版本控制

v0.1 04/01/2004 文档创建，包含大量示例文件内部发布

v0.2 04/19/2004 删除部份敏感信息，增加国内市场分析、BS7799和OCTAVE概述后，对外发布

近两年网络安全风险评估渐渐为人们所重视，不少大型企业尤其是运营商、金融业都请了专业公司进行评估。本文提出作者个人对国内安全风险评估操作的一些评价，并试图阐述作者所理解的，可裁剪、易操作的风险评估方式。由于内容与商业公司有关，因此不可避免会涉及部份商业利益，在文中作者尽量隐去可能产生直接利害关系的文字，并声明所有评价纯属个人观点，如果你有不同意见，欢迎来函探讨。

1. 什么是风险评估



说起风险评估，大家脑海中首先浮现的可能是：风险、资产、影响、威胁、弱点等一连串的术语，这些术语看起来并不难理解，但一旦综合考虑就会象绕口令般组合。比如风险，用ISO/IEC TR 13335-1:1996中的定义可以解释为： 特定威胁利用某个(些)资产的弱点，造成资产损失或破坏的潜在可能性。

为了帮助理解，我们举一个下里巴人的例子：我口袋里有100块钱，因为打瞌睡，被小偷偷走了，搞得晚上没饭吃。

用风险评估的观点来描述这个案例，我们可以对这些概念作如下理解：

风险 = 钱被偷走

资产 = 100块钱

影响 = 晚上没饭吃

威胁 = 小偷

弱点 = 打瞌睡

回到阳春白雪来，假设这么个案例：某证券公司的数据库服务器因为存在RPC DCOM的漏洞，遭到入侵者攻击，被迫中断3天。

让我们尝试做一道小学时常做的连线题，把左右两边相对应的内容用线段连接起来：

风险  RPC DCOM漏洞

资产  服务器遭到入侵

影响  数据库服务器

威胁  入侵者

弱点  中断三天

如果这道题对你没什么难度，那么恭喜你，你已经和国内大多数风险评估的操作者差不多站在同一个起跑线上了。

2. 国内现有风险评估操作模式

2.1 评估市场和竞争分析

如果按照高、中、低端简单对国内的风险评估市场进行分类，那么我们可以很清晰地看到，几类市场的操作方式完全不同。

国内高端市场主要被如IBM(普华永道)、毕马威这样类型会计师事务所类型的公司占领，往往网络安全评估就涵盖在他们的整个审计体系之下。中端市场上则盘踞着国内外大多数较有实力的网络安全公司，其中包括较早提出安全评估并且在运营商市场有比较好的实践的安氏、有作风稳健但却一步一个脚印打下大片疆土的启明星辰、也有异军突起极具竞争力的绿盟科技……低端厂商则数量庞大，往往只是通过简单的漏洞扫描、病毒查杀等方式操作。

2.2 主要中端厂商的评估模式分析

以下分析中的数据来源为笔者在从事网络安全评估实践时通过各种渠道获得。但由于信息的时效性，未能确认当前文中所进行的表述与分析就代表着各家企

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10]  ... 下一页  >>