信息安全風(fēng)險(xiǎn)評估

1、 HYPERLINK / 安全風(fēng)險(xiǎn)評估的少數(shù)派報(bào)告2003-07-28 00:00:00.0$page.getAuthor() 本報(bào)記者 徐莉 假如講安全市場本身在中國仍處于方興未艾的時(shí)期，那么，安全風(fēng)險(xiǎn)評估就只能算作尚在萌芽的種子。因?yàn)?，作為更高級不的服?wù)，安全風(fēng)險(xiǎn)評估更像安全系統(tǒng)這道門上的一把鎖，需要有個(gè)大前提。換句話講，只有企業(yè)的IT系統(tǒng)足夠復(fù)雜，安全需求達(dá)到一定級不，這把鎖才會派上用場。盡管專門多人看好安全風(fēng)險(xiǎn)評估的以后，然而，目前國內(nèi)提供真正安全風(fēng)險(xiǎn)評估服務(wù)的卻只有少數(shù)企業(yè)。只是，通過對這些企業(yè)的采訪，我們印證了大多數(shù)人的設(shè)想安全風(fēng)險(xiǎn)評估確是一支開始萌芽的“潛力股”。 提起2002年

2、年底的互聯(lián)網(wǎng)大會，啟明星辰首席技術(shù)官劉恒至今印象深刻。在那次會議上，作為安全專題的講演者之一，劉恒頗為有味地體會了一回什么叫英雄所見，因?yàn)榕c劉恒一樣，另外三名安全專家也不約而同選擇了同一個(gè)演講主題安全風(fēng)險(xiǎn)評估治理。 在會后的交流中，四位“英雄”半開玩笑地指出:“既然大伙兒都看好安全風(fēng)險(xiǎn)評估市場，那索性將2003年定名為安全風(fēng)險(xiǎn)評估年。” 半年多時(shí)刻過去了，市場為那個(gè)帶有玩笑性質(zhì)的預(yù)測做了最好的注腳?！斑M(jìn)入2003年后，公司關(guān)于安全風(fēng)險(xiǎn)評估的單子明顯增多，200萬以上的項(xiàng)目正在執(zhí)行的有兩個(gè)，”劉恒講。在記者的追問下，劉恒對市場做了一個(gè)保守可能：“以2003年上半年的落單情況看，安全風(fēng)險(xiǎn)評估市場的

3、總額應(yīng)該在八千萬到一個(gè)億的模樣?！卑步j(luò)科技的CTO謝朝霞對那個(gè)問題的回答專門干脆: “用在安全風(fēng)險(xiǎn)評估上的投資能占用戶總投資的1%5%，電信和金融用戶能達(dá)到3%5%?！卑创吮壤龘Q算，僅銀行市場，每年用于網(wǎng)絡(luò)安全評估的費(fèi)用將超過幾個(gè)億。 我們無意求證這些數(shù)字的精確程度，因?yàn)檫@不重要。重要的是，從這些最前沿市場中人的推斷，我們看到了安全風(fēng)險(xiǎn)評估正在從概念走向應(yīng)用，從空中樓閣走向觸手可及。而對那些差不多開始這項(xiàng)業(yè)務(wù)卻無斬獲或?qū)⒁_始卻有迷茫的企業(yè)來講，先行成功者的體驗(yàn)無疑是最可寶貴的。 安全風(fēng)險(xiǎn)評估的內(nèi)涵與外延 什么是安全風(fēng)險(xiǎn)評估？夸張地講，一千個(gè)人有一千個(gè)答案。 這些答案或許沒有本質(zhì)區(qū)不，然而，因

4、為現(xiàn)時(shí)期的市場尚沒有一個(gè)明確的定義，每個(gè)人對安全風(fēng)險(xiǎn)評估的理解，將會因?yàn)閮?nèi)涵與外延的不同，呈現(xiàn)溢出或缺損的現(xiàn)象?；蛟S，從用戶的需求角度，更容易將那個(gè)問題講明白，也更具有現(xiàn)實(shí)意義。 作為一家電子商務(wù)公司的網(wǎng)管，小路深感責(zé)任重大。自從2001年成立以來，公司網(wǎng)絡(luò)多次受到來自黑客的攻擊，最嚴(yán)峻的一次，業(yè)務(wù)因此停頓了24小時(shí)。為此，小路需要經(jīng)常上網(wǎng)查找最新安全動態(tài)。到目前為止，僅在IE掃瞄器上，小路就差不多打了不下7個(gè)補(bǔ)丁。然而，從IE掃瞄器、Apache HTTP Server、到域名軟件BIND，都可能是下一個(gè)風(fēng)險(xiǎn)的發(fā)源地?！帮L(fēng)險(xiǎn)無處不在，”小路講，“假如想到種種可能性，真會讓人晚上睡不著覺。”為

5、了讓小路和公司領(lǐng)導(dǎo)都能睡上好覺，2003年初，小路所在的公司請了一家專業(yè)公司為自己的網(wǎng)絡(luò)系統(tǒng)作安全評估，合同期為一年，除了最開始兩個(gè)月對系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用作全面地掃描和評測外，在后面的10個(gè)月里，安全公司將全面檢測小路公司網(wǎng)絡(luò)流量的進(jìn)出情況，并將最新公布的安全漏洞以及補(bǔ)丁情況及時(shí)通報(bào)給小路。一旦發(fā)生問題，服務(wù)商承諾在1個(gè)小時(shí)內(nèi)做出反應(yīng)。 小路公司的要求幾乎涵蓋了安全風(fēng)險(xiǎn)評估的大部分內(nèi)容。如漏洞掃描，能夠劃歸脆弱性分析; 評測過程，能夠算作威脅分析、風(fēng)險(xiǎn)分析。通常來講，風(fēng)險(xiǎn)咨詢公司都會從資產(chǎn)調(diào)查開始，逐步進(jìn)行脆弱性分析、威脅分析、風(fēng)險(xiǎn)分析，針對風(fēng)險(xiǎn)提出解決方案，并提供業(yè)務(wù)連續(xù)性綜合方法。有些咨詢公

6、司，還會應(yīng)客戶的要求，為加固后的網(wǎng)絡(luò)系統(tǒng)做二次評估。 從范圍上看，安全風(fēng)險(xiǎn)評估又可分為基線風(fēng)險(xiǎn)評估、非正式（快速）風(fēng)險(xiǎn)評估、詳細(xì)風(fēng)險(xiǎn)評估與綜合風(fēng)險(xiǎn)評估。其中，基線評估通常會在啟動一個(gè)系統(tǒng)建設(shè)項(xiàng)目之前開始。非正式評估是針對具體問題，通過工具和人的經(jīng)驗(yàn)，找到問題，提出解決方法。詳細(xì)評估則需從物理系統(tǒng)上、數(shù)據(jù)上以及治理等方面進(jìn)行全面的評測。綠盟科技工程部安全工程師于慧龍認(rèn)為，目前，國內(nèi)第二種評估比較多。 從評估主體上看，安全風(fēng)險(xiǎn)評估又可分為自評、國家授權(quán)的專業(yè)評估機(jī)構(gòu)評測和以服務(wù)商為主體的市場化評估行為?！澳壳埃瑖鴥?nèi)缺乏相關(guān)網(wǎng)絡(luò)安全定級標(biāo)準(zhǔn)，因此，國家還沒有設(shè)定如此的專業(yè)評估機(jī)構(gòu)，”北京中科網(wǎng)威技術(shù)

7、中心副總經(jīng)理吳云坤講。 作為目前市場最要緊的群體，安全服務(wù)公司提供的評估又可分為兩大類：評估加固與評估咨詢。“中小客戶通常喜愛采納前者。”劉恒講，“他們通常會就網(wǎng)絡(luò)現(xiàn)狀做一個(gè)調(diào)查，從主機(jī)到網(wǎng)絡(luò)到安全設(shè)備，全面查找安全漏洞，然后，要求咨詢公司提供加固服務(wù)。大客戶則需要全面掌握網(wǎng)絡(luò)安全的情況，要求服務(wù)商從系統(tǒng)到治理，提出全面的風(fēng)險(xiǎn)治理方法。” 自測系統(tǒng)安全的幾個(gè)漸進(jìn)方法 測試類不敏感性系統(tǒng)的實(shí)施周期一般系統(tǒng)的實(shí)施周期復(fù)雜性工作難度風(fēng)險(xiǎn)任務(wù)和作用網(wǎng)絡(luò)映射3個(gè)月12個(gè)月中中中確定網(wǎng)絡(luò)結(jié)構(gòu)、使用中的主機(jī)個(gè)數(shù)和軟件確定未經(jīng)授權(quán)但卻連接在網(wǎng)絡(luò)上的主機(jī)確定打開的端口確定未經(jīng)授權(quán)的服務(wù)脆弱性掃描3個(gè)月6個(gè)月12

8、個(gè)月高高中確定網(wǎng)絡(luò)結(jié)構(gòu)、使用中的主機(jī)和軟件確定需要進(jìn)行脆弱性分析的計(jì)算機(jī)在分析目標(biāo)的計(jì)算機(jī)中找出可能被攻擊的漏洞確定OS和要緊應(yīng)用軟件是否及時(shí)升級或者打補(bǔ)丁滲透性測試12個(gè)月12個(gè)月高高高決定測試目標(biāo)，確定脆弱性等級，以及可能產(chǎn)生的破壞程度檢查系統(tǒng)人員在發(fā)生安全問題時(shí)的響應(yīng)速度、對安全政策的執(zhí)行情況以及安全方面的基礎(chǔ)知識等安全測試與評估至少3年一次，或在系統(tǒng)做出大的改變的時(shí)候至少3年一次高高高發(fā)覺設(shè)計(jì)、實(shí)施、以及運(yùn)行中存在的安全問題從物理措施、保險(xiǎn)等各個(gè)角度，重新部署安全措施，來保證安全制度的實(shí)施評估系統(tǒng)文件與實(shí)際狀況之間的差異性解碼1個(gè)月12個(gè)月低低低確認(rèn)生成密碼的原則是有效且可行的確認(rèn)用戶

9、是否按照系統(tǒng)制訂的原則設(shè)置密碼日志檢查1周1周中中低確保系統(tǒng)按照設(shè)定的原則運(yùn)行完整性檢查1個(gè)月或依照實(shí)際需要隨時(shí)進(jìn)行1個(gè)月低低低發(fā)覺未經(jīng)授權(quán)的文件修改病毒檢測1周或依照需要隨時(shí)進(jìn)行1周或依照需要隨時(shí)進(jìn)行低低低在病毒發(fā)作前，發(fā)覺并刪除病毒撥號檢測12個(gè)月12個(gè)月低低中發(fā)覺非法Modems，阻止未經(jīng)授權(quán)的進(jìn)入細(xì)節(jié)之中見真章 專門多情況下，細(xì)節(jié)決定結(jié)果。特定到安全風(fēng)險(xiǎn)評估領(lǐng)域，在完成最初的認(rèn)知之后，今天的服務(wù)商們，又有誰，不是力爭在細(xì)節(jié)上打敗對手？ 假如三年前，有人提到安全風(fēng)險(xiǎn)評估概念，那他多半是指漏洞掃描。即便在今天，專門多企業(yè)仍將那個(gè)原本宏大的評估概念狹義地限定為漏洞掃描與修補(bǔ)。假如是如此，服務(wù)

10、公司專門難區(qū)分彼此，“現(xiàn)成的掃描工具與產(chǎn)品有專門多，我們自己也能夠買來工具做掃描，”作為用戶，深圳電信的陳波對此狹義理解也專門不能同意。 事實(shí)上，真正的安全評估服務(wù)價(jià)值遠(yuǎn)遠(yuǎn)超越簡單的掃描。 最差不多的，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)是動態(tài)的。僅從2001年12月到2002年12月，關(guān)于SQL服務(wù)器上的漏洞，就有11個(gè)報(bào)告。而這期間，跟蹤漏洞報(bào)告及時(shí)與否，就顯得格外重要。一些專家還明確指出，在使用SQL服務(wù)器的時(shí)候，不要將1433端口和1434端口打開。假如一定要聯(lián)接，就不要采納SQL服務(wù)器，除非你能保證在第一時(shí)刻打補(bǔ)丁。為了那個(gè)“第一時(shí)刻”，小路所在的公司才會找來專業(yè)公司幫忙。 除了硬件系統(tǒng)、網(wǎng)絡(luò)、操作系統(tǒng)等的

11、安全風(fēng)險(xiǎn)評估外，應(yīng)用的安全評估更顯“真功夫”。湖北移動夢網(wǎng)部的張明峻認(rèn)為，應(yīng)用系統(tǒng)安全隱患專門多。 作為非標(biāo)準(zhǔn)化的軟件產(chǎn)品，專門多應(yīng)用在開發(fā)過程中都缺乏對安全問題的統(tǒng)籌考慮。“1.0版本的軟件通常會有專門多安全方面的問題，”一個(gè)專家警告講。在升級過程中，某證券公司的網(wǎng)絡(luò)治理員發(fā)覺，自從公司的股票交易系統(tǒng)升級后，用戶投訴開始增多。專門多用戶反映，在輸入賬戶、密碼、端口號碼以及代理服務(wù)器的地址后，卻無法進(jìn)入交易系統(tǒng)。通過查證，請來解決問題的安全服務(wù)公司發(fā)覺，因?yàn)樾掳姹九c原來的網(wǎng)絡(luò)環(huán)境，包括安全系統(tǒng)不匹配，用戶無法通過防火墻。“因?yàn)樽C券公司有五個(gè)不同的防火墻。在這種情況下，只有在防火墻上新打開一個(gè)入

12、口，用戶才能進(jìn)入系統(tǒng)，”服務(wù)工程師講。 最后，在服務(wù)公司的建議下，那個(gè)證券公司選擇使用另外一個(gè)應(yīng)用系統(tǒng)?！斑@是一個(gè)明智的選擇，否則，那個(gè)應(yīng)用將帶來潛在的安全隱患，”謝朝霞評價(jià)講。 能在事前關(guān)心用戶排除風(fēng)險(xiǎn)當(dāng)然不錯(cuò)，但并非每個(gè)用戶都會做出同樣的選擇，當(dāng)發(fā)生問題時(shí)，作為安全風(fēng)險(xiǎn)評估公司，是否能在最短的時(shí)刻，排除其他可能性，從應(yīng)用層面找到問題癥結(jié)，同樣至關(guān)重要。 另外，不管自己提供安全產(chǎn)品與否，作為提供服務(wù)的安全公司，不要忘了，網(wǎng)絡(luò)安全產(chǎn)品本身同樣可能存在漏洞。去年，在為政府部門檢測一個(gè)安全評估工具時(shí)，一家安全風(fēng)險(xiǎn)評估公司發(fā)覺了掃描軟件自身存在漏洞，那個(gè)漏洞，在某種程度上，使整個(gè)網(wǎng)絡(luò)暴露在危險(xiǎn)之中。

13、 實(shí)踐者的方法論 實(shí)踐需要理論指導(dǎo)，但市場往往等不得成熟理論的出臺，就差不多急切地靠著直覺向前奔去。只是，聰慧的實(shí)踐者總能在忽左忽右的摸索中找到平衡點(diǎn)，進(jìn)而形成自己的方法論，高超的，更會在日后成為完整理論的奠基者。 在采訪中，眾多被調(diào)查者一致認(rèn)為，眼下安全風(fēng)險(xiǎn)評估市場最大的問題之一是缺乏評估標(biāo)準(zhǔn)，那個(gè)答案幾乎是此次采訪中唯一例外的“標(biāo)準(zhǔn)”答案。 從目前的市場情況看，有關(guān)安全的標(biāo)準(zhǔn)已有一大堆，如美國TCSEC、BS7799、ISO15408、ISO/IEC17799和ISO13335等。但具體到安全風(fēng)險(xiǎn)評估上，每個(gè)標(biāo)準(zhǔn)卻都有其局限性。按照于慧龍的講法，ISO15408，盡管在功能上比較全面，但卻

14、沒有安全治理方面的規(guī)范，對系統(tǒng)評測方面的規(guī)范也不足；ISO13335，因?yàn)橹朴喌臅r(shí)刻早，與目前的市場情況有些脫節(jié)；BS7799，盡管詳盡但特不復(fù)雜，盡管全面但不夠有針對性。由BS7799派生出來的ISO17799，強(qiáng)調(diào)了針對性，卻在安全評估方面比較簡單，缺乏對比的標(biāo)準(zhǔn)。 來自實(shí)戰(zhàn)的經(jīng)驗(yàn)表明，在評估過程中，咨詢工程師最常面對的問題是，資產(chǎn)多重要才算重要？什么樣的系統(tǒng)損失可能構(gòu)成什么樣的經(jīng)濟(jì)損失？如何樣的技術(shù)體系達(dá)到如何樣的安全等級？一個(gè)病毒中斷了郵件系統(tǒng)，企業(yè)因此造成的經(jīng)濟(jì)損失和社會阻礙如何計(jì)算？假如黑客入侵，盡管沒有造成經(jīng)濟(jì)損失，但企業(yè)的名譽(yù)損失又該如何衡量？ 事實(shí)上，這些問題將從各個(gè)角度決定

15、一個(gè)系統(tǒng)安全評估的結(jié)果。在沒有一個(gè)相關(guān)標(biāo)準(zhǔn)的情況下，各家公司更多的是參考國外標(biāo)準(zhǔn)，憑借各自積存的經(jīng)驗(yàn)、與用戶多做溝通來解決。有心的公司，更是將這些經(jīng)驗(yàn)累計(jì)下來，形成文檔，總結(jié)出各自的咨詢規(guī)范。謝朝霞講：“通過三年的時(shí)刻，我們積存了一個(gè)巨大的知識庫和工具庫，新來的職員，借助這些手段，也能專門快進(jìn)入工作狀態(tài)?！眴⒚餍浅絼t將這些寶貴的工作總結(jié)出來，與國際上的先進(jìn)產(chǎn)品結(jié)合起來，做成有針對性的評估軟件產(chǎn)品。 從進(jìn)展過程看，國內(nèi)安全風(fēng)險(xiǎn)評估市場經(jīng)歷了三個(gè)時(shí)期：1、不注重標(biāo)準(zhǔn)，2、過于依靠標(biāo)準(zhǔn)，3、跨越標(biāo)準(zhǔn)?！拔覀儸F(xiàn)在處于第三時(shí)期，在具有適應(yīng)性特點(diǎn)的國家標(biāo)準(zhǔn)出臺之前，我們先在內(nèi)部制定具有可操作性的行為規(guī)范，

16、”劉恒講。 清內(nèi)憂難于除外患 在受過黑客攻擊和病毒的“洗禮”之后，專門多用戶開始在防備外來風(fēng)險(xiǎn)方面提高了警戒，然而，在漏洞更多、治理更復(fù)雜的內(nèi)部風(fēng)險(xiǎn)方面，大多數(shù)企業(yè)仍疏于防范，或缺少規(guī)則。與之相對應(yīng)的，內(nèi)部安全風(fēng)險(xiǎn)評估難度也就更高。 按照北京中科網(wǎng)威技術(shù)中心副總經(jīng)理吳云坤的講法，系統(tǒng)越復(fù)雜，企業(yè)越需要風(fēng)險(xiǎn)評估，評估過程也會更有挑戰(zhàn)性。 對一個(gè)B2B或B2C的網(wǎng)站來講，它的網(wǎng)絡(luò)結(jié)構(gòu)能夠統(tǒng)一歸類為單點(diǎn)對多點(diǎn)模式。 但內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)，則通常屬于多點(diǎn)對多點(diǎn)。業(yè)務(wù)部與業(yè)務(wù)部之間、業(yè)務(wù)部與辦公室之間，每個(gè)人與每個(gè)人之間，都將連接在一起?！瓣P(guān)聯(lián)點(diǎn)越多，系統(tǒng)越復(fù)雜，”吳云坤講，“相應(yīng)的工作流也呈現(xiàn)多樣化和多角

17、度的形態(tài)?！币虼?，在提供安全評估的過程中，服務(wù)商必須對企業(yè)內(nèi)部的業(yè)務(wù)流程、治理模式有相當(dāng)?shù)牧私?，才能切中要害?據(jù)有關(guān)機(jī)構(gòu)統(tǒng)計(jì)，目前，國內(nèi)銀行與網(wǎng)絡(luò)相關(guān)的經(jīng)濟(jì)犯罪100%屬于內(nèi)部作案或內(nèi)外勾結(jié)。如此一個(gè)觸目驚心的數(shù)字令人不禁想到，銀行業(yè)內(nèi)部的安全防范是如何樣的脆弱。 通過為一些銀行用戶做評估，謝朝霞發(fā)覺，專門多風(fēng)險(xiǎn)出在治理上，如銀行的生產(chǎn)環(huán)境與網(wǎng)絡(luò)開發(fā)環(huán)境本應(yīng)該嚴(yán)格分開，非業(yè)務(wù)操作人員進(jìn)出營業(yè)現(xiàn)場應(yīng)該有嚴(yán)格的登記制度。然而，在實(shí)際中，專門多技術(shù)開發(fā)人員隨便出入生產(chǎn)現(xiàn)場。最早的一起銀行網(wǎng)絡(luò)安全事故，確實(shí)是因?yàn)殚_發(fā)人員偷看了操作人員登錄密碼，偷走了26萬元現(xiàn)金。確實(shí)是如此一些與網(wǎng)絡(luò)、與技術(shù)沒有本質(zhì)

18、關(guān)聯(lián)的問題，造成了大量事實(shí)上的安全風(fēng)險(xiǎn)。還有一些銀行，基礎(chǔ)設(shè)施落后，有些甚至還在使用安全性專門差的HUB，這種產(chǎn)品，只要隨便連通到一個(gè)端口上，就可監(jiān)看所有的信息流量。 這些問題事實(shí)上反映出同一個(gè)本質(zhì)，即用戶內(nèi)部安全防范意識淡薄。因此，對安全評估供應(yīng)商來講，打破常規(guī)，改變觀念也是評估過程中需要解決的問題之一。 需求篇 多汁的酸桔子 柳傳志曾講過一句話，利潤像海綿里的水，是擠出來的。這句話放在任何一個(gè)成熟市場都專門合適。只是，作為一個(gè)全新啟動的領(lǐng)域，安全風(fēng)險(xiǎn)評估市場更像一個(gè)多汁但尚未成熟的桔子，汁液盡管豐富，但要想吃得好，需要先了解桔子的成分，然后想出各種新方法，或蒸或煮或加糖，重要的是，只有打破

19、常規(guī)，才能提早品嘗好味。 茶杯里的大象 從最初的市場需求看，國內(nèi)的安全風(fēng)險(xiǎn)評估出產(chǎn)于安全事故。如黑客入侵，病毒發(fā)作，網(wǎng)絡(luò)“無緣無故”的癱瘓，用戶靠自己的力量解決不了，因此開始從外部尋求關(guān)心。 然而，從那個(gè)需求點(diǎn)開始，服務(wù)公司往往關(guān)心用戶發(fā)覺更多的安全隱患，就像“事故”那個(gè)小茶杯里裝入了“評估”這頭大象，拾遺補(bǔ)缺式的簡單要求牽扯出的是一系列評測、分析與整體解決方案的需求。 隨著網(wǎng)絡(luò)大環(huán)境與企業(yè)小網(wǎng)絡(luò)環(huán)境的日趨復(fù)雜，各種“茶杯”多了起來。如黑客大戰(zhàn)爆發(fā)，網(wǎng)絡(luò)投資前的安全評估，企業(yè)領(lǐng)導(dǎo)對不斷擴(kuò)大的網(wǎng)絡(luò)安全現(xiàn)狀的了解需求，行業(yè)領(lǐng)頭羊或總部的拉動作用、大行業(yè)的引導(dǎo)作用等，都可能促成一個(gè)評估合同的產(chǎn)生。除

20、此之外，政策的緣故，如某個(gè)行業(yè)整體提升網(wǎng)絡(luò)安全的需求，大事件的發(fā)生，如兩會期間的網(wǎng)絡(luò)安全問題，也會誘發(fā)短期需求。但真正促成那個(gè)市場進(jìn)展的因素仍來自企業(yè)認(rèn)識的提高以及網(wǎng)絡(luò)變得復(fù)雜后，為保證網(wǎng)絡(luò)可用性、可靠性、保密性，不得不借助外部力量的切實(shí)要求。 “因?yàn)檎?、因?yàn)楦鞣N外在因素促成的需求是不可靠的，如此的用戶，即使簽了單，以后開發(fā)潛力也可不能專門大，”劉恒講。事實(shí)上，安全評估市場的可重復(fù)性專門強(qiáng)，就像檢查軀體一樣，不可能一次檢查，一勞永逸。因此，了解現(xiàn)有用戶需求動機(jī)，洞察用戶進(jìn)展?jié)摿?，對供?yīng)者來講，是獲得事半功倍效果的關(guān)鍵之一。 增加手中的籌碼 相比較而言，國內(nèi)的網(wǎng)絡(luò)安全評估市場遠(yuǎn)比國外滯后。從全

21、然上講，網(wǎng)絡(luò)整體進(jìn)展時(shí)期的不同造成了這種差異。從許多概念片里看到的，如用手機(jī)買票，通過機(jī)場免費(fèi)系統(tǒng)查找出租車，無需見面就簽合同、買賣商品（包括企業(yè)間的大訂單），事實(shí)上差不多成為專門多美國人生活中的必要組成。而我們，盡管在信息獲得上差不多對網(wǎng)絡(luò)構(gòu)成依靠，然而，就買賣行為而言，更多的依舊發(fā)生在網(wǎng)外，最多上網(wǎng)買個(gè)圖書與CD，多數(shù)情況下，還會選擇貨到付款。 正是因?yàn)閲膺@種無處不在、隨手可用的網(wǎng)絡(luò)現(xiàn)狀，帶來方便的同時(shí)，也催生了意愿之外的副產(chǎn)品網(wǎng)絡(luò)安全隱患。因此，你無需低估人類的智慧，因?yàn)榫o隨其后的，確實(shí)是各種針對安全的產(chǎn)品與服務(wù)的誕生和進(jìn)展。 網(wǎng)絡(luò)環(huán)境的區(qū)不，或許是國內(nèi)外網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估市場巨大差異的

22、本質(zhì)緣故。因?yàn)槿绱说沫h(huán)境，由此衍生的各種服務(wù)又反過來對評估市場帶來新的動力。 如B2B業(yè)務(wù)的進(jìn)展。專門多國外企業(yè)為了向客戶證明自己的網(wǎng)絡(luò)是安全的，在建立B2B業(yè)務(wù)之前，紛紛查找第三方安全風(fēng)險(xiǎn)評估公司，為自己的網(wǎng)絡(luò)安全做評估，有些在遵循評估公司的建議，修補(bǔ)網(wǎng)絡(luò)后，還會進(jìn)行二次評估，確定自己網(wǎng)絡(luò)安全的等級，最終贏得用戶的信任。 另外，隨著近年來網(wǎng)絡(luò)安全事件頻繁發(fā)生，有關(guān)網(wǎng)絡(luò)安全保險(xiǎn)的業(yè)務(wù)開始萌芽。從保險(xiǎn)公司的角度，費(fèi)率的制定，與客戶網(wǎng)絡(luò)的安全等級大有關(guān)系，網(wǎng)絡(luò)越安全，費(fèi)率越低。假如企業(yè)能證明自己的網(wǎng)絡(luò)特不安全，就有可能以極低的價(jià)格獲得保險(xiǎn)。而這一現(xiàn)象，同樣促進(jìn)安全風(fēng)險(xiǎn)評估市場的進(jìn)展。作為國內(nèi)安全風(fēng)

23、險(xiǎn)評估供應(yīng)商，或許能夠通過與保險(xiǎn)公司合作的方式，從側(cè)面拉動市場的進(jìn)展。 先摘夠得著的果子 假如按照每年幾個(gè)億計(jì)算，今天的安全風(fēng)險(xiǎn)評估市場只能算作小菜。就國內(nèi)市場來看，電信行業(yè)顯然是“第一個(gè)吃螃蟹的人”。依照IDC的調(diào)查，2003年，亞太電信公司花在網(wǎng)絡(luò)安全上的開支將占整個(gè)IT開支的15%。40%的受訪者表示，他們面對的安全問題有所增加。對各種新技術(shù)、新服務(wù)體驗(yàn)的意愿，讓中國的電信市場成為全世界供應(yīng)商眼中“最可愛的人”。就安全風(fēng)險(xiǎn)評估市場來講，電信同樣給了供應(yīng)商希望，并起到了“帶頭”作用?！敖衲?，我們幾個(gè)大的評估單子差不多上來自電信，”劉恒講。 緊隨其后的是金融，包括銀行、證券和保險(xiǎn)。在這一點(diǎn)上

24、，南北供應(yīng)商認(rèn)識不一，謝朝霞認(rèn)為，銀行在商務(wù)上的風(fēng)險(xiǎn)最大，因此，對網(wǎng)絡(luò)評估的需求也最強(qiáng)烈。從安絡(luò)科技的業(yè)務(wù)組成上看，來自銀行與證券的用戶最多，電信其次。劉恒則指出，在安全風(fēng)險(xiǎn)評估業(yè)務(wù)上，今年，電信市場真正啟動了。金融領(lǐng)域零散的單子盡管許多，但整個(gè)行業(yè)的大規(guī)模啟動應(yīng)該在明年。而吳云坤則認(rèn)為，以后，隨著安全評估標(biāo)準(zhǔn)的確定，銀行將會以自評為主。“因?yàn)殂y行的業(yè)務(wù)系統(tǒng)大多是自己開發(fā)完成的，交給不處的公司做評估，反而增加了安全風(fēng)險(xiǎn)。” 政府方面，總體來看，目前在安全風(fēng)險(xiǎn)評估上的需求還不專門明確。但隨著電子政務(wù)的進(jìn)一步進(jìn)展，與之相關(guān)的網(wǎng)絡(luò)安全方面的需求必定會有所加強(qiáng)。 各種各樣的網(wǎng)站對安全風(fēng)險(xiǎn)評估的需求也開

25、始放大。除了自身技術(shù)能力比較雄厚的新浪、網(wǎng)易等，許多網(wǎng)站也開始借助外力，評估自己網(wǎng)絡(luò)的安全情況。 產(chǎn)品服務(wù)化和服務(wù)產(chǎn)品化是兩個(gè)進(jìn)展趨勢，我們希望在這其中找準(zhǔn)自己的位置。 北京中科網(wǎng)威 吳云坤 越是新開發(fā)的應(yīng)用，越需要進(jìn)行安全評估。 安絡(luò)科技 謝朝霞 服務(wù)篇 風(fēng)口浪尖上的淘金者 概念多，服務(wù)少 早在2000年，綠盟科技就提出了NSPS安全服務(wù)體系，由此以后，市場上有關(guān)安全評估、安全服務(wù)的概念如雨后春筍，在各種各樣的安全公司落地生根。 只是，提出概念容易，提供服務(wù)卻難。而國內(nèi)市場對有償服務(wù)的同意程度過低也一直為企業(yè)界所詬病。在如此不利的外在環(huán)境和小我的局限面前，大部分企業(yè)更多地將評估等服務(wù)作為概念

26、或者輔助手段，目的在于推進(jìn)其主體業(yè)務(wù)產(chǎn)品的銷售。即便今天，不管是賣防火墻的，依舊賣操縱網(wǎng)關(guān)的，大部分以產(chǎn)品起家的安全公司，在安全風(fēng)險(xiǎn)評估那個(gè)環(huán)節(jié)，仍有“掛羊頭，賣狗肉”之嫌。從采訪的情況看，目前，能夠提供完整而真實(shí)的安全風(fēng)險(xiǎn)評估的企業(yè)并不多。 堅(jiān)決者的殊途同歸 不管是最早提出安全服務(wù)概念的綠盟，依舊爆發(fā)力十足的啟明星辰，他們的共同之處在因此安全服務(wù)的堅(jiān)決實(shí)踐者。 在2000年就把服務(wù)作為自己的主營業(yè)務(wù)，綠盟無疑走過一段并不平坦的路。盡管在適應(yīng)市場的過程中，綠盟也陸續(xù)推出相關(guān)的網(wǎng)絡(luò)入侵檢測產(chǎn)品、抗拒絕服務(wù)產(chǎn)品。但這些產(chǎn)品也多是圍繞服務(wù)需要開發(fā)的，目的在于形成與服務(wù)的互動。應(yīng)該講，綠盟自始至終差不

27、多上安全服務(wù)的堅(jiān)持者。最為業(yè)界津津樂道的是，綠盟網(wǎng)羅了許多高手，這些網(wǎng)絡(luò)安全的守護(hù)者，構(gòu)成了綠盟最難被人超越的技術(shù)壁壘。 成立于1996年的啟明星辰在安全檢測產(chǎn)品方面一直有著驕人的成績。迄今為止，差不多承擔(dān)了國家級、部級重點(diǎn)信息安全科研項(xiàng)目三十多項(xiàng)。從2002年開始，啟明星辰開始逐漸加大安全風(fēng)險(xiǎn)評估服務(wù)的投入力度?！?003年上半年，安全風(fēng)險(xiǎn)評估的單子比可能的翻了一倍，”劉恒講。憑借多年的技術(shù)積存與良好的客戶關(guān)系，啟明星辰在評估市場可謂厚積薄發(fā)，雄厚的人才儲備，使啟明星辰一出手就占了先機(jī)。 服務(wù)好壞，響應(yīng)速度顯然是服務(wù)一個(gè)重要的衡量指標(biāo)。因此，本地化在服務(wù)中更易突現(xiàn)其作用。地處深圳的安絡(luò)科技在

28、南方市場因此具有優(yōu)勢。而中國市場一直南方先行的特征，又讓安絡(luò)科技比不人更有機(jī)會積存寶貴的評估經(jīng)驗(yàn)?！澳壳?，來自評估的業(yè)務(wù)差不多占到總收入的60%，”謝朝霞講，“客戶多來自銀行和電信，單子專門多，規(guī)模一般在幾萬到幾十萬?！本唧w到評估內(nèi)容，安絡(luò)強(qiáng)調(diào)應(yīng)用系統(tǒng)的安全評估與安全治理的規(guī)范上。而這一點(diǎn)，對供應(yīng)商的行業(yè)理解要求專門高。 另外，安氏在安全風(fēng)險(xiǎn)評估方面業(yè)務(wù)開展得也比較早，通過代理ISS的幾個(gè)檢測工具，安氏早期獲得了不錯(cuò)的市場口碑。與安氏類似，瑪賽網(wǎng)絡(luò)也曾在那個(gè)市場顯山露水，并為業(yè)界培養(yǎng)了許多人才。然而，因?yàn)槿耸伦儎拥染壒?，瑪賽差不多被投資方亞信收回，它下一步的市場舉動還有待觀看。而原來以產(chǎn)品為主

29、的中科網(wǎng)威，近期開始向服務(wù)傾斜，并召集了許多精英，意欲在那個(gè)潛力巨大的市場一展身手。 安全評估專門重要，應(yīng)該每年至少做一次。我們對目前得到的服務(wù)差不多中意，但確實(shí)是價(jià)格太貴了。 深圳電信 陳波 目前，數(shù)據(jù)業(yè)務(wù)占的比例還不高，相關(guān)的網(wǎng)絡(luò)攻擊盡管有，但并未構(gòu)成太大的威脅。因此，安全風(fēng)險(xiǎn)評估對我們來講，還不是眼下最要緊的事。 湖北移動 張明峻 HYPERLINK /rjsp/rkzj/20090521/8029_1.html l # 信息系統(tǒng)安全風(fēng)險(xiǎn)評估應(yīng)用：評估過程育龍網(wǎng)WWW.CHINA-B.C0M 2009年05月21日來源：互聯(lián)網(wǎng) HYPERLINK / t _blank 育龍網(wǎng)核心提示：

30、信息的安全防范工作一直是整個(gè)信息系統(tǒng)安全防范工作中的重點(diǎn)之一。在本文中就以信息安全風(fēng)險(xiǎn)評估對象中的網(wǎng)絡(luò)操作痕跡信息檢查為信息的安全防范工作一直是整個(gè)信息系統(tǒng)安全防范工作中的重點(diǎn)之一。在本文中就以 HYPERLINK / t _blank 信息安全風(fēng)險(xiǎn)評估對象中的網(wǎng)絡(luò)操作痕跡信息檢查為評估項(xiàng)目，來講明一次安全風(fēng)險(xiǎn)評估該如何具體地去做。一、安全風(fēng)險(xiǎn)評估預(yù)備時(shí)期在每次風(fēng)險(xiǎn)評估開始之前，一個(gè)最好的保證評估過程順利完成，評估結(jié)果真實(shí)有效的方法，就得為此制定一個(gè)風(fēng)險(xiǎn)評估策略。但假如只是對某個(gè)獨(dú)立的或者是臨時(shí)決定的小評估項(xiàng)目進(jìn)行風(fēng)險(xiǎn)評估， 而且你和你的評估團(tuán)隊(duì)往常經(jīng)常對些小評估項(xiàng)目進(jìn)行風(fēng)險(xiǎn)評估，那么，只要為

31、它做一些相應(yīng)的預(yù)備工作就能夠直接進(jìn)行評估了。風(fēng)險(xiǎn)評估策略的具體內(nèi)容是依照實(shí)際的評估對象和評估項(xiàng)目來決定的，因此，不同的評估對象的風(fēng)險(xiǎn)評估策略是不相同，確實(shí)是同一評估對象，假如評估的具體項(xiàng)目不同，其風(fēng)險(xiǎn)評估策略也可不能相同。1、制定風(fēng)險(xiǎn)評估策略一個(gè)好的風(fēng)險(xiǎn)評估策略，應(yīng)當(dāng)包括下列所示的內(nèi)容：（1）、指定評估小組成員信息風(fēng)險(xiǎn)評估小組擔(dān)負(fù)著機(jī)構(gòu)的風(fēng)險(xiǎn)評估工作，其成員要能代表整個(gè)機(jī)構(gòu)。同時(shí)，成員必需在人員安全評估（確定某個(gè)人員能夠信任風(fēng)險(xiǎn)評估工作）通過后確定。具體的成員應(yīng)當(dāng)包括：IT部門主管、風(fēng)險(xiǎn)評估負(fù)責(zé)人、系統(tǒng)或網(wǎng)絡(luò)治理員、 HYPERLINK / t _blank 信息安全技術(shù)人員，還能夠包括安全產(chǎn)

32、品供應(yīng)商代表及合作伙伴代表等。評估人員確定后，就要分配相應(yīng)的評估任務(wù)給具體的人員。確定每個(gè)評估人員各自的職責(zé)，所要承擔(dān)的法律責(zé)任，并做成文檔分發(fā)到每個(gè)評估人員手中。同時(shí)，要為評估任務(wù)指定一個(gè)總的負(fù)責(zé)人，來監(jiān)督整個(gè)評估過程，并協(xié)調(diào)處理評估過程中出現(xiàn)的臨時(shí)狀況。還要講明評估結(jié)果的填寫和上報(bào)方式，如講明每個(gè)評估人員完成自己的評測任務(wù)，填上評測結(jié)果后，當(dāng)上交給風(fēng)險(xiǎn)評估負(fù)責(zé)人時(shí)，還應(yīng)當(dāng)與負(fù)責(zé)人一同簽名才能有效。（2）、確定風(fēng)險(xiǎn)評估的范圍和目的確定風(fēng)險(xiǎn)評估的范圍也確實(shí)是指指定具體的評估對象和評估項(xiàng)目，風(fēng)險(xiǎn)評估的目的確實(shí)是指此次風(fēng)險(xiǎn)評估要達(dá)到的期望值。風(fēng)險(xiǎn)評估的目的和范圍是相輔相成的，只有指定了評估對象中評

33、估項(xiàng)目的風(fēng)險(xiǎn)評估目的，才明白需要什么樣的評估任務(wù)來達(dá)到那個(gè)目的，也就圈定了具體的評估范圍。也只有確定了風(fēng)險(xiǎn)評估的范圍和目的，我們的風(fēng)險(xiǎn)評估才能有的放矢地進(jìn)行。在本例中，我們的評估對象是 HYPERLINK / t _blank 信息安全風(fēng)險(xiǎn)評估;評估項(xiàng)目是網(wǎng)絡(luò)操作痕跡信息檢查;評估的目的是檢查網(wǎng)絡(luò)中遺留的網(wǎng)絡(luò)操作痕跡信息中是否含有機(jī)構(gòu)內(nèi)部機(jī)密;具體的評估任務(wù)有：、檢查機(jī)構(gòu)內(nèi)部職員WEB HYPERLINK / t _blank 數(shù)據(jù)庫和緩存中的內(nèi)容;、檢查機(jī)構(gòu)內(nèi)部職員是否通過個(gè)人主頁、博客、論壇，以及公布網(wǎng)絡(luò)求職簡歷的方式，透露了機(jī)構(gòu)的組織結(jié)構(gòu)，或其它機(jī)構(gòu)內(nèi)部機(jī)密信息;、調(diào)查機(jī)構(gòu)內(nèi)部職員是否在

34、使用私人電子郵箱，同時(shí)在法律同意的條件下，檢查職員是否通過機(jī)構(gòu)分配的電子郵件發(fā)送機(jī)構(gòu)內(nèi)部機(jī)密信息;、了解機(jī)構(gòu)內(nèi)部職員的 HYPERLINK / t _blank 計(jì)算機(jī)技術(shù)水平，以及了解 HYPERLINK / t _blank 計(jì)算機(jī)技術(shù)水平較高的職員所處的部門及其操作權(quán)限;、調(diào)查機(jī)構(gòu)內(nèi)部職員是否在工作時(shí)刻使用即時(shí)通信工具，并在法律條件同意的條件下監(jiān)控即時(shí)通信的內(nèi)容;、使用互聯(lián)網(wǎng)搜索引擎查找網(wǎng)絡(luò)中是否存在與機(jī)構(gòu)相關(guān)的機(jī)密信息，或者能夠在各種特定的新聞組、論壇及博客中搜索;、檢查機(jī)構(gòu)內(nèi)部職員是否在使用P2P軟件，在法律條件同意下審查P2P通信內(nèi)容。（3）、確定本次評估任務(wù)的開始和結(jié)束的具體日期

35、和時(shí)刻，如有可能，還有決定具體的風(fēng)險(xiǎn)評估時(shí)刻，并在風(fēng)險(xiǎn)評估文檔中留出相應(yīng)的位置用來標(biāo)明評估工作的開始和結(jié)束時(shí)刻。（4）、考慮一些在風(fēng)險(xiǎn)評估過程中可能發(fā)生的情況，以不阻礙正常的業(yè)務(wù)為差不多條件。應(yīng)當(dāng)為此制定一個(gè)應(yīng)對有可能造成業(yè)務(wù)中斷，或造成真實(shí)安全事件發(fā)生事件時(shí)的應(yīng)急措施。2、依照評估項(xiàng)目和要完成的評估任務(wù)制作風(fēng)險(xiǎn)評估表單風(fēng)險(xiǎn)評估表單確實(shí)是在一張表單上將要評估的項(xiàng)目及評估任務(wù)一一列出，然后在進(jìn)行具體的風(fēng)險(xiǎn)評估時(shí)，就能夠按表單中的內(nèi)容來依次進(jìn)行。圖2.1確實(shí)是網(wǎng)絡(luò)操作痕跡信息檢查評估項(xiàng)目的風(fēng)險(xiǎn)評估表單。圖2.1 網(wǎng)絡(luò)操作痕跡信息檢查的風(fēng)險(xiǎn)評估表單 HYPERLINK / t _blank 信息安全

36、風(fēng)險(xiǎn)評估評估項(xiàng)目： 網(wǎng)絡(luò)操作痕跡信息檢查 評估的目的： 檢查網(wǎng)絡(luò)中遺留的網(wǎng)絡(luò)操作痕跡信息中是否含有機(jī)構(gòu)內(nèi)部機(jī)密 評 估 任 務(wù) 紅勾 順序 評 估 任 務(wù) 描 述 結(jié)果描述 結(jié)束時(shí)刻 評估人 備注 1 檢查機(jī)構(gòu)內(nèi)部職員WEB HYPERLINK / t _blank 數(shù)據(jù)庫和緩存中的內(nèi)容 2 檢查機(jī)構(gòu)內(nèi)部職員是否通過個(gè)人主頁、博客、論壇，以及公布網(wǎng)絡(luò)求職簡歷的方式，透露了機(jī)構(gòu)的組織結(jié)構(gòu)，或其它機(jī)構(gòu)內(nèi)部機(jī)密信息 3 調(diào)查機(jī)構(gòu)內(nèi)部職員是否在使用私人電子郵箱，同時(shí)在法律同意的條件下，檢查職員是否通過機(jī)構(gòu)分配的電子郵件發(fā)送機(jī)構(gòu)內(nèi)部機(jī)密信息 4 了解機(jī)構(gòu)內(nèi)部職員的 HYPERLINK / t _blan

37、k 計(jì)算機(jī)技術(shù)水平，以及了解 HYPERLINK / t _blank 計(jì)算機(jī)技術(shù)水平較高的職員所處的部門及其操作權(quán)限 5 調(diào)查機(jī)構(gòu)內(nèi)部職員是否在工作時(shí)刻使用即時(shí)通信工具，并在法律條件同意的條件下監(jiān)控即時(shí)通信的內(nèi)容 6 使用互聯(lián)網(wǎng)搜索引擎查找網(wǎng)絡(luò)中是否存在與機(jī)構(gòu)相關(guān)的機(jī)密信息，或者能夠在各種特定的新聞組、論壇及博客中搜索 7 檢查機(jī)構(gòu)內(nèi)部職員是否在使用P2P軟件，在法律條件同意下審查P2P通信內(nèi)容 備注：評估開始時(shí)刻：年 月 日 時(shí) 分 評估結(jié)束時(shí)刻：年 月 日 時(shí) 分項(xiàng)目負(fù)責(zé)人： 3、考慮完成評估任務(wù)時(shí)會用到的各種工具，并預(yù)備妥當(dāng)。這些工具應(yīng)當(dāng)是切合本次風(fēng)險(xiǎn)評估任務(wù)的，同時(shí)在差不多通過在某個(gè)

38、實(shí)驗(yàn)環(huán)境中測試差不多證明其有效。在本次風(fēng)險(xiǎn)評估中，會對機(jī)構(gòu)內(nèi)部人員進(jìn)行網(wǎng)絡(luò)操作行為監(jiān)控，因此，得為它預(yù)備相應(yīng)的網(wǎng)絡(luò)操作行為分析設(shè)備，或者是安裝有網(wǎng)絡(luò)操作行為分析軟件的 HYPERLINK / t _blank 計(jì)算機(jī)，最好因此是筆記本電腦。同時(shí)，還應(yīng)當(dāng)預(yù)備好所將設(shè)備連接入目標(biāo)網(wǎng)絡(luò)的所需的線纜，以及其它與此次風(fēng)險(xiǎn)評估相關(guān)的所有工具和文檔，并將它們統(tǒng)一治理。一個(gè)風(fēng)險(xiǎn)評估策略不僅能夠包括上面差不多列出的這四個(gè)方面，還能夠在其中添加與評估任務(wù)實(shí)際需求相關(guān)的內(nèi)容，例如加入講明此次評估任務(wù)的具體流程和細(xì)節(jié)，各種注意事項(xiàng)等等。并要求所有的評估人員，嚴(yán)格按照那個(gè)風(fēng)險(xiǎn)評估策略中的內(nèi)容來進(jìn)行具體的評估工作。一個(gè)風(fēng)

39、險(xiǎn)評估策略是一個(gè)需要技術(shù)和經(jīng)驗(yàn)并重的工作，而且需要考慮的內(nèi)容專門多，一個(gè)人不可能將風(fēng)險(xiǎn)評估項(xiàng)目相關(guān)的所有方面考慮周到。因此，在制定風(fēng)險(xiǎn)評估策略時(shí)，應(yīng)當(dāng)發(fā)動所有評估人員，以及評估對象的使用人員和設(shè)備供應(yīng)商代表等一起來分析制定。關(guān)于信息系統(tǒng)風(fēng)險(xiǎn)評估來講，假如預(yù)備工作越充分，后續(xù)的風(fēng)險(xiǎn)評估過程就越有效率，評估過程中出現(xiàn)的錯(cuò)誤就越少，評估的最終給果就越真實(shí)有效。假如在預(yù)備過程中疏忽了某些內(nèi)容，特不是制定的安全風(fēng)險(xiǎn)評估策略出現(xiàn)考慮不周的情況，要是沒能在執(zhí)行風(fēng)險(xiǎn)評估前檢查出來，就會使最終的風(fēng)險(xiǎn)評估結(jié)果偏離實(shí)際，如此就會讓我們空擔(dān)心一場，或空歡喜一場。二、安全風(fēng)險(xiǎn)檢測時(shí)期當(dāng)所有風(fēng)險(xiǎn)評估工作的事前預(yù)備工作全部

40、妥善完成后，就能夠按風(fēng)險(xiǎn)評估策略中確定的日期和時(shí)刻，開始對指定的評估對象的評估項(xiàng)目做相應(yīng)的安全風(fēng)險(xiǎn)評估。安全風(fēng)險(xiǎn)的評估過程確實(shí)是使用具體的方法，來解答在預(yù)備時(shí)期制定的評估項(xiàng)目表單中所有列出的評估任務(wù)的過程。要完成風(fēng)險(xiǎn)評估表單列出的評估任務(wù)，需要使用一些針對某個(gè)評估任務(wù)的具體解決方法。解決評估任務(wù)的方法有專門多種，包括問卷調(diào)查、訪談、模擬社會工程攻擊、使用風(fēng)險(xiǎn)評估工具（包括軟硬件方式的工具）、審查各種日志、審查各種設(shè)備和安全設(shè)備的配置文檔，以及使用實(shí)際的模擬或真實(shí)的攻擊來檢驗(yàn)等方法，都能夠用來解答評估項(xiàng)目中所需要完成的評估任務(wù)。其中的某些方法只對某個(gè)評估任務(wù)有效，而一些工具可能一次自動完成多個(gè)項(xiàng)

41、目。為了能減少使用工具產(chǎn)生的誤報(bào)和漏洞，能夠使用二種以上的工具來檢測同一個(gè)評估任務(wù)，或者使用手工測試的方式來確認(rèn)檢測結(jié)果的真實(shí)性。同時(shí)，在進(jìn)行某些評估任務(wù)的評估工作時(shí)，例如系統(tǒng)弱點(diǎn)掃描，應(yīng)當(dāng)從由外向內(nèi)看和由內(nèi)向外看的兩個(gè)方式分不進(jìn)行。進(jìn)行由外向內(nèi)看的測試時(shí)，是試圖從組織網(wǎng)絡(luò)邊界的外部檢測系統(tǒng)，它能為我們提供一個(gè)從外部攻擊相同的方式來審視系統(tǒng)的安全性。而進(jìn)行由里向外看測試時(shí)，我們就應(yīng)該從內(nèi)部人員對系統(tǒng)使用權(quán)限的角度，去審查系統(tǒng)的安全性，現(xiàn)在，我們會得到比由外向內(nèi)看更多的安全信息。恰當(dāng)?shù)厥褂眠@兩種方式，能將目前大部分的安全威脅都考慮進(jìn)來。每個(gè)風(fēng)險(xiǎn)評估項(xiàng)目中的所有評估任務(wù)，如沒有專門要求，就必需按照

42、風(fēng)險(xiǎn)評估表單中排列的順序來進(jìn)行。這是因?yàn)樵谠u估過程中，當(dāng)前的評估任務(wù)完成后產(chǎn)生的結(jié)果，可能會用來作為下一個(gè)任務(wù)的檢測條件。假如現(xiàn)在評估的順序相互置換，那么就會造成錯(cuò)誤的最終評估結(jié)果。在本文中的網(wǎng)絡(luò)操作痕跡信息檢測評估項(xiàng)目中，所有的評估任務(wù)差不多上由內(nèi)向外看的方式來進(jìn)行的。這些評估任務(wù)能夠通過機(jī)構(gòu)職員檔案審查，檢查職員使用的 HYPERLINK / t _blank 計(jì)算機(jī)中的掃瞄器COOKIE，檢查機(jī)構(gòu)WEB服務(wù)器緩存，審查機(jī)構(gòu)邊界位置網(wǎng)絡(luò)操作行為治理設(shè)備的各種日志，通過網(wǎng)絡(luò)搜索引擎，通過搜索一些獨(dú)特的位置（如新聞組、博客及論壇）來完成。同時(shí)，還能夠通過模擬發(fā)送機(jī)密信息的方式，審查已有的網(wǎng)絡(luò)操作行為監(jiān)控設(shè)備是否能攔截它發(fā)送到互聯(lián)網(wǎng)中，是否能夠限制職員使用即時(shí)通信軟件和P2P軟件，職員是否能夠突破封鎖等任務(wù)。同時(shí)檢驗(yàn)網(wǎng)絡(luò)操作行為監(jiān)控設(shè)備是否能將違規(guī)行為記錄到相應(yīng)的日志當(dāng)中，能否提供有效的警報(bào)，收到警報(bào)能否產(chǎn)生有效的攔截等等。有時(shí)，會將所有的評估任務(wù)分配給幾個(gè)人來進(jìn)行，因此，當(dāng)某個(gè)評估人員完成屬于他（她）的評估任務(wù)后，就應(yīng)當(dāng)在評估任務(wù)答案后評估人一欄中簽上他的名字。當(dāng)所有評估任務(wù)完成后，將差不多填入評測答案和評估人簽名的風(fēng)險(xiǎn)評估表單上報(bào)給評估負(fù)責(zé)人，經(jīng)評估負(fù)責(zé)人確認(rèn)并簽字后，那個(gè)風(fēng)險(xiǎn)評估表單中的內(nèi)容才能算真正有效，并在風(fēng)險(xiǎn)評估表單中填入評估結(jié)束