国内网络安全风险评估市场与技术操作
2010年2月1日
1 条评论 238 views
近两年网络安全风险评估渐渐为人们所重视,不少大型企业尤其是运营商、金 融业都请了专业公司进行评估。本文提出作者个人对国内安全风险评估操作的一些评价,并试图阐述作者所理解的,可裁剪、易操作的风险评估方式。由于内容与商 业公司有关,因此不可避免会涉及部份商业利益,在文中作者尽量隐去可能产生直接利害关系的文字,并声明所有评价纯属个人观点,如果你有不同意见,欢迎来函 探讨。
1. 什么是风险评估
说起风险评估,大家脑海中首先浮现的可能是:风险、资产、影响、威胁、弱点等一连串的术语,这些术语看起来并不难理解,但一旦综合考虑就会象绕口令般组 合。比如风险,用ISO/IEC TR 13335-1:1996中的定义可以解释为: 特定威胁利用某个(些)资产的弱点,造成资产损失或破坏的潜在可能性。
为了帮助理解,我们举一个下里巴人的例子:我口袋里有100块钱,因为打瞌睡,被小偷偷走了,搞得晚上没饭吃。
用风险评估的观点来描述这个案例,我们可以对这些概念作如下理解:
风险 = 钱被偷走 资产 = 100块钱 影响 = 晚上没饭吃 威胁 = 小偷 弱点 = 打瞌睡
回到阳春白雪来,假设这么个案例:某证券公司的数据库服务器因为存在RPC DCOM的漏洞,遭到入侵者攻击,被迫中断3天。
让我们尝试做一道小学时常做的连线题,把左右两边相对应的内容用线段连接起来:
风险 RPC DCOM漏洞 资产 服务器遭到入侵 影响 数据库服务器 威胁 入侵者 弱点 中断三天
如果这道题对你没什么难度,那么恭喜你,你已经和国内大多数风险评估的操作者差不多站在同一个起跑线上了。
姓名:Chinadu
近期评论