信息安全風險評估產品市場競爭分析

[摘要] 本文在對信息安全風險評估產品的市場需求、產品格局及產品特點進行了詳細分析的基礎上，指出當前信息安全風險評估具有競爭力的產品是一個能夠提供網絡環境風險評估與管理的綜合系統（決策管理系統）。

[關鍵詞] 風險評估工具 風險評估產品

一、市場前景

風險評估工作是一項費時、需要人力支持以及相關專業或業務知識支持的工作。風險評估工具不僅把技術人員從繁雜的資產統計、風險評估的工作過程中解脫出來，還可以完成一些人力無法完成的工作。

目前，許多組織根據一些安全管理指南和標準開發出風險評估工具，為風險評估的進行提供了便利條件。但綜觀這些工具的現狀，還存在許多問題，如工具運用的結果如何能夠反映客觀實質、如何有效度量、工具的使用如何能夠綜合協調等。同時，我國在風險評估工具的開發方面還處于萌芽階段，沒有成型的風險評估工具。因此開發出具有自主知識產權的風險評估工具具有廣闊的市場前景。

二、信息安全風險評估產品格局

根據在風險評估過程中的主要任務和作用原理的不同，目前的風險評估工具可分為三類：綜合風險評估與管理工具、信息基礎設施風險評估工具、風險評估輔助工具。綜合風險評估與管理工具從管理的層面出發，根據信息所面臨的威脅的不同分布進行全面考慮，如RA。信息基礎設施風險評估工具包括脆弱點評估工具和滲透性測試工具。脆弱點評估工具也稱為安全掃描、漏洞掃描器，評估網絡或主機系統的安全性并且報告系統脆弱點。滲透性測試工具是根據漏洞掃描工具提供的漏洞，進行模擬黑客測試，判斷是否這些漏洞能夠被他人利用。風險評估輔助工具用來收集評估所需要的數據和資料，幫助完成現狀分析和趨勢分析。

可見，目前風險評估工具的類型界限非常明顯，從需求的角度來看，管理型和技術層面的風險評估工具的需求已初露端倪。事實上，從管理角度進行風險評估的軟件國內外已經有20余種，而技術層面的自動實現對網絡環境風險評估的軟件，目前還沒有成型的產品。更多的仍是采用“漏洞掃描—滲透性測試—專家分析”的過程，而這種方式對評估人員的專業知識要求較高，對于一般的企業來說可操作性較差。因此，一個能夠自動提供網絡環境面臨風險狀況，提供控制風險解決方案的風險評估系統（策略管理系統）是企業真正需要的工具產品。

三、信息安全風險評估產品特點分析

國內信息安全風險評估產品及服務提供者主要來自于兩個方向：一是國外提供商，包括國外知名的咨詢機構，如美國Palisade公司的@RISK、英國CCTA的CRAMM、IIS的Internet Scanner、美國賽門鐵克公司的NetRecon等，另一是國內專業從事信息安全的公司。企業自身由于IT技術相對較為薄弱，還沒有能形成自己的專業工具。

1.國外主要信息安全風險評估廠商特點分析

目前，國外的信息安全風險評估產品在國內安全評估中的應用占有絕對優勢，這一方面是因國外產品成熟度高，另一方面是因國內到目前為止還沒有一套成形的風險評估產品。但從長遠發展來看，國外軟件公司占據中國軟件絕大多數市場的局面只會是暫時的，將在一段時間內被擁有自主知識產權的本土化產品所替代。風險評估產品的國產化是必然趨勢，主要原因如下：

(1)總體實施成本高昂

國外供應商在國內企業實施管理軟件系統的過程中，必須對軟件進行國產化，加之其他方面的成本考慮，同樣實施一套管理軟件，國外軟件的采購、咨詢、實施的費用要比國內軟件的費用高出5到10倍。如此高的費用使得很多企業難以接受。

(2)國外企業管理制度、語言環境等方面差異化

由于國外的政策、企業的管理制度，以及風俗習慣與國內不同，這也決定了軟件在流程規劃、功能設計、界面交互等方面不太符合國內實際情況及應用要求，同時由于語言、環境的差異，給實際用戶對系統的理解、功能的操作，以及幫助的使用都帶來很大的不便。

（3)商業機密及國防安全方面考慮

在信息化建設過程中，會逐步涉及到企業的所有管理業務、資源、及資源配備等信息，這些信息的匯集，無形之中就形成了企業的商業機密和國家機密。

2.國內主要信息安全風險評估產品廠商特點分析

雖然目前人們對信息安全風險評估的重要性和其存在的地位給與極大的肯定，人們也認識到風險評估在整個系統生命周期（SDLC）中發揮著重要的作用，象電信、金融這樣的大型行業成為在信息安全風險評估方面的領頭羊為其行業內的風險評估工作一擲千斤，但目前國內推出專業風險評估工具的廠商鳳毛麟角。2003年6月20日，啟明星辰公司正式發布國內第一套專業的安全風險評估工具“天清安全風險與控制管理系統”，天清安全風險控制與管理系統是啟明星辰信息技術有限公司與新加坡Maximus Consulting公司合作開發的信息管理類型的產品，完全按照BS7799/ISO17799標準而設計。其他公司也在這方面投入力量，但還沒有相關的產品出現。目前在信息系統、網絡層面的綜合風險評估與管理工具還沒有出現。對信息系統的風險評估仍是階段式的交互進行。而更多情況下，人們對信息安全的焦點更多的落在網絡環境中，但不同的公司在這方面的專業人員又有限，因此，迫切需要一個能夠提供網絡環境風險評估與管理的綜合系統（決策管理系統）。

參考文獻：

[1]Federal Deposit Insurance Corpaoration，Risk Assessment Tools and Practices for Information System Security，http://www.fdic.gov

[2]Jeff Forristal ， Greg Shipley ， Vulnerability Assessment Scanners， Network Computing ，January 8，2001

[3]郭仲偉:風險分析與決策[M]．機械工業出版社，1992

[4]宋如順:基于SSE-CMM的信息系統安全風險評估[J]．計算機應用研究，2000．12-14