1. 什么是风险评估

说起风险评估，大家脑海中首先浮现的可能是：风险、资产、影响、威胁、弱点等一连串的术语，这些术语看起来并不难理解，但一旦综合考虑就会象绕口令般组 合。比如风险，用ISO/IEC TR 13335-1:1996中的定义可以解释为： 特定威胁利用某个(些)资产的弱点，造成资产损失或破坏的潜在可能性。

为了帮助理解，我们举一个下里巴人的例子：我口袋里有100块钱，因为打瞌睡，被小偷偷走了，搞得晚上没饭吃。

用风险评估的观点来描述这个案例，我们可以对这些概念作如下理解：

风险 = 钱被偷走
资产 = 100块钱
影响 = 晚上没饭吃
威胁 = 小偷
弱点 = 打瞌睡

回到阳春白雪来，假设这么个案例：某证券公司的数据库服务器因为存在RPC DCOM的漏洞，遭到入侵者攻击，被迫中断3天。

让我们尝试做一道小学时常做的连线题，把左右两边相对应的内容用线段连接起来：

风险		RPC DCOM漏洞
资产		服务器遭到入侵
影响		数据库服务器
威胁		入侵者
弱点		中断三天

如果这道题对你没什么难度，那么恭喜你，你已经和国内大多数风险评估的操作者差不多站在同一个起跑线上了。

2. 国内现有风险评估操作模式

2.1 评估市场和竞争分析

如果按照高、中、低端简单对国内的风险评估市场进行分类，那么我们可以很清晰地看到，几类市场的操作方式完全不同。

国内高端市场主要被如IBM(普华永道)、毕马威这样类型会计师事务所类型的公司占领，往往网络安全评估就涵盖在他们的整个审计体系之下。中端市场上则盘 踞着国内外大多数较有实力的网络安全公司，其中包括较早提出安全评估并且在运营商市场有比较好的实践的安氏、有作风稳健但却一步一个脚印打下大片疆土的启 明星辰、也有异军突起极具竞争力的绿盟科技……低端厂商则数量庞大，往往只是通过简单的漏洞扫描、病毒查杀等方式操作。

2.2 主要中端厂商的评估模式分析

以下分析中的数据来源为笔者在从事网络安全评估实践时通过各种渠道获得。但由于信息的时效性，未能确认当前文中所进行的表述与分析就代表着各家企业的最新 评估发展状态。希望读者自行鉴别。

2.2.1 启明星辰

启明星辰2002年之前始终比较低调，但风险评估项目从最初对某证券公司进行的纯粹漏洞扫描、人工审计、渗透测试这种类型的纯技术操作到套用BS7799 到采用OCTAVE方法再到最终形成自己的网络安全风险评估的方法论、操作模型，有很多专业人员付出了大量劳动。下图是启明星辰的幻灯片中摘录的，他们评 估发展的历程，在每个台阶上有该阶段所经过的项目名称，出于安全原因隐去。

业务参与性弱、解决方案可操作性差往往也是高要求的用户对风险评估队伍批评较多的地方，但从启明星辰近期在几家大型客户那里的操作来看，较受客户好评。

启明星辰有较多在风险评估中可以应用的工具：

1. 天镜评估版：扫描器，有专门用于风险评估的版本。
2. 天清：又名SRC，指Security Risk Manage，基于ISO17799的量化、可视化的评估工具。
3. 信息库：名称不详，能够直接导入天镜、Nessus、ISS等扫描器的扫描结果并生成报告。据说是较好的安全评估过程辅助工具。
4. 本地评估软件包。

我理解的启明星辰风险评估特点为：

• 博采众长这一方面与启明星辰参与部份安全行业国家标准的制订有关，另一方面则是他们有着较多高学历员工，对高端咨询类型的提炼、深化抓得比较好，对评估要求看得透 彻，写得清楚。
• 变化较快这可以说既是优点，也是缺点。在每次较大的评估项目中他们一般都要求有所突破。这逼着他们去创新，但同时也导致评估的方法论很容易有变动。

2.2.2 绿盟科技

绿盟科技从最初参与中国电信评估项目开始走进安全评估领域，挟其强大的系统研究技术优势进入市场。下图是他们一份讲稿中的评估流程描述：

我对绿盟科技风险评估方法的总体评价是：它是专业的系统和网络安全评估，不是信息安全评估，具体有如下几点：

• 项目可操作性强
• 管理评估存在不足，风险计算方式不够科学
• 技术弱点把握精确

2.2.3 安氏

安氏在国内较早从事网络安全风险评估项目的操作，做过较大的评估项目(包括顾问咨询)有：中国移动CMNET全网网络安全评估项目、天津电力公司安全咨询 项目、中国电信IP网安全咨询顾问项目、上海移动boss系统安全咨询顾问项目、深圳华为科技公司安全咨询顾问项目等。

个人理解，2001年前后，IS-ONE的评估在国内较为领先，一方面是他们与国外公司的沟通较密切，另外其高管层对风险评估、BS7799比较重视。但 到了2003年，安氏整体战略转型，产品方面一边中止与ISS合作，一面高调宣传做自主产品，SOC大集成成为其主推概念，在风险评估领域的方法论却缺乏 创新和突破。安氏的安全风险评估有几大优势：

• 项目管理较为专业下图是从安氏给某用户汇报时ppt的摘录，是他们项目管理的过程。
  
• 文档体系比较规范这可能与安氏的部份高管强执行力和国外背景有一定关系。他们较为注重方案、咨询建议等经验的可复用，当然，这同时也容易造成他们考虑问题简单化，对小客户 容易用大企业的方案来裁剪套用。就现在他们做过的项目来看，至少有以下标准方案的积累：

  		安全策略评估及建议报告
  安全解决方案
  本地风险评估报告
  远程风险评估报告
  网络安全现状报告
  网络安全解决方案建议
  扫描评估申请报告模版
  数据库扫描申请报告
  系统扫描申请报告
  网络扫描申请报告
  ……
  

  这里列举一份安氏的售前方案目录，相信内行人能看出一些门道来吧 ;)

  		第 1 章 概述
  1.1     项目概述
  1.2     项目目标
  1.2.4   评估的方式
  1.3     评估遵循的原则
  1.3.1   保密原则
  1.3.2   标准性原则
  1.3.3   规范性原则
  1.3.4   可控性原则
  1.3.5   整体性原则
  1.3.6   最小影响原则
  1.4     风险评估模型
  1.4.1   背景和假设
  1.4.2   概述
  1.4.3   资产评估
  1.4.4   威胁评估
  1.4.5   弱点评估
  1.4.6   风险评估
  1.5     资产识别和赋值
  1.5.1   信息资产分类
  1.5.2   信息资产赋值
  1.6     主要评估方法说明
  1.6.1   工具评估
  1.6.2   人工评估
  1.6.3   安全审计
  1.6.4   网络架构分析
  1.6.5   策略评估
  1.7     项目承诺
  1.8     项目组织结构
  第 2 章 项目范围和评估内容
  第 3 章 项目阶段详述
  3.1     第一阶段－项目准备和范围确定
  3.2     第二阶段-项目定义和蓝图
  3.3     第三阶段-风险评估阶段
  3.3.1   集团公司层面评估子项目
  3.3.2   省网层面评估子项目
  3.3.3   安全信息库开发子项目
  3.3.4   安全评估风险规避措施
  3.3.5   需要客户配合的工作
  3.3.6   安全信息库系统原型概要设计
  3.4     第四阶段－综合评估和策略阶段
  3.4.1   报告和建议的形成
  3.4.2   《XXXX网络安全现状报告》
  3.4.3   《XXXX网络安全策略改进建议》
  3.4.4   《XXXX网络安全解决方案建议》
  3.5     第五阶段－项目评审阶段
  3.5.1   验收方法和内容
  3.5.2   验收标准和流程
  3.6     支持和售后服务
  3.6.1   安氏客户服务体系简介
  3.6.2   安氏（中国）的客户服务对象
  3.6.3   安氏（中国）客户服务中心组织结构
  3.6.4   安氏（中国）的服务特点
  3.6.5   服务保证体系CRM
  3.6.6   在本项目中所提供的支持服务
  3.6.7   安全通告服务
  第 4 章 项目质量保证和管理
  4.1     配置管理
  4.2     变更控制管理
  4.3     项目沟通
  4.4     记录和备忘录
  4.5     报告
  4.6     项目协调会议
  第 5 章 项目质量控制
  第 6 章 技术培训
  6.1     安全管理培训（ISO 17799）
  6.2     评估方法培训
  6.3     评估结果及漏洞修补方法培训
  6.4     安全信息库系统培训
  第 7 章 项目软硬件需求清单
  

  另外，安氏的信息库也能成为他们在风险评估中一项有力的武器。

  

2.2.4 其它

这里所指的其它公司，大部份是实力较强的企业，如联想之流，介入安全行业并凭借良好的渠道和合作伙伴关系，打开一定的局面者。需要指出的是安络科技，公司 不大，但历经风雨，还能够在行业中有一定位置。

但是对于风险评估，则归类到这里的企业多数缺乏自己的风格，甚至评估只是他们很小的“副业”，因此在他们的方案或幻灯片中，常见到的是各种标准的流程、关 系图等等，如下面这两副：

几乎在所有企业的的风险评估方案中，我都看到上面的那副安全风险关系图，当然有些公司做了某些修改、美化以强调自己的理解、突出自己评估方法中的核心部 份，比如下面这张启明星辰的安全风险关系图：

2.2.4.1 亿阳信通

他们的所有业务流程包括：信息资产的界定、策略文档分析、安全审计、网络结构的评估、业务流程分析、安全技术性弱点的评估、安全威胁的评估、现有安全措施 评估、安全弱点综合评估、安全威胁综合分析、综合风险分析。采用的评估方法包括五种：工具远程/本地评估、人工评估、白客测试、安全问卷、顾问访谈。

使我印象深刻的是，他们对方案中大多数项目都有比较严格的过程说明、参与人员说明、主要评估方式、输入、输出、参考规范和标准。比较严谨。

2.2.4.2 亚信科技

有着深厚运营商行业的优势，其曾经的子公司玛赛有过相当不错的成绩。从他们的几个方案中分析，亚信对风险评估的研究并不深入，仅是简单抄了一堆基本风险评 估法、详细风险评估法、综合风险评估法等的概念。他们的评估分为六大部份：资产、脆弱性、威胁、影响、安全措施评估、风险评估。风险评估是对前五者的综 合，其中的安全措施估计是自己增加的。我理解起来整体思路感觉比较混乱。

2.2.4.3 华为

华为的部份合作风格一直令人左右为难……他们有庞大而有力的销售队伍、运营商方面良好的合作背景，这些都诱惑着其它厂商与之合作。但华为的高速发展和发展 过程的调整，却往往令合作伙伴有些进退维谷。仅以防火墙市场为例，华为曾经因为要选择合作伙伴，广邀防火墙厂商进行产品测试，对各种产品的功能、性能指 标、技术特点都了如指掌。但2003年华为推出了自己的防火墙产品。

2003年可以说是华为将安全由内部建设转向往外部推动的转折年。原因或许是他们发现他们的主要客户运营商已经把安全门槛提高了，与其很费劲地迈这个门 槛，不如在自已的产品和集成基础上造一个高门槛。

华为的评估与其它安全公司的评估侧重点略有不同，更侧重于网络架构和应用评估(可能是他们这方面的人才更多的缘故)。2003年市场上也略有斩获。

2.2.4.4 联想

联想的网络安全事业部和他们网御系列的安全产品一直令我很迷惑──为什么联想投资一方面注资绿盟科技，另一方面却自己力图创立安全产品和服务品牌？从目前 的情形来看，网御防火墙已经在市场上取得不错的销售成绩，网御入侵检测也初露头角。但笔者个人测试，这两款安全产品从功能、性能上来说都远离联想的大厂商 风范。

安全服务和风险评估方面，联想介入市场比较迟，但由有几位掌握方面论和攻击渗透的安氏员工的加盟(由此也可见安氏的方法论积累很不错;))，他们很快站在 前人的基础上号称有了一套自己的标准方法和操作流程。

2.2.4.5 安络科技

安络科技创立伊始，在国内的网络安全界有比较高的知名度。但多年来始终偏安于深圳，失去了飞速增长的机会。因此被从国内安全厂商的第一梯队挤出。

在他们的很多方案中，同时包括了评估建议书和中长期安全规划建议。他们的远程风险评估乏善可陈，本地风险评估分得很细，包括实施安全、平台安全、数据安 全、通信安全、应用安全、运行安全、管理安全的评估。但在可操作性方面下的功夫还不够。

2.3 部份低端厂商的评估模式

部份低端评估厂商在市场上不但存在，而且有很大的生存空间。他们的目标客户群体是小型企业。不会为评估花费太多的精力和金钱，安全也只需要简单达到某一基 线即可。

通常这些厂商的做法快速简洁：

漏洞扫描           -> 远程扫描报告
抽样人工审计       -> 人工审计报告
抽样病毒扫描与查杀 -> 病毒监测报告

之后就可以坐地分金了，这种操作模式仅需要少数技术骨干就能很好地进行。

3. BS7799和OCTAVE

3.1 BS7799的优势和弱点

要初步了解BS7799，我觉得从两个角度入手

1. 了解BS7799的安全管理流程，也就是建立信息安全管理体系的方法和步骤
   
2. 系统了解BS7799中提到的10类127个控制项的内容

   并且能够在此基础上针对不同行业选择(甚至新增)控制项。就如最近移动集团提出的NISS(网络与信息安全标准)一样。

个人感觉BS7799的最大缺陷就在于可操作性不强，如果仅仅按BS7799的要求操作(类似ISO9000的评审)，有可能最终达不到初始的安全目标。 这或许也是BS7799和ISO17799呼声很高，但实际应用或者通过评审的企业并不多的原因之一。作为参考，这里给出一份sans提供的BS7799 检查列表。

3.2 OCTAVE的有效补充

所谓OCTAVE，实际上是Operationally Critical Threat, Asset, and Vulnerability Evaluation的缩写，指的是可操作的关键威胁、资产和弱点评估。在我的理解中，OCTAVE首先强调的是O，其次是C，也就是说，它最注重可操作 性，其次对关键性很关注，把握80/20原则 :)

简单描述我理解OCTAVE的几个重点(实际上在OCTAVE中的每个环节都是不可忽视的，这里所说的几个重点是我认为OCTAVE较好、或者评估过程中 比较关键的部份环节)：

1. 过程控制(整体)OCTAVE将整体网络安全风险评估过程分为三个阶段九个环节，分别是：

   		阶段一：建立基于资产的威胁配置文件
   
   01. 标识高层管理知识
   02. 标识业务区域知识
   03. 标识一般员工知识
   04. 建立威胁配置文件
   
   阶段二：标识基础结构的弱点
   
   05. 标识关键资产
   06. 评估选定的资产
   
   阶段三：确定安全策略和计划
   
   07. 执行风险分析
   8A. 开发保护策略A
   8B. 开发保护策略B
   

   下图是CERT在为一家医院进行风险评估时的进程时间表，我们可以作为参考。

   
2. 创建威胁统计(process 4)这个过程实际上完成两件事，一是对前面三个过程中收集的数据进行整理，使数据分析清晰。二是能够通过分析资产的威胁，创建重要资产及资产面临威胁的全局视 图。

   从下图我们可以看到，OCTAVE对某一资产的资产、访问、动机、参与者和结果都进行了分析(该图仅是针对一项资产──个人计算机，和一种访问──网络而 建立的威胁视图)，这种方式的确有助于我们看清企业内部的威胁情况。

   
3. 识别关键资产(process 5)也是第一阶段的延续，按OCTAVE的说法，分成两步：标识组件的关键种类和标识要分析的基础结构组件。如果从操作灵活性考虑，我们也可以在阶段一的时候 为资产和知识标识出CIA(机密性、完整性和可用性)，通过对CIA的综合运算得出最终结论。
4. 进行风险分析(process 7)与创建威胁统计中的威胁视图相对应，在这里需要标识出威胁可能造成的影响。要注意到的是，风险分析并非仅象下图那样是单一的，而是多种系统之间可能交叉影 响，因此这个视图最终完成后将会是很大的一张图表。
   

4. 中小企业的特点和对OCTAVE的重新评价

4.1 中小型企业和大型企业在评估活动中的异同点

最直接的想法，大型企业和中小型企业对安全的关注要点是否完全相同？又是否完全不同？哪些在大型企业中做过的事是可复用的？我很少看到关于这些方面的讨 论，因此也想在这里将问题提出，并给出我的粗浅考虑，希望能够引玉。

1. 相同点(可以复用的部份)

   		1. 资产评估
   
   资产调查表格
   资产属性和赋值调研表格与方法
   关键资产的调查方法
   
   2. 威胁评估(部份中小企业甚至可以不用进行)
   
   BS7799评审表
   OCTAVE威胁分析方法和视图
   事件分析方法
   
   3. 弱点评估
   
   远程扫描方法和工具
   人工审计方法和工具
   渗透测试方法和工具
   
   4. 风险分析
   
   现有风险视图提炼方法和报告
   

2. 不同点(需要单独开发调研的部份)

   		1. 资产评估
   
   资产报告(不同行业、规模的企业，关键资产有很大区别)
   
   2. 威胁评估
   
   面临的威胁面比小企业更广
   
   3. 弱点评估
   
   风险规避措施
   
   4. 风险分析
   
   针对组织特点的解决方案
   管理制度和策略框架
   

4.2 重新评价OCTAVE

通过对OCTAVE的初步学习，我们可以认识到它具有许多BS7799的所缺乏的可操作性方面的特点，但离完美还有一定距离，简单谈几点不足：

1. 过份强调对大企业的评估活动，评估流程比较繁琐，完整视图建立不易操作，要求组织中多人参与。
2. 风险控制行动列表粒度较粗，与企业后续安全建设的实际工作有一定距离。
3. 由于强调了操作，执行时所依据的标准就相对简单(可能有主观臆断的因素在内)。

任何事物，就算非常优秀，也都不能全盘照搬，是需要批判接受的，从上面对BS7799和OCTAVE的简单分析，你是否能够提炼出你自己的评估方法？

5. 如何制订最适合您企业的风险评估计划

这里考虑采用一个小企业的评估实例来说明制订适合自身当前状态的企业风险评估的方法。由于暂时没有适合的案例提供，因此留待下一版本完善。

6. 实施过程简述

6.1 定义阶段

实际上是售前工作的延续，即明确项目范围，清晰界定用户的需求。这点看似简单，但实际操作者却需要相当有经验，能够判断自己所拥有的资源;能够在既定时间 内完成多少工作;能够与客户有技巧地谈判将其需求控制在最恰当的水平并维持到项目结束。

我们在这里列出了五个模块：前期交流、初步方案、投标方案、答标文档和参考报价。

按照实际项目操作流程，在售前阶段这五个模块的工作应该完整进行一遍。进入项目定义阶段时，实际上用户已经对网络安全风险评估有了一定了解，并且比较清楚 自己的网络环境需要评估到什么程度，因此本阶段用户会就投标方案要求厂商进行进一步描述，并且就他们感兴趣的细节进行展开。

6.2 蓝图阶段

双方拟定项目的详细进度计划，建议在计划过程中至少要包含下面几部份内容：问题描述、目标和范围、SWOT分析、工作分解、里程碑和进度计划、双方资源需 求、变更控制方法。

在蓝图阶段中需要召开蓝图会议，在会议结束后，必须在双方认可的基础上制订并签署项目蓝图，后续一切工作严格按蓝图进行。

评估项目对客户的知识水平要求较高，通常在项目前期需要就评估方法进行培训，建议在蓝图阶段完成项目的培训工作。

另外需要提醒的是，由于多数企业的资产并没有很好地理顺，因此资产评估的前期协调工作如果能够尽早开始，可以有效地保证项目的时间。

6.3 执行阶段

这是最关键的阶段，绝大多数操作都在这一阶段完成，我们可以再将这一阶段细分为四个环节，分别如下：

1. 资产评估(可以远程完成)

   		系统和业务信息收集
   资产列表
   资产分类与赋值
   资产报告
   

   资产评估的内容并不复杂，在这部份工作中，重点在于与客户共同进行资产的分类与赋值。同时需要注意控制资产评估的完成时间，因为明确资产后才能有效进行后 续的威胁与弱点评估，否则容易导致事倍功半。

2. 威胁评估(本地完成)

   		IDS部署搜集威胁源
   收集并评估策略文档
   BS7799顾问访谈
   事件分析
   威胁报告
   

   威胁评估中访谈占了现场工作的最大部份。但由于现阶段业界对于威胁的界定存在多种标准，因此可以说威胁评估是较难操作的一部份。建议在实施前先参考威胁评 估报告样例。

   如果能够通过访谈获取到较为完整的安全事件信息，则可以考虑将不进行威胁评估，以更能够清晰分析本质的事件分析代替。

3. 弱点评估(本地完成)

   		远程扫描
   人工审计
   渗透测试
   弱点报告
   

   弱点评估属于纯技术操作，这里不加详述。

4. 风险分析和控制(可以远程完成)

   		数据整理、入库及分析
   安全现状报告
   安全解决方案
   

   当现场工作结束，基础数据收集完毕后，如何对浩如烟海的信息进行提炼和挖掘，其中也有很多技巧。最终的风险分析需要看得清晰透彻，而且方案的表现形式要比 较切合客户需求。解决方案就三个字：可操作。

6.4 报告阶段

在项目报告阶段，所有的现场工作和大部份文档工作已经完成，这时的关键任务是：让用户真正理解并且认可我们的工作成绩。因此这阶段建议需要与用户进行深入 细致的沟通(需要面对面交流，以达到最佳效果)。

报告阶段需要注意各种细节调整(有些需要结合项目特点进行考虑)，例如：

1.在报告的最前面增加“文档导读”章节;
2.将客户方配合工作人员也写入报告作者;
3.给领导提供一份简洁有力的总结;
4.等等……

6.5 售后服务

按照Octave评估方法的观点，用户在完成一次安全评估之后，相当于获取了其当前风险的快照(Snapshot)，同时也就完成了对其信息安全风险基线 的设置。之后，组织必须解决或管理评估过程中标识的优先级最高的风险，并按照开发的解决方案进行风险的控制和消除。

但由于组织的安全状态会随着时间而发生变化，所以必须通过执行另外一次评估定期地为用户重设基线。所以在这里我们可以按照PDCA循环(Plan、Do、 Check、Action)来定义一次评估后的工作。

7. 评估中的项目管理

7.1 确定项目管理小组

1. 明确项目的组织结构通常三人以下小项目以非正式结构存在即可。但有相当耗费资源的大型评估项目时，则需要恰当考虑并论证是否采用矩阵结构对项目资源进行合理利用。
2. 明确包含的部门和关键人员通常项目组中会包含商务、评估组、研究部等跨部门的成员，需要提前确定并且明确管理权限和项目成员的工作重心，这可以有效减少后期项目中的障碍。
3. 明确项目管理职责选择项目经理、项目监理(至少是文档监理)、子项目经理等岗位人选。如果资源充足，尽量不要资源复用，否则最终可能成为资源瓶颈。

7.2 调度与资源分配

1. 优化项目流程类似统筹，将项目中的所有任务全盘考虑时，可以发现有部份任务可以并行、有部份任务可以提前、有部份任务并不需要很多前置任务……由专人对项目流程进行优 化，估测任务的执行时间段。
2. 明确项目重点并确定资源优先次序
3. 确定关键路径和里程碑

7.3 跟踪、报告和控制

1. 定义数据需求数据搜集过程中需要对数据进行明确的定义(甚至采用标准工具进行)，这可以保证不同人获取的数据格式、数据描述和测量尺度是一致的。
2. 数据分析和文档生成
3. 交付进度表

7.4 常见陷阱

1. 授权模糊经常项目中的项目经理、项目监理、子项目经理、咨询顾问、技术工程师等往往一人兼任多职，如：项目监理同时兼任几个节点的子项目经理。一人多角的最直接后 果就是导致每个角色都没有充当好。
2. 需求膨涨在评估前期，用户对安全乃至评估本身可能缺乏了解，但随着评估的深入，他们逐渐会成为安全领域的“通才”，这时候会提出大量的新需求，对这些新需求的有效 控制和引导(成为新项目的引子)相当重要。
3. 资源错位这主要在资源不足的情况下容易发生，举例来说：我们预定由Unix专家A和网络设备专家B共同完成对甲地系统的弱点评估，但在资源不足的情况下，则有可能 B正在乙地评估无法抽身，必须由A独立完成所有操作。
4. 沟通不足多数技术型员工技术操作能力很强，但在项目中的沟通相对缺乏。在一次评估项目的收尾阶段，就有用户委婉地指出：你们可真算是“埋头苦干”了！

由于安全评估是一种整体性很强的工作，因此在大型评估项目中有规范的项目管理，才有可能顺利保障团队完成评估任务。

8 参考资料

1. 清华大学出版社 《信息安全管理》
2. 机械工业出版社 《信息安全管理概论》
3. 通过网络获取的各家公司的资料

作者：吴鲁加

相关文章

• 2009年03月5日 -- 风险评估过程中的风险
• 2009年03月2日 -- Wi-Fi漏洞评估清单
• 2009年01月8日 -- 信息安全风险评估项目工序与流程
• 2008年03月4日 -- 企业网络安全与风险评估

刚开始看到这个题目可能可能很多人都会产生不解，究竟这个风险评估过程中的“风险”指的是什么呢?是评估出来的风险结果还是评估过程中遇到的实施风险呢?所以首先我要解释一下下面到要谈的究竟是什么内容。
　　做信息安全的人都知道风险评估，而我在这里不谈那些技术评估、应用评估、流程评估等评估过程中的问题，只谈我们作为乙方在做咨询项目中通常都要做到的信息资产的风险评估，而这个风险评估过程中的“风险”也是指的在评估过程中遇到的实施风险。在下面的文章中我不谈如何做信息资产风险评估的方法，也不谈什么方法好，什么方法不好，因为风险评估工作各家有各家的做法，各人有个人的理解，不同的项目、不同的客户也存在不同的情况，所以针对具体情况选择合适的风险评估方法，化解在评估过程中可能遇到的问题和风险才是我这次要谈的内容。

1、风险评估的第一的误区

　　同一套方法，这在很多人看来是没什么奇怪的，我们在项目中做风险评估最关注的几个问题是，一方面，要尽量有效全面的评估出风险，并根据风险制定有效的控制，这是从评估的实用性和为客户带来效果的角度(即项目质量)来说的;另一方面我们还要保证项目的进度，常做评估的人都知道风险评估在资产识别阶段不能做的太细，避免做成CMDB，就是为了控制项目的进度。

　　每家公司或每个人可能都会有一套做信息资产风险评估的最佳放法论，这套方法论通常是多年实践积累、改进而来或从哪里直接借鉴过来的，而通常去给客户做风险的评估的时候也都是拿着这套所谓的最佳实践去做的(尤其是新手居多)。但这就忽略了一个问题，每个客户的实际情况是不同的，项目范围也是不同的，其信息资产的分布和管理方式、以及客户实际的配合力度以及客户是否需要通过认证的情况都是不一样的。在实际实施过程中可能会遇到，客户原本的资产管理就很混乱，缺少集中或统一了解和管理资产的人，人员对资产的熟悉情况太分散，评估的结果是否要与等保和安全域结合，客户是否有充分的人员和时间配合你工作等等情况。

　　因此如果不能够很好的根据客户选择评估的方法有时是会影响项目实施的。所以我们需要根据客户的具体情况适当调整我们评估的方法和实施方式，比如，我们是选择按部门划分评估，还是按资产分类评估，还是按系统分组来评估，资产分类的粒度要到什么程度。也就是说我们可能同时要掌握不只一套风险评估的操作方法，或者说同样的方法不能一成不变的应用到每个项目。当然如果大家不接受我的这个观点恐怕看接下来的内容也意义不大了。

2、前期沟通的重要性

　　这个问题关系到项目售前和项目经理之间的交流，以及最初项目计划的制定工作阶段。

　　我们都知道做风险评估的首要工作就是要明确风险评估的范围，即不能做小了(不全面，反应不了整体情况)，也不能做大了(做了不该做的，影响实施进度)。因此在项目洽谈的初期涉及到制定项目计划的时候就要考虑到这个问题了。首先应当与客户沟通清楚究竟哪些人员、部门或哪些公司要做评估，同时要更详细的了解或预估出在这个范围内可能个会涉及到多少的信息资产，大约需要多大的工作量和多少工时，然后再制定实施计划。千万不能只是初略的约定了哪个哪个部门或哪个哪个公司，就根据自己以往的经验制定计划了，不同客户的人员数量和资产范围那都是不一样的，切戒范经验主义错误。如果等到人员进场之后再去和客户确定这个问题，这时候一旦实际情况超出预计，你的实施计划已经制定好了，再去修改改就比较麻烦了。

　　所以前期的沟通交流一定要做的细致，千万不能马虎，售前与项目经理之间也要做好沟通和交流，尽量不要一味的为了打单子而忽略的后期实施过程中的风险。当然这个问题不单针对风险评估，所有与项目实施相关的工作在前期都应做好工作量的预估。

3、注意与其他标准的结合

　　有的时候在某些项目中我们做完信息资产的风险评估之后可能还要做等级保护实施、信息安全规划或安全域划分等工作，这时候在选择或制定风险评估方法就要注意与这些工作的对应或关联。以结合等级保护或安全域为例，通常这种情况我们使用以资产类别进行划分资产，按照一类资产进行风险评估的方法就不是很适用，因问它不能很好的反映出系统层面的重要性。这时我们可以考虑使用按系统进行资产分组，对系统资产组进行风险评估的方法，这样的操作也能为我们后期进行等级保护或安全域的划分提供帮助。

　　但在采用这种按系统评估的方法时需要注意一些问题。1、系统资产组价值与等保系统级别之间的对应关系，比如我们资产价值打分从1-5或1-3，那么如何对应到等级保护的1-4级别，可能就需要做一些映射关系。2、由于按系统评估评估的方法中对资产的识别粒度相对较细，因此切忌不要陷入CMDB的风险中，只要把系统相关的每个资产需要参与评估的信息识别出来就可以了，千万不要搞的太细了，把什么IP地址或系统间访问关系都搞出来了。(当然不是说这些东西没有用，如果后期做安全域划分还是有用的)但一定牢记根据项目的要求调整评估的方法，否则将影响项目进度。

4、分值与精确度的设计

　　对于分值和精确度的选择我想有经验的顾问都有自己的看法，我这里的建议主要希望为刚接触风险评估的人提供一些帮助。

　　现在主流的风险评估方法都会不同程度的使用数字打分的方式，有1-3的，也有1-5的，不管怎么打分其目的都是为了区分出资产价值的重要程度，明确资产风险的重要性，所以只要你的方法论合理，1-3还是1-5都没有什么区别，我认为都可以，只是1-3分级较粗可能更适合资产少、规模较小的客户，而1-5 分级较细，适合资产多、规模较大的客户。

　　当我们做完资产CIA打分和风险影响、概率打分之后通常都会使用公式计算出资产的价值或风险值，这里我要说明一点的就是对于这个计算出来的分值我们应当尽量保留1位小数(个人感觉保留2位用处不是很大)，由于资产数量众多时，保留整数的分值可能会出现许多同分的情况，为了便于我们后期的分析和整理工作，建议最好先保留1位小数这样重复的概率会降低很多，有利于我们对于资产和风险排序，也让结果变得更加精细。

5、客户规模与评估方法的选择

　　我们公司现在常用的风险评估方法主要有2种，一种是根据不同的部门，按资产分类进行识别，在资产类别层面进行风险评估;另一种是按系统或资产分组的方式划分，对资产组(或系统)进行分类识别，然后针对资产组(或系统)层面进行风险评估。这2种方法可以说是各有利弊。

　　通过在多个项目中分别使用这2种不同的评估方法，我个人感觉第一种方法操作起来相对简单，实施过程较快，而且客户易于掌握和理解，花费时间较短，但最后评估出来的结果实用性较差，需要进行更加细致的风险汇总、归纳和风险分析。第二种方法操作相对复杂，对顾

相关文章

• 2008年03月4日 -- 企业网络安全与风险评估
• 2010年02月1日 -- 国内网络安全风险评估市场与技术操作
• 2009年08月24日 -- 10大方法减少内部人员安全风险
• 2009年03月2日 -- Wi-Fi漏洞评估清单
• 2009年01月8日 -- 信息安全风险评估项目工序与流程
• 2008年10月30日 -- 网络安全风险产生的财务影响 – 每个CFO都应该问的50个问题
• 2007年03月15日 -- 上海电信DNS劫持事件[含技术分析]
• 2006年10月13日 -- 顶尖黑客解密百度新网被黑 黑客成商业竞争手段
• 2006年09月24日 -- 中国被黑站点统计系统 2006年9月分析报告

1．发现临近的无线设备

　　如果你知道有什么设备，就不能评估WLAN漏洞。从搜索办公室内外的无线设备开始，创建后续步骤的基础。
*那一个通道拥有2.4 GHz带宽的活跃流量？
*那一个通道拥有2.4 GHz带宽的活跃流量？
*在这些频段中，有没有非—802.11界面的资源呢？

　　对每一个已知的802.11访问端点，记录：
*媒体访问控制（MAC）地址
*扩展服务集标识符（ESSID）
*通道
*平均/最高信噪比(SNR)

　　对每一个一发现的802.11工作站，记录：
*MAC地址
*关联ESSID
*关联接入点或者同等的工作站
*平均/最高SNR
*如果可见，802.1X身份
*大约位置和可能的持有人

2．调查欺骗性攻击设备
　　对于非-802.11的干扰资源（例如，微波炉、蓝牙和无线电话），光谱分析器可以帮助采集资源痕迹。对于802.11设备，把调查结果和你已有的详细目录作对比，分离出需要深入调查的未知设备。注意在带宽和通道中查找通常不使用的活动可以帮助你发现试图逃避检测的设备。为了更多地了解如何调查这些“欺骗”设备和他们对你的WLAN产生的风险，请阅读相关的技巧《捕获欺骗性威胁的秘诀》。

3．测试你自己的访问端点

　　下一步，把你的注意力转移到你自己的WLAN资源，从向用户发送无线服务的接入点开始。这些接入点位于包含受信合不受信的设备的网络上。同样的，他们也应该通过对面向互联网的边界防火墙和访问路由器的渗透测试。关于每个接入点，你应该回答如下问题：
*接入点运行的是最新的固件和安全补丁吗？
*出厂默认ESSID已经更改了吗？
*默认管理员登录/密码已经更改了吗？
*管理员密码是不是容易被破解？
*有没有强大的认证选择（例如，隐私密钥）？
*有没有开放不必要的端口（例如，Telnet、HTTP、SNMP、TFTP）
*这些开放端口容易受到攻击吗？
*有没有加密管理界面（例如，SSH、HTTPS）？
*是否激活了安全警告和日之（例如，系统日志（sylogs）、traps）？
*有没有使用过滤器阻止通过接入点传播到有线网络中的未认证的协议（例如ARP、RIP、SNMP、NetBIOS）？
*有没有（使用）过滤器阻止用户到用户的无线？
*接入点使用合适的ESSID和通道了吗？
*安全参数和拒绝策略一致吗？
*如果接入点使用WEP，破解密钥需要多长时间？
*接入点发布已知的漏洞初始化厂商（IV）了吗？
*如果接入点使用预共享密钥（PSK），容易破解吗？
*如果接入点没有使用WPA2，可以获得WPA2更新吗？
*接入点可以抵挡模拟802.11拒绝服务攻击吗（例如，认证洪流）？

4.测试你自己的工作站

　　有些工作站在你调查时可能没有活动，所以确保你的资产详细目录上的每一个802.11-功能设备都检查了，包括笔记本电脑、桌面电脑、PDA、VoIP 手机、打印机、扫描器和耳机或听筒。你可能想要“ping扫描”无线子网，来确定逃过早期检查的秘密设备的位置。然后，回答关于你的每一个无线工作站的下列问题：
*工作站是否运行了最新的操作系统和应用安全补丁？
*是否使用了引导程序或者操作系统认证阻止丢失/被窃/无意使用？
*目前的杀毒程序和反间谍软件程序运行了吗？
*无线界面有没有被个人防火墙保护？
*有没有开放不需要的端口（例如netbios-ns/ssn、 microsoft-ds、 ssdp）？
*有没有通往无线的不必要的协议（例如文件/打印机共享）？
*有没有把可能的无线入侵（例如，以阻止的会话）计入日志？
*无线客户是否和ANY网络相关联？ANY特别吗？
*用户自动使用家庭或者热点SSID再聚焦了吗？
*磁盘上保留了无线用户的信任状（例如，密码）了吗？
*工作站扫描了合适的带宽并使用了合适的ESSID了吗？
*安全参数和定义的策略一致吗？
*工作站发布已知的漏洞IV了吗？
*如果工作站使用802.1X，它的认证可见吗？
*如果使用802.1X，检查服务器的证书了吗？
*如果不使用WPA2，可以获得WPA2更新吗？
*如果在无线上使用VPN客户端，配置合适吗？

5．测试你的WLAM架构

　　最后，评估无线子网中的所有网络架构设备的安全性，包括无线交换机、防火墙、VPN网关、DNS服务器、DHCP服务器、RADIUS服务器、运行被俘入口登录页的Web服务器和管理以太网的交换机。

　　和接入点一样，所有的这些设备应该通过相同的通常运行面向互联网的服务器的渗透测试。例如，被俘入口应该通过通常运行DMZ Web服务器的测试。包括按照设计评估对需要补丁的已知漏洞的程序/版本的测试。

　　大部分的架构测试都不是为无线特定的，但是附加的测试可能适合802.1X架构。例如，你可能希望测试RADIUS服务器的功能来温和的拒绝错误格式的EAP信息，包括有害EAP长度和深度。

6．采用测试结果

　　很不幸，没有可以帮助你进行最后的一步的清单。现在应该回顾一下测试结果，并评估你可能没发现的漏洞。排除可能的漏洞，并降低可能利用其他漏洞的机会。例如，如果你在接入点上发现了远程登录，决定是否停止服务，以及如何停止。你可以使用SSH代替远程登录来管理接入点吗？你可以把SSH限制到以太网上使无线收发邮件的后台程序不被检测到吗？

　　一旦你使用了修复，重复测试来验证结果是你现在想要的。理想的是，漏洞评估应该定期进行，来检测和评估新的无线设备和配置的更改。还有，寻找可以使测试自动化的机会，让它们更快，更一致、更严格。

相关文章

• 2010年04月20日 -- 无线安全惊叹内幕 公共Wi-Fi如何确保安全
• 2010年02月1日 -- 国内网络安全风险评估市场与技术操作
• 2009年08月21日 -- Wi-Fi漏洞评估清单
• 2009年03月5日 -- 风险评估过程中的风险
• 2009年01月8日 -- 信息安全风险评估项目工序与流程
• 2008年11月13日 -- Wifiway U盘启动方式
• 2008年11月13日 -- VMware虚拟机启动WIFIWAY
• 2008年11月12日 -- WIFI WAY 0.8 使用详解
• 2008年11月12日 -- WIFI WAY 迅雷高速下载
• 2008年10月25日 -- WiFi Manager 4.0Linux/Windows

相关文章

• 2010年02月1日 -- 国内网络安全风险评估市场与技术操作
• 2009年03月5日 -- 风险评估过程中的风险
• 2009年03月2日 -- Wi-Fi漏洞评估清单
• 2008年03月4日 -- 企业网络安全与风险评估

相关文章

• 2009年08月24日 -- 10大方法减少内部人员安全风险
• 2009年03月5日 -- 风险评估过程中的风险
• 2010年02月1日 -- 国内网络安全风险评估市场与技术操作
• 2009年03月2日 -- Wi-Fi漏洞评估清单
• 2009年01月8日 -- 信息安全风险评估项目工序与流程
• 2008年12月3日 -- IT项目风险管理之道：小心使得万年船
• 2008年10月30日 -- 网络安全风险产生的财务影响 – 每个CFO都应该问的50个问题
• 2008年10月29日 -- 软件开发项目的风险管理
• 2007年03月15日 -- 上海电信DNS劫持事件[含技术分析]
• 2006年10月13日 -- 顶尖黑客解密百度新网被黑 黑客成商业竞争手段