(风险管理)风险评估概念
风险评估概念及其基本要素
一、风险评估概念及其基本要素信息系统的安全风险,是由来自人为的与自然的威胁利用系统存在的脆弱性造成的安全事件发生的可能性及其可能造成的影响。
信息安全风险评估(本文以下简称“风险评估”),则是指依据国家有关信息技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学、公正的综合评估的活动过程,它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。
信息安全是一个动态的复杂过程,它贯穿于信息资产和信息系统的整个生命周期。
信息安全的威胁来自于内部破坏、外部攻击、内外勾结进行的破坏以及自然危害。
必须按照风险管理的思想,对可能的威胁、脆弱性和需要保护的信息资源进行分析,依据风险评估的结果为信息系统选择适当的安全措施,妥善应对可能发生的风险。
信息安全风险评估要关注如下基本要素:使命:一个单位通过信息化要来实现的工作任务。
依赖度:一个单位的使命对信息系统和信息的依靠程度。
资产:通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。
价值:资产的重要程度和敏感程度。
威胁:一个单位的信息资产的安全可能受到的侵害。
威胁由多种属性来刻画:威胁的主体(威胁源)、能力、资源、动机、途径、可能性和后果。
脆弱性:信息资产及其防护措施在安全方面的不足和弱点。
脆弱性也常常被称为弱点或漏洞。
风险:风险由意外事件发生的可能性及发生后可能产生的影响两种指标来衡量。
风险是在考虑事件发生的可能性及其可能造成的影响下,脆弱性被威胁所利用后所产生的实际负面影响。
风险是可能性和影响的函数,前者指威胁源利用一个潜在脆弱性的可能性,后者指不利事件对组织机构产生的影响。
残余风险:采取了安全防护措施,提高了防护能力后,仍然可能存在的风险。
安全需求:为保证单位的使命能够正常行使,在信息安全防护措施方面提出的要求。
风险管理术语
风险管理术语风险管理是指在商业和金融领域中,对潜在风险进行识别、评估和控制的过程。
在风险管理过程中,使用一系列术语来描述不同的概念和方法。
以下是一些常见的风险管理术语及其定义:1. 风险:指不确定事件发生的可能性和其对目标的影响。
风险可以是负面的(威胁)或者正面的(机会)。
2. 风险评估:对潜在风险进行定性和定量分析的过程,以确定其严重程度和优先级。
3. 风险标识:标识和记录潜在风险的过程,通常使用风险登记表或者类似的工具。
4. 风险分析:对风险进行详细研究和分析的过程,以了解其根本原因、可能性和影响。
5. 风险控制:采取措施来减轻或者消除风险的过程。
这可以包括风险转移、风险减少、风险接受或者风险规避。
6. 风险转移:将风险责任转移给第三方,通常通过购买保险或者签订合同来实现。
7. 风险减少:采取措施来降低风险的概率或者影响的过程。
这可以包括改进流程、培训员工或者加强安全措施等。
8. 风险接受:当风险的潜在影响较小或者成本太高时,决策者选择接受风险而不采取进一步的措施。
9. 风险规避:采取措施来避免潜在风险的发生,通常通过避免相关活动或者决策来实现。
10. 风险监控:对已识别和评估的风险进行定期监测和评估的过程,以确保风险控制措施的有效性。
11. 风险溢价:在投资中,为了承担更高的风险,投资者要求更高的回报。
风险溢价是投资回报中超过无风险利率的额外收益。
12. 风险应对策略:制定和实施应对风险的计划和策略,以最大程度地减少负面影响并利用机会。
13. 风险传播:风险在市场中的传播过程,一个风险事件可能引起连锁反应,影响其他相关方。
14. 风险意识:对风险的认知和理解,以及对风险管理的重要性的认识。
15. 风险文化:组织中对风险管理的态度、价值观和行为方式的总体表现。
以上是一些常见的风险管理术语及其定义。
在实际的风险管理工作中,这些术语被广泛应用,匡助组织识别、评估和控制风险,以保护其利益并提高决策的质量。
风险评估概念及其基本要素
一、风险评估概念及其基本要素信息系统的安全风险,是由来自人为的与自然的威胁利用系统存在的脆弱性造成的安全事件发生的可能性及其可能造成的影响。
信息安全风险评估(本文以下简称“风险评估”),则是指依据国家有关信息技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学、公正的综合评估的活动过程,它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。
信息安全是一个动态的复杂过程,它贯穿于信息资产和信息系统的整个生命周期。
信息安全的威胁来自于内部破坏、外部攻击、内外勾结进行的破坏以及自然危害。
必须按照风险管理的思想,对可能的威胁、脆弱性和需要保护的信息资源进行分析,依据风险评估的结果为信息系统选择适当的安全措施,妥善应对可能发生的风险。
信息安全风险评估要关注如下基本要素:使命:一个单位通过信息化要来实现的工作任务。
依赖度:一个单位的使命对信息系统和信息的依靠程度。
资产:通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。
价值:资产的重要程度和敏感程度。
威胁:一个单位的信息资产的安全可能受到的侵害。
威胁由多种属性来刻画:威胁的主体(威胁源)、能力、资源、动机、途径、可能性和后果。
脆弱性:信息资产及其防护措施在安全方面的不足和弱点。
脆弱性也常常被称为弱点或漏洞。
风险:风险由意外事件发生的可能性及发生后可能产生的影响两种指标来衡量。
风险是在考虑事件发生的可能性及其可能造成的影响下,脆弱性被威胁所利用后所产生的实际负面影响。
风险是可能性和影响的函数,前者指威胁源利用一个潜在脆弱性的可能性,后者指不利事件对组织机构产生的影响。
残余风险:采取了安全防护措施,提高了防护能力后,仍然可能存在的风险。
安全需求:为保证单位的使命能够正常行使,在信息安全防护措施方面提出的要求。
软件项目管理的风险评估与控制
软件项目管理的风险评估与控制近年来,随着信息技术的快速发展,软件项目在各个领域中的应用越来越广泛。
软件项目管理中的风险评估与控制是确保软件项目成功的重要环节。
本篇文章将围绕风险评估与控制展开讨论。
1. 风险评估的基本概念与方法风险评估是指在软件项目实施过程中,对可能引起损失的因素进行分析和评估,确定其影响程度、可能性和发生概率,以便为软件项目制定风险管理计划。
风险评估应该面向整个软件项目,包括技术、人员、组织、管理等各个方面。
风险评估的方法主要有定性评估、定量评估和混合评估。
其中,定性评估是指根据经验、专家意见和现有资料等进行评估,主要是给出风险的类型、影响和发生概率等,其优点是简单易行、操作方便,缺点是准确度低。
定量评估是通过统计计算或建立数学模型等手段进行评估,可以得到比较准确的结果,其缺点是需要大量的数据和计算,不适用于所有情况。
混合评估是综合运用定性和定量方法进行评估,使评估结果更加准确可靠。
2. 风险控制的主要措施风险控制是指采取措施减少和避免软件项目中的风险,确保软件项目顺利实施。
风险控制的主要措施包括风险规避、风险转移、风险减轻和风险接受。
(1)风险规避。
在软件项目管理中,规避风险是一种非常有效的风险控制方法。
这种方法是通过调整软件项目的计划和设计,避免或减小某些风险的发生。
例如,在软件项目中采用可靠的技术和方法,避免出现系统故障和数据丢失的情况。
(2)风险转移。
风险转移是将某些风险分摊给第三方,降低软件项目风险的控制成本和风险发生的可能性。
例如,采用保险和外包等方式将风险转移给专业的机构。
(3)风险减轻。
风险减轻是通过采取一系列措施来降低风险的影响和损失。
例如,提高软件项目人员的专业技能和知识水平,加强项目管理和监控等。
(4)风险接受。
对于一些无法避免和转移的风险,软件项目管理人员必须做好接受风险的准备。
这时,需要对风险进行监测和控制,及时调整软件项目计划,确保项目成功实施。
3. 风险评估与控制的实践经验在软件项目管理中,风险评估与控制是一项非常重要的工作。
风险管理风险评估技术
风险管理风险评估技术一、背景介绍风险管理是企业管理中的重要环节,旨在识别、评估和控制可能对企业目标产生负面影响的各种风险。
风险评估是风险管理的核心步骤之一,通过对风险的定性和定量分析,为企业提供决策依据和风险应对策略。
二、风险评估技术的概念风险评估技术是指通过采用一系列方法和工具,对潜在风险进行识别、分析和评估的过程。
它可以帮助企业了解风险的性质、概率和影响程度,为企业制定风险管理策略和措施提供科学依据。
三、常用的风险评估技术1. 可行性研究法:通过对项目或决策的可行性进行综合评估,包括市场、技术、经济、法律等多个方面的风险因素。
通过对各种风险因素的权重和概率进行评估,得出风险指数,为决策提供参考。
2. 故障模式与影响分析(FMEA):通过对系统、产品或过程的各种故障模式和其对系统性能的影响进行评估,识别潜在风险,并根据风险的严重性和概率制定相应的风险控制措施。
3. 事件树分析(ETA):通过对事件发生的可能性和后果进行定量分析,构建事件树,识别事件链条中的关键节点和潜在风险,为风险管理提供决策依据。
4. 风险矩阵法:将风险的可能性和影响程度综合考虑,构建风险矩阵,对不同风险进行分类和评估,帮助企业确定风险的优先级和应对策略。
5. 蒙特卡洛模拟法:通过随机抽样和模拟方法,对风险因素进行概率分布的模拟,得出可能的风险结果,帮助企业了解风险的概率和可能的影响程度。
四、风险评估技术的应用案例以某电子产品制造企业为例,使用风险评估技术对其生产过程中的潜在风险进行评估。
1. 可行性研究法:对该企业的新产品进行可行性研究,包括市场需求、技术可行性、竞争对手分析等。
通过对各项风险因素的评估,确定产品开发的风险指数,为决策提供依据。
2. FMEA:对该企业的生产线进行故障模式与影响分析,识别潜在的故障模式和其对产品质量和生产效率的影响。
根据风险的严重性和概率,制定相应的风险控制措施,如增加备件库存、加强设备维护等。
风险评估与管理
ISO13335-1定义资产为所 有对组织有用的东西。
为了对资产进行有效的保护, 组织需要在各个管理层对资产 落实责任,进行适当的管理。
概念解析7 - 资产(续)
以下是资产示例及分类: 信息资产:数据库和数据文件、系统文件、用户手册、培训 资料、操作与维护程序、知识产权、业务持续性计划、应急 安排等。 书面文件:合同、公司文件、人事记录、财务记录、采购文 件、发票等。 软件资产:应用软件、系统软件、开发工具和实用程序等。
够对那些需要立即改善
度量,因此使得对控制进行
的环节进行标识
成本效益分析变得很困难。
对影响大小给出了度量,使 得可以使用成本效益分 析来控制成本
依赖于用来表示度量的数字范围, 定量影响分析的结果的含义 可能因而会比较模糊,还要 以定性的方式对结果做解释
概念解析5 - 风险评价
风险评价(risk evaluation)
是把前些步骤识别分析出来的 风险与风险判据进行比较,以 判断特定的风险是否可接受或 需采取其它措施处置。
风险评价的结果为具有不同等 级的风险列表。
概念解析5 - 风险评价(续)
目前在风险评价的方法上,国际上 一直还在不断的研究中,也有相当 多的定量或者定性的风险计算方法 被提出,但是由于安全风险要素的 各个环节存在太多的不确定因素和 无法定量的特性,因此并没有被公 认接受的风险评价方法。
计算风险的年预期损失
ALE: Annual Risk Expectancy年预期损失
ARO: Annual Rate of Occurrence 年发生率 SLE: Single Loss Expectancy单一风险预期损失
第8章 风险评估与风险应对
第8章风险评估与风险应对第8章风险评估与风险应对风险评估是指对潜在风险进行系统性的分析和评估,以便确定其概率和影响,并为风险应对措施的制定提供依据。
风险应对是指在风险发生后采取的措施,以减轻风险的影响或避免风险的发生。
本章将详细介绍风险评估与风险应对的相关概念、方法和步骤。
一、风险评估风险评估是风险管理的核心环节,通过对潜在风险进行评估,可以帮助组织了解风险的性质、概率和影响,从而制定相应的风险应对策略。
1. 风险评估的概念风险评估是指对潜在风险进行系统性的分析和评估,以确定其概率和影响程度。
通过风险评估,可以识别出对组织运营和目标实现可能产生负面影响的风险,为制定风险应对措施提供依据。
2. 风险评估的方法风险评估可以采用定性和定量两种方法。
(1)定性方法:定性方法主要通过专家判断、经验总结和案例分析等方式,对风险进行主观评估。
常用的定性评估方法包括风险矩阵分析、层级分析法和故事板法等。
(2)定量方法:定量方法主要通过数据收集和统计分析,对风险进行客观评估。
常用的定量评估方法包括风险指标法、风险价值法和蒙特卡洛模拟法等。
3. 风险评估的步骤风险评估包括以下步骤:(1)风险识别:通过调研、专家访谈和头脑风暴等方式,识别出与组织运营相关的潜在风险。
(2)风险分析:对识别出的风险进行分析,确定其概率和影响程度,以便进一步评估和处理。
(3)风险评估:根据风险分析的结果,对风险进行评估,确定其优先级和应对策略。
(4)风险报告:将风险评估的结果整理成报告,向相关人员进行沟通和交流,以便制定风险应对方案。
二、风险应对风险应对是指在风险发生后采取的措施,以减轻风险的影响或避免风险的发生。
风险应对是风险管理的重要环节,可以帮助组织有效应对潜在风险,保障组织的可持续发展。
1. 风险应对的原则风险应对应遵循以下原则:(1)综合性原则:风险应对应综合考虑各种因素,包括风险的性质、概率、影响程度和应对成本等。
(2)预防性原则:风险应对应采取预防措施,尽量避免风险的发生。
信息安全风险评估与风险管理(完整版)
• 3个阶段8个过程。3个阶段分别是建立企业范围内的安全需求、识别 基础设施脆弱性、决定安全风险管理策略。
> 完整性(confidentiality): • 保护信息及处理方法的准确性和完备性; • 不因人为的因素改变原有的内容,保证不被非法改动和销毁
> 可用性(availability): • 当要求时,即可使用信息和相关资产。 • 不因系统故障或误操作使资源丢失。 • 响应时间要求、故障下的持续运行。
> 2005年,国信办在全国4个省市和3个行业进行风险评估的试点工作,根 据试点结果对《信息安全风险评估指南》 进行了修改。
> 2005~2006年,通过了国家标准立项的一系列程序,目前已进入正式发 布阶段。正式定名为:信息技术 信息安全风险评估规范。
- 12 -
All rights reserved © 2006
> ISO/IEC TR 13335信息技术安全管理指南 • 提出了风险评估的方法、步骤和主要内容。 • 主要步骤包括:资产识别、威胁识别、脆弱性识别、已有控制措施确 认、风险计算等过程。
> NIST SP800-30:信息技术系统风险管理指南 • 提出了风险评估的方法论和一般原则, • 风险及风险评估概念:风险就是不利事件发生的可能性。风险管理是 评估风险、采取步骤将风险消减到可接受的水平并且维持这一风险级 别的过程。
-9-
All rights reserved © 2006
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
安全风险评估的少数派报告2003-07-28 00:00:00.0$page.getAuthor()■ 本报记者徐莉如果说安全市场本身在中国仍处于方兴未艾的阶段,那么,安全风险评估就只能算作尚在萌芽的种子。
因为,作为更高级别的服务,安全风险评估更像安全系统这道门上的一把锁,需要有个大前提。
换句话说,只有企业的IT系统足够复杂,安全需求达到一定级别,这把锁才会派上用场。
尽管很多人看好安全风险评估的未来,但是,目前国内提供真正安全风险评估服务的却只有少数企业。
不过,通过对这些企业的采访,我们印证了大多数人的设想——安全风险评估确是一支开始萌芽的“潜力股”。
提起2002年年底的互联网大会,启明星辰首席技术官刘恒至今印象深刻。
在那次会议上,作为安全专题的讲演者之一,刘恒颇为有趣地体会了一回什么叫英雄所见,因为与刘恒一样,另外三名安全专家也不约而同选择了同一个演讲主题——安全风险评估管理。
在会后的交流中,四位“英雄”半开玩笑地指出:“既然大家都看好安全风险评估市场,那索性将2003年定名为安全风险评估年。
”半年多时间过去了,市场为这个带有玩笑性质的预测做了最好的注脚。
“进入2003年后,公司关于安全风险评估的单子明显增多,200万以上的项目正在执行的有两个,”刘恒说。
在记者的追问下,刘恒对市场做了一个保守估计:“以2003年上半年的落单情况看,安全风险评估市场的总额应该在八千万到一个亿的样子。
”安络科技的CTO谢朝霞对这个问题的回答很干脆: “用在安全风险评估上的投资能占用户总投资的1%~5%,电信和金融用户能达到3%~5%。
”按此比例换算,仅银行市场,每年用于网络安全评估的费用将超过几个亿。
我们无意求证这些数字的精确程度,因为这不重要。
重要的是,从这些最前沿市场中人的判断,我们看到了安全风险评估正在从概念走向应用,从空中楼阁走向触手可及。
而对那些已经开始这项业务却无斩获或将要开始却有迷茫的企业来说,先行成功者的体验无疑是最可宝贵的。
安全风险评估的内涵与外延什么是安全风险评估?夸张地讲,一千个人有一千个答案。
这些答案或许没有本质区别,但是,因为现阶段的市场尚没有一个明确的定义,每个人对安全风险评估的理解,将会因为内涵与外延的不同,呈现溢出或缺损的现象。
或许,从用户的需求角度,更容易将这个问题讲明白,也更具有现实意义。
作为一家电子商务公司的网管,小路深感责任重大。
自从2001年成立以来,公司网络多次受到来自黑客的攻击,最严重的一次,业务因此停顿了24小时。
为此,小路需要经常上网查找最新安全动态。
到目前为止,仅在IE浏览器上,小路就已经打了不下7个补丁。
但是,从IE浏览器、Apache HTTP Server、到域名软件BIND,都可能是下一个风险的发源地。
“风险无处不在,”小路说,“如果想到种种可能性,真会让人晚上睡不着觉。
”为了让小路和公司领导都能睡上好觉,2003年初,小路所在的公司请了一家专业公司为自己的网络系统作安全评估,合同期为一年,除了最开始两个月对系统、网络、应用作全面地扫描和评测外,在后面的10个月里,安全公司将全面检测小路公司网络流量的进出情况,并将最新发布的安全漏洞以及补丁情况及时通报给小路。
一旦发生问题,服务商承诺在1个小时内做出反应。
小路公司的要求几乎涵盖了安全风险评估的大部分内容。
如漏洞扫描,可以划归脆弱性分析; 评测过程,可以算作威胁分析、风险分析。
通常来讲,风险咨询公司都会从资产调查开始,逐步进行脆弱性分析、威胁分析、风险分析,针对风险提出解决方案,并提供业务连续性综合办法。
有些咨询公司,还会应客户的要求,为加固后的网络系统做二次评估。
从范围上看,安全风险评估又可分为基线风险评估、非正式(快速)风险评估、详细风险评估与综合风险评估。
其中,基线评估通常会在启动一个系统建设项目之前开始。
非正式评估是针对具体问题,通过工具和人的经验,找到问题,提出解决办法。
详细评估则需从物理系统上、数据上以及管理等方面进行全面的评测。
绿盟科技工程部安全工程师于慧龙认为,目前,国内第二种评估比较多。
从评估主体上看,安全风险评估又可分为自评、国家授权的专业评估机构评测和以服务商为主体的市场化评估行为。
“目前,国内缺乏相关网络安全定级标准,因此,国家还没有设定这样的专业评估机构,”北京中科网威技术中心副总经理吴云坤说。
作为目前市场最主要的群体,安全服务公司提供的评估又可分为两大类:评估加固与评估咨询。
“中小客户通常喜欢采用前者。
”刘恒说,“他们通常会就网络现状做一个调查,从主机到网络到安全设备,全面查找安全漏洞,然后,要求咨询公司提供加固服务。
大客户则需要全面掌握网络安全的情况,要求服务商从系统到管理,提出全面的风险管理办法。
”自测系统安全的几个渐进方法细节之中见真章很多情况下,细节决定结果。
特定到安全风险评估领域,在完成最初的认知之后,今天的服务商们,又有谁,不是力争在细节上打败对手?如果三年前,有人提到安全风险评估概念,那他多半是指漏洞扫描。
即便在今天,很多企业仍将这个原本宏大的评估概念狭义地限定为漏洞扫描与修补。
如果是这样,服务公司很难区分彼此,“现成的扫描工具与产品有很多,我们自己也可以买来工具做扫描,”作为用户,深圳电信的陈波对此狭义理解也很不能接受。
事实上,真正的安全评估服务价值远远超越简单的扫描。
最基本的,网络安全风险是动态的。
仅从2001年12月到2002年12月,关于SQL服务器上的漏洞,就有11个报告。
而这期间,跟踪漏洞报告及时与否,就显得格外重要。
一些专家还明确指出,在使用SQL服务器的时候,不要将1433端口和1434端口打开。
如果一定要联接,就不要采用SQL服务器,除非你能保证在第一时间打补丁。
为了这个“第一时间”,小路所在的公司才会找来专业公司帮忙。
除了硬件系统、网络、操作系统等的安全风险评估外,应用的安全评估更显“真功夫”。
湖北移动梦网部的张明峻认为,应用系统安全隐患很多。
作为非标准化的软件产品,很多应用在开发过程中都缺乏对安全问题的统筹考虑。
“1.0版本的软件通常会有很多安全方面的问题,”一个专家警告说。
在升级过程中,某证券公司的网络管理员发现,自从公司的股票交易系统升级后,用户投诉开始增多。
很多用户反映,在输入账户、密码、端口号码以及代理服务器的地址后,却无法进入交易系统。
经过查证,请来解决问题的安全服务公司发现,因为新版本与原来的网络环境,包括安全系统不匹配,用户无法通过防火墙。
“因为证券公司有五个不同的防火墙。
在这种情况下,只有在防火墙上新打开一个入口,用户才能进入系统,”服务工程师说。
最后,在服务公司的建议下,这个证券公司选择使用另外一个应用系统。
“这是一个明智的选择,否则,这个应用将带来潜在的安全隐患,”谢朝霞评价说。
能在事前帮助用户排除风险固然不错,但并非每个用户都会做出同样的选择,当发生问题时,作为安全风险评估公司,是否能在最短的时间,排除其他可能性,从应用层面找到问题症结,同样至关重要。
另外,无论自己提供安全产品与否,作为提供服务的安全公司,不要忘了,网络安全产品本身同样可能存在漏洞。
去年,在为政府部门检测一个安全评估工具时,一家安全风险评估公司发现了扫描软件自身存在漏洞,这个漏洞,在某种程度上,使整个网络暴露在危险之中。
实践者的方法论实践需要理论指导,但市场往往等不得成熟理论的出台,就已经急切地凭着直觉向前奔去。
不过,聪明的实践者总能在忽左忽右的摸索中找到平衡点,进而形成自己的方法论,高明的,更会在日后成为完整理论的奠基者。
在采访中,众多被调查者一致认为,眼下安全风险评估市场最大的问题之一是缺乏评估标准,这个答案几乎是此次采访中唯一例外的“标准”答案。
从目前的市场情况看,有关安全的标准已有一大堆,如美国TCSEC、BS7799、ISO15408、ISO/IEC17799和ISO13335等。
但具体到安全风险评估上,每个标准却都有其局限性。
按照于慧龙的说法,ISO15408,虽然在功能上比较全面,但却没有安全管理方面的规范,对系统评测方面的规范也不足;ISO13335,因为制订的时间早,与目前的市场情况有些脱节;BS7799,虽然详尽但非常复杂,虽然全面但不够有针对性。
由BS7799派生出来的ISO17799,强调了针对性,却在安全评估方面比较简单,缺乏对照的标准。
来自实战的经验表明,在评估过程中,咨询工程师最常面对的问题是,资产多重要才算重要?什么样的系统损失可能构成什么样的经济损失?怎样的技术体系达到怎样的安全等级?一个病毒中断了邮件系统,企业因此造成的经济损失和社会影响如何计算?如果黑客入侵,尽管没有造成经济损失,但企业的名誉损失又该如何衡量?事实上,这些问题将从各个角度决定一个系统安全评估的结果。
在没有一个相关标准的情况下,各家公司更多的是参考国外标准,凭借各自积累的经验、与用户多做沟通来解决。
有心的公司,更是将这些经验累计下来,形成文档,总结出各自的咨询规范。
谢朝霞说:“通过三年的时间,我们积累了一个巨大的知识库和工具库,新来的员工,借助这些手段,也能很快进入工作状态。
”启明星辰则将这些宝贵的工作总结出来,与国际上的先进产品结合起来,做成有针对性的评估软件产品。
从发展过程看,国内安全风险评估市场经历了三个阶段:1、不注重标准,2、过于依赖标准,3、跨越标准。
“我们现在处于第三阶段,在具有适应性特点的国家标准出台之前,我们先在内部制定具有可操作性的行为规范,”刘恒说。
清内忧难于除外患在受过黑客攻击和病毒的“洗礼”之后,很多用户开始在防御外来风险方面提高了警戒,但是,在漏洞更多、管理更复杂的内部风险方面,大多数企业仍疏于防范,或缺少规则。
与之相对应的,内部安全风险评估难度也就更高。
按照北京中科网威技术中心副总经理吴云坤的说法,系统越复杂,企业越需要风险评估,评估过程也会更有挑战性。
对一个B2B或B2C的网站来说,它的网络结构可以统一归类为单点对多点模式。
但内部的网络结构,则通常属于多点对多点。
业务部与业务部之间、业务部与办公室之间,每个人与每个人之间,都将连接在一起。
“关联点越多,系统越复杂,”吴云坤说,“相应的工作流也呈现多样化和多角度的形态。
”因此,在提供安全评估的过程中,服务商必须对企业内部的业务流程、管理模式有相当的了解,才能切中要害。
据有关机构统计,目前,国内银行与网络相关的经济犯罪100%属于内部作案或内外勾结。
这样一个触目惊心的数字令人不禁想到,银行业内部的安全防范是怎样的脆弱。
通过为一些银行用户做评估,谢朝霞发现,很多风险出在管理上,如银行的生产环境与网络开发环境本应该严格分开,非业务操作人员进出营业现场应该有严格的登记制度。
但是,在实际中,很多技术开发人员随便出入生产现场。