“AC米兰赢了！咱们3比1淘汰里昂，爽！”欧主管大半夜给欧主管发短信，庆祝AC米兰冠军杯晋级。

“太爽了，看得我紧张死了，睡吧睡吧，可算可以踏实睡觉了。明天还要准备一个新的项目，是一笔不错的生意，真是双喜临门啊！”钱经理回了一条短信给钱经理。

钱经理回短信说，“借您吉言，晚安，明儿见！”

谈需求

借我一双慧眼 查出信息风险

清晨，钱经理洗漱完毕直奔公司，为了准备这单新的生意，钱经理前前后后没少操心。在路上，钱经理的心一直吊着，生怕出一点点问题。

到了公司，钱经理打开电脑，准备收电子邮件，却发现无法连接互联网。要知道在这个数字时代离开了互联网，钱经理会浑身不自在。作为IT公司，不能接入互联网的企业就等于被判了“死刑”。

着急的钱经理打电话给i博士，向i博士求救，“i博士，快来我这边一趟吧，我这边的网络似乎出现了一些问题，无法连接互联网，而且我的防病毒软件总是报警，系统也变得特别缓慢，不知道是什么原因。”i博士接到电话后，马上赶了过来。

i博士看到钱经理着急的样子，马上开始检查。对钱经理说，你们公司也慢慢长大了，企业信息资产不断膨胀的同时，意味着相关的信息量也在迅速的膨胀，但是作为一个企业来讲，管理维护人员编制的增加肯定是赶不上信息系统的增长速度的。

钱经理反问：“那我该如何做呢？现在整个公司的网络系统看上去风平浪静，实际上我曾经也感到过危机四伏，没有对网络进行彻底地深入了解，也不知道哪里存在安全隐患，不知道风险到底在哪里。”

i博士和钱经理说：“我建议你对整体的网络架构，直到终端系统进行系统地风险评估，风险评估管理系统通过风险组织模型、完善的规范化的风险评估流程、标准的风险评估结果数据处理，实现对企业和组织风险评估实践的指导，并作为风险评估和风险管理的统一操作平台。”

i博士还提醒钱经理要注意，风险管理系统包含了企业的核心安全机密，一旦泄密将带来灾难性的后果，故其自身的安全性也是非常重要的，必须有严格明确的用户管理、权限分配、访问控制等措施。

i博士点评

风险管理系统包含了企业的核心安全机密，一旦泄密将带来灾难性的后果，故其自身的安全性也是非常重要的，必须有严格明确的用户管理、权限分配、访问控制等措施。

说应用

信息风险管理 一步一个脚印

i博士对钱经理说：“全面的风险评估和风险管理系统，不是单纯的仅仅对于一些系统软件的技术型评估和管理，更多的还是应该是对管理和技术两个角度进行评估和管理。”

风险管理系统主要功能应该具备：能够收集来自不同资产和漏洞评估软件的原始风险情况；在进行风险综合分析的时候可以将资产实际情况考虑进来以减少误报；将确认的风险通过内部工单的方式进行派发；对于所有进行处理的工单进行跟踪，同时可以评价人员的工作效率等功能。

钱经理说：“对于我的网络来说，风险评估是不是不仅局限于技术上的评估，还需要有包含管理体系上的评估是否具备这方面的评估能力和方法。需要平台化的管理体系，支持多用户分权限的管理，能够进行多任务的处理。”

i博士解释说，管理平台建立详细完整的知识库实现内部工作区域的最大化资源和经验共享，全面的风险管理系统需要结合企业实际网络组成情况。例如企业当前的管理维护人员的组织结构、网络中特有的应用业务系统等等。

真正要做好风险管理平台，就需要走入用户网络中进行专门的需求调研和产品软件定制。而高端的风险管理系统应该走一条定制化的开发路线，产品厂商应该具备深厚的产品技术研发实力。

风险管理进行拆分后又包含资产管理、脆弱性管理、威胁管理，所以选择产品的时候要认真查看是否包含了这些功能与它们的收集评估方法是否完善。

对于选购来说，企业需要智能化的风险管理系统，首先需要对于各种原始安全事件与漏洞信息进行归并，可以将风险与资产责任人进行关联进行管理任务下发的工单系统，同时可以对于确认的风险信息与处理情况进行变化跟踪。

i博士点评

真正要做好风险管理平台，就需要走入用户网络中进行专门的需求调研和产品软件定制，从未来看高端的风险管理系统应该走一条定制化的开发路线，产品厂商应该具备深厚的产品技术研发实力。

产品推介

Foundstone 850

McAfee Foundstone 850企业风险管理解决方案成功地解决了漏洞威胁，成为业界解决漏洞总题的一剂良药。Foundstone 850是一款可远程管理的评估设备，并且非常容易安装。

该产品对于管理服务供应商来讲非常有益，这些服务供应商负责他们客户网络的漏洞管理，或者负责那些正在寻找低成本和部署简单漏洞管理解决方案的地区性分布机构的漏洞管理。Foundstone 850的部署仅需要三个步骤，就可确保任何组织能够立即开始利用Foundstone的技术来保护远程网络。

McAfee Foundstone Enterprise是一款闭环风险管理解决方案，专为管理和清除由于网络漏洞引起的客户业务风险。该硬件解决方案能够通过资产发掘、库存、优化、威胁智能和校正以及即时追踪和报告，来确保业务的可持续发展。Foundstone Enterprise的高可扩展性能够满足最大型、最复杂、网络遍布全球的企业需求。

绿盟科技“极光”远程安全评估系统

绿盟科技“极光”提出并实现了“分布式扫描”、“漏洞管理”、“摘要漏洞识别”、“Web应用扫描”等多种技术。“极光”高效、智能的引擎采用了模拟穿透、PROFILE、智能端口识别、自动模板匹配等核心技术，保证了产品对于系统漏洞检测的准确率。

“极光”内置的1800多条漏洞信息，精选自绿盟漏洞知识库。该知识库由NSFocus安全研究小组长期跟踪和维护，涵盖了常见操作系统、数据库、网络设备和应用程序等绝大多数可以远程利用的漏洞。“极光”产品系列目前已经通过了国际CVE兼容性认证，其水平处于国际领先行列。

在资产风险展示中，采用“形象化的资产管理”与“量化的评估标准”，让客户能够对所拥有资产存在的风险了如指掌。同时还能够通过趋势分析功能，了解系统生命周期中的安全风险，从而确保为企业制定良好的整体安全决策。

天融信网络卫士安全管理系统 TSM

TSM是根据可信网络架构（TNA）的思想，构建的开放型的安全管理平台。它可以灵活地结合企业自身业务流的特点，识别和管理组成企业内部IT基础架构的关键信息资产，指导用户制订企业安全策略。

通过有效整合企业内部安全资源，依据智能的辅助决策系统和安全知识库内容，实施以风险控制为核心的安全事件管理、安全风险管理、安全报警响应、专家建议以及终端威胁管理等一系列安全管理活动。

TSM提供了非常高效的信息采集技术来收集海量的信息，经过对这些数据的整合，再利用核心的关联分析技术将事件信息呈现在用户面前，并且可以对威胁或安全事件进行场景回放。

基于BS17799建立网络安全的风险计算模型，根据该模型计算网络内资产的风险指数，内容主要包括：风险分析和计算、安全风险监视和控制。

e-Cop Cyclops ESM

CESM以其独特的数据挖掘和关联技术能力，实现三级推理的逻辑信息处理流程。这种能力可以减少虚假告警，增加对攻击的实时检测能力。通过自动事件关联和基于经验的自学习，从大量安全设备产生的入侵模式将被立即比较和观测。

在集中安全控制台中提供了一个图形化的界面，使得所有的安全配置都可以在一个平台上实现。控制台功能包括分析、报告、计数与配置等，为安全专家对紧急事件实时分析提供全套的分析和处理工具。

管理人员可以通过Web方式和应用程序方式远程访问与配置CESM。e-Cop CESM的远程访问客户端通过加密通道访问CESM，并能够进行图表化趋势分析、数据分析与调查、安全现状报告查看与制定等操作。

CESM通过Meta-Token（令牌元）和IE（事件过滤引擎）规范并存储各种安全事件。规范的事件被用来匹配未来同类安全事件。

东软NetEye安全运维管理平台（SOC）

NetEye安全运维管理平台以信息资产为核心，实时收集网络中各类设备的安全信息，在进行关联分析后，直观、准确地展示组织当前的安全风险状况，同时给出降低安全风险的方法，并结合工单系统来管理和跟踪安全事件处理过程，从而提升信息安全管理成熟度，建立主动安全防御体系，有效降低安全风险。

它支持通过Syslog、SNMP Trap、ODBC/JDBC等方式的日志信息采集；信息在传输过程中采用高可靠的数据加密和数字签名技术，保障数据传输的安全；通过采用高性能应用架构设计，确保安全信息在传输过程中不会因网络故障而造成数据丢失。

NetEye帮助用户确认和了解黑客、病毒、安全漏洞和未经授权的敏感信息以预防安全威胁；在SOC的风险管理平台中以资产为中心，结合资产的价值、脆弱性、威胁量化资产的风险及风险变化情况，并给出降低风险的解决方法。

Symantec SEP

Symantec SEP端点安全分为四大部分，第一是终端保护，包括了主机的防火墙、主机入侵防御、主机防病毒、系统安全检查等功能。第二是终端管理，可以通过该功能限制并控制主机上的应用程序，比如说对IM（即时通讯）程序，可以根据用户的需求制定一个黑名单或者白名单，限制软件的使用。

第三是终端修复功能，这里面包括补丁管理，包括文件分发。第四是网络准入控制功能，这个功能是SEP的核心功能，它会把前面三大类别功能有机结合在一起，使前面的功能发挥最大的效益。

该产品还有一些很明显的特点，它可以管理笔记本、台式机、手持设备以及一切端点设备。企业可以灵活制定安全策略，通过该产品可以运用强制的技术手段保证企业文件能够落到实处，在技术上有一个支撑平台。采用智能的全自动方式，不需要管理员手工介入。

专家观点

信息安全风险评估要讲方法

王红阳

绿盟科技专业服务部总监

信息安全是一个动态的复杂过程，它贯穿于信息资产和信息系统的整个生命周期。信息安全的威胁来自于内部破坏、外部攻击、内外勾结进行的破坏以及自然危害。

必须按照风险管理的思想，对可能的威胁、脆弱性和需要保护的信息资源进行分析，依据风险评估的结果为信息系统选择适当的安全措施，妥善应对可能发生的风险。

安全扫描工具

在网络安全体系的建设中，安全扫描工具花费低、效果好、见效快。它与网络的运行相对独立且安装运行简单，可以大规模减少安全管理员的手工劳动，有利于保持全网安全政策的统一和稳定，是进行风险分析的有力工具。

安全扫描技术基本上也可分为基于主机和基于网络两种，前者主要关注软件所在主机上的风险与漏洞，而后者则是通过网络远程探测其他主机的安全风险与漏洞。

人工安全检查

系统扫描是利用安全评估工具，对绝大多数评估范围内的主机、网络设备等方面进行漏洞扫描。但是评估范围内的网络设备安全策略弱点、部分主机的安全配置错误等并不能被扫描器全面发现，因此有必要对评估工具扫描范围之外的系统和设备进行手工检查。

主要考虑以下几个方面：

1. 是否最优地划分了VLAN和不同的网段，保证了每个用户的最小权限原则；

2. 内外网之间、重要的网段之间是否进行了必要的隔离措施；

3. 路由器、交换机、主机等设备的配置是否最优，是否配置了必需的安全参数；

4. 安全设备的接入方式是否正确，是否最大化地利用了其安全功能而且又所占系统资源最小，是否影响了业务和系统的正常运行。

渗透测试

渗透测试是指在获取用户授权后，通过真实模拟黑客使用的工具、分析方法来进行实际的漏洞发现和利用的安全测试方法。这种测试方法可以非常有效地发现最严重的安全漏洞，尤其是与全面的代码审计相比，其使用的时间更短，也更有效率。

在测试过程中，用户可以选择渗透测试的强度。例如，不允许测试人员对某些服务器或者应用进行测试或影响其正常运行。通过对某些重点服务器进行准确、全面的测试，可以发现系统最脆弱的环节，以便对危害性严重的漏洞及时修补，以免出现后患。

安全审计

安全管理机制，定义了如何管理和维护网络的安全保护机制，确保这些安全保护机制正常，而且正确地发挥其应有的作用。

安全服务提供方的安全评估和审计，不仅要完全遵循ISO17799信息安全管理标准的要求，而且需要通过问卷调查和顾问访谈等方式对信息系统的安全管理状况进行调查，并进一步与国际信息安全管理标准进行差距分析，以寻求最佳解决方案。

安全策略评估

安全策略是对整个网络在安全控制、管理、使用等最全面和最详细的策略性描述，它是整个网络安全的依据。不同的网络需要不同的策略，它必须能回答整个网络中与安全相关的所有问题。

例如：如何在网络层实现安全性？如何控制远程用户访问的安全性？如何在广域网上的数据传输实现安全加密传输和用户认证等等。

对这些问题做出详细回答，并确定相应的防护手段和实施办法，就是针对整个网络的一份完整的安全策略。这一步工作，就是从整体网络安全的角度对现有的网络安全策略进行全局性的评估，它也包含了技术和管理方面的内容，具体包括：

1. 安全策略是否全面覆盖了整体网络在各方面的安全性描述；

2. 在安全策略中描述的所有安全控制、管理和使用措施是否正确和有效；

3. 安全策略中的每一项内容是否都得到确认和具体落实。

专家观点

领先黑客一步

事实证明，99%的黑客攻击事件都是利用未修补的漏洞与错误的设定!每年有数以千计的网络安全漏洞被发现，加上黑客攻击手法千变万化，用户的网络安全状况也是随着这些被公布的安全问题同时在变化。

因此，网络安全弱点评估对企业来说是不容忽视的，用户必须领先黑客一步掌握贵公司的网络安全问题，并做好适当的修补，才能有效杜绝黑客入侵事件的发生!

许多已装设有防火墙、入侵检测系统、防毒软件的企业仍然受黑客攻击所苦，造成莫大的营运损失。

追根究底，其原因主要是企业缺乏一套完整的弱点评估管理机制，未能落实定期评估与漏洞修补的工作，因而造成漏洞没人理睬，最终成为黑客攻击的管道，甚至成为病虫攻击破坏的目标。

风险管理的三个问题

越来越多的企业，都开始成立具备信息安全管理职能的部门，他们也是进行风险评估和风险管理工作的主体。但因为权利和义务缺少明确的定义，导致这个部门在公司的权利得不到保障，真正实行风险评估的时候，缺乏积极的支持和配合，使得风险评估和风险管理系统没有真正地发挥自己的价值。

风险评估和风险管理工作如何来核算其工作量，如何评价其工作效率，也是风险评估和风险管理系统自身没有办法实现的。风险管理系统必须解决好以下三个重要的问题：

1．以适合企业的风险评估和风险管理标准为基础，结合企业的业务特点，制定一套具有很好的可操作的方法，作为风险评估和风险管理系统执行工作的依据。

2．成立信息安全管理部门，明确其任务，并在执行安全管理工作方面赋予相当的权利，以保证风险评估和风险管理系统真正发挥其价值。

3．借助必须的工作流系统，监督风险管理和风险评估工作的状态、过程和最终结果，以体现计算安全管理部门存在的价值。

风险评估的意义

黄凯峰

启明星辰M2S运营中心风险评估总监

信息安全风险评估的目的是全面、准确地了解组织机构的网络安全现状，发现系统的安全问题及其可能存在的危害，以便为系统最终安全需求的提出提供依据。同时，也是为了分析网络信息系统的安全需求，通过合理步骤，制定出适合系统具体情况的安全策略及其管理和实施规范，为安全体系的设计提供参考。

信息安全风险评估是一个组织机构实现信息系统安全必要的步骤，可以使决策者对其业务信息系统的安全建设或安全改造思路有更深刻的认识。

通过信息安全风险评估，他们将清楚业务信息系统包含的重要资产、面临的主要威胁、本身的弱点；哪些威胁出现的可能性较大，造成的影响也较大，提出的安全方案需要多少技术和费用的支持；更进一步，还会分析出信息系统的风险是如何随时间变化的，将来应如何面对这些风险。