信息安全風險評估產(chǎn)品市場競爭分析

[摘要] 本文在對信息安全風險評估產(chǎn)品的市場需求、產(chǎn)品格局及產(chǎn)品特點進行了詳細分析的基礎(chǔ)上，指出當前信息安全風險評估具有競爭力的產(chǎn)品是一個能夠提供網(wǎng)絡(luò)環(huán)境風險評估與管理的綜合系統(tǒng)（決策管理系統(tǒng)）。

[關(guān)鍵詞] 風險評估工具 風險評估產(chǎn)品

一、市場前景

風險評估工作是一項費時、需要人力支持以及相關(guān)專業(yè)或業(yè)務(wù)知識支持的工作。風險評估工具不僅把技術(shù)人員從繁雜的資產(chǎn)統(tǒng)計、風險評估的工作過程中解脫出來，還可以完成一些人力無法完成的工作。

目前，許多組織根據(jù)一些安全管理指南和標準開發(fā)出風險評估工具，為風險評估的進行提供了便利條件。但綜觀這些工具的現(xiàn)狀，還存在許多問題，如工具運用的結(jié)果如何能夠反映客觀實質(zhì)、如何有效度量、工具的使用如何能夠綜合協(xié)調(diào)等。同時，我國在風險評估工具的開發(fā)方面還處于萌芽階段，沒有成型的風險評估工具。因此開發(fā)出具有自主知識產(chǎn)權(quán)的風險評估工具具有廣闊的市場前景。

二、信息安全風險評估產(chǎn)品格局

根據(jù)在風險評估過程中的主要任務(wù)和作用原理的不同，目前的風險評估工具可分為三類：綜合風險評估與管理工具、信息基礎(chǔ)設(shè)施風險評估工具、風險評估輔助工具。綜合風險評估與管理工具從管理的層面出發(fā)，根據(jù)信息所面臨的威脅的不同分布進行全面考慮，如RA。信息基礎(chǔ)設(shè)施風險評估工具包括脆弱點評估工具和滲透性測試工具。脆弱點評估工具也稱為安全掃描、漏洞掃描器，評估網(wǎng)絡(luò)或主機系統(tǒng)的安全性并且報告系統(tǒng)脆弱點。滲透性測試工具是根據(jù)漏洞掃描工具提供的漏洞，進行模擬黑客測試，判斷是否這些漏洞能夠被他人利用。風險評估輔助工具用來收集評估所需要的數(shù)據(jù)和資料，幫助完成現(xiàn)狀分析和趨勢分析。

可見，目前風險評估工具的類型界限非常明顯，從需求的角度來看，管理型和技術(shù)層面的風險評估工具的需求已初露端倪。事實上，從管理角度進行風險評估的軟件國內(nèi)外已經(jīng)有20余種，而技術(shù)層面的自動實現(xiàn)對網(wǎng)絡(luò)環(huán)境風險評估的軟件，目前還沒有成型的產(chǎn)品。更多的仍是采用“漏洞掃描—滲透性測試—專家分析”的過程，而這種方式對評估人員的專業(yè)知識要求較高，對于一般的企業(yè)來說可操作性較差。因此，一個能夠自動提供網(wǎng)絡(luò)環(huán)境面臨風險狀況，提供控制風險解決方案的風險評估系統(tǒng)（策略管理系統(tǒng)）是企業(yè)真正需要的工具產(chǎn)品。

三、信息安全風險評估產(chǎn)品特點分析

國內(nèi)信息安全風險評估產(chǎn)品及服務(wù)提供者主要來自于兩個方向：一是國外提供商，包括國外知名的咨詢機構(gòu)，如美國Palisade公司的@RISK、英國CCTA的CRAMM、IIS的Internet Scanner、美國賽門鐵克公司的NetRecon等，另一是國內(nèi)專業(yè)從事信息安全的公司。企業(yè)自身由于IT技術(shù)相對較為薄弱，還沒有能形成自己的專業(yè)工具。

1.國外主要信息安全風險評估廠商特點分析

目前，國外的信息安全風險評估產(chǎn)品在國內(nèi)安全評估中的應(yīng)用占有絕對優(yōu)勢，這一方面是因國外產(chǎn)品成熟度高，另一方面是因國內(nèi)到目前為止還沒有一套成形的風險評估產(chǎn)品。但從長遠發(fā)展來看，國外軟件公司占據(jù)中國軟件絕大多數(shù)市場的局面只會是暫時的，將在一段時間內(nèi)被擁有自主知識產(chǎn)權(quán)的本土化產(chǎn)品所替代。風險評估產(chǎn)品的國產(chǎn)化是必然趨勢，主要原因如下：

(1)總體實施成本高昂

國外供應(yīng)商在國內(nèi)企業(yè)實施管理軟件系統(tǒng)的過程中，必須對軟件進行國產(chǎn)化，加之其他方面的成本考慮，同樣實施一套管理軟件，國外軟件的采購、咨詢、實施的費用要比國內(nèi)軟件的費用高出5到10倍。如此高的費用使得很多企業(yè)難以接受。

(2)國外企業(yè)管理制度、語言環(huán)境等方面差異化

由于國外的政策、企業(yè)的管理制度，以及風俗習慣與國內(nèi)不同，這也決定了軟件在流程規(guī)劃、功能設(shè)計、界面交互等方面不太符合國內(nèi)實際情況及應(yīng)用要求，同時由于語言、環(huán)境的差異，給實際用戶對系統(tǒng)的理解、功能的操作，以及幫助的使用都帶來很大的不便。

（3)商業(yè)機密及國防安全方面考慮

在信息化建設(shè)過程中，會逐步涉及到企業(yè)的所有管理業(yè)務(wù)、資源、及資源配備等信息，這些信息的匯集，無形之中就形成了企業(yè)的商業(yè)機密和國家機密。

2.國內(nèi)主要信息安全風險評估產(chǎn)品廠商特點分析

雖然目前人們對信息安全風險評估的重要性和其存在的地位給與極大的肯定，人們也認識到風險評估在整個系統(tǒng)生命周期（SDLC）中發(fā)揮著重要的作用，象電信、金融這樣的大型行業(yè)成為在信息安全風險評估方面的領(lǐng)頭羊為其行業(yè)內(nèi)的風險評估工作一擲千斤，但目前國內(nèi)推出專業(yè)風險評估工具的廠商鳳毛麟角。2003年6月20日，啟明星辰公司正式發(fā)布國內(nèi)第一套專業(yè)的安全風險評估工具“天清安全風險與控制管理系統(tǒng)”，天清安全風險控制與管理系統(tǒng)是啟明星辰信息技術(shù)有限公司與新加坡Maximus Consulting公司合作開發(fā)的信息管理類型的產(chǎn)品，完全按照BS7799/ISO17799標準而設(shè)計。其他公司也在這方面投入力量，但還沒有相關(guān)的產(chǎn)品出現(xiàn)。目前在信息系統(tǒng)、網(wǎng)絡(luò)層面的綜合風險評估與管理工具還沒有出現(xiàn)。對信息系統(tǒng)的風險評估仍是階段式的交互進行。而更多情況下，人們對信息安全的焦點更多的落在網(wǎng)絡(luò)環(huán)境中，但不同的公司在這方面的專業(yè)人員又有限，因此，迫切需要一個能夠提供網(wǎng)絡(luò)環(huán)境風險評估與管理的綜合系統(tǒng)（決策管理系統(tǒng)）。

參考文獻：

[1]Federal Deposit Insurance Corpaoration，Risk Assessment Tools and Practices for Information System Security，http://www.fdic.gov

[2]Jeff Forristal ， Greg Shipley ， Vulnerability Assessment Scanners， Network Computing ，January 8，2001

[3]郭仲偉:風險分析與決策[M]．機械工業(yè)出版社，1992

[4]宋如順:基于SSE-CMM的信息系統(tǒng)安全風險評估[J]．計算機應(yīng)用研究，2000．12-14