(风险管理)风险评估概念

安全风险评估的少数派报告

2003-07-28 00:00:00.0

$page.getAuthor()

■ 本报记者徐莉

如果说安全市场本身在中国仍处于方兴未艾的阶段，那么，安全风险评估就只能算作尚在萌芽的种子。因为，作为更高级别的服务，安全风险评估更像安全系统这道门上的一把锁，需要有个大前提。换句话说，只有企业的IT系统足够复杂，安全需求达到一定级别，这把锁才会派上用场。尽管很多人看好安全风险评估的未来，但是，目前国内提供真正安全风险评估服务的却只有少数企业。不过，通过对这些企业的采访，我们印证了大多数人的设想——安全风险评估确是一支开始萌芽的“潜力股”。

提起2002年年底的互联网大会，启明星辰首席技术官刘恒至今印象深刻。在那次会议上，作为安全专题的讲演者之一，刘恒颇为有趣地体会了一回什么叫英雄所见，因为与刘恒一样，另外三名安全专家也不约而同选择了同一个演讲主题——安全风险评估管理。

在会后的交流中，四位“英雄”半开玩笑地指出:“既然大家都看好安全风险评估市场，那索性将2003年定名为安全风险评估年。”

半年多时间过去了，市场为这个带有玩笑性质的预测做了最好的注脚。“进入2003年后，公司关于安全风险评估的单子明显增多，200万以上的项目正在执行的有

两个，”刘恒说。在记者的追问下，刘恒对市场做了一个保守估计：“以2003年上半年的落单情况看，安全风险评估市场的总额应该在八千万到一个亿的样子。”安络科技的CTO谢朝霞对这个问题的回答很干脆: “用在安全风险评估上的投资能占用户总投资的1%～5%，电信和金融用户能达到3%～5%。”按此比例换算，仅银行市场，每年用于网络安全评估的费用将超过几个亿。

我们无意求证这些数字的精确程度，因为这不重要。重要的是，从这些最前沿市场中人的判断，我们看到了安全风险评估正在从概念走向应用，从空中楼阁走向触手可及。而对那些已经开始这项业务却无斩获或将要开始却有迷茫的企业来说，先行成功者的体验无疑是最可宝贵的。

安全风险评估的内涵与外延

什么是安全风险评估？夸张地讲，一千个人有一千个答案。这些答案或许没有本质区别，但是，因为现阶段的市场尚没有一个明确的定义，每个人对安全风险评估的理解，将会因为内涵与外延的不同，呈现溢出或缺损的现象。或许，从用户的需求角度，更容易将这个问题讲明白，也更具有现实意义。

作为一家电子商务公司的网管，小路深感责任重大。自从2001年成立以来，公司网络多次受到来自黑客的攻击，最严重的一次，业务因此停顿了24小时。为此，小路需要经常上网查找最新安全动态。到目前为止，仅在IE浏览器上，小路就已经打了不下7个补丁。但是，从IE浏览器、Apache HTTP Server、到域名软件BIND，都可能是下一个风险的发源地。“风险无处不在，”小路说，“如果想到种种可能性，真会让人晚上睡不着觉。”为了让小路和公司领导都能睡上好觉，2003年初，小路所在的公司请了一家专业公司为自己的网络系统作安全评估，合同期为一年，除了最开始两个月对系统、网络、应用作全面地扫描和评测外，在后面的10个月里，安全公司将全面检测小路公司网络流量的进出情况，并将最新发布的安全漏洞以及补丁情况及时通报给小路。一旦发生问题，服务商承诺在1个小时内做出反应。

小路公司的要求几乎涵盖了安全风险评估的大部分内容。如漏洞扫描，可以划归脆弱性分析; 评测过程，可以算作威胁分析、风险分析。通常来讲，风险咨询公司都会从资产调查开始，逐步进行脆弱性分析、威胁分析、风险分析，针对风险提出解决方案，并提供业务连续性综合办法。有些咨询公司，还会应客户的要求，为加固后的网络系统做二次评估。

从范围上看，安全风险评估又可分为基线风险评估、非正式（快速）风险评估、详细风险评估与综合风险评估。其中，基线评估通常会在启动一个系统建设项目之前开始。非正式评估是针对具体问题，通过工具和人的经验，找到问题，提出解决办法。详细评估则需从物理系统上、数据上以及管理等方面进行全面的评测。绿盟科技工程部安全工程师于慧龙认为，目前，国内第二种评估比较多。

从评估主体上看，安全风险评估又可分为自评、国家授权的专业评估机构评测和以服务商为主体的市场化评估行为。“目前，国内缺乏相关网络安全定级标准，因此，国家还没有设定这样的专业评估机构，”北京中科网威技术中心副总经理吴云坤说。

作为目前市场最主要的群体，安全服务公司提供的评估又可分为两大类：评估加固与评估咨询。“中小客户通常喜欢采用前者。”刘恒说，“他们通常会就网络现状做一个调查，从主机到网络到安全设备，全面查找安全漏洞，然后，要求咨询公司提供加固服务。大客户则需要全面掌握网络安全的情况，要求服务商从系统到管理，提出全面的风险管理办法。”

自测系统安全的几个渐进方法

细节之中见真章

很多情况下，细节决定结果。特定到安全风险评估领域，在完成最初的认知之后，今天的服务商们，又有谁，不是力争在细节上打败对手？

如果三年前，有人提到安全风险评估概念，那他多半是指漏洞扫描。即便在今天，很多企业仍将这个原本宏大的评估概念狭义地限定为漏洞扫描与修补。如果是这样，服务公司很难区分彼此，“现成的扫描工具与产品有很多，我们自己也可以买来工具做扫描，”作为用户，深圳电信的陈波对此狭义理解也很不能接受。

事实上，真正的安全评估服务价值远远超越简单的扫描。

最基本的，网络安全风险是动态的。仅从2001年12月到2002年12月，关于SQL服务器上的漏洞，就有11个报告。而这期间，跟踪漏洞报告及时与否，就显得格外重要。一些专家还明确指出，在使用SQL服务器的时候，不要将1433端口和1434端口打开。如果一定要联接，就不要采用SQL服务器，除非你能保证在第一时间打补丁。为了这个“第一时间”，小路所在的公司才会找来专业公司帮忙。

除了硬件系统、网络、操作系统等的安全风险评估外，应用的安全评估更显“真功夫”。湖北移动梦网部的张明峻认为，应用系统安全隐患很多。

作为非标准化的软件产品，很多应用在开发过程中都缺乏对安全问题的统筹考虑。“1.0版本的软件通常会有很多安全方面的问题，”一个专家警告说。在升级过程中，某证券公司的网络管理员发现，自从公司的股票交易系统升级后，用户投诉开始增多。很多用户反映，在输入账户、密码、端口号码以及代理服务器的地址后，却无法进入交易系统。经过查证，请来解决问题的安全服务公司发现，因为新版本与原来的网络环境，包括安全系统不匹配，用户无法通过防火墙。“因为证券公司有五个不同的防火墙。在这种情况下，只有在防火墙上新打开一个入口，用户才能进入系统，”服务工程师说。

最后，在服务公司的建议下，这个证券公司选择使用另外一个应用系统。“这是一个明智的选择，否则，这个应用将带来潜在的安全隐患，”谢朝霞评价说。

能在事前帮助用户排除风险固然不错，但并非每个用户都会做出同样的选择，当发生问题时，作为安全风险评估公司，是否能在最短的时间，排除其他可能性，从应用层面找到问题症结，同样至关重要。

另外，无论自己提供安全产品与否，作为提供服务的安全公司，不要忘了，网络安全产品本身同样可能存在漏洞。去年，在为政府部门检测一个安全评估工具时，一家安全风险评估公司发现了扫描软件自身存在漏洞，这个漏洞，在某种程度上，使整个网络暴露在危险之中。