=Start=
缘由:
最近在学习ITIL的时候意外发现知乎上的几篇文章之一,讲的非常系统(还贴心的将涉及到的一些标准、文档之类的放在网盘中方便进一步深入学习,太赞!),看完之后真的是「感觉就是自己菜到抠脚」了,经作者同意,将文章转载至此,方便自己经常查看、学习。
- 原文链接:信息安全体系的“术”:“术”的详解
- 作者:刘巍然-学酥(业斐)
PS:出于排版格式的考虑,有对部分「分隔符」之类的进行轻微删改,还望理解。
正文:
参考解答:
上期回顾与本期内容
在上一篇专栏文章《信息安全体系的“术”:标准主线与关联性》中,我们讲解了企业内部风险控制、IT风险控制、信息安全管理体系的相关标准。我们梳理了标准主线,以及标准相互之间的关联性。
本期,我们灵活讲解具体术的使用技巧,但不涉及具体的内容。
按照标准之间的关系,我们分别梳理如下体系中渗透出的“术”:
- 企业风险管控:COSO,SOX法案,SOX的404条款
- IT风险管控:COBIT
- 信息安全风险评估:ISO13335、ISO27005
- 信息安全技术评估
- 信息安全技术体系:IATF、等级保护
- 信息安全管理体系:ISO27000系列
- 信息安全流程体系:ITIL系列
- IT审计
实际上,信息安全本质上就是风险管理控制。而风险管理控制的核心就是守护价值。在进入企业参与信息安全相关的工作时,经常会存在一个误区,认为保障信息安全是天经地义的事情。其实,做任何事情都是有价值的。由于信息安全会涉及较大的开销,如果企业的IT无法产生足够的价值,那么保障信息安全反而会带来更大的负担。举个例子,如果我有1000根金条,总价值超过1亿,我才愿意花费100万元购买一个可靠的保险柜。反之,如果我只有1万元的资产,我肯定不会去购买100万元的保险柜。很多企业的信息安全风险管控不健全,可能的原因之一是其IT无法带来与安全相匹配的价值。因此,在考察企业信息安全风险管控和相关管理、技术等方面时,要注意这个问题。不能一刀切,认为所有的企业都需实现健全的信息安全风险管控。
守护价值:企业风险管控
企业具体关注什么风险?
COSO发布了企业风险管理综合框架,详细总结了企业需要关注的风险,主要由财务风险、法律风险、组织风险、运营风险等。下图展示的是2004版COSO企业风险管理综合框架*(图片来源:COSO企业风险管理综合框架)。
COSO企业风险管理综合框架主要关注8大层面的企业风险。
- 内部环境:治理结构、组织结构、授权与责任、风险偏好、人力资源政策、风险管理文化等。
- 目标设定:战略目标、经营目标、报告目标、合规目标。
- 事项识别:事件识别方法、事件分类、风险与机会。
- 风险评估(与信息安全高度相关):固有风险与剩余风险评估。现在,COSO里面的风险评估方法为“风险=发生可能性*影响”。ISO27005也采用了相同的风险评估方法。这进一步体现了标准与标准之间的映射和借鉴关系。
- 风险应对:风险回避、风险降低、风险分担、风险承担。
- 控制活动(与信息安全高度相关):企业层面控制、业务流程层面控制、IT一般控制与应用控制。其中,IT一般控制与应用控制具体实现在COBIT里面进行了详尽描述。这也体现了标准之间的映射和借鉴关系。
- 信息与沟通:收集与传递内部信息、外部信息。
- 监控:独立监控、持续监控、自我评价、缺陷改进。
COSO和IT风险有什么关系?
结合COSO框架和上一篇专栏所讲解的内容,我们可以看出框架中的部分内容实际和COBIT等框架是有契合点的。控制活动中业务流程层面控制、IT一般控制、应用控制和COBIT是契合的。实际上,COBIT中专门提到了IT一般控制和应用控制,与COSO框架中此部分的内容完全契合;COSO中的信息与沟通、监控等在COBIT中也有相应的承接。
SOX法案与COSO相比,增加了什么内容,和IT风险有什么关系?
在上一篇专栏中我们讲到,安然公司的破产等丑闻事件促使美国颁发了SOX法案。SOX法案所增加的核心内容之一是企业风险和刑事责任的结合。而另一个核心内容与IT风险有着紧密的关系,就是我们之前提到的404条款。404条款要求保证会计账务、财务报告、财务流程、财务应用和底层IT基础架构的完整性、可用性、准确性。虽然SOX法案无法具体落地,但SOX法案对IT风险控制产生了巨大的影响。
守护价值:IT风险管控
COBIT是什么?
首先,我们来看一看COBIT 4.1的框架图(图片来源:IT Governance Institute,中国建设银行翻译,COBIT 4.1,第43页)
COBIT中主要关注4个维度的内容:计划与组织、获取与实施、交付与支持、监控与评价。各个维度所关注的具体项目如下图所示。
业内对于COBIT的定义有不同的观点。有的人认为,COBIT是一个IT风险评估框架;有的人认为,COBIT是一个IT审计框架;有的人认为,COBIT是一个IT治理框架。我们认为这3种理解都是正确的。
- IT风险评估是指,根据自己的方法去评估IT中有哪些风险。可以使用COBIT作为IT风险评估的方法。COBIT列举了很多条目。当评估IT风险时,我们可以考察所缺失的项,并评估这些缺失的项会引发何种风险。此时,我们可以将COBIT理解为IT风险评估框架。
- IT审计框架相对比较好理解,我们可以按照COBIT框架,对IT的各项进行逐条审计。
- 业内一般将IT治理分为2类:控制论IT治理和决策论IT治理。决策论IT治理主要考虑决策什么,谁来决策,如何监督有效执行。控制论IT治理就是以COBIT为代表,其主旨是通过控制风险达到治理目标。即考察:IT架构与企业风险是否是战略匹配的;所拥有的资源是否可以恰巧解决高、中、低风险;项目管理是否是有效的;管理框架和要求是否可以落地执行等。因此,可以通过风险控制的方式实现IT治理。
IT风险比信息安全风险更关注什么?
信息安全风险是IT风险的一部分。信息安全风险主要关注系统如何不被入侵,如何实现数据保密等。而IT风险需要考察与涉及IT活动的各种风险。举个例子,企业想上线一套企业资源规划(Enterprise Resource Planning,ERP)系统实现IT业务线的资源流程管理。那么,企业是购买系统,还是独自开发系统?独自开发系统的话,如果在规定时间内没有完成开发,则如何处理?这类问题也是IT风险需要控制的内容。在某种程度上,IT风险和信息安全风险也是互相映射的。举个例子,企业遭到了黑客的攻击,那么企业要购买安全设备抵御攻击?还是独立研发技术和设备抵御攻击?总之,IT风险关注的问题比信息安全风险所关注的问题要大,但互相之间是相互映射的。
在此,我们举一个IT风险的实例,让朋友们更好地理解IT风险及其控制方法。互联网云服务提供商为客户提供云存储服务。客户所要求的服务等级协议(Service-Level Agreement,SLA)中要求提供7*24小时的服务。然而,云服务商的某个堡垒机是从某个外企厂商购买的,此外企厂商仅承诺提供5*8小时的服务。因此,一旦在5*8小时之外出现事故,那么云服务提供商就会面临相应的风险。如何降低这种风险呢?我们可以按照COBIT框架进行风险控制和管理。
- 识别所有的供应服务商。
- 对供应服务商按照设备功能、关键程度等进行分类。服务器相关、网络设备相关等关键程度最高;笔记本电脑相关、台式电脑相关的关键程度较低。
- 要求供应服务商提供相应的支持证书。
- 考察服务商的持续发展能力。对于小规模企业,要注意企业可能会破产、倒闭等。
- 管理与供应服务商的关系,保持联系。
- 在购买设备和服务时,要签订相应的SLA。
- 确保供应商所提供的服务满足法律相关的业务标准,要签订相应的保密协议和责任协议。
- 实施供应服务商的变更流程、惩罚与奖励措施。
- 实施绩效管理。服务供应商应满足业务要求,能够履行合同协议。绩效与市场现状相比要有能力、价格等的竞争力。
上述就是COBIT框架。虽然这个框架看起来比较空,但真正落地的时候,我们会发现COBIT覆盖了几乎所有的IT风险。因此,COBIT堪称经典!
守护价值:信息安全风险评估
在讲信息安全风险评估前,我们首先看一看风险评估标准ISO13335中给出的风险管理中的关系(图片来源:ISO13335-1:1996,P16)。
按照上图,我们可以很清楚地整理出各个项与风险之间的关系:
- 信息资产拥有价值,增加风险;
- 威胁可以利用漏洞,增加风险;
- 漏洞会暴露相应的信息资产;
- 相应的防护措施可以抗击威胁,可以降低风险。
有了风险管理中的各个关系,我们就可以根据关系进行相应的风险评估了。在风险评估中,我们主要关注的就是资产、威胁、漏洞。业内一般有3种风险评估方式:定性风险评估、定量风险评估、半定量风险评估。
定性风险评估:ISO13335、ISO27005
定性风险评估就是ISO13335和ISO27005标准,业内对标准的使用和理解已经很成熟,在此不再过多讲解。但是注意,使用风险评估时一定要和业务紧密结合。
举个例子,飞机设计图纸是否具有极高的保密性要求?如果没有和业务人员进行充分交流,我们可能会想当然地认为任意国家的飞机设计图纸均为高度机密资料。但是,风险评估与业务紧密结合后发现,A国某型号的飞机设计图纸是从空客或波音公司的飞机原型中拆解描绘得来,仅描述了部件的规格和型号,此设计图纸在国际范围内不会引起其他国家的关注。同时,A国仅有唯一的企业有资格制造和生产飞机。因此,即使飞机设计图纸泄密,也不会对企业造成较大的业务风险。考虑上述业务背景后,A国的飞机设计图纸就不具有极高的保密性要求了。
定量风险评估
定量风险评估和财产挂钩,也就是用财产量化的方式描述风险。一般,业内不会实施定量风险评估,因为很难评估风险所涉及的财产价值。但是我们可以通过相同的定量风险评估方式核算出风险的控制收益的趋势。
定量风险评估的方法一般需要比较两个参数的大小:(1)采用安全控制措施后的收益、(2)安全控制措施的成本。显然,当(1)大于(2)时,意味着所采取的安全控制措施为企业带来了收益,应该采用;否则(1)小于(2),意味着安全控制措施的成本大于收益,不应采用此安全措施。而采用安全控制措施后的收益可以通过财产价值与下述参数计算得到:
- 暴露因子(EF):标识的威胁造成的财产损失百分比
- 单次损失期望值(SLE)=财产价值*EF
- 年发生概率(ARO):某个威胁一年中发生的估计概率
- 年损失期望值(ALE)=SLE*ARO
- 采用安全控制措施后的收益=ALE-采用安全控制措施后的ALE
现在,信息安全风险评估方法在逐渐与企业风险评估模型靠近。信息安全风险评估方法在信息安全领域已经使用的非常成熟了。
信息安全技术评估
我们看到了IT风险评估,信息安全风险评估。那么,有信息安全技术评估的相关标准吗?实际上,是没有信息安全技术评估标准的。但是,业内仍然存在这样的意识形态,如评估网络可靠性、渗透测试等安全技术。这是为什么呢?
实际上,风险评估是2004年开始发展的。但是在当时,并不是所有的企业都有能力实施风险评估。然而,一些安全企业发现,风险评估中的一些具体活动,如扫描、渗透测试等,是可以具体实施的。因此,这些安全企业就逐渐开展了类似的技术评估。而技术评估结果等更加直观的体现了技术薄弱点。对于客户来说,发现了100个漏洞并修复;发现了服务器入侵风险,进行相应的措施等,比空泛地定性风险评估更容易被用户所接受。
所以,信息安全技术评估虽然没有相关标准,但类似的活动还会长期存在下去。我们在这里起码要区分清楚,信息安全技术评估不再标准里面,是约定俗成的一种意识形态。在业内,要区分IT风险评估、信息安全风险评估、信息安全技术评估这些概念。
管理体系:ISO27000系列
我们终于讲到ISO27000系列了,这是信息安全业内最广为人知的系列标准。
ISO27000标准家族
首先要强调,ISO27000是一个标准族,包括概论及术语、要求、规范、实施指南、测量、信息安全风险管理、认证机构要求等。
我们还是用制造桌子的例子来描述ISO27000系列各个标准之间的关系。
- ISO27000,概论及术语,2009年出版:指出后面要用到一些名词,如桌子、边、直的等;
- ISO27001,要求,2009年出版,对桌子进行认证,说明作为桌子应该有什么要求;
- ISO/IEC27002,规范,2013年改版:如何满足桌子的要求?桌子应该有4条边,边应该是直的。
- ISO/IEC27003,实施指南,2010年出版:如何保证有4条边呢?如何做才能保证边是直的?
- ISO/IEC27004,测量,20009年出版:桌子是否满足要求,查看做出来的东西与桌子之间相差多少。
- ISO/IEC27005,风险管理,2008年出版:并没有有关桌子的合适实例。
- ISO/IEC27006,认证机构要求,2007年出版:桌子制作完,认证机构要进行认证。但是,如何认证认证机构本身?
认证委、认证公司、咨询公司的关系
- 上面我们提到,ISO/IEC27006用于对认证机构进行认证。认证委就是国家机关。国家机关对认证公司的能力、认证实施过程和方法论等进行认证,最终向认证公司颁发认证资质。
- 认证公司是获得国家机关认证的资质,来认证其他的机构是否符合ISO27001。
- ISO27001是一个比较复杂的标准,通过ISO27001相对来说也比较困难,因此就出现了咨询公司。咨询公司为企业提供咨询,帮助企业获得ISO27001认证。
ISO27001和ISO27002有什么不同?
前面说到,ISO27001是要求,ISO27002是规范,这两个到底有何不同呢?我们简单对比一下ISO27001和ISO27002的具体内容,就可以大概理解其不同之处。下图是ISO27001附录A的第1页,我们只关注“5 信息安全方针”一部分即可(图片来源:ISO/IEC27001:2013,小李飞刀翻译,P15)。
下图是ISO27002所对应的“5 信息安全方针”一部分(图片来源:GB/T 22081-2008/ISO/IEC27002:2005,P11)。
可以看出,虽然都是“5 信息安全方针”一部分,目标是一样的。但是ISO27001只是给出了具体目标,而ISO27002指出了具体的控制措施。
ISO27001只有管理要求吗?
不能简单地认为ISO27001只涉及管理,只涉及文档。比如,提出访问控制需求后,根据安全域的划分需求进行安全域划分,划分后还应有具体的技术方案实现访问控制需求。所以,ISO27001中不仅涉及了管理要求,还有各种支持性文档和指南文件作为技术方案落地的参考。下图是ISMS的方针目标、策略、和相关的指南文件结构图。
其中,蓝色框中的为总体目标和总体方针。粉色框中的为各目标和方针的指南文件、操作文件,作为技术方案落地的参考。最下方的表单相应的技术维护文档,用户记录评审信息和维护信息。
总之,ISO27001不仅涉及管理和文档,还有具体的实施指南、规定和办法,用户进行技术落地。但是,我们这里要强调的是,信息安全管理体系并没有进行具体技术体系的指导。但是,没有指导不代表不去参考。
ISO27001:2013版本有什么变化?
我们直接引用上海安言咨询给出的图来描述ISO27001:2013版本的变化。业内一般称“北谷安、南安言”,这两家公司是信息安全咨询非常知名的公司。
可以看到,与ISO27001:2005版本相比,ISO27001:2013版本针对近年来的安全需求,对部分内容进行了分化,也增加了部分内容。
流程体系:信息技术基础架构库(Information Technology Infrastructure Library,ITIL)
ITIL是一套有关IT服务管理的方法,从而为业务部门提供更好的服务。ITIL已经成为事实上的业界标准,并以其为中心在全球形成了完成的产业。ITIL分为两个重要的版本,ITIL version 2和ITIL version 3。这两个版本有很大的不同。现在,业内一般使用ITIL version 3了。下图很好地描述了ITIL的各个模块,并指出了ITIL version 2和ITIL version 3的区别(图片来源:ITIL V3 Foundation中文培训讲义,交大慧谷培训中心,P25)。
由于ITIL的模块较多,这里不能进行一一展开。在此,我们仅简单介绍几个重要的模块。
- 供应商管理:方案是背靠背。
- 信息安全管理:参考ISO27001。
- 业务连续性管理:参考ISO22301。
- 容量管理:应使用一定的技术手段去监测,当性能不足时应能够进行相应的快速扩容。举个例子,以前互联网的带宽是100M,现在变成1G,那么路由、网络设备、安全设备都需要升级。
- 服务级别管理:就是服务级别协议(Service Level Agreement,SLA)。所承诺的SLA代表了1年所出事故的时长要小于规定的范围。
- 发布与部署管理:当信息系统从测试环境编译,待正式发布时,应该有一定的控制措施。
- 资产与配置管理:就是运维配置管理数据库(Configuration Management Database,CMDB)。
- 变更管理:直观上看,发布与部署管理属于变更的一种。但是ITIL把发布与部署管理、变更管理进行了区分。这是因为发布一般来说是从测试环境到生产环境的变化。但只要生产环境有所变化,都应属于变更。所以,从定义上两者需要进行区分。变更管理的一个典型实例是,系统工程师为了测试方便,在防火墙的Untrust区到Trust区第1条规则中就设置了any to any permit,导致防火墙的规则防护形同虚设。如果采用了恰当的变更管理流程,此种规则变更在审批时将无法获得通过。
- 事件管理:我们认为翻译成事态管理更加合适。事态是指暂时没有没有影响到生产环境,但持续下去预计会影响业务执行的事件。比如,CPU使用率前天为50%,昨天是60%,今天是70%。这类事件就属于事态管理的范畴。
- 问题管理:问题是指已经影响到生产环境的事件。比如,防火墙使用了NAT状态功能,当防火墙瘫痪时,就需要对生产环境进行变更,进行相应的处置。
- 故障管理:如果某个问题事件频发,问题就升级成为了故障。比如,思科路由器存在SSH拒绝服务漏洞,此漏洞被蠕虫病毒所利用,导致思科路由器的CPU使用率飙升。虽然重启路由器会暂时解决此问题,但问题会周期性地重复出现。此时就需要进行问题回溯,追溯问题发生的原因。此类事件称为故障。
技术体系:IATF
信息保障技术框架(information Assurance Technical Framework,IATF)总体架构如下图(图片来源:IATF Release 3.1,Appendix C,P42)。
IATF是国际上第一个提出技术、运行、人员(PPT)三位一体的纵深防御理念。其指出,人员,借助技术的支持,实施一系列的运行过程,最终实现信息保障目标的方法。根据纵深防御理念,IATF提出4部分架构:本地的计算环境、区域边界、网络和基础设施、支持性的基础设施。技术环境就是服务器等;区域边界指外联区、广域网、加盟机构等相互之间的边界;网络和基础设施就是企业的基本网络设施;支持性的基础设施指的是证书机构(Certification Authority,CA)、电子邮件(Email)等设施。其具体关键点总结如下:
IATF指出,要按照纵深防御的理念,人员、操作、技术的方式,在本地的计算环境、区域边界、网络和基础设施、支持性的基础设施中,重复地采用纵深防御进行防护。我们之所以将IATF列为技术体系,并不是因为其指出了人员、操作、技术的纵深防御理念,而是因为IATF给出了本地的计算环境、区域边界、网络和基础设施、支持性的基础设施这四个区域中所需要技术防御方法和架构。举个例子,在区域边界中(IATF Release 3.1——September 2002,第六章),IATF详细给出了如下内容:
- 防火墙的功能要求、潜在攻击、潜在攻击策略、技术评估方法
- 远程访问的功能要求、潜在攻击、潜在对策、技术评估方法
- 边界访问的要求、潜在攻击、潜在对策、技术评估方法、产品选择准则
- ……
IATF虽然现在基本已不再使用,3.0版本后也不再更新,但是纵深防御的理念为未来的安全体系奠定了基础。
偏技术体系:等级保护
等级保护相对来说偏技术体系,这是因为在使用等级保护时,我们一般只参考技术部分。
大部分人所能接触到的都是等级保护的基本要求。等级保护分为技术层面和管理场面,分别有各种对应的要求。企业需要根据这些要求完成相应的文档、流程、表单等。下图可以很好地总结等级保护的要求。
不同级别所要求等级保护的点数也有所不同。标准根据不同的安全域,一共划分了五个等级。但是标准中没有规定第5级的要求,因此一般称有4级等级保护要求。标准中规定了各个层级的要求和综合管理要求,对信息安全的技术体系具有指导意义。
等级保护对技术要求的整理和归纳是很不错的,使用起来很方便,也不会出现歧义。有些企业会自己制定相应的技术体系,如从预警、检测、防护、恢复这4个维度构建技术体系。这是一种技术体系落地的一种可行方法。业内一般用信息安全管理体系代替等级保护的管理要求。这同样体现了标准与标准之间互相渗透的特性。
业内实现等级保护时一般只参考《等级保护基本要求》。实际上等级保护相关的标准和规定很多,共有8个政策性文件以及各种技术文件。8个政策性文件为:
- 《中华人民共和国计算机信息安全保护条例(国务院147号令)》
- 《关于信息安全等级保护工作的实施意见(公通字【2004】66号)》
- 《信息安全等级保护管理办法(公通字【2007】43号)》
- 《关于开展全国重要信息系统安全等级保护定级工作的通知(公信安【2007】861号)》
- 《信息安全等级保护备案实施细则(公信安【2007】1360号)》
- 《公安机关信息安全等级保护检查工作规范(公信安【2008】736号)》
- 《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技【2008】2071号)》
- 《关于开展信息安全等级保护安全建设整改工作的指导意见(公信安【2009】1429号)》
客观地说,等级保护在标准的整个生命周期框架里是非常完整的。无论是从国家立法、监督执行与指导、与风险评估的结合、相关部位的支撑都是非常体系化的,并不亚于ISO27001标准。等级保护详细描述了实施生命周期内的主要活动,如图所示。
我们对等级保护的评价是非常中肯的,我们很想为等级保护正名。在信息安全起步的初级阶段,等级保护可以起到很好的指导借鉴作用。
IT审计
IT审计是:独立的第三方IT审计师获取并评价证据,以判断IT环境是否能够保证资产的安全、数据的完整、有效率的利用组织资源、有效果地实现组织目标的过程。 IT审计有几个重要的关键点:独立的第三方、获取并评价证据、证据可被重复识别和评价、可得到一直结论。下图可以很好地描述IT审计的作用。
IT审计有很多方法获取证据,我们这里强调几个和安全相关的审计方法:文档审核、访谈、配置核查、实地查看、漏洞扫描、渗透测试。审计证据要支撑审计结论,一共有符合并超出预期、符合、轻微不符合、部分不符合、严重不符合、不适用这几个维度。
IT审计中,优势证据的选择是一个很重要的问题。IT审计要求证据可以不断重复再现并能够统一得出一致性的意见。我们以审计服务器是否打补丁为例子:
- 访谈:找负责人询问是否安装了补丁;
- 配置核查:查询补丁安装的档案;
- 漏洞扫描:通过漏洞扫描查看漏洞是否通过安装补丁的方法修复;
- 渗透测试:通过渗透测试检查漏洞是否存在,是否有可能被利用;
那么,上述情况中哪些可以作为优势证据呢?对于安装补丁方面,漏洞扫描和渗透测试结果可以作为优势证据。这是因为:访谈可能会出现不真实的回答,甚至伪造。配置核查的结果确实安装了补丁,但没有对服务器进行重启,导致补丁没有生效。漏洞扫描结果可能会出现漏报。因此,上述顺序不存在严格的递进关系,要通过具体情况选择合适的证据。
IT审计中有两个重要的概念:符合性测试与实质性测试。
- 符合性测试是指,所宣称的控制措施是否真的有效。比如,安全工程师宣称防火墙对某台服务器采用了最小化服务的配置规则,但实际查看时可能会发现服务器对外开放了不必要的数据库端口。
- 实质性测试是指在符合性测试的基础上,为取得直接证据而在业务数据流程中使用检查、查询及计算、分析性复核等方法。比如财务系统需要做实质性测试,需要检查财务数据处理流程中每个模块的输入、处理、输出的函数是否会造成数据异常,来验证财务数据是否是完整可靠的。
业内公认,符合性测试结果越好,说明信任度越高,实质性测试相对来说可以越少。另外,在测试时一定要注意独立第三方原则,避免内部勾结造假。
另外,IT审计分为内审和外审。内审是指内部人员来审计目前的规章制度和运行情况与标准之间的差距。外审就是第三方的人员进行审计。一般建议,内审半年或者一个季度一审查。外审一般是一年一审。IT审计也适用于安全审计。
知识和文档体系展示
在专栏文章的最后,我们用一个框架图来展示信息安全的知识,及相应的文档体系。
参考链接:
=END=
《 “[collect]信息安全体系的“术”:“术”的详解” 》 有 15 条评论
当我们谈论“安全意识”时,我们在谈论什么?
https://sosly.me/index.php/2017/07/30/anquanyishi/
`
信息安全的目标是“风险控制”,就是用有限的资源投入将我们面临的各种信息安全风险降低到可以接受的范围内。
0x01 什么是“安全意识”
安全意识就是“对风险的感知和主动规避”。
0x02 “信息安全意识教育”的价值和意义
在企业进行“信息安全意识教育”的最大的作用就是让员工明白在工作中“哪些可为哪些不可为哪些操作是有风险的需要合理规避”,从而降低员工的“无意识犯错”。
0x03 企业“信息安全意识教育”的一些实践策略
“信息安全意识教育”在形式上通常有:定期的安全意识培训、安全意识考核、日常的邮件或企业公众号推送、海报以及墙贴等。
讲“案例”,讲一些行业或者企业内真实发生的由于员工的疏忽或有意泄露造成的各种信息安全案例,因为只有真实的事故才能给人最直观的感受和提醒。
0x04 结语
“安全意识教育”是应该贯穿始终的,而且是性价比极高的一种安全投入。而在安全投入上,企业应该“算总账”而不是“算细账”,企业内部安全体系建设属于“成本中心”,而这部分的投入会在其他方面获得收益,在总账上是物超所值的。
`
[网络安全]我眼中的信息安全意识教育体系
https://www.sec-un.org/%E6%88%91%E7%9C%BC%E4%B8%AD%E7%9A%84%E4%BF%A1%E6%81%AF%E5%AE%89%E5%85%A8%E6%84%8F%E8%AF%86%E6%95%99%E8%82%B2%E4%BD%93%E7%B3%BB/
https://xianzhi.aliyun.com/forum/read/2198.html
`
一、目标与成熟度(1. 不知道;2. 知道但不遵守;3. 知道且遵守;4. 认可且主动参与)
二、为什么叫意识教育
三、我眼中的意识教育体系
四、不要忽视安全亚文化的建设
五、目标、效果的测评
`
唯品会信息安全培训体系
https://mp.weixin.qq.com/s/NANbjM9WGPgrphPI-DHnyw
Gartner: 2017年11大信息安全技术(解读版)
http://www.gartner.com/newsroom/id/3744917
http://yepeng.blog.51cto.com/3101105/1962301
https://www.sec-un.org/gartner-2017%E5%B9%B411%E5%A4%A7%E4%BF%A1%E6%81%AF%E5%AE%89%E5%85%A8%E6%8A%80%E6%9C%AF%EF%BC%88%E8%A7%A3%E8%AF%BB%E7%89%88%EF%BC%89/
http://www.freebuf.com/articles/paper/137746.html
https://www.helpnetsecurity.com/2017/06/14/top-technologies-infosec/
(ISC)2 认证考试
https://www.pearsonvue.com.cn/isc2
CISSP认证介绍
http://www.isc2china.org/?page_id=432
最新版CISSP考试大纲
https://downloads.isc2.org/exam-outlines/CISSP-Exam-Outline.pdf
https://downloads.isc2.org/exam-outlines/CISSP-Exam-Outline-Chinese-8-Domain.pdf
我的CISSP之路
https://mp.weixin.qq.com/s/9ftWnC-l0_3L8QK4N_Ndbg
如何成为一个CISSP注册信息系统安全专家(视频)
https://mp.weixin.qq.com/s/7Q7FpPZ8ZZieoz_68SWE8A
CISSP成长之路
http://netsecurity.51cto.com/art/200709/55006.htm
为何大陆CISSP只有371人左右?
https://www.zhihu.com/question/23788897
CISSP备考经验分享
https://zhuanlan.zhihu.com/p/22481854
CISSP 知识体系权重和常见问题
https://mp.weixin.qq.com/s/i-9p2KD15yXCxhfB8E6T0A
如何选择CISSP教材?
https://mp.weixin.qq.com/s/a_Lk6KoznG-dK3oqpSDGzw
我和CISSP不得不说的故事(一):初识
https://mp.weixin.qq.com/s/vjd2RfCTfrM-Gzh6KGjHIQ
信息安全与风险| CISSP培训教材哪家强?3本主流书籍如何搭配学习
https://mp.weixin.qq.com/s/9ZaJT8wOsa6BVg5wnSoqdw
维持CISSP认证有效性的5个小贴士
http://www.isc2china.org/?page_id=3829
CISSP考试内容及权重
http://www.isc2china.org/?page_id=3673
Web 安全、渗透测试、安全建设等学习笔记
https://github.com/JnuSimba/MiscSecNotes
浅析Gartner评出的十一大信息安全技术
https://www.sec-un.org/%E6%B5%85%E6%9E%90gartner%E8%AF%84%E5%87%BA%E7%9A%84%E5%8D%81%E4%B8%80%E5%A4%A7%E4%BF%A1%E6%81%AF%E5%AE%89%E5%85%A8%E6%8A%80%E6%9C%AF/
`
这11大技术分别是:
1) Cloud Workload Protection Platforms:云工作负载保护平台CWPP
2) Remote Browser:远程浏览器
3) Deception:欺骗技术
4) Endpoint Detection and Response: 端点检测与相应EDR
5) Network Traffic Analysis:网络流量分析NTA
6) Managed Detection and Response:可管理检测与响应MDR
7) Microsegmentation:微隔离
8) Software-Defined Perimeters:软件定义边界SDP
9) Cloud Access Security Brokers:云访问安全代理CASB
10)OSS Security Scanning and Software Composition Analysis for DevSecOps:面向DevSecOps的运营支撑系统(OSS)安全扫描与软件成分分析
11)Container Security:容器安全
Gartner将这11项技术分为了三类:
1) 对抗威胁的技术:这类技术都在Gartner的自适应安全架构的范畴之内,包括CWPP、远程浏览器、欺骗技术、EDR、NTA、MDR、微隔离;
2) 访问与使能技术:包括SDP、CASB;
3) 安全开发:包括OSS安全扫描与软件成分分析、容器安全。
从另外一个角度看,这11项技术有5个都直接跟云安全挂钩(CWPP、微隔离、SDP、CASB、容器安全),也应证了云技术的快速普及。
需要指出的是,Gartner每年对顶级的信息安全技术评选都是具有连续性的。针对上述11大技术,其中远程浏览器、欺骗技术、EDR、微隔离、CASB共5个技术也出现在了2016年度的10大信息安全技术列表之中。
`
ISO20000与ITIL、ISO27000、CMMI、BS25999的相互区别
https://www.douban.com/note/570231339/
08:ITIL的发展包括哪几个阶段?
http://www.itgov.org.cn/Item/3128.aspx
ITIL学习(三)ITIL v2 和 ITIL v3
http://blog.csdn.net/zyus1987/article/details/7368767
[原创]ITIL V3与ITIL V2的价值差异
http://group.vsharing.com/Article.aspx?aid=837681
无论V2还是V3 一张图看懂ITIL
http://www.topcio.cn/Article/157087127/
ITIL V3:从Good Practice走向Best
http://m.chinabyte.com/307/8727807_m.shtml
金融企业信息安全培训规划与实践
https://mp.weixin.qq.com/s/JKcaU2uMrTxcQudpsdFbnA
`
在个人信息安全意识方面,企业员工普遍有一种迷之自信,就像90%的司机都认为自己的驾驶水平高于平均水平一样。
1.1 信息安全培训的必要性
1.1.1 金融企业涉及信息的敏感性极高
1.1.2 金融企业信息安全的核心问题是人的安全意识
1.1.3 金融企业信息安全意识仍然普遍较为薄弱
1.2 信息安全意识不足导致的真实案例
1.2.1 多家商业银行客户信息泄露事件
1.2.2 某金融机构密钥遗失事件
1.2.3 远程办公导致的客户信息泄露
1.2.4 钓鱼邮件导致业务瘫痪
1.2.5 冒充OA管理员的钓鱼邮件泄露用户名和密码
1.2.6 某金融机构财务总监被勒索事件
1.3 信息安全培训的“痛点”
(1)未建立系统化的信息安全培训体系
(2)培训针对性不足,培训内容不接地气
(3)培训形式单一、内容枯燥、素材匮乏、资源不足
(4)培训参与度不高
(5)未建立培训效果的考核机制
1.4 信息安全培训关联方
1.4.1 培训对象及核心诉求
(1)金融企业高管
(2)中层管理者
(3)所有部门基层员工
(4)信息科技员工
(5)外包人员
(6)外部用户
1.4.2 培训师资
(1)内部信息安全人员企业内训
(2)外聘讲师开展企业内训
(3)外出参与团体培训
(4)聘请专业组织优化培训材料
1.5 信息安全培训“百宝箱”
1.5.1 培训内容
(1)信息安全知识
(2)实用技能
(3)安全意识
1.5.2 培训需求分析
(1)访谈。
(2)培训需求调查问卷。
(3)员工安全意识水平测试。
1.5.3 培训形式
(1)现场培训
(2)Elearning在线培训
(3)开办内外部信息安全专栏
(4)以赛代训
(5)信息安全实战演练
(6)信息安全活动宣传周、信息安全活动宣传月
(7)无处不在的安全宣传
(8)定期发送风险提示
(9)信息安全智能机器人系统
(10)外部提供的信息安全培训组合服务
1.5.4 培训时机
(1)全员每年例行做
(2)员工入职马上做
(3)高危人士时常做
(4)专业人士专场做
(5)特殊事件重点做
1.6 面向对象的信息安全培训矩阵
1.6.1 培训矩阵构成要素
(1)分析培训矩阵的第一个维度“培训对象”,将培训对象的分类作为横轴。
(2)分析培训矩阵的第二个维度“培训内容”。针对培训对象开展调研,通过代表性人物访谈、调研问卷、安全意识测试等方式,广泛征集各类培训对象关于信息安全的培训需求和对于信息安全培训形式的建议。综合建议后形成培训内容、形式、资源、时长等,作为纵轴。
(3)建立培训对象和培训内容之间的对应关系,就形成了培训体系的二维矩阵,每个培训对象的培训计划均可以从矩阵中筛选出来。再结合当年的培训预算、培训覆盖人群目标等,就形成了年度的培训计划。
1.6.2 培训矩阵示例
1.7 培训体系实施的效果衡量
培训计划执行率
全员信息安全培训覆盖率
新员工信息安全培训覆盖率
外包人员信息安全培训覆盖率
培训平均分
培训合格率
考试分数超过合格线的培训人数/参加培训总人数
信息安全日常行为抽检合格率
制度执行抽检违规率
信息安全泄密事件
重大信息安全责任事件
员工主动上报信息安全事件或举报违规事件数量
`
金融企业信息安全考核体系建设
https://mp.weixin.qq.com/s/xelwCXphJCrx0TFSKFHfBA
`
1.评价体系与原则
1.1 评价体系
组织评价体系尊崇“赛马胜相马”,不能制胜的能力不是真能力,不能制胜的能力还要训练,只是白白浪费时间。组织将部门利益和个人利益挂钩,如果部门因为某个员工的努力获取了利益,就应该以某种形式反馈为员工利益;如果因某个团队的努力使部门获取了利益,也应该以某种形式反馈给团队,再由团队以公平的形式反馈给员工。
德、能、勤、绩是组织评价员工的四要素,德代表思想品行,能代表能力,勤代表工作表现,绩代表绩效。比如:这活给钱我干,不给钱我也干,就是德。别人不行,我行,就是能。别人休息了,我拼搏,就是勤。白猫黑猫,抓了老鼠,就是绩。我们用人用所长,绝不求全责备,员工和初级管理者主要考核绩和勤,中级管理者主要考核绩和能,高级管理者主要考核德和能。
1.2 奖惩机制
1.3 干部选拔机制
组织干部选拔原则:择优和奋斗,择优包括品德、绩效、能力、贡献、合作、责任,奋斗包括额外工作时间的投入。我们不单纯任人唯贤,也任人唯亲,亲不是指血缘关系,而是指是否认同我们的组织文化。组织会创造多种机会便于人才的脱颖而出,包括虚拟条线、轮岗锻炼、跨界学习等。
1.4 管理者的权利和义务
管理者具有本条线人力资源管理职责,各级管理者有责任记录、指导、支持、激励与评价下属员工的工作,负有帮助下属员工成长的责任,下属优秀员工的数量和质量是管理者绩效的重要指标。
2. 考核对象
安全考核分成对团队和个人的考核两部分。
2.1 团队考核
2.1.1 总部IT部门
2.1.2 总部非IT部门
2.1.3 分支机构IT部门(或有)
2.1.4 分支机构非IT部门(或有)
2.2 个人考核
2.2.1 公司安全负责人
2.2.2 总部IT部门负责人
2.2.3 总部IT部门安全团队负责人
2.2.4 总部IT部门安全团队成员
2.2.5 分支机构IT部门负责人(或有)
2.2.6 分支机构IT部门安全团队负责人(或有)
2.2.7 公司员工
3.考核方案
3.1 总部IT部门安全团队
3.1.1 考核内容
(1)结果项
(2)过程项
(3)加减分项
3.1.2 考核周期、考核权重、考核分数
3.2 总部IT部门非安全团队(平行团队)
3.2.1 考核内容
3.2.2 考核周期、考核权重、考核分数
3.3 个人考核
个人考核,主要是制定安全团队成员的个人考核。一般遵循几个原则:
(1)结果第一,过程也是为结果服务,能力必须通过结果体现。
(2)职责和职级匹配,如果一个员工是10万薪酬的职级,却和20万,30万员工的职责相同,放在同一级别池子里考核,这是不公平的。薪酬高的员工,就应承担同等薪酬的职责和绩效考核。如果是骨干员工,发展对象,除了上述职责职级匹配外,还需要额外付出。
(3)建设性、事务性工作结合,工作和学习结合,多维度考核。
在上述原则指导下,每年会和员工沟通,确定绩效考核年度目标,包含:安全性(30%)、安全建设重点项目(30%)、督办事项(5%)、技术创新(10%)、常态化工作(5%)、人才成长(10%)、满意度(10%)。
3.4 一些细节
3.4.1 考核Tips
3.4.2 防止秋后算账
3.4.3 5%实现100%的效果
3.4.4 正向还是负向激励
4.考核相关
4.1 如何推动工作
4.2 要不要满意度
4.3 内部问责
4.4 安全考核,没有唯一标准答案,在于实践
`
用户调研之标准化可用性问卷
https://www.biaodianfu.com/summary-of-examined-usability-surveys.html
`
标准化问卷的评估:信度、效度和灵敏度
标准化可用性问卷的优点
客观性:允许可用性测试的从业者独立的验证其他从业者的报告。
复用性:可以轻松复用别人的研究,甚至是自身的研究。例如,可用性测试的研究一再表明,标准化可用性问卷比费标准化可用性问卷更可靠。
量化:标准化测量使得从业者的报告结果有更细微的细节,而不仅只有个人判断。标准化也运行从业者使用高效的数学和统计学方法来理解他们的结果。
经济:开发标准化测试需要大量的工作。但是,一旦开发出来,他就能重复使用,非常经济。
沟通:当标准化测试可用时,从业者能更加方便的进行有效沟通。
科学的普适性:科学结果的普适性是科学工作的核心。标准化对评估结果的普适性必不可少。
`
构建基于攻防实效的安全体系,有效解决通报问题
https://mp.weixin.qq.com/s/75qiSkXkzP5CJ2pA_8tTyQ
`
最近出去走访了几个大客户,每次交流都有很大收获。这种收获并不在于技术本身,实际上网络安全除了应用场景有切换之外,十几年来本质从来没有变过,不管包装了多少新的名词和概念,说一千道一万,最终还是要看你是否防得住。收获是从另一个维度,我能更加对大甲方的现状感同身受,设身处地的想一想,大家就不像以前那么偏激。
演习防不住,通报无休止。安全厂商还在跟唐僧一样说“漏洞是不可杜绝的,事件是一定会发生的”,得了,跑赢其他单位成为了行业“共识”,我不想我有多高,只要他们垫底了,今年我们就算没白费。
究其原因,战时需求就是扛得住打,就逼着大家从“合规型”思维往“价值型”思维发生转变。国家进一步要求,你们不仅仅是要满足部署防护的基本动作,同时也要对最终的防护结果负责,至于怎么做,你们自己看着办。
以前我并不会陷入这种纠结,落后就挨打,你不重视安全所以出了问题,那是你活该。现在,当我越来越了解客户的实际情况,越来越从客户角度来看待这些问题,我发现我们能做的很多,尤其是一些基础工作。当我们尝试帮助其中几个大客户来切实解决这些问题,以及也得到了明显的效果验证后,感觉是时候做一个阶段性的总结。
我们稍微看一下关基单位现在出现的问题:
一)网络资产数量庞大:我们从早期接触数万的“海量”资产,到后来几十万,几百万,几千万,最后我们看到过亿资产的时候,我们才知道情况有多么复杂;
二)业务更新迭代速度快:频繁上线下线业务,没有人有意识先要告知安全部门;
三)资产组成结构多样:大单位对应上百家子公司,网络设备多种多样,网络组成异常复杂;
四)大量精力放在“漏洞噪音”,容易放弃治疗:十个漏洞轻松修;一千个漏洞努努力也能修,十万个漏洞无从下手;
五)大量基层员工缺乏安全意识:千里之堤溃于蚁穴
六)安全技术团队的管理事务性工作太多:四个安全工程师,三个做信息安全,只有一个做网络安全,管学习上层的指导文件和处理通报时间都不够;
七)现有防护体系没有经过实战的攻击检验
八)目标制定不清晰,并行任务太多,没有很好的聚焦主要矛盾
计划终归是要做的,防护效果终归还是要达到的,我们想想看安全防护的终极目标是什么?我个人理解是能够实现对未知威胁的发现,以及在造成损失前进行有效地解决。如果你把终极目标定义为“消除一切漏洞”,我只能说理想可以有的。警察叔叔的理想如果是“消灭一切小偷”,那你可以通过上下五千年的历史来做个总结,再预判一下未来的五千年小偷这个词会不会成为历史。而如果我们正确理解警察叔叔是来维护国家安全和保护人民,我们就能明白保持一种动态的相对安全,才是一种可能的效果。最终网络安全的体系能否有效,也是一种动态的持续的效果,我认为最根本的判断标准就是,能否把黑客的成本增加到足够高,以及把黑客的风险增加到足够高,因为整体上“黑客的驱动力=收益/(技术成本+风险成本)”。对应关基单位而言,在黑客眼里就是一个香馍馍,敌对势力看着都垂涎欲滴,所以收益非常大且是恒定的。风险成本对于来自内部的攻击者是威慑力非常高的,但是对于外部尤其是对视国家而言,风险陡然降低。那么最后影响黑客攻击欲望的,只剩下技术层面防护的有效性了。
大家的目标倒是高度一致的,无论从监管方的角度,还是从甲方单位的角度,加上乙方安全公司的角度,大家最终是可以达成一致意见的,总之就是帮助关基单位达成最终能够感知未知威胁和动态防御的效果。所以,这不是一个战略的问题,只是一个战术的问题,这就好办多了。
构建攻防实效的安全体系,整体可以分三个阶段:
一)摸清家底,构建完整的资产库,聚焦“靶标漏洞”
二)结合业务,联防联控,构建快速响应机制
三)识别未知风险
以上的三个阶段不能跳跃式发展,时间可以压缩,只能到了一个阶段就能走向下一个阶段,但是不能迈大步跳过某个阶段。大家在早起阶段很焦虑这个我是非常能够理解的,但是不同单位发展有自己的阶段,有些之前就很好的理解并且做了布局,所以人家就想跑了一段,比我们强也是正常的。从另一个角度来看,早跑的不一定就是最终的胜利者嘛,这个阶段拼的是谁更快的进入到最终阶段,所以学习成长性非常重要,历史上出身一贫如洗胸无点墨的“大老粗”,后来变成了指点江山流芳百世的开国君主的也不少嘛。
另外大家应该可以看出来,我在后两部分其实是不具体不清晰的,因为我在描述一个未来的共产主义,那是假设的还没有到来的愿景。现阶段攻击比防护要容易,我们以功促防的根本原因在于,如果你连现有攻击的手段都防不住,再往后讲就太早了。未来会怎么样我们只能做一些假设,我们觉得未来十年漏洞不会消失,未来的攻击会越来越智能越来越高效,未来的防护还是道高一尺魔高一丈,防护的边界会越来越大越来越细。所以网络安全不是一个持久战,他可能是个永恒的战役。
安全是为了保障业务,而不是约束业务,取平衡是一个哲学问题。我们的目标不是杜绝漏洞,也不可能杜绝漏洞,而是比黑客快,比通报快,跑赢大盘就是胜利。为了让大家过的更轻松一点,我们选择做一些断离舍的操作:没有黑客利用的漏洞都不是漏洞,网络不可达的资产都不是资产。想明白了,大家是不是舒服多了?
`
SEC发布新规要求上市公司遭到网络攻击的4天内主动报告并披露事件
https://www.landiannews.com/archives/99647.html
`
SEC (美国证券交易委员会) 今天宣布了一项新规则,所有在美国上市的公司 (包括外国公司在美国上市) 在确定网络攻击对其财务产生重大影响后的四天(four business days)内公布网络攻击的详细信息。
这意味着网络攻击从公司主动披露变成强制披露,如果上市公司没有按规定披露的话,则属于违规行为,可能会被处罚。
不过 SEC 也知道日常各种攻击非常普遍,所以强调只是那些可能会对公司财务产生重大影响的攻击事件才需要及时披露,至于其他攻击则还是由上市公司自行决定是否披露。
SEC 称无论一家公司在火灾中失去一个工厂还是在网络安全事件中失去数百万份文件,这对投资者来说可能都很重要。目前许多上市公司会向投资者披露网络安全相关的事件,但 SEC 认为如果这种披露更一致的话,可能对公司和投资者都有好处。
之前,不少公司对于网络攻击,尤其是勒索软件攻击会及时披露,但如果是数据泄露,有些公司则会藏着掖着,毕竟这可能对公司名声产生负面影响。
比如之前雅虎公司就隐瞒了多次数据泄露问题,推特之前也存在延迟透露数据泄露的情况,未来这种做法都是违规的。
有些情况可能确实不适合及时披露信息,所以 SEC 还有个例外情况,如果攻击事件可能会对公共安全构成重大风险,则公司可以最多延迟 60 天再披露。
`
SEC Sets 4-Day Deadline for Public Companies to Report Hacks
https://www.bloomberg.com/news/articles/2023-07-26/companies-have-4-day-deadline-to-report-hacks-in-final-sec-rule
SEC Adopts Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies
https://www.sec.gov/news/press-release/2023-139
https://www.sec.gov/files/33-11216-fact-sheet.pdf