信息安全风险评估产品市场竞争分析

来源:岁月联盟 作者:李满华 李红华 时间:2010-06-25
  [摘要] 本文在对信息安全风险评估产品的市场需求、产品格局及产品特点进行了详细分析的基础上,指出当前信息安全风险评估具有竞争力的产品是一个能够提供环境风险评估与管理的综合系统(决策管理系统)。
  [关键词] 风险评估工具 风险评估产品
  
  一、市场前景
  风险评估工作是一项费时、需要人力支持以及相关专业或业务知识支持的工作。风险评估工具不仅把技术人员从繁杂的资产统计、风险评估的工作过程中解脱出来,还可以完成一些人力无法完成的工作。
  目前,许多组织根据一些安全管理指南和标准开发出风险评估工具,为风险评估的进行提供了便利条件。但综观这些工具的现状,还存在许多问题,如工具运用的结果如何能够反映客观实质、如何有效度量、工具的使用如何能够综合协调等。同时,我国在风险评估工具的开发方面还处于萌芽阶段,没有成型的风险评估工具。因此开发出具有自主知识产权的风险评估工具具有广阔的市场前景。
  二、信息安全风险评估产品格局
  根据在风险评估过程中的主要任务和作用原理的不同,目前的风险评估工具可分为三类:综合风险评估与管理工具、信息基础设施风险评估工具、风险评估辅助工具。综合风险评估与管理工具从管理的层面出发,根据信息所面临的威胁的不同分布进行全面考虑,如RA。信息基础设施风险评估工具包括脆弱点评估工具和渗透性测试工具。脆弱点评估工具也称为安全扫描、漏洞扫描器,评估网络或主机系统的安全性并且报告系统脆弱点。渗透性测试工具是根据漏洞扫描工具提供的漏洞,进行模拟黑客测试,判断是否这些漏洞能够被他人利用。风险评估辅助工具用来收集评估所需要的数据和资料,帮助完成现状分析和趋势分析。
  可见,目前风险评估工具的类型界限非常明显,从需求的角度来看,管理型和技术层面的风险评估工具的需求已初露端倪。事实上,从管理角度进行风险评估的软件国内外已经有20余种,而技术层面的自动实现对网络环境风险评估的软件,目前还没有成型的产品。更多的仍是采用“漏洞扫描—渗透性测试—专家分析”的过程,而这种方式对评估人员的专业知识要求较高,对于一般的来说可操作性较差。因此,一个能够自动提供网络环境面临风险状况,提供控制风险解决方案的风险评估系统(策略管理系统)是企业真正需要的工具产品。
  三、信息安全风险评估产品特点分析
  国内信息安全风险评估产品及服务提供者主要来自于两个方向:一是国外提供商,包括国外知名的咨询机构,如美国Palisade公司的@RISK、英国CCTA的CRAMM、IIS的Internet Scanner、美国赛门铁克公司的NetRecon等,另一是国内专业从事信息安全的公司。企业自身由于IT技术相对较为薄弱,还没有能形成自己的专业工具。
  1.国外主要信息安全风险评估厂商特点分析
  目前,国外的信息安全风险评估产品在国内安全评估中的应用占有绝对优势,这一方面是因国外产品成熟度高,另一方面是因国内到目前为止还没有一套成形的风险评估产品。但从长远来看,国外软件公司占据软件绝大多数市场的局面只会是暂时的,将在一段时间内被拥有自主知识产权的本土化产品所替代。风险评估产品的国产化是必然趋势,主要原因如下:
  (1)总体实施成本高昂
  国外供应商在国内实施管理软件系统的过程中,必须对软件进行国产化,加之其他方面的成本考虑,同样实施一套管理软件,国外软件的采购、咨询、实施的费用要比国内软件的费用高出5到10倍。如此高的费用使得很多企业难以接受。
  (2)国外企业管理制度、语言环境等方面差异化
  由于国外的政策、企业的管理制度,以及风俗习惯与国内不同,这也决定了软件在流程规划、功能设计、界面交互等方面不太符合国内实际情况及应用要求,同时由于语言、环境的差异,给实际用户对系统的理解、功能的操作,以及帮助的使用都带来很大的不便。
  (3)商业机密及国防安全方面考虑
  在信息化建设过程中,会逐步涉及到企业的所有管理业务、资源、及资源配备等信息,这些信息的汇集,无形之中就形成了企业的商业机密和国家机密。
  2.国内主要信息安全风险评估产品厂商特点分析
  虽然目前人们对信息安全风险评估的重要性和其存在的地位给与极大的肯定,人们也认识到风险评估在整个系统生命周期(SDLC)中发挥着重要的作用,象电信、这样的大型行业成为在信息安全风险评估方面的领头羊为其行业内的风险评估工作一掷千斤,但目前国内推出专业风险评估工具的厂商凤毛麟角。2003年6月20日,启明星辰公司正式发布国内第一套专业的安全风险评估工具“天清安全风险与控制管理系统”,天清安全风险控制与管理系统是启明星辰信息技术有限公司与新加坡Maximus Consulting公司合作开发的信息管理类型的产品,完全按照BS7799/ISO17799标准而设计。其他公司也在这方面投入力量,但还没有相关的产品出现。目前在信息系统、层面的综合风险评估与管理工具还没有出现。对信息系统的风险评估仍是阶段式的交互进行。而更多情况下,人们对信息安全的焦点更多的落在网络环境中,但不同的公司在这方面的专业人员又有限,因此,迫切需要一个能够提供网络环境风险评估与管理的综合系统(决策管理系统)。
  
  :
  [1]Federal Deposit Insurance Corpaoration,Risk Assessment Tools and Practices for Information System Security,http://www.fdic.gov
  [2]Jeff Forristal , Greg Shipley , Vulnerability Assessment Scanners, Network Computing ,January 8,2001
  [3]郭仲伟:风险分析与决策[M].机械出版社,1992
  [4]宋如顺:基于SSE-CMM的信息系统安全风险评估[J].机应用研究,2000.12-14
上一篇:国有产权出让方式的博弈分析
下一篇:我国房地产投资基金探析

最近更新

推荐浏览