面對日益嚴峻的信息安全形勢����,很多企業(yè)紛紛購買了防火墻、安全網(wǎng)關(guān)等安全產(chǎn)品�,也制定了很多安全策略,即便如此����,安全事件仍然時常發(fā)生。究其原因��,主要還是由于前期的安全規(guī)劃沒有做好。在安全規(guī)劃制定時���,如果CIO沒有充分認識到企業(yè)信息系統(tǒng)的潛在威脅和脆弱程度�����,沒能做到有的放矢地采取措施���,會造成在安全上盲目投資,效果低于預(yù)期����。
很多CIO已經(jīng)認識到了這一點,于是開始著手對企業(yè)內(nèi)部信息系統(tǒng)進行安全風險評估��。希望借助專業(yè)的力量去發(fā)現(xiàn)公司內(nèi)部信息系統(tǒng)存在的問題���,進而尋求解決之道。
從綠盟科技�、安氏等在國內(nèi)安全評估方面起步較早的專業(yè)公司來看,真正的安全風險評估應(yīng)該在2001年之后才逐漸出現(xiàn)�����,之前的安全評估僅僅依賴于漏洞掃描器對系統(tǒng)進行掃描去發(fā)現(xiàn)問題。雖然現(xiàn)在也在用這種方法�,但只是整個評估體系中的一小塊,并且這種掃描發(fā)現(xiàn)的只是局部的系統(tǒng)層的問題����。
安全風險評估是一項龐大的工程,可以細化到企業(yè)中的每一個環(huán)節(jié)�����、每個點�����,比如網(wǎng)絡(luò)層�、系統(tǒng)層、應(yīng)用層���、物理層和管理層等�。每一層又可以做相應(yīng)的細化�����,比如管理層不僅包括人�,還包括安全的政策和管理措施等�。
"隨著系統(tǒng)的變更或者時間的推移��,為了獲得更好的適合企業(yè)現(xiàn)狀的安全解決方案�,很多企業(yè)兩年或者一年就做一次大范圍的評估。"綠盟科技高級安全顧問于慧龍說��,"后來��,企業(yè)逐漸發(fā)現(xiàn)�����,僅僅有了解決方案也是不行的�,解決方案只是一個具體的落實方案,能不能有一個對于今后的安全規(guī)劃或者安全建設(shè)的指導(dǎo)性方案�����?"既要有具體落實的方案���,又要有指導(dǎo)性建議�����,所以現(xiàn)在的安全風險評估已經(jīng)不僅僅是評估企業(yè)信息系統(tǒng)存在的問題和現(xiàn)狀����,更是在告訴企業(yè)怎么去解決問題���,今后的安全怎么去規(guī)劃���,進而建設(shè)地更好。
評估不一定要外力
既然是做評估��,是否意味著安全風險評估一定要有外部力量去完成呢��?顯然這是一種誤解�。大家知道,很多大的行業(yè)企業(yè)���,比如電信�、移動�����,他們本身就有很多的IT技術(shù)人員��,甚至設(shè)置了專門負責信息安全的部門或人員�。
既然有了專門的機構(gòu)和人員就意味著安全不能完全依賴于第三方去評估�����,企業(yè)完全可以根據(jù)需要每隔一個月或者季度依靠自己的力量作一些局部的評估�����。從這個角度來說安全風險評估可以分為三種方式:一是自評估���,由于全面的安全評估涉及面太廣,企業(yè)自身可能不具備這種能力�,自評估可以適當選擇一些重要的點或者步驟,比如系統(tǒng)漏洞掃描��,買一套掃描器企業(yè)自己可以很方便的完成��。第二是檢查評估����, 即上級對下級進行評估,比如某個大的集團公司��,抽取某個省市的分公司進行檢查�。但是這兩種方式都不太可能實施全面的風險評估。第三種方式就是委托評估����,這個委托的第三方可以是國家的測評機構(gòu),也可以是的從事安全風險評估服務(wù)的安全公司�����。
據(jù)綠盟科技高級安全顧問于慧龍介紹���,大部分第三方從事安全風險評估的公司��,其評估方案大體都有六個步驟組成���,即確定評估范圍、資產(chǎn)識別與估價���、威脅評估�����、脆弱性評估����、風險分析和風險的管理����。
確定評估范圍是做好安全風險評估的前提也是第一步����,系統(tǒng)多大�,包括多少網(wǎng)絡(luò)設(shè)備,多少主機�,邊界在哪等,在評估之前一定要有明確界定�����。資產(chǎn)識別和估價又包括了對業(yè)務(wù)系統(tǒng)的調(diào)查��,資產(chǎn)的調(diào)查��,資產(chǎn)破壞后造成的影響調(diào)查等細節(jié)�����。
需要強調(diào)的是��,對于資產(chǎn)識別的關(guān)注點不需要覆蓋系統(tǒng)中所有的點����,而應(yīng)該突出重點���,遵循“二八原則”,選取比較重要的主機����、關(guān)鍵網(wǎng)絡(luò)設(shè)備等作為重點評估對象��,對于終端則進行整體考慮��,甚至對于一些相同配置的設(shè)備也可以進行抽樣調(diào)查����。威脅評估是指對系統(tǒng)客觀存在一些潛在危害的評估,即評估各種威脅發(fā)生的可能性�����。脆弱性評估即對于系統(tǒng)的脆弱程度進行評估��,主要考慮一些管理�����、技術(shù)方面弱點和漏洞。風險分析就是根據(jù)之前得到的一些數(shù)據(jù)利用先進的風險計算方法進行計算���,并對高風險問題進行分析���。最后在風險的管理階段根據(jù)評估的安全現(xiàn)狀和問題提供必要的解決方案。
這是一項咨詢服務(wù)
由于得到用戶的認可��,現(xiàn)在專業(yè)從事安全風險評估的公司都感覺自己的日子比較好過���。"從2001年我們開始做第一次真正的風險評估到現(xiàn)在已經(jīng)是第五個年頭�。特別是最近三年�����,風險評估這塊業(yè)務(wù)幾乎占到了綠盟安全服務(wù)部一半的工作量���。"于慧龍說���。2003年,中國電信�、中國移動這些集團公司帶頭進行風險評估,帶動了各個省電信�����、移動進行大規(guī)模信息安全風險評估,并且早在2001年中國電信已經(jīng)進行了第一輪風險評估��,雖然當時只局限在漏洞掃描�����,卻也說明了企業(yè)已經(jīng)有了這種意識����。
隨即銀行�����、證券���、政府��、軍隊等各個主要行業(yè)紛紛進行安全風險評估���。特別是2003年8月份的27號文,把等級保護作為其中很重要的一個方面�,而風險評估又是等級保護很重要的一項工作,由此推動了各個行業(yè)的風險評估。緊接著是2004年初的66號文����,進一步推動了風險評估市場的發(fā)展。
"很多企業(yè)對安全的認識也就是停留在防病毒����、防攻擊上面,但是有了相應(yīng)產(chǎn)品之后�����,企業(yè)發(fā)現(xiàn)還是要出事���,什么原因呢��?安全無非是維護系統(tǒng)可用性�,保障系統(tǒng)的完整性����、保密性,但是安全究竟應(yīng)該從哪下手���?"于慧龍說����,"這時候就需要對系統(tǒng)的安全進行風險評估,所以安全風險評估完全是安全咨詢服務(wù)的一個種類��。評估只是手段或者步驟�����,不是結(jié)果�����,它只是發(fā)現(xiàn)問題���,是為下一步提供好的解決或者規(guī)劃方案的做準備�����。"
中國標準期待中
據(jù)了解,美國����、澳大利亞、新西蘭等國家都有了專門的安全風險評估標準或者規(guī)范����。而我國專門針對安全風險評估的標準卻遲遲未能發(fā)布��?����!霸u估中���,有時候企業(yè)會問憑什么讓他們相信我們的評估指標?我們的風險計算方法有足夠科學依據(jù)嗎���?”綠盟科技高級安全顧問于慧龍說��,“雖然我們每次回答他們國內(nèi)各個公司使用的標準都是在國外評估方法的基礎(chǔ)上根據(jù)已有經(jīng)驗自己制定的����,但是�����,我們真的希望能有一項純粹的國內(nèi)風險評估標準���,即使沒有國標有個規(guī)范也是好的���?��!?BR>
