01、最佳实践、标准与行动计划
一、基础概念
1、美国国家研究委员会在《网络安全与公共政策的联系》给网络空间做出了如下的定义:
网络空间:网络空间的组成部分包括:以计算机和通信技术为基础或依赖于计算机和通信技术的人造设备,这些人造设备使用、存储、处理或加工的信息,以及这些设备之间的连接设施。
国际电信联盟电信标准化部门(ITU-T)建议X.1205《网络安全概述》对网络安全的定义如下:
风险:衡量一个实体收到潜在状况或事件威胁的程度,通常是以下因素的函数:1)该状况或事件发生所产生的不利影响;2)发生的可能性。
资产:信息系统中的包含的数据,系统提供的服务,系统能力,系统设备中的一项,容纳系统操作和设备的设备。
信息安全(Information Security):保持信息的机密性、完整性和可用性。此外,还可能涉及真实性、可追踪性、不可抵赖性和可靠性等其他属性。
网络安全(Network Security):保护网络及其服务不受未经授权的修改、破坏或泄露,并保证网络正确地执行其关键功能,没有副作用。
网络安全(Cybersecurity):是用来保护网络空间环境、组织和用户资产的工具、政策、安全概念、安全保障、指南、风险管理方法、行动、培训、最佳实践、保险和技术的集合。组织和用户资产包括连接起来的计算机设备、人员、基础设施、应用程序、服务、电信系统,以及网络空间环境中传输或存储的全部信息。网络安全致力于确保用户和用户资产的安全属性的获取与维护,以及抵御网络空间环境中相关的安全风险。一般的安全目标包括可用性、完整性(可以包括真实性和不可抵赖性)以及机密性。包括与电子信息和网络安全(Network Security) 相关的信息安全。信息安全还涉及物理(例如,基于纸张的文字信息)信息。
机密性(Confidentiality):数据不向系统实体公开的属性,除非授权允许实体知道这个数据。这个属性涉及隐私(privacy)。
完整性(Integrity):该属性是指不能以未经授权或意外的方式更改、销毁或丢失数据。如果该属性遭到了破坏,那么真实性、不可抵赖性也会受到影响;反之亦然。
真实性(Authenticity):真实的、能够被验证的和可信的属性。这意味着验证用户就是它们自己所生成的用户,并且到达系统之后双方都不能否认对信息进行处理。
不可抵赖性(Non-repudiation):保证向信息的发送方提供了传递证明,向接收方提供了发送方的身份证明,因此再次之后双方都不能否认对信息进行了处理。
可用性(Availability):系统或系统资源的属性,授权的系统实体可根据系统的性能规范随时访问、使用或操作。
可追踪性(Accountability):系统或系统资源的属性,确保系统实体的行为可以唯一地追溯到该实体,而且该实体应该能够对其行为负责。
2、如下是开发有效的网络安全系统所面临的挑战:
网络空间的规模和复杂:网络空间的规模和复杂性是巨大的。
威胁的本质:网络空间中组织的资产不断受到破坏者、罪犯、恐怖分子、敌对国家和其他恶意行为者的不断演变的威胁。
威胁:在可能破坏安全性并造成损害的情景、能力、行为或事件中存在的违反安全性的可能性,威胁是一种可能利用**漏洞**的威胁。
漏洞:系统设计、实现或运行管理中可能被用来违法系统安全政策的缺陷或缺点。
用户需求与安全的实现:用户希望技术具有最现代化的且功能强大的特性。
成本和收益难以实现:网络安全入侵的总成本很难评估,因此也很难评估安全政策和机制的收益。
二、标准和最佳实践文档
| 来源 | 题目 | 时间 |
|---|---|---|
| ISF | 信息安全良好实践标准(Standard of Good Practice for Information Security) | 每年更新 |
| ISO | ISO/IEC 27002:信息安全控制实践准则 | 2022 |
| NIST | 改善关键基础设施框架(Framework for Improving Critical Infrastructure Cybersecurity Version 1.1) | 2018 |
| Internet安全中心(CIS) | CIS关键安全控制 V8(CIS Critical Security Controls V8) | |
| ISACA | COBIT | 2019 |
| PCI安全标准委员会 | 安全和信用卡安全标准(Security and Credit Card Security Standards) | 2022 |
2.1 ISF
ISF最重要的活动是持续开发信息安全良好实践标准(SOGF,Standard of Good Practice for Information Security)。这个文档是一个以业务为中心的全面指南,用于识别和管理组织及其供应链中的信息安全风险。
SOGP有17个类别,每个类别分为2个领域,每个领域在划分其他子领域。SOGP与ISO/IEC 27000标准的结构和流程是一致的,适用于希望用它进行ISO认证或者实现一个或多个信息安全管理体系的组织。
SOGP将17个类别分为3个主要活动是:
1、网络安全规划(Planning for Cybersecurity):指定管理和控制网络安全功能地方法,定义给定地IT环境的特定需求,以及制定管理安全功能的政策和规程。
2、管理网络安全功能(Managing the Cybersecurity Function):部署和管理安全控制以满足定义的安全需求。
3、安全评估(Security Assessment):确保安全管理功能支持业务连续性;监测、评估和改进网络安全控制套件。
2.2 ISO/IEC 27000
在信息安全领域,ISO(国际标准化组织)和IEC(国际电工委员会)共同开发了ISO/IEC 27000系列中涉及ISMS的系列标准。IEC主要关注电气和电子工程标准。ISO主要目的是推进标准化及有关活动的发展,其卡发了开放系统互连(OSI)通信体系机构和该体系每一层的标准。
信息安全管理体系(Informatin Security Management System,ISMS)由组织为保护其信息资产而集体管理的政策、程序、指南以及相关资源和活动组成。ISMS是建立、实施、操作、监视、审查、维护和改进组织信息安全以实现业务目标的系统方法,它基于风险评估和组织的风险接受级别,旨在有效地处理和管理风险。
ISO/IEC 27000系列涉及ISMS的各个方面。这个标准集合分为四个类别:
1、ISMS概述和词汇(ISMS overview and vocabulary):提供ISMS的概述和相关词汇。
2、ISMS要求(ISMS requirements):讨论规范的标准,这些标准定义了对ISMS的要求以及对此类体系的认证。
3、ISMS指南(ISMS guldelines):为建立、实施、维护和改进ISMS的整个过程提供直接的支持以及详细的指南和解释。
4、ISMS特定部门指南(ISMS sector-speclfic guidelines):针对特定部门的ISMS指南。
2.2.1 ISO/IEC 27001
ISO/IEC 27001对于承担安全责任的组织管理人员来说,它是一个重要文档。ISO/IEC 27001是一个管理标准,组织开发一个由政策、过程、人员、技术等组成的ISMS。
2.2.2 ISO/IEC 27002
ISO/IEC 27002提供了ISO/IEC 27000系列中对ISMS主题最广泛的处置方式。
2.3 NIST
NIST是一个美国联邦机构,负责处理与美国政府以及促进美国私营部门创新有关的测量科学、标准和技术。
2.3.1 NIST网络安全框架
NIST网络安全框架由三个组件构成:
核心(core):提供一组网络安全活动、预期结果和关键基础设施部门之间常见的且使用的参考资料。
实现层(Implementation Tier):提供一个组织如何看待网络安全风险的背景,以及管理网络安全风险的过程。
配置文件(Profile):表示组织从框架核心类别及其子类别中选择的基于业务需求的结果。
框架核心确定了构成组织网络安全风险管理方法的5个关键功能。这个5个关键功能分别是:识别、保护、检测、响应、恢复。框架的核心目的不仅仅是作为操作执行计划工具的一个检查表,是决策能够更清楚地了解是什么影响有效的风险管理并作出决策,它更强调了特定的、适合组织的安全目标的活动。
网络安全框架中定义的层级有助于组织定义网络安全的优先级,以及组织打算做出的承诺级别。这些层级部分(partial)层级到自适应(adaptive)层级,描述了网络安全风险管理事件中越来越严格和复杂的程度,以及网络安全风险管理在多大程度上依据业务需求并荣誉组织的整体风险管理实践。
一旦组织对风险管理中承诺风险的程度有了清晰的认识,并且了解了可以采取哪些行动 来匹配该承诺,就可以实施安全政策和计划,这一点反映在框架配置文件中。组织可以基于风险评估定义一个目标配置文件,然后从框架核心定义类别和子类别以达到目标。
NIST网络安全框架对于参与组织网络安全能力的规划、实施和评估的人员来说是一个重要的资源,因为它十分简洁。
2.4 CIS关键安全控制
CIS提供的《CIS关键安全控制》( CIS Critical Security Controls,CSC)关注每个企业应采取的最基本的和最优价的行动,这里的价值是由只是和数据决定的。CSC中列出的控制被涉及成最有效和具体的技术措施,用于检测、预防、响应和减轻最常见的最高级的攻击造成的损害。
此外,一个配套文档(即《CIS关键安全控制的度量配套》)描述了度量给定子控制的性能的技术,以及三个 风险阈值(较低、中等和较高)。风险阈值反映了经验丰富的从业者共识。
2.5 COBIT-5
COBIT-5是发布的文档集的第5个版本,旨在成为企业IT治理和管理的全面性的框架。
2.6 支付卡行业数据安全标准
支付卡行业数据安全标准(Payment Card Industry Data Security Standard,PCI DSS)是PCI安全标准委员会的一个标准,它为维护支付安全提供指导。该标准为接受或处理支付事物的组织,以及在这些事务中所使用的应用程序和设备的软件开发人员和制造商规定了技术和操作要求。从本质上讲,PCI DSS的合规性控制着支付卡数据的处置、交付和存储方式。
PCI定义PCI DSS的范围如下:
PCI DSS安全数据适用于持卡人数据环境中或连接到持卡人数据中的所有系统组件。持卡人数据环境(CDE)由存储、处理或传输持卡人数据或敏感身份验证数据的人员、流程和技术组成。“系统组件”包括网络设备、服务器、计算设备和应用程序。
PCI DSS的结构围绕着6个目标和12个需求。每个需求进一步被分解为一到两个级别的子需求,为支付卡行业数据安全提供了测试过程和指导。
三、有效实现网络安全
3.1 网络安全管理流程
网络安全规定的一个基本特征是它不是一个单一的目标,而是一个持续的过程。如下显示了网络安全管理流程的性质,这个过程周期是重复性的。
每个周期有四项主要活动:
- 1.评估风险,考虑一下因素:
- a.资产机器价值或效用;
- b.与这些资产相关的威胁和漏洞;
- c.这些资产暴露给威胁和漏洞的风险;
- d.风险和由此带来的影响;- 1b.解决风险,考虑一下因素:
- a.识别可用的风险管理选项
- b.选择最优先的风险管理选项;
- c.最终的风险管理决策
- 1b.解决风险,考虑一下因素:
- 2.实施风险管理决策,考虑以下因素:
- a.控制的选择
- b.资源、角色和职责的分配
- c.控制的实现
- 3.监测、审核和沟通风险,考虑以下因素:
- a.监测风险情况
- b.与风险相关的策略
- c.审核及重新评估风险
- d.风险沟通
- 更新并提升控制:
- a.更新控制
- b.提升控制
在此基础上,实现了两个循环在工作:一个在执行级别,侧重于组织风险;另一个在业务级别,侧重于关键的基础设施风险。在执行级别上,上层管理人员确定人员确定任务的优先级,建立可接受的风险承受能力并确定可用的资源;在业务级别,IT管理将这些指南转换为风险管理的控制。
3.2 使用最佳实践和标准文档
就总体规划而言,NIST的网络安全框架可能是关键资源,它为开发框架配置文件提供了一种清晰的方法。这份配置文件可作为一个指南,用于知道如何将风险管理的控制组合成一个控制套件。
ISF SOGP和ISO/IEC 27002为指定一套网络安全控制提供了最全面的指导。具体而言,ISF SOGP是对网络安全管理人员、实现人员和评估人员可获得的信息进行的全面详尽的调查分析。
对于选择特定的控制,CIS关键安全控制文档提供的详细信息都是基于广泛的实际经验。
