搜索
安全风险评估的少数派报告2003-07-2800:00:00.0$page.getAuthor()■本报记者徐莉如果说安全市场本身在中国仍处于方兴未艾的阶段,那么,安全风险评估就只能算作尚在萌芽的种子。因为,作为更高级别的服务,安全风险评估更像安全系统这道门上的一把锁,需要有个大前提。换句话说,只有企业的IT系统足够复杂,安全需求达到一定级别,这把锁才会派上用场。尽管很多人看好安全风险评估的未来,但是,目前国内提供真正安全风险评估服务的却只有少数企业。不过,通过对这些企业的采访,我们印证了大多数人的设想——安全风险评估确是一支开始萌芽的“潜力股”。提起2002年年底的互联网大会,启明星辰首席技术官刘恒至今印象深刻。在那次会议上,作为安全专题的讲演者之一,刘恒颇为有趣地体会了一回什么叫英雄所见,因为与刘恒一样,另外三名安全专家也不约而同选择了同一个演讲主题——安全风险评估管理。在会后的交流中,四位“英雄”半开玩笑地指出:“既然大家都看好安全风险评估市场,那索性将2003年定名为安全风险评估年。”半年多时间过去了,市场为这个带有玩笑性质的预测做了最好的注脚。“进入2003年后,公司关于安全风险评估的单子明显增多,200万以上的项目正在执行的有两个,”刘恒说。在记者的追问下,刘恒对市场做了一个保守估计:“以2003年上半年的落单情况看,安全风险评估市场的总额应该在八千万到一个亿的样子。”安络科技的CTO谢朝霞对这个问题的回答很干脆:“用在安全风险评估上的投资能占用户总投资的1%~5%,电信和金融用户能达到3%~5%。”按此比例换算,仅银行市场,每年用于网络安全评估的费用将超过几个亿。我们无意求证这些数字的精确程度,因为这不重要。重要的是,从这些最前沿市场中人的判断,我们看到了安全风险评估正在从概念走向应用,从空中楼阁走向触手可及。而对那些已经开始这项业务却无斩获或将要开始却有迷茫的企业来说,先行成功者的体验无疑是最可宝贵的。安全风险评估的内涵与外延什么是安全风险评估?夸张地讲,一千个人有一千个答案。这些答案或许没有本质区别,但是,因为现阶段的市场尚没有一个明确的定义,每个人对安全风险评估的理解,将会因为内涵与外延的不同,呈现溢出或缺损的现象。或许,从用户的需求角度,更容易将这个问题讲明白,也更具有现实意义。作为一家电子商务公司的网管,小路深感责任重大。自从2001年成立以来,公司网络多次受到来自黑客的攻击,最严重的一次,业务因此停顿了24小时。为此,小路需要经常上网查找最新安全动态。到目前为止,仅在IE浏览器上,小路就已经打了不下7个补丁。但是,从IE浏览器、ApacheHTTPServer、到域名软件BIND,都可能是下一个风险的发源地。“风险无处不在,”小路说,“如果想到种种可能性,真会让人晚上睡不着觉。”为了让小路和公司领导都能睡上好觉,2003年初,小路所在的公司请了一家专业公司为自己的网络系统作安全评估,合同期为一年,除了最开始两个月对系统、网络、应用作全面地扫描和评测外,在后面的10个月里,安全公司将全面检测小路公司网络流量的进出情况,并将最新发布的安全漏洞以及补丁情况及时通报给小路。一旦发生问题,服务商承诺在1个小时内做出反应。小路公司的要求几乎涵盖了安全风险评估的大部分内容。如漏洞扫描,可以划归脆弱性分析;评测过程,可以算作威胁分析、风险分析。通常来讲,风险咨询公司都会从资产调查开始,逐步进行脆弱性分析、威胁分析、风险分析,针对风险提出解决方案,并提供业务连续性综合办法。有些咨询公司,还会应客户的要求,为加固后的网络系统做二次评估。从范围上看,安全风险评估又可分为基线风险评估、非正式(快速)风险评估、详细风险评估与综合风险评估。其中,基线评估通常会在启动一个系统建设项目之前开始。非正式评估是针对具体问题,通过工具和人的经验,找到问题,提出解决办法。详细评估则需从物理系统上、数据上以及管理等方面进行全面的评测。绿盟科技工程部安全工程师于慧龙认为,目前,国内第二种评估比较多。从评估主体上看,安全风险评估又可分为自评、国家授权的专业评估机构评测和以服务商为主体的市场化评估行为。“目前,国内缺乏相关网络安全定级标准,因此,国家还没有设定这样的专业评估机构,”北京中科网威技术中心副总经理吴云坤说。作为目前市场最主要的群体,安全服务公司提供的评估又可分为两大类:评估加固与评估咨询。“中小客户通常喜欢采用前者。”刘恒说,“他们通常会就网络现状做一个调查,从主机到网络到安全设备,全面查找安全漏洞,然后,要求咨询公司提供加固服务。大客户则需要全面掌握网络安全的情况,要求服务商从系统到管理,提出全面的风险管理办法。”自测系统安全的几个渐进方法测试类别敏感性系统的实施周期普通系统的实施周期复杂性工作难度风险任务和作用网络映射3个月12个月中中中确定网络结构、使用中的主机个数和软件确定未经授权但却连接在网络上的主机确定打开的端口确定未经授权的服务脆弱性扫描3个月~6个月12个月高高中确定网络结构、使用中的主机和软件确定需要进行脆弱性分析的计算机在分析目标的计算机中找出可能被攻击的漏洞确定OS和主要应用软件是否及时升级或者打补丁渗透性测试12个月12个月高高高决定测试目标,确定脆弱性等级,以及可能产生的破坏程度检查系统人员在发生安全问题时的响应速度、对安全政策的执行情况以及安全方面的基础知识等安全测试与评估至少3年一次,或在系统做出大的改变的时候至少3年一次高高高发现设计、实施、以及运行中存在的安全问题从物理措施、保险等各个角度,重新部署安全措施,来保证安全制度的实施评估系统文件与实际状况之间的差异性解码1个月12个月低低低确认生成密码的原则是有效且可行的确认用户是否按照系统制订的原则设置密码日志检查1周1周中中低确保系统按照设定的原则运行完整性检查1个月或根据实际需要随时进行1个月低低低发现未经授权的文件修改病毒检测1周或根据需要随时进行1周或根据需要低低低在病毒发作前,发现并删除病毒随时进行拨号检测12个月12个月低低中发现非法Modems,阻止未经授权的进入细节之中见真章很多情况下,细节决定结果。特定到安全风险评估领域,在完成最初的认知之后,今天的服务商们,又有谁,不是力争在细节上打败对手?如果三年前,有人提到安全风险评估概念,那他多半是指漏洞扫描。即便在今天,很多企业仍将这个原本宏大的评估概念狭义地限定为漏洞扫描与修补。如果是这样,服务公司很难区分彼此,“现成的扫描工具与产品有很多,我们自己也可以买来工具做扫描,”作为用户,深圳电信的陈波对此狭义理解也很不能接受。事实上,真正的安全评估服务价值远远超越简单的扫描。最基本的,网络安全风险是动态的。仅从2001年12月到2002年12月,关于SQL服务器上的漏洞,就有11个报告。而这期间,跟踪漏洞报告及时与否,就显得格外重要。一些专家还明确指出,在使用SQL服务器的时候,不要将1433端口和1434端口打开。如果一定要联接,就不要采用SQL服务器,除非你能保证在第一时间打补丁。为了这个“第一时间”,小路所在的公司才会找来专业公司帮忙。除了硬件系统、网络、操作系统等的安全风险评估外,应用的安全评估更显“真功夫”。湖北移动梦网部的张明峻认为,应用系统安全隐患很多。作为非标准化的软件产品,很多应用在开发过程中都缺乏对安全问题的统筹考虑。“1.0版本的软件通常会有很多安全方面的问题,”一个专家警告说。在升级过程中,某证券公司的网络管理员发现,自从公司的股票交易系统升级后,用户投诉开始增多。很多用户反映,在输入账户、密码、端口号码以及代理服务器的地址后,却无法进入交易系统。经过查证,请来解决问题的安全服务公司发现,因为新版本与原来的网络环境,包括安全系统不匹配,用户无法通过防火墙。“因为证券公司有五个不同的防火墙。在这种情况下,只有在防火墙上新打开一个入口,用户才能进入系统,”服务工程师说。最后,在服务公司的建议下,这个证券公司选择使用另外一个应用系统。“这是一个明智的选择,否则,这个应用将带来潜在的安全隐患,”谢朝霞评价说。能在事前帮助用户排除风险固然不错,但并非每个用户都会做出同样的选择,当发生问题时,作为安全风险评估公司,是否能在最短的时间,排除其他可能性,从应用层面找到问题症结,同样至关重要。另外,无论自己提供安全产品与否,作为提供服务的安全公司,不要忘了,网络安全产品本身同样可能存在漏洞。去年,在为政府部门检测一个安全评估工具时,一家安全风险评估公司发现了扫描软件自身存在漏洞,这个漏洞,在某种程度上,使整个网络暴露在危险之中。实践者的方法论实践需要理论指导,但市场往往等不得成熟理论的出台,就已经急切地凭着直觉向前奔去。不过,聪明的实践者总能在忽左忽右的摸索中找到平衡点,进而形成自己的方法论,高明的,更会在日后成为完整理论的奠基者。在采访中,众多被调查者一致认为,眼下安全风险评估市场最大的问题之一是缺乏评估标准,这个答案几乎是此次采访中唯一例外的“标准”答案。从目前的市场情况看,有关安全的标准已有一大堆,如美国TCSEC、BS7799、ISO15408、ISO/IEC17799和ISO13335等。但具体到安全风险评估上,每个标准却都有其局限性。按照于慧龙的说法,ISO15408,虽然在功能上比较全面,但却没有安全管理方面的规范,对系统评测方面的规范也不足;ISO13335,因为制订的时间早,与目前的市场情况有些脱节;BS7799,虽然详尽但非常复杂,虽然全面但不够有针对性。由BS7799派生出来的ISO17799,强调了针对性,却在安全评估方面比较简单,缺乏对照的标准。来自实战的经验表明,在评估过程中,咨询工程师最常面对的问题是,资产多重要才算重要?什么样的系统损失可能构成什么样的经济损失?怎样的技术体系达到怎样的安全等级?一个病毒中断了邮件系统,企业因此造成的经济损失和社会影响如何计算?如果黑客入侵,尽管没有造成经济损失,但企业的名誉损失又该如何衡量?事实上,这些问题将从各个角度决定一个系统安全评估的结果。在没有一个相关标准的情况下,各家公司更多的是参考国外标准,凭借各自积累的经验、与用户多做沟通来解决。有心的公司,更是将这些经验累计下来,形成文档,总结出各自的咨询规范。谢朝霞说:“通过三年的时间,我们积累了一个巨大的知识库和工具库,新来的员工,借助这些手段,也能很快进入工作状态。”启明星辰则将这些宝贵的工作总结出来,与国际上的先进产品结合起来,做成有针对性的评估软件产品。从发展过程看,国内安全风险评估市场经历了三个阶段:1、不注重标准,2、过于依赖标准,3、跨越标准。“我们现在处于第三阶段,在具有适应性特点的国家标准出台之前,我们先在内部制定具有可操作性的行为规范,”刘恒说。清内忧难于除外患在受过黑客攻击和病毒的“洗礼”之后,很多用户开始在防御外来风险方面提高了警戒,但是,在漏洞更多、管理更复杂的内部风险方面,大多数企业仍疏于防范,或缺少规则。与之相对应的,内部安全风险评估难度也就更高。按照北京中科网威技术中心副总经理吴云坤的说法,系统越复杂,企业越需要风险评估,评估过程也会更有挑战性。对一个B2B或B2C的网站来说,它的网络结构可以统一归类为单点对多点模式。但内部的网络结构,则通常属于多点对多点。业务部与业务部之间、业务部与办公室之间,每个人与每个人之间,都将连接在一起。“关联点越多,系统越复杂,”吴云坤说,“相应的工作流也呈现多样化和多角度的形态。”因此,在提供安全评估的过程中,服务商必须对企业内部的业务流程、管理模式有相当的了解,才能切中要害。据有关机构统计,目前,国内银行与网络相关的经济犯罪100%属于内部作案或内外勾结。这样一个触目惊心的数字令人不禁想到,银行业内部的安全防范是怎样的脆弱。通过为一些银行用户做评估,谢朝霞发现,很多风险出在管理上,如银行的生产环境与网络开发环境本应该严格分开,非业务操作人员进出营业现场应该有严格的登记制度。但是,在实际中,很多技术开发人员随便出入生产现场。最早的一起银行网络安全事故,就是因为开发人员偷看了操作人员登录密码,偷走