国内网络安全风险评估市场与技术操作

国内网络安全风险评估市场与技术操作吴鲁加04/19/2004个人主页：网络日志：版本控制v0.104/01/2004文档创建，包含大量示例文件内部发布v0.204/19/2004删除部份敏感信息，增加国内市场分析、BS7799和OCTAVE概述后，对外发布近两年网络安全风险评估渐渐为人们所重视，不少大型企业尤其是运营商、金融业都请了专业公司进行评估。本文提出作者个人对国内安全风险评估操作的一些评价，并试图阐述作者所理解的，可裁剪、易操作的风险评估方式。由于内容与商业公司有关，因此不可避免会涉及部份商业利益，在文中作者尽量隐去可能产生直接利害关系的文字，并声明所有评价纯属个人观点，如果你有不同意见，欢迎来函探讨。1.什么是风险评估说起风险评估，大家脑海中首先浮现的可能是：风险、资产、影响、威胁、弱点等一连串的术语，这些术语看起来并不难理解，但一旦综合考虑就会象绕口令般组合。比如风险，用ISO/IECTR13335-1:1996中的定义可以解释为：特定威胁利用某个(些)资产的弱点，造成资产损失或破坏的潜在可能性。为了帮助理解，我们举一个下里巴人的例子：我口袋里有100块钱，因为打瞌睡，被小偷偷走了，搞得晚上没饭吃。用风险评估的观点来描述这个案例，我们可以对这些概念作如下理解：风险=钱被偷走资产=100块钱影响=晚上没饭吃威胁=小偷弱点=打瞌睡回到阳春白雪来，假设这么个案例：某证券公司的数据库服务器因为存在RPCDCOM的漏洞，遭到入侵者攻击，被迫中断3天。让我们尝试做一道小学时常做的连线题，把左右两边相对应的内容用线段连接起来：风险RPCDCOM漏洞资产服务器遭到入侵影响数据库服务器威胁入侵者弱点中断三天如果这道题对你没什么难度，那么恭喜你，你已经和国内大多数风险评估的操作者差不多站在同一个起跑线上了。2.国内现有风险评估操作模式2.1评估市场和竞争分析如果按照高、中、低端简单对国内的风险评估市场进行分类，那么我们可以很清晰地看到，几类市场的操作方式完全不同。国内高端市场主要被如IBM(普华永道)、毕马威这样类型会计师事务所类型的公司占领，往往网络安全评估就涵盖在他们的整个审计体系之下。中端市场上则盘踞着国内外大多数较有实力的网络安全公司，其中包括较早提出安全评估并且在运营商市场有比较好的实践的安氏、有作风稳健但却一步一个脚印打下大片疆土的启明星辰、也有异军突起极具竞争力的绿盟科技……低端厂商则数量庞大，往往只是通过简单的漏洞扫描、病毒查杀等方式操作。2.2主要中端厂商的评估模式分析以下分析中的数据来源为笔者在从事网络安全评估实践时通过各种渠道获得。但由于信息的时效性，未能确认当前文中所进行的表述与分析就代表着各家企业的最新评估发展状态。希望读者自行鉴别。2.2.1启明星辰启明星辰2002年之前始终比较低调，但风险评估项目从最初对某证券公司进行的纯粹漏洞扫描、人工审计、渗透测试这种类型的纯技术操作到套用BS7799到采用OCTAVE方法再到最终形成自己的网络安全风险评估的方法论、操作模型，有很多专业人员付出了大量劳动。下图是启明星辰的幻灯片中摘录的，他们评估发展的历程，在每个台阶上有该阶段所经过的项目名称，出于安全原因隐去。业务参与性弱、解决方案可操作性差往往也是高要求的用户对风险评估队伍批评较多的地方，但从启明星辰近期在几家大型客户那里的操作来看，较受客户好评。启明星辰有较多在风险评估中可以应用的工具：天镜评估版：扫描器，有专门用于风险评估的版本。天清：又名SRC，指SecurityRiskManage，基于ISO17799的量化、可视化的评估工具。信息库：名称不详，能够直接导入天镜、Nessus、ISS等扫描器的扫描结果并生成报告。据说是较好的安全评估过程辅助工具。本地评估软件包。我理解的启明星辰风险评估特点为：博采众长这一方面与启明星辰参与部份安全行业国家标准的制订有关，另一方面则是他们有着较多高学历员工，对高端咨询类型的提炼、深化抓得比较好，对评估要求看得透彻，写得清楚。变化较快这可以说既是优点，也是缺点。在每次较大的评估项目中他们一般都要求有所突破。这逼着他们去创新，但同时也导致评估的方法论很容易有变动。2.2.2绿盟科技绿盟科技从最初参与中国电信评估项目开始走进安全评估领域，挟其强大的系统研究技术优势进入市场。下图是他们一份讲稿中的评估流程描述：我对绿盟科技风险评估方法的总体评价是：它是专业的系统和网络安全评估，不是信息安全评估，具体有如下几点：项目可操作性强管理评估存在不足，风险计算方式不够科学技术弱点把握精确2.2.3安氏安氏在国内较早从事网络安全风险评估项目的操作，做过较大的评估项目(包括顾问咨询)有：中国移动CMNET全网网络安全评估项目、天津电力公司安全咨询项目、中国电信IP网安全咨询顾问项目、上海移动boss系统安全咨询顾问项目、深圳华为科技公司安全咨询顾问项目等。个人理解，2001年前后，IS-ONE的评估在国内较为领先，一方面是他们与国外公司的沟通较密切，另外其高管层对风险评估、BS7799比较重视。但到了2003年，安氏整体战略转型，产品方面一边中止与ISS合作，一面高调宣传做自主产品，SOC大集成成为其主推概念，在风险评估领域的方法论却缺乏创新和突破。安氏的安全风险评估有几大优势：项目管理较为专业下图是从安氏给某用户汇报时ppt的摘录，是他们项目管理的过程。文档体系比较规范这可能与安氏的部份高管强执行力和国外背景有一定关系。他们较为注重方案、咨询建议等经验的可复用，当然，这同时也容易造成他们考虑问题简单化，对小客户容易用大企业的方案来裁剪套用。就现在他们做过的项目来看，至少有以下标准方案的积累：安全策略评估及建议报告安全解决方案本地风险评估报告远程风险评估报告网络安全现状报告网络安全解决方案建议扫描评估申请报告模版数据库扫描申请报告系统扫描申请报告网络扫描申请报告……这里列举一份安氏的售前方案目录，相信内行人能看出一些门道来吧;)第1章概述1.1项目概述1.2项目目标1.2.4评估的方式1.3评估遵循的原则1.3.1保密原则1.3.2标准性原则1.3.3规范性原则1.3.4可控性原则1.3.5整体性原则1.3.6最小影响原则1.4风险评估模型1.4.1背景和假设1.4.2概述1.4.3资产评估1.4.4威胁评估1.4.5弱点评估1.4.6风险评估1.5资产识别和赋值1.5.1信息资产分类1.5.2信息资产赋值1.6主要评估方法说明1.6.1工具评估1.6.2人工评估1.6.3安全审计1.6.4网络架构分析1.6.5策略评估1.7项目承诺1.8项目组织结构第2章项目范围和评估内容第3章项目阶段详述3.1第一阶段－项目准备和范围确定3.2第二阶段-项目定义和蓝图3.3第三阶段-风险评估阶段3.3.1集团公司层面评估子项目3.3.2省网层面评估子项目3.3.3安全信息库开发子项目3.3.4安全评估风险规避措施3.3.5需要客户配合的工作3.3.6安全信息库系统原型概要设计3.4第四阶段－综合评估和策略阶段3.4.1报告和建议的形成3.4.2《XXXX网络安全现状报告》3.4.3《XXXX网络安全策略改进建议》3.4.4《XXXX网络安全解决方案建议》3.5第五阶段－项目评审阶段3.5.1验收方法和内容3.5.2验收标准和流程3.6支持和售后服务3.6.1安氏客户服务体系简介3.6.2安氏（中国）的客户服务对象3.6.3安氏（中国）客户服务中心组织结构3.6.4安氏（中国）的服务特点3.6.5服务保证体系CRM3.6.6在本项目中所提供的支持服务3.6.7安全通告服务第4章项目质量保证和管理4.1配置管理4.2变更控制管理4.3项目沟通4.4记录和备忘录4.5报告4.6项目协调会议第5章项目质量控制第6章技术培训6.1安全管理培训（ISO17799）6.2评估方法培训6.3评估结果及漏洞修补方法培训6.4安全信息库系统培训第7章项目软硬件需求清单另外，安氏的信息库也能成为他们在风险评估中一项有力的武器。2.2.4其它这里所指的其它公司，大部份是实力较强的企业，如联想之流，介入安全行业并凭借良好的渠道和合作伙伴关系，打开一定的局面者。需要指出的是安络科技，公司不大，但历经风雨，还能够在行业中有一定位置。但是对于风险评估，则归类到这里的企业多数缺乏自己的风格，甚至评估只是他们很小的“副业”，因此在他们的方案或幻灯片中，常见到的是各种标准的流程、关系图等等，如下面这两副：几乎在所有企业的的风险评估方案中，我都看到上面的那副安全风险关系图，当然有些公司做了某些修改、美化以强调自己的理解、突出自己评估方法中的核心部份，比如下面这张启明星辰的安全风险关系图：2.2.4.1亿阳信通他们的所有业务流程包括：信息资产的界定、策略文档分析、安全审计、网络结构的评估、业务流程分析、安全技术性弱点的评估、安全威胁的评估、现有安全措施评估、安全弱点综合评估、安全威胁综合分析、综合风险分析。采用的评估方法包括五种：工具远程/本地评估、人工评估、白客测试、安全问卷、顾问访谈。使我印象深刻的是，他们对方案中大多数项目都有比较严格的过程说明、参与人员说明、主要评估方式、输入、输出、参考规范和标准。比较严谨。2.2.4.2亚信科技有着深厚运营商行业的优势，其曾经的子公司玛赛有过相当不错的成绩。从他们的几个方案中分析，亚信对风险评估的研究并不深入，仅是简单抄了一堆基本风险评估法、详细风险评估法、综合风险评估法等的概念。他们的评估分为六大部份：资产、脆弱性、威胁、影响、安全措施评估、风险评估。风险评估是对前五者的综合，其中的安全措施估计是自己增加的。我理解起来整体思路感觉比较混乱。2.2.4.3华为华为的部份合作风格一直令人左右为难……他们有庞大而有力的销售队伍、运营商方面良好的合作背景，这些都诱惑着其它厂商与之合作。但华为的高速发展和发展过程的调整，却往往令合作伙伴有些进退维谷。仅以防火墙市场为例，华为曾经因为要选择合作伙伴，广邀防火墙厂商进行产品测试，对各种产品的功能、性能指标、技术特点都了如指掌。但2003年华为推出了自己的防火墙产品。2003年可以说是华为将安全由内部建设转向往外部推动的转折年。原因或许是他们发现他们的主要客户运营商已经把安全门槛提高了，与其很费劲地迈这个门槛，不如在自已的产品和集成基础上造一个高门槛。华为的评估与其它安全公司的评估侧重点略有不同，更侧重于网络架构和应用评估(可能是他们这方面的人才更多的缘故)。2003年市场上也略有斩获。2.2.4.4联想联想的网络安全事业部和他们网御系列的安全产品一直令我很迷惑──为什么联想投资一方面注资绿盟科技，另一方面却自己力图创立安全产品和服务品牌？从目前的情形来看，网御防火墙已经在市场上取得不错的销售成绩，网御入侵检测也初露头角。但笔者个人测试，这两款安全产品从功能、性能上来说都远离联想的大厂商风范。安全服务和风险评估方面，联想介入市场比较迟，但由有几位掌握方面论和攻击渗透的安氏员工的加盟(由此也可见安氏的方法论积累很不错;))，他们很快站在前人的基础上号称有了一套自己的标准方法和操作流程。2.2.4.5安络科技安络科技创立伊始，在国内的网络安全界有比较高的知名度。但多年来始终偏安于深圳，失去了飞速增长的机会。因此被从国内安全厂商的第一梯队挤出。在他们的很多方案中，同时包括了评估建议书和中长期安全规划建议。他们的远程风险评估乏善可陈，本地风险评估分得很细，包括实施安全、平台安全、数据安全、通信安全、应用安全、运行安全、管理安全的评估。但在可操作性方面下的功夫还不够。2.3部份低端厂商的评估模式部份低端评估厂商在市场上不但存在，而且有很大的生存空间。他们的目标客户群体是小型企业。不会为评估花费太多的精力和金钱，安全也只需要简单达到某一基线即可。通常这些厂商的做法快速简洁：漏洞扫描-远程扫描报告抽样人工审计-人工审计报告抽样病毒扫描与查杀-病毒监测报告之后就可以坐地分金了