这篇文章写于2003/03/03，文章中提出风险管理的三个层次，将安全管理中心定位最高的实时风险管理，提出安全管理中心可以帮助固化一些安全服务带来安全风险管理成效。

 

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
发作
SQL Slammer蠕虫在10分钟内席卷全球，各大相关媒体纷纷惊呼，称其为继CodeRed和Nimda之后，破坏力最强的蠕虫。传播速度令人瞠目结舌，每8.5秒感染计算机数目翻一番（而CodeRed感染的计算机数目每37分钟翻一番）

SQL Slammer蠕虫病毒只有376字节，比红色代码4KB（4096字节）和尼姆达60KB（61440字节）小的多。它利用一个微软半年多前就已经宣布 并且可以打补丁的漏洞，通过自我繁殖使得计算机间无法通讯。它体积小到仅需使用一个数据包就可以发送自身所有代码，数据包中Slammer载入内存后计算 机就受到了病毒感染。

在SQL Slammer发作高峰的那段时间里，“人们无法拨号上网，飞机无法起飞，ATM取款机无法取款。”，影响的不再仅仅是原来人们想象的网站和聊天室，而是深入破坏到了世界的各个角落。

[separator]

教训
事件发生后，人们可以庆幸Slammer没有携带额外的破坏代码，只是依靠网络流量来摧毁服务。但是，据不完全统计这种蠕虫病毒依然造成了大概10亿美金 的损失。同时，从信息安全技术的角度来讲，我们得到的更大的教训是：必须把更新软件补丁和升级其他防护措施来保持自己网络安全水平当作一件具有关键影响和 社会责任的事情来做。另外，这样的攻击也验证了笔者两年前曾经提到的整体安全和不存在安全孤岛的判断。正确地评估自己的信息资产所面临的安全风险，按照科 学的风险管理模型，来进行处置，以确保合理的投入得到合理的保护效果。对网络安全的事情视而不见和追求牢不可破的防护体系都是不正确的。

 

本文通过下面的篇幅来讨论一下安全技术的特点和笔者推荐的风险管理模型。

安全的时效性和对抗性
网络安全是一项综合性技术，包含的面很广，粗线条来看，可以分为组织策略类和产品技术类。前面的一类包含安全策略、组织机构、管理流程等；后面的一类包含 各种各样的安全产品、网络攻防技术等。它们有不同的特点，前者与其他业务管理的共同性较多，较为容易借鉴其它业务管理的经验、模式，贯彻实施上有挑战性； 后者具有很强的时效性和实战性，通常一个新的安全漏洞的发表、到公开的利用手段传播只有几个小时，换句话说，留给防守者的时间窗口就是几个小时的样子。

 

另外，根据一个国际调查显示，通常一个安全管理员或者专家需要每天花费2-3个小时寻找整理各种各样的新漏洞和技术。不及时的安全响应和更新可能会使整个 安全体系原来的投资形同虚设。这与传统的电信业务或者TCP/IP技术有很大的不同。另外，安全技术人员的信息获取和互相沟通往往是其成长的一个非常重要 环境条件。

 

总结上面的分析，网络安全技术具有对抗性、时效性的特点，网络安全技术队伍具有高度专业化和规模化的要求。

 

对于一个大型企业来说，在网络安全体系的建设上面可以有三种选择：其一是建设自己的专业队伍，并完全依靠它实现自己的网络安全体系；其二是寻找可信任的专 业伙伴，将自己的安全建设完全外包给它；其三是建设自己一定规模的专业队伍，同时寻找可信任的专家队伍，外包一部分安全建设、维护的任务给它，自己的专业 队伍做好建设规划、验收、核心业务保护等。

 

这三者的选择实际上并不是技术问题，而是一个业务问题。关系到整个企业的业务定位和策略。三种选择从技术上都可以达到非常高的安全水平。但是成本和效果不 同。第一种选择需要维护一个较为庞大的专业队伍（专业化、规模化），成本非常高。第二种选择不容易把握安全建设的方向，可能会导致企业核心机密外泄；第三 种选择在成本和效果方面应该是一种更为平衡的选择。对于大多数企业来讲都是适当的。

风险管理的三个层次
网络安全追根到底是一个信息资产的风险管理问题。当前，业界已经有多个非常著名的风险管理模型。但是，不管哪个风险管理模型，都很难做到一步到位。从发展和建设的过程，往往可以分为三个层次。

 

其一快速、大量部署安全产品，防火墙、入侵监测、反病毒。。。该层次属于急药猛药，可以在短时间内较快的提高网络防护水平，但是，即使我们假设这些产品都 得到了有效的利用和配置，这些产品部署后的效果，像是否存在盲点、短路、过时等，还是不能有效控制。例如我们安装了一台网络IDS在某个网段进行监视，策 略配置也没有问题。但是它并不知道它所保护的信息资产处于什么样的安全状况，检测到的攻击是成功了，还是失败了。甚至被保护的资产已经宕机了或者转移了， 这台IDS无法知道，也无法通报。前面部署的防火墙也是一样。

 

大多数企业在安全建设伊始会采用这种方式，这种方式也最容易被IT部门或者网络部所接受。当然，就如同前面的分析结果，实际的风险管理效果也停留在这个层次上面。

其二是通过定期、不定期的风险评估和加固，及时发现安全问题，并且尽快弥补。通过上层次的分析，我们再增加安装扫描器定期扫描如何呢？这是很自然的想法， 也很正确。扫描器可以帮助经常性、定期地检查自己的信息资产的弱点情况，是不是有新的主机或服务出现，是不是某个主机或服务不见了。但是，仅仅扫描时不够 的，更为关键的是对于扫描发现的弱点能够及时地弥补。这就需要“加固”这一当前正在变得越来越普遍的安全专业服务。另外，在通常的情况下，仅仅依靠“扫 描”这一手段并不完备，还需要专家“渗透”测试、组织管理审计、甚至包括社会工程、信息泄漏测试等更为复杂的手段来全面地评估风险状况。

 

在前面介绍的资产鉴别、风险评估等基础上，建立企业相关的资产信息库，对资产、弱点、威胁、风险等保持跟踪和及时更新。出于该层次上的风险管理已经可以周期性地检查风险差距，发现剩余的、漏掉的、新出现的安全风险。

 

处于该层次风险管理水平通常代表着企业或者机构对网络信息安全、安全风险管理等达到了一个新的境界。在安全上面的投资效益也获得了进一步的提高。

 

其三是建立集中统一的安全管理平台，对整个企业内的安全策略、信息资产、安全属性、风险、相关的安全事件、安全事件的响应和处理、配置都进行实时的、集中 统一的管理。尤其是对于大规模、跨地域的电信级网络，这种集中统一的安全管理平台可以大幅度挖掘体系中的安全产品的效果、提升投资效益。使得管理层、也就 是说信息资产的所有者能够实时地了解到威胁和风险状况，在投资和其它处理方式上作出更为准确的判断。

 

上述三个层次的时效性是逐渐上升的。按照笔者的经验和观点，三个层次不能互相替代，后面越过前面层次的效果也不好，但是不排斥同时建设、并行处理的做法。

 

当前，国际上先进的运营商或者关键企业网络为了保证网络时刻处于安全状态，正在越来越多的采用上述第三个层次的实时风险管理模型。例如，国际著名企业英国电信BT、Bell South、Sony、杜邦Dupont等都已经建立起覆盖自己整个企业网络的统一风险管理体系。在国内，电信和移动总部等也进行了许多前沿的探索和实践。

应该说，在遭受到Nimda、CodeRed、SQL Slammer攻击后，信息安全业界不断地进行反思。只有保证安全风险能够得到“实时”的控制和管理，才有可能在下一次更为凶猛的攻击到来时，自己的网络可以做到高枕无忧。

 

综述
网络安全技术的时效性和对抗性要求相应的安全风险管理体系也具有这样的专业性和时效性才有可能起到相当的防护效果。为了达到这 样的时效性和专业性，安全外包往往是值得考虑的一种方式，但是外包的内容、方式、对象、管理等需要企业认真的研究考虑。在风险管理的体系上面，从部署安全 产品到采用安全服务，最后发展到实时风险管理。三个层次，在实时性方面逐渐上升。采用自己的专家队伍与适当外包相结合的策略，以建设集中统一的实时风险管 理体系为目标，可以最为有效地利用投资，保护自己的信息资产。