《信息安全风险评估产品市场竞争分析.docx》由会员分享,可在线阅读,更多相关《信息安全风险评估产品市场竞争分析.docx(6页珍藏版)》请在金锄头文库上搜索。
1、信息安全风险评估产品市场竞争分析摘要本文在对信息安全风险评估产品的市场需求、产品格局及产品特点进行了详细分析的基础上,指出当前信息安全风险评估具有竞争力的产品是一个能够提供网络环境风险评估与管理的综合系统。关键词风险评估工具风险评估产品一、市场前景风险评估工作是一项费时、需要人力支持以及相关专业或业务知识支持的工作。风险评估工具不仅把技术人员从繁杂的资产统计、风险评估的工作过程中解脱出来,还可以完成一些人力无法完成的工作。目前,许多组织根据一些安全管理指南和标准开发出风险评估工具,为风险评估的进行提供了便利条件。但综观这些工具的现状,还存在许多问题,如工具运用的结果如何能够反映客观实质、如何有
2、效度量、工具的使用如何能够综合协调等。同时,我国在风险评估工具的开发方面还处于萌芽阶段,没有成型的风险评估工具。因此开发出具有自主知识产权的风险评估工具具有广阔的市场前景。二、信息安全风险评估产品格局根据在风险评估过程中的主要任务和作用原理的不同,目前的风险评估工具可分为三类:综合风险评估与管理工具、信息基础设施风险评估工具、风险评估辅助工具。综合风险评估与管理工具从管理的层面出发,根据信息所面临的威胁的不同分布进行全面考虑,如RA。信息基础设施风险评估工具包括脆弱点评估工具和渗透性测试工具。脆弱点评估工具也称为安全扫描、漏洞扫描器,评估网络或主机系统的安全性并且报告系统脆弱点。渗透性测试工具
3、是根据漏洞扫描工具提供的漏洞,进行模拟黑客测试,判断是否这些漏洞能够被他人利用。风险评估辅助工具用来收集评估所需要的数据和资料,帮助完成现状分析和趋势分析。可见,目前风险评估工具的类型界限非常明显,从需求的角度来看,管理型和技术层面的风险评估工具的需求已初露端倪。事实上,从管理角度进行风险评估的软件国内外已经有20余种,而技术层面的自动实现对网络环境风险评估的软件,目前还没有成型的产品。更多的仍是采用“漏洞扫描渗透性测试专家分析”的过程,而这种方式对评估人员的专业知识要求较高,对于一般的企业来说可操作性较差。因此,一个能够自动提供网络环境面临风险状况,提供控制风险解决方案的风险评估系统是企业真
4、正需要的工具产品。三、信息安全风险评估产品特点分析国内信息安全风险评估产品及服务提供者主要来自于两个方向:一是国外提供商,包括国外知名的咨询机构,如美国Palisade公司的RISK、英国CCTA的CRAMM、IIS的InternetScanner、美国赛门铁克公司的NetRecon等,另一是国内专业从事信息安全的公司。企业自身由于IT技术相对较为薄弱,还没有能形成自己的专业工具。1.国外主要信息安全风险评估厂商特点分析目前,国外的信息安全风险评估产品在国内安全评估中的应用占有绝对优势,这一方面是因国外产品成熟度高,另一方面是因国内到目前为止还没有一套成形的风险评估产品。但从长远发展来看,国外
5、软件公司占据中国软件绝大多数市场的局面只会是暂时的,将在一段时间内被拥有自主知识产权的本土化产品所替代。风险评估产品的国产化是必然趋势,主要原因(1)总体实施成本高昂国外供应商在国内企业实施管理软件系统的过程中,必须对软件进行国产化,加之其他方面的成本考虑,同样实施一套管理软件,国外软件的采购、咨询、实施的费用要比国内软件的费用高出5到10倍。如此高的费用使得很多企业难以接受。(2)国外企业管理制度、语言环境等方面差异化由于国外的政策、企业的管理制度,以及风俗习惯与国内不同,这也决定了软件在流程规划、功能设计、界面交互等方面不太符合国内实际情况及应用要求,同时由于语言、环境的差异,给实际用户对
6、系统的理解、功能的操作,以及帮助的使用都带来很大的不便。中发挥着重要的作用,象电信、金融这样的大型行业成为在信息安全风险评估方面的领头羊为其行业内的风险评估工作一掷千斤,但目前国内推出专业风险评估工具的厂商凤毛麟角。2003年6月20日,启明星辰公司正式发布国内第一套专业的安全风险评估工具“天清安全风险与控制管理系统”,天清安全风险控制与管理系统是启明星辰信息技术有限公司与新加坡MaximusConsulting公司合作开发的信息管理类型的产品,完全按照BS7799/ISO17799标准而设计。其他公司也在这方面投入力量,但还没有相关的产品出现。目前在信息系统、网络层面的综合风险评估与管理工具
7、还没有出现。对信息系统的风险评估仍是阶段式的交互进行。而更多情况下,人们对信息安全的焦点更多的落在网络环境中,但不同的公司在这方面的专业人员又有限,因此,迫切需要一个能够提供网络环境风险评估与管理的综合系统。1FederalDepositInsuranceCorpaoration,RiskAssessmentToolsandPracticesforInformationSystemSecurity,http:/JeffForristal,GregShipley,VulnerabilityAssessmentScanners,NetworkComputing,January8,2001郭仲伟:风险分析与决策M机械工业出版社,1992宋如顺:基于SSE-CMM的信息系统安全风险评估J计算机应用研究,200012-14
