網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估市場與技術(shù)操作現(xiàn)狀

國內(nèi)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估市場與技術(shù)操作

吳魯加04/19/2023個(gè)人主頁：網(wǎng)絡(luò)日志：

版本控制

vO.l04/01/2023文檔創(chuàng)立，包括大量示例文獻(xiàn)內(nèi)部公布

v0.204/19/2023刪除部份敏感信息，增長國內(nèi)市場分析?、BS7799和OCTAVE概述后，對外

公布

近兩年網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估漸漸為人們所重視，不少大型企業(yè)尤其是運(yùn)行商、金融業(yè)都請了專

業(yè)企業(yè)進(jìn)行評估。本文提出作者個(gè)人對國內(nèi)安全風(fēng)險(xiǎn)評估操作的某些評價(jià)，并試圖論述作者

所埋解的，可裁剪、易操作的風(fēng)險(xiǎn)評估方式。由于內(nèi)容與商、山企業(yè)有關(guān)，因此不可防止會波

及部份商業(yè)利益，在文中作者盡量隱去也許產(chǎn)生直接利害關(guān)系的文字，并申明所有評價(jià)純屬

個(gè)人觀點(diǎn)，假如你有不一一樣意見，歡迎來函探討。

1.什么是風(fēng)險(xiǎn)評估

說起風(fēng)險(xiǎn)評估，大家腦海中首先出現(xiàn)II勺也許是：風(fēng)險(xiǎn)、資產(chǎn)、影響、威肋、弱點(diǎn)等一連串的

術(shù)語，這些術(shù)語看起來并不難理解，但一旦綜合考慮就會象繞口令般組合。例如風(fēng)險(xiǎn)，用

ISO/IECTR13335-1:1996中的定義可以解釋為：特定威脅運(yùn)用某個(gè)（些）資產(chǎn)的弱點(diǎn)，導(dǎo)致

資產(chǎn)損失或破壞U勺潛在也許性。

為了協(xié)助理解，我們舉一種下里巴人的例子：我口袋里有100塊錢，由于打瞌睡，被小偷偷

走了，搞得晚上沒飯吃。

用風(fēng)險(xiǎn)評估的觀點(diǎn)來描述這個(gè)案例，我們可以對這些概念作如下理解：

風(fēng)險(xiǎn)=錢被偷走

資產(chǎn)=100塊錢

影響=晚上沒飯吃

威脅=小偷

弱點(diǎn)=打瞌睡

回到陽春白雪來，假設(shè)這樣個(gè)案例：某證券企業(yè)的數(shù)據(jù)庫服務(wù)器由于存在RPCDCOMH勺漏

洞，遭到入侵者襲擊，被迫中斷3天。

讓我們嘗試做一道小課時(shí)常做II勺連線題，把左右兩邊相對應(yīng)的內(nèi)容用線段連接起來：

風(fēng)險(xiǎn)RPCDCOM漏洞

資產(chǎn)服務(wù)器遭到入侵

影響數(shù)據(jù)庫服務(wù)器

威脅入侵者

弱點(diǎn)中斷三天

假如這道題對你沒什么難度，那么恭喜你，你已經(jīng)和國內(nèi)大多數(shù)風(fēng)險(xiǎn)評估的操作者差不多站

在同一種起跑線上了。

2.國內(nèi)既有風(fēng)險(xiǎn)評估操作模式

2.1評估市場和競爭分析

假如按照高、中、低端簡樸對國內(nèi)IJ勺風(fēng)險(xiǎn)評估市場進(jìn)行分類，那么我們可以很清晰地看到，

幾類市場的操作方式完全不一樣。

國內(nèi)高端市場重要被如IBM（普華永道）、畢馬威這樣類型會計(jì)師事務(wù)所類型的企業(yè)占領(lǐng)，往

往網(wǎng)絡(luò)安全評估就涵蓋在他們的整個(gè)審計(jì)體系之下。中端市場上則盤踞著國內(nèi)外大多數(shù)較有

實(shí)力IJ勺網(wǎng)絡(luò)安全企業(yè)，其中包括較早提出安全評估并且在運(yùn)行商市場有比很好的實(shí)踐的安

氏、有作風(fēng)穩(wěn)健但卻一步一種腳印打下大片疆土的啟明星辰、也有異軍突起極具競爭力的綠

盟科技……低端廠商則數(shù)量龐大，往往只是通過簡樸的漏洞掃描、病毒查殺等方式操作。

2.2重要中端廠商日勺評估模式分析

如下分析中的數(shù)據(jù)來源為筆者在從事網(wǎng)絡(luò)安全評估實(shí)踐時(shí)通過多種渠道獲得。但由于信息的

時(shí)效性，未能確認(rèn)目前文中所進(jìn)行的J表述與分析就代表著各家企業(yè)日勺最新評估發(fā)展?fàn)顟B(tài)。但

愿讀者自行鑒別。

2.2.1啟明星辰

啟明星辰2023年之前?直比較低調(diào)，但風(fēng)險(xiǎn)評估項(xiàng)目從最初對某證券企業(yè)進(jìn)行的純粹漏洞

掃描、人工審計(jì)、滲透測試這種類型的純技術(shù)操作到套用BS7799到采用OCTAVE措施再

到最終形成自己H勺網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估的措施論、操作模型，有諸多專'IK人員付出了大量療動。

下圖是啟明星辰的幻燈片中摘錄的，他們評估發(fā)展的歷程，在每個(gè)臺階上有該階段所通過的

項(xiàng)目名稱，出于安全原因隱去。

■成功案例--------啟明星辰風(fēng)趁評估發(fā)展歷程

□Venus

□BST799

口R于應(yīng)用的評估

□CAOQES技術(shù)融合

口NCS，虹計(jì)0□......

口加金大M陵濘化播，

口基于修產(chǎn)的計(jì)化□SSE-CMM

□ISO177W□PM1

□1SO13J35QM?...

口■褥由□ISO1S40S

口淮漆窩渣□AS/NZS43W)

口由附審計(jì)□NIST

業(yè)務(wù)參與性弱、處理方案可操作性差往往也是高規(guī)定的顧客對風(fēng)險(xiǎn)評估隊(duì)伍批評較多的地

方，但從啟明星辰近期在幾家大型客戶那里的操作來看，較受客戶好評。

啟明星辰有較多在風(fēng)險(xiǎn)評估中可以應(yīng)用的工具：

天鏡評估版：掃描器，有專門用于風(fēng)險(xiǎn)評估的版本。

天清：又名SRC,指SecurityRiskManage,基于ISO17799的量化、可視化E向評估工具。

信息庫：名稱不詳，可以直接導(dǎo)入天鏡、Nessus、ISS等掃描器日勺掃描成果并生成匯報(bào)。聽

說是很好的安全評估過程輔助工具。

當(dāng)?shù)卦u估軟件包。

我理解的啟明星辰風(fēng)險(xiǎn)評估特點(diǎn)為：

博采眾長

這首先與啟明星辰參與部份安全行業(yè)國標(biāo)的制定有關(guān)，另首先則是他們有著較多高學(xué)歷員

工，對高端征詢類型的提煉、深化抓得比很好，對評估規(guī)定看得透徹，寫得清晰。

變化較快

這可以說既是長處，也是缺陷。在每次較大的評估項(xiàng)目中他們一般都規(guī)定有所突破。這逼著

他們?nèi)?chuàng)新，但同步也導(dǎo)致評估II勺措施論很輕易有變動。

2.2.2綠盟科技

綠盟科技從最初參與中國電信評估項(xiàng)目開始走進(jìn)安全評估領(lǐng)域，挾其強(qiáng)大的系統(tǒng)研究技術(shù)優(yōu)

勢進(jìn)入市場。下圖是他們一份講稿中口勺評估流程描述:

評估流程

?威脅

?主動攻擊

?被動攻擊

?物理信近攻擊

?內(nèi)部人員攻擊

吩發(fā)攻擊

?腌弱性

?物理層次

?網(wǎng)珞層次

?系統(tǒng)層次

?應(yīng)用層次

?管理層次

.風(fēng)險(xiǎn)

?風(fēng)險(xiǎn)=資產(chǎn)*威脅*脆弱性

MirocteEvetydoy

我對綠盟科技風(fēng)險(xiǎn)評估措施的總體評價(jià)是：它是專業(yè)H勺系統(tǒng)和網(wǎng)絡(luò)安全評估，不是信息安全

評估，詳細(xì)有如下幾點(diǎn):

項(xiàng)目可操作性強(qiáng)

管理評估存在局限性，風(fēng)險(xiǎn)計(jì)算方式不夠科學(xué)

技術(shù)弱點(diǎn)把握精確

2.2.3安氏

安氏在國內(nèi)較早從事網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估項(xiàng)目日勺操作，做過較大日勺評估項(xiàng)目（包括顧問征詢）

有：中國移動CMNET全網(wǎng)網(wǎng)絡(luò)安全評估項(xiàng)目、天津電力企業(yè)安全征詢項(xiàng)目、中國電信IP

網(wǎng)安全征詢顧問項(xiàng)目、上海移動boss系統(tǒng)安全征詢顧問項(xiàng)目、深圳華為科技企業(yè)安全征詢

顧問項(xiàng)目等。

個(gè)人理解，2023年前后，IS-ONE的評估在國內(nèi)較為領(lǐng)先，首先是他們與國外企業(yè)的溝通較

親密，此外其高管層對風(fēng)險(xiǎn)評估、BS7799比較重視。到了2023年，安氏整體戰(zhàn)略轉(zhuǎn)型,

產(chǎn)品方面一邊中斷與ISS合作，一面高調(diào)宣傳做自主產(chǎn)品，SOC大集成成為其主推概念,

在風(fēng)險(xiǎn)評估領(lǐng)域口勺措施論卻缺乏創(chuàng)新和突破。安氏的安全風(fēng)險(xiǎn)評估有幾大優(yōu)勢:

項(xiàng)目管理較為專業(yè)

下圖是從安氏給某顧客匯報(bào)時(shí)ppt的摘錄，是他們項(xiàng)目管理的過程。

安氏安全評估項(xiàng)目中的階段

1項(xiàng)目準(zhǔn)名與蔣國確定3評估5支持和維護(hù)

嗔目計(jì)0噴目命P（會議、交流）jg.

嗔目繼期構(gòu)本場普彷（XX.?）修麥和加固的

孽目I作環(huán)境堇茄，他

Kkkoff電話熱線支捋

定義打珈囁目彼茹論評估報(bào)為

定義報(bào)告格式

除合決另案建議

定義*目目標(biāo)n

綜合安全策■&建議

作好IR絡(luò)環(huán)嶼不備

完就圖片與用戶秀君提交赭A舞的女

文檔體系比較規(guī)范

這也許與安氏H勺部份高管強(qiáng)執(zhí)行力和國外背景有一定關(guān)系。他們較為重視方案、征詢提議等

經(jīng)驗(yàn)時(shí)可更用，當(dāng)然，這同步也輕易導(dǎo)致他們考慮問題簡樸化，對小客戶輕易用大企業(yè)H勺方

案來裁剪套用。就目前他們做過日勺項(xiàng)目來看，至少有如卜.原則方案的枳累：

安全方略評估及提議匯報(bào)

安全處理方案

當(dāng)?shù)仫L(fēng)險(xiǎn)評估匯報(bào)

遠(yuǎn)程風(fēng)險(xiǎn)評估匯報(bào)

網(wǎng)絡(luò)安全現(xiàn)實(shí)狀況匯報(bào)

網(wǎng)絡(luò)安全處理方案提議

掃描評估申請匯報(bào)模版

數(shù)據(jù)庫掃描申請匯報(bào)

系統(tǒng)掃描申請匯報(bào)

網(wǎng)絡(luò)掃描申請匯報(bào)

這里列舉i份安氏的售前方案目錄，相信內(nèi)行人能看出某些門道來吧;)

第1章概述

1.1項(xiàng)目概述

1.2項(xiàng)目目的

1.2.4評估的方式

1.3評估遵照的原則

1.3.1保密原則

1.3.2原則性原則

1.3.3規(guī)范性原則

1.3.4可控性原則

1.3.5整體性原則

1.3.6最小影響原則

1.4風(fēng)險(xiǎn)評估模型

1.4.1背景和假設(shè)

1.4.2概述

1.4.3資產(chǎn)評估

1.4.4威脅評估

1.4.5弱點(diǎn)評估

1.4.6風(fēng)險(xiǎn)評估

1.5資產(chǎn)識別和賦值

1.5.1信息資產(chǎn)分類

1.5.2信息資產(chǎn)賦值

1.6重要評估措施闡明

1.6.1工具評估

1.6.2人工評估

1.6.3安全審計(jì)

1.6.4網(wǎng)絡(luò)架構(gòu)分析

1.6.5方略評估

1.7項(xiàng)目承諾

1.8項(xiàng)目組織構(gòu)造

第2章項(xiàng)目范圍和評估內(nèi)容

第3章項(xiàng)目階段詳述

3.1第一階段一項(xiàng)目準(zhǔn)備和范圍確定

3.2第二階段-項(xiàng)目定義和藍(lán)圖

3.3第三階段?風(fēng)險(xiǎn)評估階段

3.3.1集團(tuán)企業(yè)層面評估子項(xiàng)目

3.3.2省網(wǎng)層面評估子項(xiàng)目

3.3.3安全信息庫開發(fā)子項(xiàng)目

3.3.4安全評估風(fēng)險(xiǎn)規(guī)避措施

3.3.5需要客戶配合的工作

336安全信息庫系統(tǒng)原型概要設(shè)計(jì)

3.4第四階段一綜合評估和方略階段

3.4.1匯報(bào)和提議的形成

3.4.2《XXXX網(wǎng)絡(luò)安全現(xiàn)實(shí)狀況匯報(bào)》

3.4.3《XXXX網(wǎng)絡(luò)安全方略改善提議》

3.4.4《XXXX網(wǎng)絡(luò)安全處理方案提議》

3.5第五階段一項(xiàng)目評審階段

3.5.1驗(yàn)收措施和內(nèi)容

3.5.2驗(yàn)收原則和流程

3.6支持和售后服務(wù)

3.6.1安氏客戶服務(wù)體系簡介

3.6.2安氏（中國）I向客戶服務(wù)對象

3.6.3安氏（中國）客戶服務(wù)中心組織構(gòu)造

3.6.4安氏（中國）的服務(wù)特點(diǎn)

3.6.5服務(wù)保證體系CRM

3.6.6在本項(xiàng)目中所提供的支持服務(wù)

3.6.7安全通告服務(wù)

第4章項(xiàng)目質(zhì)量保證和管理

4.1配置管理

4.2變更控制管理

4.3項(xiàng)目溝通

4.4記錄和備忘錄

4.5匯報(bào)

4.6項(xiàng)目協(xié)調(diào)會議

第5章項(xiàng)目質(zhì)量控制

第6章技術(shù)培訓(xùn)

6.1安全管理培訓(xùn)(ISO17799)

6.2評估措施培訓(xùn)

6.3評估成果及漏洞修補(bǔ)措施培訓(xùn)

6.4安全信息庫系統(tǒng)培訓(xùn)

第7章項(xiàng)目軟硬件需求清單

此外，安氏II勺信息庫也能成為他們在風(fēng)險(xiǎn)評估中一項(xiàng)有力的武器。

?**we

2.2.4其他

這里所指的）其他企業(yè)，大部份是實(shí)力較強(qiáng)的I企業(yè)，如聯(lián)想之流，介入安全行業(yè)并憑借良好時(shí)

渠道和合作伙伴關(guān)系，打開?定日勺局面者。需要指出日勺是安絡(luò)科技，企業(yè)不大，但歷經(jīng)風(fēng)雨,

還可以在行業(yè)中有一定位置。

不過對于風(fēng)險(xiǎn)評估，則歸類到這里的企業(yè)多數(shù)缺乏自己的風(fēng)格，甚至評估只是他們很小的‘副

業(yè)”，因此在他們的方案或幻燈片中，常見到的是多種原則的流程、關(guān)系圖等等，如下面這

兩副：

幾乎在所有企業(yè)H勺的風(fēng)險(xiǎn)評估方案中，我都看到上面H勺那副安全風(fēng)險(xiǎn)關(guān)系圖，當(dāng)然有些企業(yè)

做了某些修改、美化以強(qiáng)調(diào)自己的理解.、突出自己評估措施中歐J關(guān)鍵部份，例如下面這張啟

明星辰的安全風(fēng)險(xiǎn)關(guān)系圖:

實(shí)產(chǎn)

224.1億陽信通

他們的所有業(yè)務(wù)流程包括：信息資產(chǎn)日勺界定、方略文檔分析、安全審計(jì)、網(wǎng)絡(luò)構(gòu)造的I評估、

業(yè)務(wù)流程分析、安全技術(shù)性弱點(diǎn)口勺評估、安全威脅H勺評估、既有安全措施評估、安全弱點(diǎn)綜

合評估、安全威脅綜合分析、綜合風(fēng)險(xiǎn)分析。采用日勺評估措施包括五種：工具遠(yuǎn)程/當(dāng)?shù)卦u

估、人工評估、白客測試、安全問卷、顧問訪談。

使我印象深刻的是，他們對方案中大多數(shù)項(xiàng)目均有比較嚴(yán)格的過程闡明、參與人員闡明、重

要評估方式、輸入、輸出、參照規(guī)范和原則。比較嚴(yán)謹(jǐn)。

224.2亞信科技

有著深厚運(yùn)行商行業(yè)的優(yōu)勢，其曾經(jīng)的子企業(yè)瑪賽有過相稱不錯(cuò)的成績。從他們的幾種方案

中分析，亞信對風(fēng)險(xiǎn)評估的研究并不深入，僅是簡樸抄了一堆基本風(fēng)險(xiǎn)評估法、詳細(xì)風(fēng)險(xiǎn)評

估法、綜合風(fēng)險(xiǎn)評估法等的概念。他們的評估分為六大部份：資產(chǎn)、脆弱性、威脅、影響、

安全措施評估、風(fēng)險(xiǎn)評估。風(fēng)險(xiǎn)評估是對前五者H勺綜合，具中的安全措施估計(jì)是自己增長的。

我理解起來整體思緒感覺比較混亂。

224.3華為

華為的部份合作風(fēng)格一直令人左右為難……他們有龐大而有力的銷售隊(duì)伍、運(yùn)行商方面良好

I向合作背景，這些都誘惑著其他廠商與之合作。但華為的高速發(fā)展和發(fā)展過程的調(diào)整，卻往

往令合作伙伴有些進(jìn)退維谷。僅以防火墻市場為例，華為曾經(jīng)由于要選擇合作伙伴，廣邀防

火墻廠商進(jìn)行產(chǎn)品測試，對多種產(chǎn)品的功能、性能指標(biāo)、技術(shù)特點(diǎn)都了如指掌。但2023年

華為推出了自己的防火墻產(chǎn)品。

2023年可以說是華為將安全由內(nèi)部建設(shè)轉(zhuǎn)向往外部推進(jìn)的轉(zhuǎn)折年。原因或許是他們發(fā)現(xiàn)他

們的重要客戶運(yùn)行商已經(jīng)把安全門檻提高了，與其很費(fèi)力地邁這個(gè)門檻，不如在自己收產(chǎn)品

和集成基礎(chǔ)上造一種高門檻。

華為的評估與其他安全企業(yè)的評估側(cè)重點(diǎn)略有不一樣，更側(cè)重于網(wǎng)絡(luò)架構(gòu)和應(yīng)用評估卜也許

是他們這方面的人才更多的緣故）。2023年市場上也略有斬獲。

2.2.4.4聯(lián)想

聯(lián)想H勺網(wǎng)絡(luò)安全事業(yè)部和他們網(wǎng)御系列的安全產(chǎn)品一直令我很困惑一為何聯(lián)想投資首先

注資綠盟科技，另首先卻自己力圖創(chuàng)立安全產(chǎn)品和服務(wù)品牌？從目前口勺情形來看，網(wǎng)御防火

墻已經(jīng)在市場上獲得不錯(cuò)的銷售成績，網(wǎng)御入侵檢測也初露頭角。但筆者個(gè)人測試，這兩款

安全產(chǎn)品從功能、性能上來說都遠(yuǎn)離聯(lián)想的大廠商風(fēng)范。

安全服務(wù)和風(fēng)險(xiǎn)評估方面，聯(lián)想介入市場比較遲，但由有幾位掌握方面論和襲擊滲透的安氏

員工的加盟（由此也可見安氏的措施論積累很不錯(cuò);）），他們很快站在前人的基礎(chǔ)上號稱有了

一套自己的原則措施和操作流程。

2.2.4.5安絡(luò)科技

安絡(luò)科技創(chuàng)立伊始，在國內(nèi)的網(wǎng)絡(luò)安全界有比較高的著名度。但數(shù)年來一直偏安于深圳，失

去了飛速增長的機(jī)會。因此被從國內(nèi)安全廠商的第一梯隊(duì)擠出。

在他們的諸多方案中，同步包括了評估提議書和中長期安全規(guī)劃提議。他們的遠(yuǎn)程風(fēng)險(xiǎn)評估

乏善可陳，當(dāng)?shù)仫L(fēng)險(xiǎn)評估分得很細(xì)，包括實(shí)行安全、平臺安全、數(shù)據(jù)安全、通信安全、應(yīng)用

安全、運(yùn)行安全、管理安全的評估。但在可操作性方面下的功夫還不夠。

2.3部份低端廠商的評估模式

部份低端評估廠商在市場上不僅存在，并且有很大U勺生存空間。他們U勺目的客戶群體是小型

企業(yè)。不會為評估花費(fèi)太多的精力和金錢，安全也只需要簡樸到達(dá)某一基線即可。

一般這些廠商的做法迅速簡潔：

漏洞掃描->遠(yuǎn)程掃描匯報(bào)

抽樣人工審計(jì)，人工審計(jì)匯報(bào)

抽樣病毒掃描與查殺->病毒監(jiān)測匯報(bào)

之后就可以坐地分金了，這種操作模式僅需要少數(shù)技術(shù)骨干就能很好地進(jìn)行。

3.BS7799和OCTAVE

3.1BS7799的優(yōu)勢和弱點(diǎn)

要初步理解BS7799,我覺得從兩個(gè)角度入手

理解BS7799的安全管理流程，也就是建立信息安全管理體系的措施和環(huán)節(jié)

索f

系統(tǒng)理解BS7799中提到的10類127個(gè)控制項(xiàng)的內(nèi)容

并且可以在此基礎(chǔ)上針對不一樣行業(yè)選擇（甚至新增）控制項(xiàng)。就如近來移動集團(tuán)提出的

NISS（網(wǎng)絡(luò)與信息安全原則）同樣。

個(gè)人感覺BS7799H勺最大缺陷就在于可操作性不強(qiáng)，假如僅僅按BS7799H勺規(guī)定操作（類似

IS09000的評審），有也許最終達(dá)不到初始的安全目的。這或許也是BS7799和ISO17799呼

聲很高，但實(shí)際應(yīng)用或者通過評審的企業(yè)并不多的原因之一。作為參照，這里給出一份sans

提供的BS7799檢杏列表.

3.2OCTAVE日勺有效補(bǔ)充

所謂OCTAVE,實(shí)際上是OperationallyCriticalThreat,Asset,andVulnerabilityEvaluation的J縮

寫，指的是可操作的關(guān)鍵威脅、資產(chǎn)和弱點(diǎn)評估。在我的理解中，OCTAVE首先強(qiáng)調(diào)的是O,

另一方面是C,也就是說，它最重視可操作性，另一方面對關(guān)鍵性很關(guān)注，把握80/20原則:）

簡樸描述我理解OCTAVE的幾種重點(diǎn)（實(shí)際上在OCTAVE中日勺每個(gè)環(huán)節(jié)都是不可?忽視IF這

里所說的幾種重點(diǎn)是我認(rèn)為OCTAVE很好、或者評估過程中比較關(guān)鍵的部份環(huán)節(jié)）：

過程控制（整體）

OCTAVE將整體網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估過程分為三個(gè)階段九個(gè)環(huán)節(jié)，分別是：

階段一：建立基于資產(chǎn)的成脅配置文獻(xiàn)

01.標(biāo)識高層管理知識

02.標(biāo)識業(yè)務(wù)區(qū)域知識

03.標(biāo)識一般員工知識

04.建立威脅配置文獻(xiàn)

階段二：標(biāo)識基礎(chǔ)構(gòu)造的弱點(diǎn)

05.標(biāo)識關(guān)鍵資產(chǎn)

06.評估選定的資產(chǎn)

階段三：確定安全方略和計(jì)劃

07.執(zhí)行風(fēng)險(xiǎn)分析

8A.開發(fā)保護(hù)方略A

8B.開發(fā)保護(hù)方略B

卜.圖是CERT在為一家醫(yī)院進(jìn)行風(fēng)險(xiǎn)評估時(shí)的進(jìn)程時(shí)間表，我們可以作為參照。

Event|10/9|10/6

參與者簡報(bào)

P1：高級管理層工程一

另:執(zhí)行管理層工程一

網(wǎng):員工工程（2）

屆nr職員工程

P4:威脅統(tǒng)計(jì)工程

,5:關(guān)健組件工程

產(chǎn)6：運(yùn)行漏洞工具,

46:漏洞評估工程

田：風(fēng)險(xiǎn)分析工程一

，8：保護(hù)策略工程A

P8：保護(hù)策略工程B（與高級管理

者一起）

創(chuàng)立威脅記錄（process4）

這個(gè)過程實(shí)際上完畢兩件事，一是對前面三個(gè)過程中搜集口勺數(shù)據(jù)進(jìn)行整頓，使數(shù)據(jù)分析清晰。

二是可以通過度析資產(chǎn)的成肋，，創(chuàng)立重要資產(chǎn)及資產(chǎn)面臨威脅的全局視圖。

從下圖我們可以看到，OCTAVE對某一資產(chǎn)H勺資產(chǎn)、訪問、動機(jī)、參與者和成果都進(jìn)行了

分析（該圖僅是針對一項(xiàng)資產(chǎn)一個(gè)人計(jì)算機(jī)，和一種訪問一網(wǎng)絡(luò)而建立的威脅視圖），這

種方式確實(shí)有助于我們看清企業(yè)內(nèi)部日勺威脅狀況。

也是第一階段日勺延續(xù)，按OCTAVE的說法，提成兩步：標(biāo)識組件口勺關(guān)鍵種類和標(biāo)識要分析

日勺基礎(chǔ)構(gòu)造組件。假如從操作靈活性考慮，我們也可以在階段一的時(shí)候?yàn)橘Y產(chǎn)和知識標(biāo)識出

C1A(機(jī)密性、完整性和可用性)，通過對C1AH勺綜合運(yùn)算得出最終止論。

進(jìn)行風(fēng)險(xiǎn)分析(process7)

與創(chuàng)立威脅記錄中的I威脅視圖相對應(yīng)，在這里需要標(biāo)識出威脅也許導(dǎo)致口勺影響。要注意到時(shí)

是，風(fēng)險(xiǎn)分析并非僅象下圖那樣是單一的，而是多種系統(tǒng)之間也許交叉影響，因此這個(gè)視圖

最終完畢后將會是很大的一張圖表。

資產(chǎn)訪問參與者動機(jī)結(jié)果影響

暴露中級

意外修改高級

丟失、損害高級

中斷高級

內(nèi)部

嘉中級

故意高級

丟失、損害高級

中斷高級

1個(gè)人電腦1網(wǎng)絡(luò)

暴露中級

意外修改高級

丟失、損害高級

中斷高級

外部

癱中級

故意修改高級

丟失、損害高級

中斷高桀

4.中小企業(yè)的特點(diǎn)和對OCTAVEII勺重新評價(jià)

4.1中小型企業(yè)和大型企業(yè)在評估活動中II勺異同點(diǎn)

最直接的想法，大型企業(yè)和中小型企業(yè)對安全的關(guān)注要點(diǎn)與否完全相似？又與否完全不一

樣？哪些在大型企業(yè)中做過的事是可復(fù)用的？我很少看到有關(guān)這些方面11勺討論，因此也想在

這里將問題提出，并給出我的粗淺考慮，但愿可以引玉。

相似點(diǎn)（可以復(fù)用的部份）

1.資產(chǎn)評估

資產(chǎn)調(diào)查表格

資產(chǎn)屬性和賦值調(diào)研表格與措施

關(guān)鍵資產(chǎn)歐I調(diào)查措施

2.威脅評估（部份中小企業(yè)甚至可以不用進(jìn)行）

BS7799評審表

OCTAVE威脅分析措施和視圖

事件分析措施

3.弱點(diǎn)評估

遠(yuǎn)程掃描措施和工具

人工審計(jì)措施和工具

滲透測試措施和工具

4.風(fēng)險(xiǎn)分析

既有風(fēng)險(xiǎn)視圖提煉措施和匯報(bào)

不一樣點(diǎn)（需要單獨(dú)開發(fā)調(diào)研的部份）

1.資產(chǎn)評估

資產(chǎn)匯報(bào)（不?樣行業(yè)、規(guī)模的企業(yè)，關(guān)鍵資產(chǎn)有很大區(qū)別）

2.威脅評估

面臨的威脅面比小企業(yè)更廣

3.弱點(diǎn)評估

風(fēng)險(xiǎn)規(guī)避措施

4.風(fēng)險(xiǎn)分析

針對組織特點(diǎn)H勺處理方案

管理制度和方略框架

4.2重新評價(jià)OCTAVE

通過對OCTAVEH勺初步學(xué)習(xí)，我們可以認(rèn)識到它具有許多BS7799的所缺乏的可操作性方

面依J特點(diǎn)，但離完美尚有一定距離，簡樸談兒點(diǎn)局限性：

過份強(qiáng)調(diào)對大企業(yè)口勺評估活動，評估流程比較繁瑣，完整視圖建立不易操作，規(guī)定組織中多

人參與。

風(fēng)險(xiǎn)控制行動列表粒度較粗，與企業(yè)后續(xù)安全建設(shè)的實(shí)際工作有一定距離。

由于強(qiáng)調(diào)了操作，執(zhí)行時(shí)所根據(jù)日勺原則就相對簡樸（也許有主觀臆斷的原因在內(nèi)）。

任何事物，就算非常優(yōu)秀，也都不能全盤照搬，是需要批判接受的J,從上面對BS7799和

OCTAVE的J簡樸分析，你與否可以提煉出你自己的評估措施？

5.怎樣制定最適合您企業(yè)口勺風(fēng)險(xiǎn)評估計(jì)劃

這里考慮采用一種小企業(yè)的評估實(shí)例來闡明制定適合自身目前狀態(tài)的企業(yè)風(fēng)險(xiǎn)評估的措施。

由于臨時(shí)沒有適合的案例提供，因此留待下一版本完善。

6.實(shí)行過程簡述

6.1定義階段

實(shí)際上是他前工作的J延續(xù)，即明確項(xiàng)目范圍，清晰界定顧客的需求。這點(diǎn)看似簡樸，但實(shí)際

操作者卻需要相稱有經(jīng)驗(yàn)，可.以判斷自己所擁有的資源何以在既定期間內(nèi)完畢多少工作;可.

以與客戶有技巧地談判將其需求控制在最恰當(dāng)?shù)乃讲⒕S持到項(xiàng)目結(jié)束。

我們在這里列出了五個(gè)模塊：前期交流、初步方案、投標(biāo)方案、答標(biāo)文檔和參照報(bào)價(jià)。

按照實(shí)際項(xiàng)目操作流程，在售前階段這五個(gè)模塊的I工作應(yīng)當(dāng)完整進(jìn)行?遍。進(jìn)入項(xiàng)目定義階

段時(shí)，實(shí)際上顧客已經(jīng)對網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估有了一定理解，并且比較清晰自己的網(wǎng)絡(luò)環(huán)境需

要評估到什么程度，因此本階段顧客會就投標(biāo)方案規(guī)定廠商進(jìn)行深入描述，并且就他們感愛

好的細(xì)節(jié)進(jìn)行展開。

6.2藍(lán)圖階段

雙方確定項(xiàng)目的詳細(xì)進(jìn)度計(jì)劃，提議在計(jì)劃過程中至少要包括下面幾部份內(nèi)容：問題描述、

目的和范圍、SWOT分析?、工作分解、里程碑和進(jìn)度計(jì)劃、雙方資源需求、變更控制措施。

在藍(lán)圖階段中需要召開藍(lán)圖會議，在會議結(jié)束后，必須在雙方承認(rèn)的基礎(chǔ)上制定并簽訂項(xiàng)目

藍(lán)圖，后續(xù)一切工作嚴(yán)格按藍(lán)圖進(jìn)行。

評估項(xiàng)目對客戶的知識水平規(guī)定較高，一般在項(xiàng)目前期需要就評估措施進(jìn)行培訓(xùn)，提議在藍(lán)

圖階段完畢項(xiàng)目U勺培訓(xùn)工作。

此外需要提醒11勺是，由于多數(shù)企業(yè)的資產(chǎn)并沒有很好地理順，因此資產(chǎn)評估的前期協(xié)調(diào)工作

假如可以盡早開始，可以有效地保證項(xiàng)H的時(shí)間。

6.3執(zhí)行階段

這是最關(guān)鍵的階段，絕大多數(shù)操作都在這一階段完畢，我們可以再將這一階段細(xì)分為四個(gè)環(huán)

節(jié)，分別如下：

資產(chǎn)評估（可以遠(yuǎn)程完畢）

系統(tǒng)和業(yè)務(wù)信息搜集

資產(chǎn)列表

資產(chǎn)分類與賦值

資產(chǎn)匯報(bào)

資產(chǎn)評估H勺內(nèi)容并不復(fù)雜，在這部份工作中，重點(diǎn)在于與客戶共同進(jìn)行資產(chǎn)日勺分類與賦值。

同步需要注意控制資產(chǎn)評估的完畢時(shí)間，由于明確資產(chǎn)后才能有效進(jìn)行后續(xù)的威脅與弱點(diǎn)評

估，否則輕易導(dǎo)致事倍功半。

威脅評估（當(dāng)?shù)赝戤叄?/p>

IDS布署搜集威脅源

搜集并評估方略文檔

BS7799顧問訪談

事件分析

威脅匯報(bào)

威脅評估中訪談?wù)剂爽F(xiàn)場工作的最大部份。但由于現(xiàn)階段業(yè)界對于威脅的界定存在多種原

則，因此可以說威脅評估是較難操作的一部份。提議在實(shí)行前先參照威脅評估匯報(bào)樣例。

假如可以通過訪談獲取到較為完整II勺安全事件信息，則可以考慮將不進(jìn)行威脅評估，以更可

以清晰分析本質(zhì)U勺事件分析替代。

弱點(diǎn)評估（當(dāng)?shù)赝戤叄?/p>

遠(yuǎn)程掃描

人工審計(jì)

滲透測試

弱點(diǎn)匯報(bào)

弱點(diǎn)評估屬于純技術(shù)操作，這里不加詳述。

風(fēng)險(xiǎn)分析和控制（可以遠(yuǎn)程完畢）

數(shù)據(jù)整頓、入庫及分析

安全現(xiàn)實(shí)狀況匯報(bào)

安全處理方案

當(dāng)現(xiàn)場工作結(jié)束，基礎(chǔ)數(shù)據(jù)搜集完畢后，怎樣對浩如煙海口勺信息進(jìn)行提煉和挖掘，其中也有

諸多技巧。最終日勺風(fēng)險(xiǎn)分析需要看得清晰透徹，并且方案的體現(xiàn)形式要比較切合客戶需求。

處理方案就三個(gè)字：可操作。

6.4匯報(bào)階段

在項(xiàng)目匯報(bào)階段，所有的現(xiàn)場工作和大部份文檔工作已經(jīng)完畢，這時(shí)的關(guān)鍵任務(wù)是：讓顧客

真正理解并且承認(rèn)我們的工作成績。因此這階段提議需要與顧客進(jìn)行深入細(xì)致的溝通（需要

面對面交流，以到達(dá)最佳效果）。

匯報(bào)階段需要注意多種細(xì)節(jié)調(diào)整（有些需要結(jié)合項(xiàng)目特點(diǎn)進(jìn)行考慮），例如：

1.在匯報(bào)的最前面增長“文檔導(dǎo)讀”章節(jié)；

2.將客戶方配合工作人員也寫入?yún)R報(bào)作者；

3.給領(lǐng)導(dǎo)提供一份簡潔有力的總結(jié)：

4.等等……

6.5售后服務(wù)

按照Octave評估措施的觀點(diǎn)，顧客在完畢一次安全評估之后，相稱于獲取了其H前風(fēng)險(xiǎn)的

快照（Snapshot）,同步也就完畢了對其信息安全風(fēng)險(xiǎn)基線口勺設(shè)置。之后