索引擎查查找網(wǎng)絡(luò)絡(luò)中是否否存在與與機(jī)構(gòu)相相關(guān)的機(jī)機(jī)密信息息，或者者可以在在各種特特定的新新聞組、論壇及及博客中中搜索 7 檢查機(jī)構(gòu)構(gòu)內(nèi)部員員工是否否在使用用P2PP軟件，在法律律條件允允許下審審查P22P通信信內(nèi)容 備注

47、：評估開始始時(shí)間：年 月月 日 時(shí) 分分 評估估結(jié)束時(shí)時(shí)間：年年 月 日 時(shí)時(shí) 分項(xiàng)目負(fù)責(zé)責(zé)人： 3、考慮慮完成評評估任務(wù)務(wù)時(shí)會用用到的各各種工具具，并準(zhǔn)準(zhǔn)備妥當(dāng)當(dāng)。這些工具具應(yīng)當(dāng)是是切合本本次風(fēng)險(xiǎn)險(xiǎn)評估任任務(wù)的，并且在在已經(jīng)通通過在某某個(gè)實(shí)驗(yàn)驗(yàn)環(huán)境中中測試已已經(jīng)證明明其有效效。在本本次風(fēng)險(xiǎn)險(xiǎn)評估中中，會對對機(jī)構(gòu)內(nèi)內(nèi)部人員員進(jìn)行網(wǎng)網(wǎng)絡(luò)操作作行為監(jiān)監(jiān)控，因因此，得得為它準(zhǔn)準(zhǔn)備相應(yīng)應(yīng)的網(wǎng)絡(luò)絡(luò)操作行行為分析析設(shè)備，或者是是安裝有有網(wǎng)絡(luò)操操作行為為分析軟軟件的 HYPERLINK / 計(jì)計(jì)算機(jī)，最好當(dāng)當(dāng)然是筆筆記本電電腦。同同時(shí)，還還應(yīng)當(dāng)準(zhǔn)準(zhǔn)備好所所將設(shè)備備連接入入目標(biāo)網(wǎng)網(wǎng)絡(luò)的所所需的線線纜，以以及其

48、它它與此次次風(fēng)險(xiǎn)評評估相關(guān)關(guān)的所有有工具和和文檔，并將它它們統(tǒng)一一管理。一個(gè)風(fēng)險(xiǎn)險(xiǎn)評估策策略不僅僅可以包包括上面面已經(jīng)列列出的這這四個(gè)方方面，還還可以在在其中添添加與評評估任務(wù)務(wù)實(shí)際需需求相關(guān)關(guān)的內(nèi)容容，例如如加入說說明此次次評估任任務(wù)的具具體流程程和細(xì)節(jié)節(jié)，各種種注意事事項(xiàng)等等等。并要要求所有有的評估估人員，嚴(yán)格按按照這個(gè)個(gè)風(fēng)險(xiǎn)評評估策略略中的內(nèi)內(nèi)容來進(jìn)進(jìn)行具體體的評估估工作。一個(gè)風(fēng)險(xiǎn)險(xiǎn)評估策策略是一一個(gè)需要要技術(shù)和和經(jīng)驗(yàn)并并重的工工作，而而且需要要考慮的的內(nèi)容很很多，一一個(gè)人不不可能將將風(fēng)險(xiǎn)評評估項(xiàng)目目相關(guān)的的所有方方面考慮慮周到。因此，在制定定風(fēng)險(xiǎn)評評估策略略時(shí)，應(yīng)應(yīng)當(dāng)發(fā)動動所有評評估人

49、員員，以及及評估對對象的使使用人員員和設(shè)備備供應(yīng)商商代表等等一起來來分析制制定。對于信息息系統(tǒng)風(fēng)風(fēng)險(xiǎn)評估估來說，如果準(zhǔn)準(zhǔn)備工作作越充分分，后續(xù)續(xù)的風(fēng)險(xiǎn)險(xiǎn)評估過過程就越越有效率率，評估估過程中中出現(xiàn)的的錯(cuò)誤就就越少，評估的的最終給給果就越越真實(shí)有有效。如如果在準(zhǔn)準(zhǔn)備過程程中疏忽忽了某些些內(nèi)容，特別是是制定的的安全風(fēng)風(fēng)險(xiǎn)評估估策略出出現(xiàn)考慮慮不周的的情況，要是沒沒能在執(zhí)執(zhí)行風(fēng)險(xiǎn)險(xiǎn)評估前前檢查出出來，就就會使最最終的風(fēng)風(fēng)險(xiǎn)評估估結(jié)果偏偏離實(shí)際際，這樣樣就會讓讓我們空空擔(dān)心一一場，或或空歡喜喜一場。二、安全全風(fēng)險(xiǎn)檢檢測階段段當(dāng)所有風(fēng)風(fēng)險(xiǎn)評估估工作的的事前準(zhǔn)準(zhǔn)備工作作全部妥妥善完成成后，就就可以按按風(fēng)險(xiǎn)

50、評評估策略略中確定定的日期期和時(shí)間間，開始始對指定定的評估估對象的的評估項(xiàng)項(xiàng)目做相相應(yīng)的安安全風(fēng)險(xiǎn)險(xiǎn)評估。安全風(fēng)風(fēng)險(xiǎn)的評評估過程程就是使使用具體體的方法法，來解解答在準(zhǔn)準(zhǔn)備階段段制定的的評估項(xiàng)項(xiàng)目表單單中所有有列出的的評估任任務(wù)的過過程。要完成風(fēng)風(fēng)險(xiǎn)評估估表單列列出的評評估任務(wù)務(wù)，需要要使用一一些針對對某個(gè)評評估任務(wù)務(wù)的具體體解決方方法。解解決評估估任務(wù)的的方法有有很多種種，包括括問卷調(diào)調(diào)查、訪訪談、模模擬社會會工程攻攻擊、使使用風(fēng)險(xiǎn)險(xiǎn)評估工工具（包包括軟硬硬件方式式的工具具）、審審查各種種日志、審查各各種設(shè)備備和安全全設(shè)備的的配置文文檔，以以及使用用實(shí)際的的模擬或或真實(shí)的的攻擊來來檢驗(yàn)等等方

51、法，都可以以用來解解答評估估項(xiàng)目中中所需要要完成的的評估任任務(wù)。其中的某某些方法法只對某某個(gè)評估估任務(wù)有有效，而而一些工工具可能能一次自自動完成成多個(gè)項(xiàng)項(xiàng)目。為為了能減減少使用用工具產(chǎn)產(chǎn)生的誤誤報(bào)和漏漏洞，可可以使用用二種以以上的工工具來檢檢測同一一個(gè)評估估任務(wù)，或者使使用手工工測試的的方式來來確認(rèn)檢檢測結(jié)果果的真實(shí)實(shí)性。同時(shí)，在在進(jìn)行某某些評估估任務(wù)的的評估工工作時(shí)，例如系系統(tǒng)弱點(diǎn)點(diǎn)掃描，應(yīng)當(dāng)從從由外向向內(nèi)看和和由內(nèi)向向外看的的兩個(gè)方方式分別別進(jìn)行。進(jìn)行由由外向內(nèi)內(nèi)看的測測試時(shí)，是試圖圖從組織織網(wǎng)絡(luò)邊邊界的外外部檢測測系統(tǒng)，它能為為我們提提供一個(gè)個(gè)從外部部攻擊相相同的方方式來審審視系統(tǒng)統(tǒng)的安

52、全全性。而而進(jìn)行由由里向外外看測試試時(shí)，我我們就應(yīng)應(yīng)該從內(nèi)內(nèi)部人員員對系統(tǒng)統(tǒng)使用權(quán)權(quán)限的角角度，去去審查系系統(tǒng)的安安全性，此時(shí)，我們會會得到比比由外向向內(nèi)看更更多的安安全信息息。恰當(dāng)當(dāng)?shù)厥褂糜眠@兩種種方式，能將目目前大部部分的安安全威脅脅都考慮慮進(jìn)來。每個(gè)風(fēng)險(xiǎn)險(xiǎn)評估項(xiàng)項(xiàng)目中的的所有評評估任務(wù)務(wù)，如沒沒有特殊殊要求，就必需需按照風(fēng)風(fēng)險(xiǎn)評估估表單中中排列的的順序來來進(jìn)行。這是因因?yàn)樵谠u評估過程程中，當(dāng)當(dāng)前的評評估任務(wù)務(wù)完成后后產(chǎn)生的的結(jié)果，可能會會用來作作為下一一個(gè)任務(wù)務(wù)的檢測測條件。如果此此時(shí)評估估的順序序相互置置換，那那么就會會造成錯(cuò)錯(cuò)誤的最最終評估估結(jié)果。在本文中中的網(wǎng)絡(luò)絡(luò)操作痕痕跡信息息檢

53、測評評估項(xiàng)目目中，所所有的評評估任務(wù)務(wù)都是由由內(nèi)向外外看的方方式來進(jìn)進(jìn)行的。這些評評估任務(wù)務(wù)可以通通過機(jī)構(gòu)構(gòu)員工檔檔案審查查，檢查查員工使使用的 HYPERLINK / 計(jì)計(jì)算機(jī)中中的瀏覽覽器COOOKIIE，檢檢查機(jī)構(gòu)構(gòu)WEBB服務(wù)器器緩存，審查機(jī)機(jī)構(gòu)邊界界位置網(wǎng)網(wǎng)絡(luò)操作作行為管管理設(shè)備備的各種種日志，通過網(wǎng)網(wǎng)絡(luò)搜索索引擎，通過搜搜索一些些獨(dú)特的的位置（如新聞聞組、博博客及論論壇）來來完成。同時(shí)，還可以以通過模模擬發(fā)送送機(jī)密信信息的方方式，審審查已有有的網(wǎng)絡(luò)絡(luò)操作行行為監(jiān)控控設(shè)備是是否能攔攔截它發(fā)發(fā)送到互互聯(lián)網(wǎng)中中，是否否能夠限限制員工工使用即即時(shí)通信信軟件和和P2PP軟件，員工是是否可以以

54、突破封封鎖等任任務(wù)。并并且檢驗(yàn)驗(yàn)網(wǎng)絡(luò)操操作行為為監(jiān)控設(shè)設(shè)備是否否能將違違規(guī)行為為記錄到到相應(yīng)的的日志當(dāng)當(dāng)中，能能否提供供有效的的警報(bào)，收到警警報(bào)能否否產(chǎn)生有有效的攔攔截等等等。有時(shí)，會會將所有有的評估估任務(wù)分分配給幾幾個(gè)人來來進(jìn)行，因此，當(dāng)某個(gè)個(gè)評估人人員完成成屬于他他（她）的評估估任務(wù)后后，就應(yīng)應(yīng)當(dāng)在評評估任務(wù)務(wù)答案后后評估人人一欄中中簽上他他的名字字。當(dāng)所所有評估估任務(wù)完完成后，將已經(jīng)經(jīng)填入評評測答案案和評估估人簽名名的風(fēng)險(xiǎn)險(xiǎn)評估表表單上報(bào)報(bào)給評估估負(fù)責(zé)人人，經(jīng)評評估負(fù)責(zé)責(zé)人確認(rèn)認(rèn)并簽字字后，這這個(gè)風(fēng)險(xiǎn)險(xiǎn)評估表表單中的的內(nèi)容才才能算真真正有效效，并在在風(fēng)險(xiǎn)評評估表單單中填入入評估結(jié)結(jié)束時(shí)間間。然后后就可以以進(jìn)入下下一個(gè)風(fēng)風(fēng)險(xiǎn)評估估環(huán)節(jié)。三、信息息系統(tǒng)安安全風(fēng)險(xiǎn)險(xiǎn)評估對對象風(fēng)險(xiǎn)險(xiǎn)檢測結(jié)