您的位置: 网界网 > 周报全文 > 正文

[周报全文]安全风险评估的少数派报告

2003年07月28日 00:00:00 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:安全风险评估的少数派报告

标签

    ■ 本报记者 徐莉

    如果说安全市场本身在中国仍处于方兴未艾的阶段,那么,安全风险评估就只能算作尚在萌芽的种子。因为,作为更高级别的服务,安全风险评估更像安全系统这道门上的一把锁,需要有个大前提。换句话说,只有企业的IT系统足够复杂,安全需求达到一定级别,这把锁才会派上用场。尽管很多人看好安全风险评估的未来,但是,目前国内提供真正安全风险评估服务的却只有少数企业。不过,通过对这些企业的采访,我们印证了大多数人的设想——安全风险评估确是一支开始萌芽的“潜力股”。

    提起2002年年底的互联网大会,启明星辰首席技术官刘恒至今印象深刻。在那次会议上,作为安全专题的讲演者之一,刘恒颇为有趣地体会了一回什么叫英雄所见,因为与刘恒一样,另外三名安全专家也不约而同选择了同一个演讲主题——安全风险评估管理。

    在会后的交流中,四位“英雄”半开玩笑地指出:“既然大家都看好安全风险评估市场,那索性将2003年定名为安全风险评估年。”

    半年多时间过去了,市场为这个带有玩笑性质的预测做了最好的注脚。“进入2003年后,公司关于安全风险评估的单子明显增多,200万以上的项目正在执行的有两个,”刘恒说。在记者的追问下,刘恒对市场做了一个保守估计:“以2003年上半年的落单情况看,安全风险评估市场的总额应该在八千万到一个亿的样子。”安络科技的CTO谢朝霞对这个问题的回答很干脆: “用在安全风险评估上的投资能占用户总投资的1%~5%,电信和金融用户能达到3%~5%。”按此比例换算,仅银行市场,每年用于网络安全评估的费用将超过几个亿。

    我们无意求证这些数字的精确程度,因为这不重要。重要的是,从这些最前沿市场中人的判断,我们看到了安全风险评估正在从概念走向应用,从空中楼阁走向触手可及。而对那些已经开始这项业务却无斩获或将要开始却有迷茫的企业来说,先行成功者的体验无疑是最可宝贵的。

    安全风险评估的内涵与外延

    什么是安全风险评估?夸张地讲,一千个人有一千个答案。 这些答案或许没有本质区别,但是,因为现阶段的市场尚没有一个明确的定义,每个人对安全风险评估的理解,将会因为内涵与外延的不同,呈现溢出或缺损的现象。或许,从用户的需求角度,更容易将这个问题讲明白,也更具有现实意义。

    作为一家电子商务公司的网管,小路深感责任重大。自从2001年成立以来,公司网络多次受到来自黑客的攻击,最严重的一次,业务因此停顿了24小时。为此,小路需要经常上网查找最新安全动态。到目前为止,仅在IE浏览器上,小路就已经打了不下7个补丁。但是,从IE浏览器、Apache HTTP Server、到域名软件BIND,都可能是下一个风险的发源地。“风险无处不在,”小路说,“如果想到种种可能性,真会让人晚上睡不着觉。”为了让小路和公司领导都能睡上好觉,2003年初,小路所在的公司请了一家专业公司为自己的网络系统作安全评估,合同期为一年,除了最开始两个月对系统、网络、应用作全面地扫描和评测外,在后面的10个月里,安全公司将全面检测小路公司网络流量的进出情况,并将最新发布的安全漏洞以及补丁情况及时通报给小路。一旦发生问题,服务商承诺在1个小时内做出反应。

    小路公司的要求几乎涵盖了安全风险评估的大部分内容。如漏洞扫描,可以划归脆弱性分析; 评测过程,可以算作威胁分析、风险分析。通常来讲,风险咨询公司都会从资产调查开始,逐步进行脆弱性分析、威胁分析、风险分析,针对风险提出解决方案,并提供业务连续性综合办法。有些咨询公司,还会应客户的要求,为加固后的网络系统做二次评估。

    从范围上看,安全风险评估又可分为基线风险评估、非正式(快速)风险评估、详细风险评估与综合风险评估。其中,基线评估通常会在启动一个系统建设项目之前开始。非正式评估是针对具体问题,通过工具和人的经验,找到问题,提出解决办法。详细评估则需从物理系统上、数据上以及管理等方面进行全面的评测。绿盟科技工程部安全工程师于慧龙认为,目前,国内第二种评估比较多。

    从评估主体上看,安全风险评估又可分为自评、国家授权的专业评估机构评测和以服务商为主体的市场化评估行为。“目前,国内缺乏相关网络安全定级标准,因此,国家还没有设定这样的专业评估机构,”北京中科网威技术中心副总经理吴云坤说。

    作为目前市场最主要的群体,安全服务公司提供的评估又可分为两大类:评估加固与评估咨询。“中小客户通常喜欢采用前者。”刘恒说,“他们通常会就网络现状做一个调查,从主机到网络到安全设备,全面查找安全漏洞,然后,要求咨询公司提供加固服务。大客户则需要全面掌握网络安全的情况,要求服务商从系统到管理,提出全面的风险管理办法。”

自测系统安全的几个渐进方法

测试类别敏感性系统的实施周期普通系统的实施周期复杂性工作难度风险任务和作用
网络映射3个月12个月确定网络结构、使用中的主机个数和软件确定未经授权但却连接在网络上的主机确定打开的端口确定未经授权的服务
脆弱性扫描3个月~6个月12个月确定网络结构、使用中的主机和软件确定需要进行脆弱性分析的计算机在分析目标的计算机中找出可能被攻击的漏洞确定OS和主要应用软件是否及时升级或者打补丁
渗透性测试12个月12个月决定测试目标,确定脆弱性等级,以及可能产生的破坏程度检查系统人员在发生安全问题时的响应速度、对安全政策的执行情况以及安全方面的基础知识等
安全测试与评估至少3年一次,或在系统做出大的改变的时候至少3年一次发现设计、实施、以及运行中存在的安全问题从物理措施、保险等各个角度,重新部署安全措施,来保证安全制度的实施评估系统文件与实际状况之间的差异性
解码1个月12个月确认生成密码的原则是有效且可行的确认用户是否按照系统制订的原则设置密码
日志检查1周1周确保系统按照设定的原则运行
完整性检查1个月或根据实际需要随时进行1个月发现未经授权的文件修改
病毒检测1周或根据需要随时进行1周或根据需要随时进行在病毒发作前,发现并删除病毒
拨号检测12个月12个月发现非法Modems,阻止未经授权的进入

    细节之中见真章

    很多情况下,细节决定结果。特定到安全风险评估领域,在完成最初的认知之后,今天的服务商们,又有谁,不是力争在细节上打败对手?

    如果三年前,有人提到安全风险评估概念,那他多半是指漏洞扫描。即便在今天,很多企业仍将这个原本宏大的评估概念狭义地限定为漏洞扫描与修补。如果是这样,服务公司很难区分彼此,“现成的扫描工具与产品有很多,我们自己也可以买来工具做扫描,”作为用户,深圳电信的陈波对此狭义理解也很不能接受。

    事实上,真正的安全评估服务价值远远超越简单的扫描。

    最基本的,网络安全风险是动态的。仅从2001年12月到2002年12月,关于SQL服务器上的漏洞,就有11个报告。而这期间,跟踪漏洞报告及时与否,就显得格外重要。一些专家还明确指出,在使用SQL服务器的时候,不要将1433端口和1434端口打开。如果一定要联接,就不要采用SQL服务器,除非你能保证在第一时间打补丁。为了这个“第一时间”,小路所在的公司才会找来专业公司帮忙。

    除了硬件系统、网络、操作系统等的安全风险评估外,应用的安全评估更显“真功夫”。湖北移动梦网部的张明峻认为,应用系统安全隐患很多。

    作为非标准化的软件产品,很多应用在开发过程中都缺乏对安全问题的统筹考虑。“1.0版本的软件通常会有很多安全方面的问题,”一个专家警告说。在升级过程中,某证券公司的网络管理员发现,自从公司的股票交易系统升级后,用户投诉开始增多。很多用户反映,在输入账户、密码、端口号码以及代理服务器的地址后,却无法进入交易系统。经过查证,请来解决问题的安全服务公司发现,因为新版本与原来的网络环境,包括安全系统不匹配,用户无法通过防火墙。“因为证券公司有五个不同的防火墙。在这种情况下,只有在防火墙上新打开一个入口,用户才能进入系统,”服务工程师说。

    最后,在服务公司的建议下,这个证券公司选择使用另外一个应用系统。“这是一个明智的选择,否则,这个应用将带来潜在的安全隐患,”谢朝霞评价说。

    能在事前帮助用户排除风险固然不错,但并非每个用户都会做出同样的选择,当发生问题时,作为安全风险评估公司,是否能在最短的时间,排除其他可能性,从应用层面找到问题症结,同样至关重要。

    另外,无论自己提供安全产品与否,作为提供服务的安全公司,不要忘了,网络安全产品本身同样可能存在漏洞。去年,在为政府部门检测一个安全评估工具时,一家安全风险评估公司发现了扫描软件自身存在漏洞,这个漏洞,在某种程度上,使整个网络暴露在危险之中。

    实践者的方法论

    实践需要理论指导,但市场往往等不得成熟理论的出台,就已经急切地凭着直觉向前奔去。不过,聪明的实践者总能在忽左忽右的摸索中找到平衡点,进而形成自己的方法论,高明的,更会在日后成为完整理论的奠基者。

    在采访中,众多被调查者一致认为,眼下安全风险评估市场最大的问题之一是缺乏评估标准,这个答案几乎是此次采访中唯一例外的“标准”答案。

    从目前的市场情况看,有关安全的标准已有一大堆,如美国TCSEC、BS7799、ISO15408、ISO/IEC17799和ISO13335等。但具体到安全风险评估上,每个标准却都有其局限性。按照于慧龙的说法,ISO15408,虽然在功能上比较全面,但却没有安全管理方面的规范,对系统评测方面的规范也不足;ISO13335,因为制订的时间早,与目前的市场情况有些脱节;BS7799,虽然详尽但非常复杂,虽然全面但不够有针对性。由BS7799派生出来的ISO17799,强调了针对性,却在安全评估方面比较简单,缺乏对照的标准。

    来自实战的经验表明,在评估过程中,咨询工程师最常面对的问题是,资产多重要才算重要?什么样的系统损失可能构成什么样的经济损失?怎样的技术体系达到怎样的安全等级?一个病毒中断了邮件系统,企业因此造成的经济损失和社会影响如何计算?如果黑客入侵,尽管没有造成经济损失,但企业的名誉损失又该如何衡量?

    事实上,这些问题将从各个角度决定一个系统安全评估的结果。在没有一个相关标准的情况下,各家公司更多的是参考国外标准,凭借各自积累的经验、与用户多做沟通来解决。有心的公司,更是将这些经验累计下来,形成文档,总结出各自的咨询规范。谢朝霞说:“通过三年的时间,我们积累了一个巨大的知识库和工具库,新来的员工,借助这些手段,也能很快进入工作状态。”启明星辰则将这些宝贵的工作总结出来,与国际上的先进产品结合起来,做成有针对性的评估软件产品。

    从发展过程看,国内安全风险评估市场经历了三个阶段:1、不注重标准,2、过于依赖标准,3、跨越标准。“我们现在处于第三阶段,在具有适应性特点的国家标准出台之前,我们先在内部制定具有可操作性的行为规范,”刘恒说。

    清内忧难于除外患

    在受过黑客攻击和病毒的“洗礼”之后,很多用户开始在防御外来风险方面提高了警戒,但是,在漏洞更多、管理更复杂的内部风险方面,大多数企业仍疏于防范,或缺少规则。与之相对应的,内部安全风险评估难度也就更高。

    按照北京中科网威技术中心副总经理吴云坤的说法,系统越复杂,企业越需要风险评估,评估过程也会更有挑战性。

    对一个B2B或B2C的网站来说,它的网络结构可以统一归类为单点对多点模式。 但内部的网络结构,则通常属于多点对多点。业务部与业务部之间、业务部与办公室之间,每个人与每个人之间,都将连接在一起。“关联点越多,系统越复杂,”吴云坤说,“相应的工作流也呈现多样化和多角度的形态。”因此,在提供安全评估的过程中,服务商必须对企业内部的业务流程、管理模式有相当的了解,才能切中要害。

    据有关机构统计,目前,国内银行与网络相关的经济犯罪100%属于内部作案或内外勾结。这样一个触目惊心的数字令人不禁想到,银行业内部的安全防范是怎样的脆弱。

    通过为一些银行用户做评估,谢朝霞发现,很多风险出在管理上,如银行的生产环境与网络开发环境本应该严格分开,非业务操作人员进出营业现场应该有严格的登记制度。但是,在实际中,很多技术开发人员随便出入生产现场。最早的一起银行网络安全事故,就是因为开发人员偷看了操作人员登录密码,偷走了26万元现金。就是这样一些与网络、与技术没有本质关联的问题,造成了大量事实上的安全风险。还有一些银行,基础设施落后,有些甚至还在使用安全性很差的HUB,这种产品,只要随便连通到一个端口上,就可监看所有的信息流量。

    这些问题其实反映出同一个本质,即用户内部安全防范意识淡薄。因此,对安全评估供应商来说,打破常规,改变观念也是评估过程中需要解决的问题之一。

    需求篇

    多汁的酸桔子

    柳传志曾说过一句话,利润像海绵里的水,是挤出来的。这句话放在任何一个成熟市场都很合适。不过,作为一个全新启动的领域,安全风险评估市场更像一个多汁但尚未成熟的桔子,汁液虽然丰富,但要想吃得好,需要先了解桔子的成分,然后想出各种新方法,或蒸或煮或加糖,重要的是,只有打破常规,才能提前品尝好味。

    茶杯里的大象

    从最初的市场需求看,国内的安全风险评估出产于安全事故。如黑客入侵,病毒发作,网络“无缘无故”的瘫痪,用户靠自己的力量解决不了,于是开始从外部寻求帮助。

    但是,从这个需求点开始,服务公司往往帮助用户发现更多的安全隐患,就像“事故”这个小茶杯里装入了“评估”这头大象,拾遗补缺式的简单要求牵扯出的是一系列评测、分析与整体解决方案的需求。

    随着网络大环境与企业小网络环境的日趋复杂,各种“茶杯”多了起来。如黑客大战爆发,网络投资前的安全评估,企业领导对不断扩大的网络安全现状的了解需求,行业领头羊或总部的拉动作用、大行业的引导作用等,都可能促成一个评估合同的产生。除此之外,政策的原因,如某个行业整体提升网络安全的需求,大事件的发生,如两会期间的网络安全问题,也会诱发短期需求。但真正促成这个市场发展的因素仍来自企业认识的提高以及网络变得复杂后,为保证网络可用性、可靠性、保密性,不得不借助外部力量的切实要求。

    “因为政策、因为各种外在因素促成的需求是不可靠的,这样的用户,即使签了单,未来开发潜力也不会很大(+本站微信networkworldweixin),”刘恒说。事实上,安全评估市场的可重复性很强,就像检查身体一样,不可能一次检查,一劳永逸。因此,了解现有用户需求动机,洞察用户发展潜力,对供应者来说,是获得事半功倍效果的关键之一。

    增加手中的筹码

    相比较而言,国内的网络安全评估市场远比国外滞后。从根本上讲,网络整体发展阶段的不同造成了这种差异。从不少概念片里看到的,如用手机买票,通过机场免费系统查找出租车,无需见面就签合同、买卖商品(包括企业间的大订单),事实上已经成为很多美国人生活中的必要组成。而我们,尽管在信息获得上已经对网络构成依赖,但是,就买卖行为而言,更多的还是发生在网外,最多上网买个图书与CD,多数情况下,还会选择货到付款。

    正是因为国外这种无处不在、随手可用的网络现状,带来方便的同时,也催生了意愿之外的副产品——网络安全隐患。当然,你无需低估人类的智慧,因为紧随其后的,就是各种针对安全的产品与服务的诞生和发展。

    网络环境的区别,或许是国内外网络安全风险评估市场巨大差异的本质原因。因为这样的环境,由此衍生的各种服务又反过来对评估市场带来新的动力。

    如B2B业务的发展。很多国外企业为了向客户证明自己的网络是安全的,在建立B2B业务之前,纷纷寻找第三方安全风险评估公司,为自己的网络安全做评估,有些在遵循评估公司的建议,修补网络后,还会进行二次评估,确定自己网络安全的等级,最终赢得用户的信任。

    另外,随着近年来网络安全事件频繁发生,有关网络安全保险的业务开始萌芽。从保险公司的角度,费率的制定,与客户网络的安全等级大有关系,网络越安全,费率越低。如果企业能证明自己的网络非常安全,就有可能以极低的价格获得保险。而这一现象,同样促进安全风险评估市场的发展。作为国内安全风险评估供应商,或许可以通过与保险公司合作的方式,从侧面拉动市场的发展。

    先摘够得着的果子

    如果按照每年几个亿计算,今天的安全风险评估市场只能算作小菜。就国内市场来看,电信行业显然是“第一个吃螃蟹的人”。根据IDC的调查,2003年,亚太电信公司花在网络安全上的开支将占整个IT开支的15%。40%的受访者表示,他们面对的安全问题有所增加。对各种新技术、新服务体验的意愿,让中国的电信市场成为全世界供应商眼中“最可爱的人”。就安全风险评估市场来说,电信同样给了供应商希望,并起到了“带头”作用。“今年,我们几个大的评估单子都是来自电信,”刘恒说。

    紧随其后的是金融,包括银行、证券和保险。在这一点上,南北供应商认识不一,谢朝霞认为,银行在商务上的风险最大,因此,对网络评估的需求也最强烈。从安络科技的业务组成上看,来自银行与证券的用户最多,电信其次。刘恒则指出,在安全风险评估业务上,今年,电信市场真正启动了。金融领域零散的单子虽然不少,但整个行业的大规模启动应该在明年。而吴云坤则认为,未来,随着安全评估标准的确定,银行将会以自评为主。“因为银行的业务系统大多是自己开发完成的,交给外面的公司做评估,反而增加了安全风险。”

    政府方面,总体来看,目前在安全风险评估上的需求还不很明确。但随着电子政务的进一步发展,与之相关的网络安全方面的需求必然会有所加强。

    各种各样的网站对安全风险评估的需求也开始放大。除了自身技术能力比较雄厚的新浪、网易等,不少网站也开始借助外力,评估自己网络的安全情况。

    产品服务化和服务产品化是两个发展趋势,我们希望在这其中找准自己的位置。

    ——北京中科网威 吴云坤

    越是新开发的应用,越需要进行安全评估。

    ——安络科技 谢朝霞

    服务篇

    风口浪尖上的淘金者

    概念多,服务少

    早在2000年,绿盟科技就提出了NSPS安全服务体系,由此以后,市场上有关安全评估、安全服务的概念如雨后春笋,在各种各样的安全公司落地生根。

    不过,提出概念容易,提供服务却难。而国内市场对有偿服务的接受程度过低也一直为企业界所诟病。在这样不利的外在环境和小我的局限面前,大部分企业更多地将评估等服务作为概念或者辅助手段,目的在于推进其主体业务——产品的销售。即便今天,无论是卖防火墙的,还是卖控制网关的,大部分以产品起家的安全公司,在安全风险评估这个环节,仍有“挂羊头,卖狗肉”之嫌。从采访的情况看,目前,能够提供完整而真实的安全风险评估的企业并不多。

    坚定者的殊途同归

    无论是最早提出安全服务概念的绿盟,还是爆发力十足的启明星辰,他们的共同之处在于是安全服务的坚定实践者。

    在2000年就把服务作为自己的主营业务,绿盟无疑走过一段并不平坦的路。尽管在适应市场的过程中,绿盟也陆续推出相关的网络入侵检测产品、抗拒绝服务产品。但这些产品也多是围绕服务需要开发的,目的在于形成与服务的互动。应该说,绿盟自始至终都是安全服务的坚持者。最为业界津津乐道的是,绿盟网罗了不少高手,这些网络安全的守护者,构成了绿盟最难被人超越的技术壁垒。

    成立于1996年的启明星辰在安全检测产品方面一直有着骄人的成绩。迄今为止,已经承担了国家级、部级重点信息安全科研项目三十多项。从2002年开始,启明星辰开始逐渐加大安全风险评估服务的投入力度。“2003年上半年,安全风险评估的单子比预计的翻了一倍,”刘恒说。凭借多年的技术积累与良好的客户关系,启明星辰在评估市场可谓厚积薄发,雄厚的人才储备,使启明星辰一出手就占了先机。

    服务好坏,响应速度显然是服务一个重要的衡量指标。因此,本地化在服务中更易突现其作用。地处深圳的安络科技在南方市场因此具有优势。而中国市场向来南方先行的特征,又让安络科技比别人更有机会积累宝贵的评估经验。“目前,来自评估的业务已经占到总收入的60%,”谢朝霞说,“客户多来自银行和电信,单子很多,规模一般在几万到几十万。”具体到评估内容,安络强调应用系统的安全评估与安全管理的规范上。而这一点,对供应商的行业理解要求很高。

    另外,安氏在安全风险评估方面业务开展得也比较早,通过代理ISS的几个检测工具,安氏早期获得了不错的市场口碑。与安氏类似,玛赛网络也曾在这个市场显山露水,并为业界培养了不少人才。但是,因为人事变动等原因,玛赛已经被投资方——亚信收回,它下一步的市场举动还有待观察。而原来以产品为主的中科网威,近期开始向服务倾斜,并召集了不少精英,意欲在这个潜力巨大的市场一展身手。

    安全评估很重要,应该每年至少做一次。我们对目前得到的服务基本满意,但就是价格太贵了。

    ——深圳电信 陈波

    目前,数据业务占的比例还不高,相关的网络攻击虽然有,但并未构成太大的威胁。因此,安全风险评估对我们来说,还不是眼下最要紧的事。

    ——湖北移动 张明峻

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]