面对日益严峻的信息安全形势,很多企业纷纷购买了防火墙、安全网关、漏洞扫描等安全产品,也制定了很多安全策略,即便如此,安全事件仍然时常发生。究其原因,主要还是由于前期的安全规划没有做好。在安全规划制定时,如果C IO没有充分认识到企业信息系统的潜在威胁和脆弱程度,没能做到有的放矢地采取措施,会造成在安全上盲目投资,效果低于预期。
很多CIO已经认识到了这一点,于是开始着手对企业内部信息系统进行安全风险评估。希望借助专业的力量去发现公司内部信息系统存在的问题,进而寻求解决之道。从绿盟科技、安氏等在国内安全评估方面起步较早的专业公司来看,真正的安全风险评估应该在2001年之后才逐渐出现,之前的安全评估仅仅依赖于漏洞扫描器对系统进行扫描去发现问题。虽然现在也在用这种方法,但只是整个评估体系中的一小块,并且这种漏洞扫描发现的只是局部的系统层的问题。安全风险评估是一项庞大的工程,可以细化到企业中的每一个环节、每个点,比如网络层、系统层、应用层、物理层和管理层等。每一层又可以做相应的细化,比如管理层不仅包括人,还包括安全的政策和管理措施等。随着系统的变更或者时间的推移,为了获得更好的适合企业现状的安全解决方案,很多企业两年或者一年就做一次大范围的评估。绿盟科技高级安全顾问于慧龙说,后来,企业逐渐发现,仅仅有了解决方案也是不行的,解决方案只是一个具体的落实方案,能不能有一个对于今后的安全规划或者安全建设的指导性方案?既要有具体落实的方案,又要有指导性建议,所以现在的安全风险评估已经不仅仅是评估企业信息系统存在的问题和现状,更是在告诉企业怎么去解决问题,今后的安全怎么去规划,进而建设地更好。
评估不一定要外力,既然是做评估,是否意味着安全风险评估一定要有外部力量去完成呢?显然这是一种误解。大家知道,很多大的行业企业,比如电信、移动,他们本身就有很多的IT技术人员,甚至设置了专门负责信息安全的部门或人员。既然有了专门的机构和人员就意味着安全不能完全依赖于第三方去评估,企业完全可以根据需要每隔一个月或者季度依靠自己的力量作一些局部的评估。从这个角度来说安全风险评估可以分为三种方式:一是自评估,由于全面的安全评估涉及面太广,企业自身可能不具备这种能力,自评估可以适当选择一些重要的点或者步骤,比如系统漏洞扫描,买一套漏洞扫描,企业自己可以很方便的完成。第二是检查评估,即上级对下级进行评估,比如某个大的集团公司,抽取某个省市的分公司进行检查。但是这两种方式都不太可能实施全面的风险评估。第三种方式就是委托评估,这个委托的第三方可以是国家的测评机构,也可以是的从事安全风险评估服务的安全公司。
据绿盟科技高级安全顾问于慧龙介绍,大部分第三方从事安全风险评估的公司,其评估方案大体都有六个步骤组成,即确定评估范围、资产识别与估价、威胁评估、脆弱性评估、风险分析和风险的管理。确定评估范围是做好安全风险评估的前提也是第一步,系统多大,包括多少网络设备,多少主机,边界在哪等,在评估之前一定要有明确界定。资产识别和估价又包括了对业务系统的调查,资产的调查,资产破坏后造成的影响调查等细节。
需要强调的是,对于资产识别的关注点不需要覆盖系统中所有的点,而应该突出重点,遵循“二八原则”,选取比较重要的主机、关键网络设备等作为重点评估对象,对于终端则进行整体考虑,甚至对于一些相同配置的设备也可以进行抽样调查。威胁评估是指对系统客观存在一些潜在危害的评估,即评估各种威胁发生的可能性。脆弱性评估即对于系统的脆弱程度进行评估,主要考虑一些管理、技术方面弱点和漏洞扫描。风险分析就是根据之前得到的一些数据利用先进的风险计算方法进行计算,并对高风险问题进行分析。最后在风险的管理阶段根据评估的安全现状和问题提供必要的解决方案。
由于得到用户的认可,现在专业从事安全风险评估的公司都感觉自己的日子比较好过。从2001年我们开始做第一次真正的风险评估到现在已经是第五个年头。特别是最近三年,风险评估这块业务几乎占到了绿盟安全服务部一半的工作量。于慧龙说。2003年,中国电信、中国移动这些集团公司带头进行风险评估,带动了各个省电信、移动进行大规模信息安全风险评估,并且早在2001年中国电信已经进行了第一轮风险评估,虽然当时只局限在漏洞扫描,却也说明了企业已经有了这种意识。
随即银行、证券、政府、军队等各个主要行业纷纷进行安全风险评估。特别是2003年8月份的27号文,把等级保护作为其中很重要的一个方面,而风险评估又是等级保护很重要的一项工作,由此推动了各个行业的风险评估。紧接着是2004年初的66号文,进一步推动了风险评估市场的发展。
很多企业对安全的认识也就是停留在防病毒、防攻击上面,但是有了相应产品之后,企业发现还是要出事,什么原因呢?安全无非是维护系统可用性,保障系统的完整性、保密性,但是安全究竟应该从哪下手?于慧龙说,这时候就需要对系统的安全进行风险评估,所以安全风险评估完全是安全咨询服务的一个种类。评估只是手段或者步骤,不是结果,它只是发现问题,是为下一步提供好的解决或者规划方案的做准备。
据了解,美国、澳大利亚、新西兰等国家都有了专门的安全风险评估标准或者规范。而我国专门针对安全风险评估的标准却迟迟未能发布。“评估中,有时候企业会问凭什么让他们相信我们的评估指标?我们的风险计算方法有足够科学依据吗?”绿盟科技高级安全顾问于慧龙说,“虽然我们每次回答他们国内各个公司使用的标准都是在国外评估方法的基础上根据已有经验自己制定的,但是,我们真的希望能有一项纯粹的国内风险评估标准,即使没有国标有个规范也是好的。”