國內(nèi)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估市場(chǎng)與技術(shù)操作

國內(nèi)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估市場(chǎng)與技術(shù)操作吳魯加04/19/2004個(gè)人主頁：/網(wǎng)絡(luò)日志：版本控制v0.104/01/2004文檔創(chuàng)建，包含大量示例文件內(nèi)部發(fā)布v0.204/19/2004刪除部份敏感信息，增加國內(nèi)市場(chǎng)分析、BS7799和OCTAVE概述后，對(duì)外發(fā)布近兩年網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估漸漸為人們所重視，不少大型企業(yè)尤其是運(yùn)營商、金融業(yè)都請(qǐng)了專業(yè)公司進(jìn)行評(píng)估。本文提出作者個(gè)人對(duì)國內(nèi)安全風(fēng)險(xiǎn)評(píng)估操作的一些評(píng)價(jià)，并試圖闡述作者所理解的，可裁剪、易操作的風(fēng)險(xiǎn)評(píng)估方式。由于內(nèi)容與商業(yè)公司有關(guān)，因此不可避免會(huì)涉及部份商業(yè)利益，在文中作者盡量隱去可能產(chǎn)生直接利害關(guān)系的文字，并聲明所有評(píng)價(jià)純屬個(gè)人觀點(diǎn)，如果你有不同意見，歡迎來函探討。1.什么是風(fēng)險(xiǎn)評(píng)估說起風(fēng)險(xiǎn)評(píng)估，大家腦海中首先浮現(xiàn)的可能是：風(fēng)險(xiǎn)、資產(chǎn)、影響、威脅、弱點(diǎn)等一連串的術(shù)語，這些術(shù)語看起來并不難理解，但一旦綜合考慮就會(huì)象繞口令般組合。比如風(fēng)險(xiǎn)，用ISO/IECTR13335-1:1996中的定義可以解釋為：特定威脅利用某個(gè)(些)資產(chǎn)的弱點(diǎn)，造成資產(chǎn)損失或破壞的潛在可能性。為了幫助理解，我們舉一個(gè)下里巴人的例子：我口袋里有100塊錢，因?yàn)榇蝾?，被小偷偷走了，搞得晚上沒飯吃。用風(fēng)險(xiǎn)評(píng)估的觀點(diǎn)來描述這個(gè)案例，我們可以對(duì)這些概念作如下理解：風(fēng)險(xiǎn)=錢被偷走資產(chǎn)=100塊錢影響=晚上沒飯吃威脅=小偷弱點(diǎn)=打瞌睡回到陽春白雪來，假設(shè)這么個(gè)案例：某證券公司的數(shù)據(jù)庫服務(wù)器因?yàn)榇嬖赗PCDCOM的漏洞，遭到入侵者攻擊，被迫中斷3天。讓我們嘗試做一道小學(xué)時(shí)常做的連線題，把左右兩邊相對(duì)應(yīng)的內(nèi)容用線段連接起來：風(fēng)險(xiǎn)RPCDCOM漏洞絞資產(chǎn)晉顛掀服務(wù)器遭到若入侵些影響溉浮姻數(shù)據(jù)庫服務(wù)離器尼威脅揀疲喚入侵者呢弱點(diǎn)涂療斯中斷三天解如果這道題魯對(duì)你沒什么完難度，那么榜恭喜你，你烘已經(jīng)和國內(nèi)江大多數(shù)風(fēng)險(xiǎn)批評(píng)估的操作賽者差不多站掛在同一個(gè)起評(píng)跑線上了。多2.國內(nèi)騰現(xiàn)有風(fēng)險(xiǎn)評(píng)悔估操作模式傘2.1評(píng)祥估市場(chǎng)和競(jìng)宋爭(zhēng)分析逢如果按照高討、中、低端房簡(jiǎn)單對(duì)國內(nèi)俗的風(fēng)險(xiǎn)評(píng)估稿市場(chǎng)進(jìn)行分橋類，那么我秘們可以很清多晰地看到，也幾類市場(chǎng)的夾操作方式完期全不同。策國內(nèi)高端市套場(chǎng)主要被如夕IBM(普淡華永道)、鏡畢馬威這樣訓(xùn)類型會(huì)計(jì)師托事務(wù)所類型己的公司占領(lǐng)甲，往往網(wǎng)絡(luò)喇安全評(píng)估就城涵蓋在他們貴的整個(gè)審計(jì)患體系之下。淡中端市場(chǎng)上蟻則盤踞著國你內(nèi)外大多數(shù)準(zhǔn)較有實(shí)力的杯網(wǎng)絡(luò)安全公吃司，其中包薄括較早提出驢安全評(píng)估并沖且在運(yùn)營商慧市場(chǎng)有比較壤好的實(shí)踐的賓安氏、有作箏風(fēng)穩(wěn)健但卻猶一步一個(gè)腳諸印打下大片勢(shì)疆土的啟明貸星辰、也有糾異軍突起極姜具競(jìng)爭(zhēng)力的氏綠盟科技抱……詠低端廠商則即數(shù)量龐大，益往往只是通團(tuán)過簡(jiǎn)單的漏嫂洞掃描、病問毒查殺等方暑式操作。悟2.2主瓶要中端廠商傾的評(píng)估模式摩分析稱以下分析中秘的數(shù)據(jù)來源懲為筆者在從念事網(wǎng)絡(luò)安全勉評(píng)估實(shí)踐時(shí)怨通過各種渠岡道獲得。但釋由于信息的抽時(shí)效性，未膊能確認(rèn)當(dāng)前是文中所進(jìn)行盾的表述與分即析就代表著堤各家企業(yè)的雨最新評(píng)估發(fā)獅展?fàn)顟B(tài)。希萍望讀者自行資鑒別。央捏啟明星辰聲啟明星辰2構(gòu)002年之繪前始終比較今低調(diào)，但風(fēng)虜險(xiǎn)評(píng)估項(xiàng)目奸從最初對(duì)某援證券公司進(jìn)拿行的純粹漏醫(yī)洞掃描、人厘工審計(jì)、滲右透測(cè)試這種即類型的純技檢術(shù)操作到套豈用BS77抱99到采用熄OCTAV慶E方法再到察最終形成自爐己的網(wǎng)絡(luò)安潛全風(fēng)險(xiǎn)評(píng)估振的方法論、瓣操作模型，桑有很多專業(yè)侵人員付出了旺大量勞動(dòng)。歐下圖是啟明羅星辰的幻燈虜片中摘錄的擦，他們?cè)u(píng)估慕發(fā)展的歷程割，在每個(gè)臺(tái)血階上有該階突段所經(jīng)過的驅(qū)項(xiàng)目名稱，宜出于安全原拐因隱去?；陿I(yè)務(wù)參與性筋弱、解決方蝕案可操作性游差往往也是濁高要求的用戰(zhàn)戶對(duì)風(fēng)險(xiǎn)評(píng)餐估隊(duì)伍批評(píng)蠶較多的地方刑，但從啟明瘡星辰近期在貪幾家大型客膜戶那里的操莊作來看，較遵受客戶好評(píng)念。壤啟明星辰有吃較多在風(fēng)險(xiǎn)變?cè)u(píng)估中可以陵應(yīng)用的工具運(yùn)：繡天鏡評(píng)估版依：掃描器，仔有專門用于助風(fēng)險(xiǎn)評(píng)估的秤版本。徹丸天清：又名花SRC，指于Secur米ityR揪iskM喪anage察，基于IS雞O1779警9的量化、伙可視化的評(píng)莫估工具。易理信息庫：名贏稱不詳，能弊夠直接導(dǎo)入程天鏡、Ne銜ssus、爹ISS等掃舉描器的掃描尊結(jié)果并生成得報(bào)告。據(jù)說橋是較好的安約全評(píng)估過程襯輔助工具。賞刺本地評(píng)估軟性件包。酒叫我理解的啟鴿明星辰風(fēng)險(xiǎn)援評(píng)估特點(diǎn)為囑：博采眾長豬這一方面與鴨啟明星辰參宵與部份安全壁行業(yè)國家標(biāo)瑞準(zhǔn)的制訂有膠關(guān)，另一方淋面則是他們便有著較多高礎(chǔ)學(xué)歷員工，任對(duì)高端咨詢辯類型的提煉炒、深化抓得恰比較好，對(duì)傷評(píng)估要求看啦得透徹，寫除得清楚。變化較快首這可以說既浪是優(yōu)點(diǎn)，也玩是缺點(diǎn)。在各每次較大的悅評(píng)估項(xiàng)目中神他們一般都瞎要求有所突慚破。這逼著眉他們?nèi)?chuàng)新澤，但同時(shí)也遙導(dǎo)致評(píng)估的域方法論很容雅易有變動(dòng)。稅嚷綠盟科技磨綠盟科技從再最初參與中增國電信評(píng)估誼項(xiàng)目開始走剪進(jìn)安全評(píng)估充領(lǐng)域，挾其襪強(qiáng)大的系統(tǒng)秀研究技術(shù)優(yōu)四勢(shì)進(jìn)入市場(chǎng)欄。下圖是他貞們一份講稿飲中的評(píng)估流澤程描述：洗我對(duì)綠盟科驢技風(fēng)險(xiǎn)評(píng)估錦方法的總體畝評(píng)價(jià)是：它晝是專業(yè)的系掀統(tǒng)和網(wǎng)絡(luò)安烏全評(píng)估，不習(xí)是信息安全小評(píng)估，具體古有如下幾點(diǎn)產(chǎn)：秘項(xiàng)目可操作驚性強(qiáng)帽示管理評(píng)估存律在不足，風(fēng)袖險(xiǎn)計(jì)算方式芳不夠科學(xué)罪孝技術(shù)弱點(diǎn)把裹握精確促窩撿安氏醉安氏在國內(nèi)惠較早從事網(wǎng)剖絡(luò)安全風(fēng)險(xiǎn)析評(píng)估項(xiàng)目的漲操作，做過鉆較大的評(píng)估僵項(xiàng)目(包括炮顧問咨詢)活有：中國移按動(dòng)CMNE謝T全網(wǎng)網(wǎng)絡(luò)唉安全評(píng)估項(xiàng)補(bǔ)目、天津電殺力公司安全配咨詢項(xiàng)目、圖中國電信I鏡P網(wǎng)安全咨倘詢顧問項(xiàng)目恩、上海移動(dòng)獸boss系因統(tǒng)安全咨詢儉顧問項(xiàng)目、揚(yáng)深圳華為科眨技公司安全急咨詢顧問項(xiàng)她目等。枕個(gè)人理解，尊2001年莊前后，IS冠-ONE的極評(píng)估在國內(nèi)租較為領(lǐng)先，基一方面是他郊們與國外公烏司的溝通較投密切，另外濫其高管層對(duì)佳風(fēng)險(xiǎn)評(píng)估、允BS779快9比較重視串。但到了2斯003年，并安氏整體戰(zhàn)疑略轉(zhuǎn)型，產(chǎn)起品方面一邊痕中止與IS董S合作，一孟面高調(diào)宣傳壇做自主產(chǎn)品恒，SOC大集集成成為其向主推概念，科在風(fēng)險(xiǎn)評(píng)估箱領(lǐng)域的方法公論卻缺乏創(chuàng)狼新和突破。愁安氏的安全似風(fēng)險(xiǎn)評(píng)估有軋幾大優(yōu)勢(shì)：挽項(xiàng)目管理較厲為專業(yè)祝貴下圖是從安才氏給某用戶甩匯報(bào)時(shí)pp炕t的摘錄，魄是他們項(xiàng)目蹈管理的過程袋。夫文檔體系比逢較規(guī)范正宴這可能與安杜氏的部份高叨管強(qiáng)執(zhí)行力徑和國外背景鳴有一定關(guān)系刪。他們較為裹注重方案、錘咨詢建議等刪經(jīng)驗(yàn)的可復(fù)遞用，當(dāng)然，荷這同時(shí)也容諸易造成他們徹考慮問題簡(jiǎn)睜單化，對(duì)小腿客戶容易用段大企業(yè)的方飽案來裁剪套繪用。就現(xiàn)在眨他們做過的桑項(xiàng)目來看，備至少有以下噴標(biāo)準(zhǔn)方案的謎積累：陣安全策略評(píng)拒估及建議報(bào)攀告屬安全解決方疏案引本地風(fēng)險(xiǎn)評(píng)盡估報(bào)告濕遠(yuǎn)程風(fēng)險(xiǎn)評(píng)痰估報(bào)告尤網(wǎng)絡(luò)安全現(xiàn)索狀報(bào)告解網(wǎng)絡(luò)安全解站決方案建議賀掃描評(píng)估申投請(qǐng)報(bào)告模版筍數(shù)據(jù)庫掃描丙申請(qǐng)報(bào)告裙系統(tǒng)掃描申毒請(qǐng)報(bào)告物網(wǎng)絡(luò)掃描申浴請(qǐng)報(bào)告……可這里列舉一找份安氏的售再前方案目錄況，相信內(nèi)行河人能看出一方些門道來吧紛;)懸第1章纖概述差1.1旗崗項(xiàng)目概述面1.2凈而項(xiàng)目目標(biāo)誦犁飲評(píng)估的方式細(xì)1.3剩溫評(píng)估遵循的遲原則川陡業(yè)保密原則僑窄徑標(biāo)準(zhǔn)性原則嫩渠戲規(guī)范性原則窮恐助可控性原則暫優(yōu)堆整體性原則霞澡梨最小影響原撈則瓜1.4枝朽風(fēng)險(xiǎn)評(píng)估模勒型艇隱母背景和假設(shè)微1.滾4.2噴白概述怠懲突資產(chǎn)評(píng)估攜鏡嗓威脅評(píng)估陡惕岔弱點(diǎn)評(píng)估稿工梳風(fēng)險(xiǎn)評(píng)估窩1.5撐菊資產(chǎn)識(shí)別和綱賦值曲罰妙信息資產(chǎn)分笨類吉隙擔(dān)信息資產(chǎn)賦溫值腥1.6查獸主要評(píng)估方阿法說明間富倦工具評(píng)估方裕泄人工評(píng)估庸屠雪安全審計(jì)靈端闖網(wǎng)絡(luò)架構(gòu)分賠析快線躺策略評(píng)估木1.7舟探項(xiàng)目承諾討1.8榨創(chuàng)項(xiàng)目組織結(jié)鬧構(gòu)謎第2章縱項(xiàng)目范圍惠和評(píng)估內(nèi)容融第3章扭項(xiàng)目階段訂詳述往3.1劑李第一階段－撿項(xiàng)目準(zhǔn)備和玻范圍確定式3.2致治第二階段-崖項(xiàng)目定義和權(quán)藍(lán)圖嘉3.3討字第三階段-覆風(fēng)險(xiǎn)評(píng)估階秀段像督隙集團(tuán)公司層屋面評(píng)估子項(xiàng)老目第達(dá)駐省網(wǎng)層面評(píng)勇估子項(xiàng)目痕睜偷安全信息庫心開發(fā)子項(xiàng)目籍四甩安全評(píng)估風(fēng)順險(xiǎn)規(guī)避措施芳譯棵需要客戶配胃合的工作偶渴愿安全信息庫恒系統(tǒng)原型概聰要設(shè)計(jì)沿3.4提倉第四階段－儀綜合評(píng)估和遣策略階段案盡稍報(bào)告和建議糕的形成寶枝米《XXXX縫網(wǎng)絡(luò)安全現(xiàn)績狀報(bào)告》承悔或《XXXX亭網(wǎng)絡(luò)安全策持略改進(jìn)建議寸》餅體屯《XXXX信網(wǎng)絡(luò)安全解慕?jīng)Q方案建議籃》丸3.5負(fù)掉第五階段－鋒項(xiàng)目評(píng)審階法段球兆水驗(yàn)收方法和僚內(nèi)容煩撤禾驗(yàn)收標(biāo)準(zhǔn)和雨流程溫3.6恢醬支持和售后率服務(wù)師筑劉安氏客戶服枝務(wù)體系簡(jiǎn)介階細(xì)殖安氏（中國啟）的客戶服物務(wù)對(duì)象子辱篇安氏（中國清）客戶服務(wù)注中心組織結(jié)伶構(gòu)貿(mào)土逝安氏（中國醬）的服務(wù)特狹點(diǎn)吸糖情服務(wù)保證體拜系CRM捕叔宴在本項(xiàng)目中盜所提供的支行持服務(wù)掛灑磁安全通告服菌務(wù)填第4章后項(xiàng)目質(zhì)量申保證和管理饒4.午1版指配置管理袖4.2策剪變更控制管醬理符4.3陜爹項(xiàng)目溝通禍4.4型左記錄和備忘慣錄支4.5腥偽報(bào)告讀4.6階核項(xiàng)目協(xié)調(diào)會(huì)廁議皺第5章狼項(xiàng)目質(zhì)量默控制想第6章持技術(shù)培訓(xùn)弦6.1錘阻安全管理培跟訓(xùn)（ISO刺1779食9）津6.2疤未評(píng)估方法培伙訓(xùn)環(huán)6.3端滲評(píng)估結(jié)果及倘漏洞修補(bǔ)方卸法培訓(xùn)靜6.4馬粘安全信息庫音系統(tǒng)培訓(xùn)精第7章協(xié)項(xiàng)目軟硬床件需求清單浮另外，安氏蓮的信息庫也竟能成為他們潑在風(fēng)險(xiǎn)評(píng)估資中一項(xiàng)有力謎的武器。郊朝其它矮這里所指的浙其它公司，斃大部份是實(shí)沾力較強(qiáng)的企券業(yè)，如聯(lián)想途之流，介入更安全行業(yè)并例憑借良好的縫渠道和合作披伙伴關(guān)系，滑打開一定的考局面者。需慚要指出的是垃安絡(luò)科技，忍公司不大，蜂但歷經(jīng)風(fēng)雨胡，還能夠在罩行業(yè)中有一淺定位置。頌但是對(duì)于風(fēng)霧險(xiǎn)評(píng)估，則血?dú)w類到這里鈴的企業(yè)多數(shù)在缺乏自己的執(zhí)風(fēng)格，甚至灶評(píng)估只是他胞們很小的謙“吐副業(yè)觸”麗，因此在他校們的方案或起幻燈片中，館常見到的是件各種標(biāo)準(zhǔn)的斜流程、關(guān)系租圖等等，如豆下面這兩副光：證幾乎在所有傳企業(yè)的的風(fēng)輝險(xiǎn)評(píng)估方案份中，我都看座到上面的那搜副安全風(fēng)險(xiǎn)貌關(guān)系圖，當(dāng)至然有些公司與做了某些修殲改、美化以權(quán)強(qiáng)調(diào)自己的輔理解、突出隆自己評(píng)估方季法中的核心惡部份，比如米下面這張啟傾明星辰的安煮全風(fēng)險(xiǎn)關(guān)系糟圖：著章.1億陽吊信通或他們的所有稿業(yè)務(wù)流程包烤括：信息資商產(chǎn)的界定、蔑策略文檔分下析、安全審催計(jì)、網(wǎng)絡(luò)結(jié)嚼構(gòu)的評(píng)估、枯業(yè)務(wù)流程分霧析、安全技醒術(shù)性弱點(diǎn)的雄評(píng)估、安全師威脅的評(píng)估姑、現(xiàn)有安全值措施評(píng)估、侍安全弱點(diǎn)綜廉合評(píng)估、安元全威脅綜合領(lǐng)分析、綜合呈風(fēng)險(xiǎn)分析。敞采用的評(píng)估秋方法包括五奶種：工具遠(yuǎn)禾程/本地評(píng)刻估、人工評(píng)咬估、白客測(cè)勒試、安全問嚴(yán)卷、顧問訪貿(mào)談。高使我印象深栗刻的是，他誼們對(duì)方案中劈大多數(shù)項(xiàng)目外都有比較嚴(yán)復(fù)格的過程說脅明、參與人但員說明、主吹要評(píng)估方式騰、輸入、輸?shù)贸觥⒖家?guī)齡范和標(biāo)準(zhǔn)。茶比較嚴(yán)謹(jǐn)。憐綿.2亞信擠科技蓬有著深厚運(yùn)久營商行業(yè)的配優(yōu)勢(shì)，其曾地經(jīng)的子公司陡瑪賽有過相御當(dāng)不錯(cuò)的成冷績。從他們陸的幾個(gè)方案奧中分析，亞爪信對(duì)風(fēng)險(xiǎn)評(píng)膏估的研究并蒼不深入，僅奶是簡(jiǎn)單抄了旁一堆基本風(fēng)西險(xiǎn)評(píng)估法、大詳細(xì)風(fēng)險(xiǎn)評(píng)佳估法、綜合事風(fēng)險(xiǎn)評(píng)估法先等的概念。豈他們的評(píng)估挎分為六大部容份：資產(chǎn)、盞脆弱性、威掠脅、影響、刺安全措施評(píng)彎估、風(fēng)險(xiǎn)評(píng)閑估。風(fēng)險(xiǎn)評(píng)碰估是對(duì)前五負(fù)者的綜合，待其中的安全之措施估計(jì)是販自己增加的冠。我理解起近來整體思路跟感覺比較混群亂。宜爸.3華為丈華為的部份慎合作風(fēng)格一齊直令人左右廊為難尺……幅他們有龐大勇而有力的銷句售隊(duì)伍、運(yùn)赤營商方面良僻好的合作背磚景，這些都根誘惑著其它輸廠商與之合授作。但華為劈的高速發(fā)展駛和發(fā)展過程表的調(diào)整，卻年往往令合作李伙伴有些進(jìn)攪退維谷。僅泳以防火墻市忽場(chǎng)為例，華寧為曾經(jīng)因?yàn)閲W要選擇合作型伙伴，廣邀勞防火墻廠商驅(qū)進(jìn)行產(chǎn)品測(cè)潔試，對(duì)各種智產(chǎn)品的功能公、性能指標(biāo)淹、技術(shù)特點(diǎn)毅都了如指掌扎。但200墾3年華為推制出了自己的毒防火墻產(chǎn)品器。突2003年饑可以說是華勞為將安全由航內(nèi)部建設(shè)轉(zhuǎn)兩向往外部推交動(dòng)的轉(zhuǎn)折年麻。原因或許掙是他們發(fā)現(xiàn)述他們的主要遍客戶運(yùn)營商布已經(jīng)把安全狡門檻提高了怨，與其很費(fèi)圾勁地邁這個(gè)衣門檻，不如物在自已的產(chǎn)能品和集成基讓礎(chǔ)上造一個(gè)標(biāo)高門檻。戲華為的評(píng)估際與其它安全匙公司的評(píng)估雜側(cè)重點(diǎn)略有須不同，更側(cè)醒重于網(wǎng)絡(luò)架鏟構(gòu)和應(yīng)用評(píng)道估(可能是落他們這方面很的人才更多毒的緣故)。驗(yàn)2003年排市場(chǎng)上也略輕有斬獲。題脹.4聯(lián)想貝聯(lián)想的網(wǎng)絡(luò)軌安全事業(yè)部溜和他們網(wǎng)御上系列的安全恨產(chǎn)品一直令泥我很迷惑軟──逗為什么聯(lián)想肌投資一方面談注資綠盟科葬技，另一方頂面卻自己力珍圖創(chuàng)立安全席產(chǎn)品和服務(wù)戀品牌？從目痛前的情形來沖看，網(wǎng)御防拖火墻已經(jīng)在榜市場(chǎng)上取得咬不錯(cuò)的銷售跡成績，網(wǎng)御擴(kuò)入侵檢測(cè)也漸初露頭角。喇但筆者個(gè)人旬測(cè)試，這兩相款安全產(chǎn)品純從功能、性奪能上來說都棍遠(yuǎn)離聯(lián)想的怠大廠商風(fēng)范袍。古安全服務(wù)和廁風(fēng)險(xiǎn)評(píng)估方抬面，聯(lián)想介涉入市場(chǎng)比較噴遲，但由有轉(zhuǎn)幾位掌握方低面論和攻擊舍滲透的安氏萍員工的加盟鑼(由此也可脈見安氏的方個(gè)法論積累很李不錯(cuò);))艘，他們很快指站在前人的扔基礎(chǔ)上號(hào)稱載有了一套自把己的標(biāo)準(zhǔn)方壟法和操作流里程。未款.5安絡(luò)袍科技萄安絡(luò)科技創(chuàng)列立伊始，在卵國內(nèi)的網(wǎng)絡(luò)禾安全界有比圓較高的知名韻度。但多年舟來始終偏安歌于深圳，失煌去了飛速增惑長的機(jī)會(huì)。異因此被從國腫內(nèi)安全廠商躁的第一梯隊(duì)莊擠出。掩在他們的很捉多方案中，乏同時(shí)包括了辛評(píng)估建議書蟻和中長期安乖全規(guī)劃建議世。他們的遠(yuǎn)勇程風(fēng)險(xiǎn)評(píng)估桑乏善可陳，鼠本地風(fēng)險(xiǎn)評(píng)透估分得很細(xì)虧，包括實(shí)施招安全、平臺(tái)雄安全、數(shù)據(jù)籃安全、通信糧安全、應(yīng)用等安全、運(yùn)行限安全、管理單安全的評(píng)估冤。但在可操爸作性方面下議的功夫還不驚夠。柜2.3部亦份低端廠商員的評(píng)估模式辛部份低端評(píng)別估廠商在市杰場(chǎng)上不但存皂在，而且有閘很大的生存稼空間。他們投的目標(biāo)客戶溜群體是小型汁企業(yè)。不會(huì)撫為評(píng)估花費(fèi)螺太多的精力究和金錢，安四全也只需要霞簡(jiǎn)單達(dá)到某雨一基線即可仔。霧通常這些廠致商的做法快鄉(xiāng)速簡(jiǎn)潔：洲漏洞掃描構(gòu)拜車->閑遠(yuǎn)程掃描報(bào)棚告限抽樣人工審亦計(jì)閱搬->最人工審計(jì)報(bào)偷告碧抽樣病毒掃豎描與查殺枝-撲>怎病毒監(jiān)測(cè)報(bào)百告棟之后就可以霜坐地分金了獄，這種操作暫模式僅需要枕少數(shù)技術(shù)骨修干就能很好愈地進(jìn)行。至3.BS漢7799和冤OCTAV斃E叼3.1B險(xiǎn)S7799搭的優(yōu)勢(shì)和弱尤點(diǎn)摸要初步了解勸BS779六9，我覺得飾從兩個(gè)角度徑入手敞了解BS7盤799的安柳全管理流程果，也就是建諷立信息安全捉管理體系的晝方法和步驟煩臣系統(tǒng)了解B供S7799棋中提到的1才0類127收個(gè)控制項(xiàng)的靜內(nèi)容童般并且能夠在蜂此基礎(chǔ)上針饞對(duì)不同行業(yè)涂選擇(甚至透新增)控制碗項(xiàng)。就如最剪近移動(dòng)集團(tuán)切提出的NI反SS(網(wǎng)絡(luò)搜與信息安全蹲標(biāo)準(zhǔn))一樣剃。處恢個(gè)人感覺B蹤S7799掉的最大缺陷障就在于可操懲作性不強(qiáng)，衛(wèi)如果僅僅按棄BS779凈9的要求操緩作(類似I瞧SO900隸0的評(píng)審)變，有可能最郵終達(dá)不到初死始的安全目障標(biāo)。這或許嬸也是BS7趨799和I請(qǐng)SO177位99呼聲很六高，但實(shí)際奏應(yīng)用或者通曲過評(píng)審的企鍛業(yè)并不多的喪原因之一。伯作為參考，值這里給出一條份sans門提供的外BS779窯9檢查列表?xiàng)棥?cè)3.2O蓮CTAVE總的有效補(bǔ)充拒所謂OCT似AVE，實(shí)顯際上是Op嫌erati鉆onall糊yCri浸tical尚Thre喊at,A私sset,湊and襲Vulne譽(yù)rabil果ity歡炭Evalu恭ation哀的縮寫，指躍的是可操作訓(xùn)的關(guān)鍵威脅嘴、資產(chǎn)和弱乖點(diǎn)評(píng)估。在棒我的理解中袋，OCTA綁VE首先強(qiáng)貪調(diào)的是O，旨其次是C，雅也就是說，民它最注重可自操作性，其豬次對(duì)關(guān)鍵性并很關(guān)注，把稍握80/2滅0原則草:)夫簡(jiǎn)單描述我員理解OCT哲AVE的幾膏個(gè)重點(diǎn)(實(shí)草際上在OC更TAVE中統(tǒng)的每個(gè)環(huán)節(jié)慨都是不可忽耍視的，這里筑所說的幾個(gè)貍重點(diǎn)是我認(rèn)忘為OCTA由VE較好、泊或者評(píng)估過盤程中比較關(guān)增鍵的部份環(huán)菊節(jié))：新過程控制(用整體)鞋彈OCTAV制E將整體網(wǎng)眨絡(luò)安全風(fēng)險(xiǎn)繭評(píng)估過程分民為三個(gè)階段肌九個(gè)環(huán)節(jié)，句分別是：酒階段一：建散立基于資產(chǎn)馳的威脅配置而文件偉01.標(biāo)筍識(shí)高層管理園知識(shí)鞠02.標(biāo)優(yōu)識(shí)業(yè)務(wù)區(qū)域辛知識(shí)戲03.標(biāo)段識(shí)一般員工必知識(shí)蒙0掛4.建立室威脅配置文鹽件歐階段二：標(biāo)開識(shí)基礎(chǔ)結(jié)構(gòu)兆的弱點(diǎn)叮05.標(biāo)建識(shí)關(guān)鍵資產(chǎn)蹤06.評(píng)格估選定的資袋產(chǎn)對(duì)階段三：確龜定安全策略征和計(jì)劃慌07.執(zhí)音行風(fēng)險(xiǎn)分析笛8A.開旗發(fā)保護(hù)策略免A鉆8B.開貸發(fā)保護(hù)策略叛B皂下圖是CE寶RT在為一浙家醫(yī)院進(jìn)行補(bǔ)風(fēng)險(xiǎn)評(píng)估時(shí)倘的進(jìn)程時(shí)間擔(dān)表，我們可池以作為參考基。姻創(chuàng)建威脅統(tǒng)抵計(jì)(pro解cess蕩4)摔者這個(gè)過程實(shí)嬸際上完成兩仁件事，一是奇對(duì)前面三個(gè)礙過程中收集械的數(shù)據(jù)進(jìn)行軍整理，使數(shù)鐘據(jù)分析清晰六。二是能夠析通過分析資王產(chǎn)的威脅，帶創(chuàng)建重要資閑產(chǎn)及資產(chǎn)面吩臨威脅的全毫局視圖。炭從下圖我們辮可以看到，索OCTAV雁E對(duì)某一資給產(chǎn)的資產(chǎn)、撤訪問、動(dòng)機(jī)罰、參與者和待結(jié)果都進(jìn)行展了分析(該故圖僅是針對(duì)袖一項(xiàng)資產(chǎn)喜──勻個(gè)人計(jì)算機(jī)單，和一種訪編問陶──慚網(wǎng)絡(luò)而建立瘦的威脅視圖龍)，這種方難式的確有助落于我們看清旬企業(yè)內(nèi)部的銀威脅情況。順識(shí)別關(guān)鍵資寺產(chǎn)(pro拾cess宅5)梅底也是第一階舍段的延續(xù)，安按OCTA瘋VE的說法瓦，分成兩步腫：標(biāo)識(shí)組件班的關(guān)鍵種類額和標(biāo)識(shí)要分月析的基礎(chǔ)結(jié)終構(gòu)組件。如挽果從操作靈避活性考慮，俯我們也可以串在階段一的攻時(shí)候?yàn)橘Y產(chǎn)陶和知識(shí)標(biāo)識(shí)粒出CIA(費(fèi)機(jī)密性、完叢整性和可用腹性)，通過我對(duì)CIA的島綜合運(yùn)算得荒出最終結(jié)論秒。掘進(jìn)行風(fēng)險(xiǎn)分鴿析(pro痕cess燕7)蝦架與創(chuàng)建威脅凡統(tǒng)計(jì)中的威鏈脅視圖相對(duì)寨應(yīng)，在這里爽需要標(biāo)識(shí)出含威脅可能造尊成的影響。疑要注意到的慎是，風(fēng)險(xiǎn)分捏析并非僅象蜂下圖那樣是噴單一的，而朽是多種系統(tǒng)郊之間可能交決叉影響，因吼此這個(gè)視圖筑最終完成后胸將會(huì)是很大鈔的一張圖表兄。四4.中小尺企業(yè)的特點(diǎn)息和對(duì)OCT欲AVE的重幫新評(píng)價(jià)散4.1中跟小型企業(yè)和丙大型企業(yè)在忌評(píng)估活動(dòng)中膨的異同點(diǎn)津最直接的想救法，大型企遼業(yè)和中小型忠企業(yè)對(duì)安全栗的關(guān)注要點(diǎn)過是否完全相答同？又是否探完全不同？各哪些在大型需企業(yè)中做過貝的事是可復(fù)夜用的？我很館少看到關(guān)于鍋這些方面的俱討論，因此猜也想在這里栗將問題提出六，并給出我饞的粗淺考慮咐，希望能夠需引玉。別相同點(diǎn)(可兆以復(fù)用的部盤份)向榆1.資產(chǎn)固評(píng)估領(lǐng)資產(chǎn)調(diào)查表捏格攔資產(chǎn)屬性和蛾賦值調(diào)研表?xiàng)l格與方法叉關(guān)鍵資產(chǎn)的吹調(diào)查方法盯2.威脅跟評(píng)估(部份占中小企業(yè)甚壞至可以不用蝶進(jìn)行)目BS779惱9評(píng)審表筆OCTAV布E威脅分析有方法和視圖彎事件分析方疤法精3.弱點(diǎn)眉評(píng)估踩遠(yuǎn)程掃描方吳法和工具翠人工審計(jì)方脅法和工具衣滲透測(cè)試方鎮(zhèn)法和工具謎4.風(fēng)險(xiǎn)還分析喝現(xiàn)有風(fēng)險(xiǎn)視涌圖提煉方法座和報(bào)告柏不同點(diǎn)(需申要單獨(dú)開發(fā)乏調(diào)研的部份感)勞唱1.資產(chǎn)亮評(píng)估嶄資產(chǎn)報(bào)告(六不同行業(yè)、哭規(guī)模的企業(yè)猜，關(guān)鍵資產(chǎn)舌有很大區(qū)別誼)捉2.威脅幼評(píng)估儀面臨的威脅爐面比小企業(yè)倚更廣烘3.弱點(diǎn)訓(xùn)評(píng)估銹風(fēng)險(xiǎn)規(guī)避措章施其4.風(fēng)險(xiǎn)僚分析端針對(duì)組織特愁點(diǎn)的解決方堤案節(jié)管理制度和釣策略框架逝4.2重觀新評(píng)價(jià)OC朝TAVE塞通過對(duì)OC效TAVE的弄初步學(xué)習(xí)，底我們可以認(rèn)屢識(shí)到它具有稍許多BS7犯799的所笑缺乏的可操勾作性方面的互特點(diǎn)，但離陷完美還有一夕定距離，簡(jiǎn)北單談幾點(diǎn)不誕足：隸過份強(qiáng)調(diào)對(duì)末大企業(yè)的評(píng)億估活動(dòng)，評(píng)煉估流程比較朗繁瑣，完整溫視圖建立不駱易操作，要脹求組織中多猾人參與。絹偵風(fēng)險(xiǎn)控制行曉動(dòng)列表粒度礦較粗，與企真業(yè)后續(xù)安全捆建設(shè)的實(shí)際紋工作有一定袋距離。漂昨由于強(qiáng)調(diào)了虜操作，執(zhí)行校時(shí)所依據(jù)的滿標(biāo)準(zhǔn)就相對(duì)討簡(jiǎn)單(可能槳有主觀臆斷皺的因素在內(nèi)犬)。迷今任何事物，恢就算非常優(yōu)趟秀，也都不勝能全盤照搬凝，是需要批司判接受的，弄從上面對(duì)B賴S7799著和OCTA售VE的簡(jiǎn)單泥分析，你是腥否能夠提煉憤出你自己的勺評(píng)估方法？鹿5.如何配制訂最適合么您企業(yè)的風(fēng)泳險(xiǎn)評(píng)估計(jì)劃鑰這里考慮采償用一個(gè)小企仍業(yè)的評(píng)估實(shí)龜例來說明制秤訂適合自身捧當(dāng)前狀態(tài)的天企業(yè)風(fēng)險(xiǎn)評(píng)圍估的方法。鴉由于暫時(shí)沒將有適合的案幣例提供，因粘此留待下一環(huán)版本完善。嘩6.實(shí)施贊過程簡(jiǎn)述瘡6.1定宇義階段瓶實(shí)際上是售和前工作的延科續(xù)，即明確終項(xiàng)目范圍，秤清晰界定用龜戶的需求。仰這點(diǎn)看似簡(jiǎn)亭單，但實(shí)際臭操作者卻需殼要相當(dāng)有經(jīng)澡驗(yàn)，能夠判繁斷自己所擁姑有的資源;白能夠在既定嶺時(shí)間內(nèi)完成是多少工作;釣?zāi)軌蚺c客戶挖有技巧地談歷判將其需求抓控制在最恰夕當(dāng)?shù)乃讲⒅季S持到項(xiàng)目朵結(jié)束。灑我們?cè)谶@里怎列出了五個(gè)忽模塊：前期偽交流、初步殊方案、投標(biāo)業(yè)方案、答標(biāo)什文檔和參考肥報(bào)價(jià)。首按照實(shí)際項(xiàng)喘目操作流程扎，在售前階逮段這五個(gè)模雹塊的工作應(yīng)眼該完整進(jìn)行拉一遍。進(jìn)入羽項(xiàng)目定義階詳段時(shí)，實(shí)際倉上用戶已經(jīng)臟對(duì)網(wǎng)絡(luò)安全菜風(fēng)險(xiǎn)評(píng)估有轎了一定了解先，并且比較汁清楚自己的爪網(wǎng)絡(luò)環(huán)境需難要評(píng)估到什災(zāi)么程度，因汪此本階段用跡戶會(huì)就投標(biāo)壺方案要求廠愉商進(jìn)行進(jìn)一還步描述，并前且就他們感到興趣的細(xì)節(jié)面進(jìn)行展開。冰6.2藍(lán)息圖階段巷雙方擬定項(xiàng)敢目的詳細(xì)進(jìn)坦度計(jì)劃，建藏議在計(jì)劃過閱程中至少要演包含下面幾椅部份內(nèi)容：戴問題描述、南目標(biāo)和范圍疾、SWOT僵分析、工作繞分解、里程鄙碑和進(jìn)度計(jì)葉劃、雙方資羽源需求、變搏更控制方法櫻。殊在藍(lán)圖階段較中需要召開饞藍(lán)圖會(huì)議，似在會(huì)議結(jié)束守后，必須在淋雙方認(rèn)可的襖基礎(chǔ)上制訂挖并簽署項(xiàng)目輪藍(lán)圖，后續(xù)賞一切工作嚴(yán)選格按藍(lán)圖進(jìn)返行。烈評(píng)估項(xiàng)目對(duì)蘇客戶的知識(shí)躺水平要求較啞高，通常在項(xiàng)項(xiàng)目前期需林要就評(píng)估方事法進(jìn)行培訓(xùn)霉，建議在藍(lán)紛圖階段完成珍項(xiàng)目的培訓(xùn)侵工作。內(nèi)另外需要提濟(jì)醒的是，由損于多數(shù)企業(yè)霸的資產(chǎn)并沒晝有很好地理偷順，因此資描產(chǎn)評(píng)估的前住期協(xié)調(diào)工作脊如果能夠盡示早開始，可色以有效地保六證項(xiàng)目的時(shí)貍間。童6.3執(zhí)普行階段是這是最關(guān)鍵說的階段，絕飄大多數(shù)操作反都在這一階物段完成，我痕們可以再將啄這一階段細(xì)腹分為四個(gè)環(huán)柳節(jié)，分別如驅(qū)下：待置資產(chǎn)評(píng)估(浙可以遠(yuǎn)程完陸成)鞠鈔系統(tǒng)和業(yè)務(wù)冶信息收集資產(chǎn)列表滿資產(chǎn)分類與內(nèi)賦值資產(chǎn)報(bào)告厲資產(chǎn)評(píng)估的弓內(nèi)容并不復(fù)西雜，在這部糞份工作中，怨重點(diǎn)在于與擴(kuò)客戶共同進(jìn)飯行資產(chǎn)的分滔類與賦值。魄同時(shí)需要注轎意控制資產(chǎn)反評(píng)估的完成討時(shí)間，因?yàn)閸{明確資產(chǎn)后籮才能有效進(jìn)討行后續(xù)的威嘩脅與弱點(diǎn)評(píng)免估，否則容初易導(dǎo)致事倍份功半。位威脅評(píng)估(墓本地完成)閥志IDS部署乞搜集威脅源向收集并評(píng)估獎(jiǎng)策略文檔迫BS779狀9顧問訪談事件分析威脅報(bào)告薦威脅評(píng)估中拘訪談?wù)剂爽F(xiàn)愛場(chǎng)工作的最護(hù)大部份。但德由于現(xiàn)階段虜業(yè)界對(duì)于威饞脅的界定存村在多種標(biāo)準(zhǔn)洞，因此可以課說威脅評(píng)估列是較難操作俗的一部份。四建議在實(shí)施第前先參考威懇脅評(píng)估報(bào)告甘樣例。升如果能夠通貿(mào)過訪談獲取怪到較為完整余的安全事件梁信息，則可御以考慮將不暫進(jìn)行威脅評(píng)蒸估，以更能陣夠清晰分析益本質(zhì)的事件專分析代替。倉弱點(diǎn)評(píng)估(沃本地完成)滿遠(yuǎn)程掃描人工審計(jì)滲透測(cè)試弱點(diǎn)報(bào)告禮弱點(diǎn)評(píng)估屬燭于純技術(shù)操察作，這里不膝加詳述。窩風(fēng)險(xiǎn)分析和跟控制(可以侄遠(yuǎn)程完成)牛夾數(shù)據(jù)整理、鬧入庫及分析辯安全現(xiàn)狀報(bào)枯告附安全解決方慮案圍當(dāng)現(xiàn)場(chǎng)工作堤結(jié)束，基礎(chǔ)外數(shù)據(jù)收集完蹈畢后，如何屑對(duì)浩如煙海薦的信息進(jìn)行蠟提煉和挖掘困，其中也有根很多技巧。定最終的風(fēng)險(xiǎn)潛分析需要看零得清晰透徹如，而且方案壘的表現(xiàn)形式漏要比較切合杠客戶需求。尾解決方案就訓(xùn)三個(gè)字：可宰操作。蒙6.4報(bào)米告階段夠在項(xiàng)目報(bào)告墨階段，所有銹的現(xiàn)場(chǎng)工作擾和大部份文忍檔工作已經(jīng)啊完成，這時(shí)挺的關(guān)鍵任務(wù)殼是：讓用戶鵝真正理解并沫且認(rèn)可我們丑的工作成績呀。因此這階閉段建議需要捉與用戶進(jìn)行蔬深入細(xì)致的辱溝通(需要孕面對(duì)面交流青，以達(dá)到最波佳效果)。巷報(bào)告階段需殖要注意各種疤細(xì)節(jié)調(diào)整(杏有些需要結(jié)融合項(xiàng)目特點(diǎn)句進(jìn)行考慮)登，例如：怖1.在報(bào)告廊的最前面增控加什“怕文檔導(dǎo)讀企”妹章節(jié);燈2.將客戶敞方配合工作吼人員也寫入拴報(bào)告作者;也3.給領(lǐng)導(dǎo)藏提供一份簡(jiǎn)贏潔有力的總涼結(jié);璃4.等等躬……惹6.5售及后服務(wù)不按照Oct饒ave評(píng)估虎方法的觀點(diǎn)蠢，用戶在完鵝成一次安全東評(píng)估之后，做相當(dāng)于獲取飛了其當(dāng)前風(fēng)港險(xiǎn)的快照(亡Snaps嚇hot)，儉同時(shí)也就完蜓成了對(duì)其信較息安全風(fēng)險(xiǎn)電基線的設(shè)置掛。之后，組斑織必須解決柜或管理評(píng)估亭過程中標(biāo)識(shí)鵝的優(yōu)先級(jí)最快高的風(fēng)險(xiǎn)，揉并按照開發(fā)購的解決方案粥進(jìn)行風(fēng)險(xiǎn)的雖控制和消除藝。崖但由于組織筑的安全狀態(tài)球會(huì)隨著時(shí)間業(yè)而發(fā)生變化折，所以必須路通過執(zhí)行另悼外一次評(píng)估疼定期地為用賭戶重設(shè)基線晉。所以在這劈里我們可以斑按照PDC淋A循環(huán)(P抖lan、D幻o、Che哄ck、Ac曾tion)添來定義一次額評(píng)估后的工行作。拜7.評(píng)估富中的項(xiàng)目管辱理暫7.1確下定項(xiàng)目管