18、安全监控与改进
一、安全审计
通常情况来说,企业中的审计是对企业记录进行的独立审查,以确定是否符合标准或政策。具体而言,安全审计涉及安全政策以及用于实施该政策的机制和过程。安全审计跟踪是安全审计的重要组成部分。
1)安全审计(Security audit):独立地对系统的记录和活动进行回顾和审查,以确定系统控制能够充分地发挥作用,确保既定地安全策略和规程的合规性,检测安全服务的违规情况,并对安全措施的更改提出适当的意见。
2)安全审计跟踪(Security audit trail):依据时间顺序的系统活动的记录,这些记录足以支持对从开始到最终结束的安全相关事务中围绕或导致操作、过程或事件的环境和活动序列,从而进行重构和检查。
X.816《安全审计和报警框架》,列出的安全审计的目标如下:
- 组织能够充分地进行评估的安全政策;
- 帮助检测安全违规现象;
- 帮助个人对自己的行为(或代表其行事的实体的行为)负责;
- 协助检测滥用资源的情况;
- 对可能企图破坏系统的个人起到威慑作用;
安全审计机制不能直接用于阻止安全违规现象的发生。准确的说,安全审计关注的是事件的检测、记录和分析。安全审计的基本目标是,为发起或参与安全相关事件和行动的实体建立事件的可追踪性。
1.1 安全审计与报警模型
X.816《安全审计和报警框架》,显示了安全审计功能的要素及其与安全报警之间的关系:
该模型的关键要素如下:
- 事件鉴别器:事件鉴别器是嵌入系统软件的逻辑,用于监控系统活动、检测实现配置为需要检测的安全相关事件;
- 审计记录器:对于每个检测到事件,事件鉴别器将信息传输到审计记录器。该审计模型以消息的形式描述了这种传输。审计也可以通过在共享存储区中记录事件的方式来完成。
- 报警处理器:事件鉴别器检测到某些事件被定义为报警事件。一旦发现此类事件将向报警处理器发出报警。报警处理器根据报警信息采取一些措施。上述活动本身是一个可审计的事件,因此需要传输到审计记录器。
- 安全审计迹(跟踪):审计记录器针对每个事件创建格式化记录,并将其存储在安全审计迹中。
- 审计分析器:审计分析器可以使用安全审计迹,审计分析其可以根据活动模式定义发送到审计记录器的信的可审计事件,而且可能生成报警。
- 归档:审计归档是此系统上与安全相关的事件永久性存储。
- 审计提供器:审计提供其是审计迹的应用程序和用户界面。
- 审计迹审查器:是负责审查审计和审计档案的历史趋势、计算机取证和其他分析的应用程序或用户。
- 安全报告:审计迹审查器准备人类可读的安全报告。
1.2 审计数据的收集
选择要收集的数据应基于许多要求。其中一个问题是要收集的数据量,这取决于感兴趣的领域范围和数据收集的细粒度。收集数据的数量和效率之间需要权衡。
1.3 内部和外部审计
健全的审计策略包括内部安全审计和外部安全审计。内部审计由组织本身负责执行,通常按季度或在重大安全事件之后进行。外部审计由外部人员负责执行,通常每年进行一次。
1.4 安全审计控制
开发安全审计控制程序的一种有用指南是NIST SP 80053中定义的审计控制系列。这些控制被设计为灵活的和可定制的,并作为组织范围内管理风险流程的一部分来实施。
审计和可追踪性控制族由16个基本控制组成。16个基本控制如下:
- 审计和可追踪策略和程序:定义安全审计策略的治理政策;
- 审计事件:此控制包括确定要审计的事件类型。
- 审计记录的内容:处理审计记录的内容。
- 审计存储能力:分配足够的存储容量以满足记录保留的需要。
- 对审计处理失败的响应:向特定人员提供有关审计处理失败进行报警以及进一步要采取的其他操作的指导。
- 审计复核、分析和报告:以制定的频次复核和分析安全审计记录,并向制定的个人提交报告。
- 审计简化和报告生成:处理从审计记录中提供对分析师有意义的摘要信息。
- 时间戳:从内部系统时钟记录时间戳。
- 审计信息保护:提供对审计信息的技术或自动保护。
- 不可否认性:防止个人虚假地拒绝执行选定的审计相关活动。
- 审计记录保留:提供开发记录保留策略的指导。
- 审计生成:提供为可审计的事件类型定义审计记录生成功能的指导。
- 监控信息披露:讨论监控开源信息以获取未经授权披露组织信息的证据。
- 会话审计:处理为授权用户提供和实施选择用于捕获/记录或查看/收听的会话功能。
- 备用审计功能:在主审计功能发生故障时实现组织定义的备用审计功能,从而提供备用审计功能。
- 跨组织审计:当组织使用外部组织的系统和服务时,审计功能需要跨组织采取协调的方法。
这套控制为规划和实施有效的安全审计功能提供了全面指导。
二、安全性能
安全性能是应用于信息协调和支持信息安全程序的安全控制的可度量的结果。SOGP将安全性能定义为包括以下三个方面:
- 信息安全监控和报告:包括定期监控安全性能并向特定受众报告;
- 信息风险报告:包括编制与信息风险相关的报告,并定期向执行管理层提交报告;
- 信息安全合规性监控:包含来自监管和法律驱动因素和合同的信息安全控制,用于监控安全合规性;
安全性能评估的一个基本要素是选择安全性能指标。
2.1 安全性能评估
与安全性能评估有关的两个术语:
- 安全性能:应用于信息系统和支持信息安全程序的安全控制的可度量结果;
- 安全性能指标:与安全性能相关的变量,将值指定为测量结果,也成为安全性能度量。
2.2. 安全指标来源
NIST SP 800-55《信息安全性能评估指南》列出了一些候选指标,组织可以定制、扩展或作为开发其他指标的模型。建议的指标侧重于NIST SP 800-53安全控制。实质上,度量标准是度量安全控制实施的有效性。
2.2.1 信息安全度量标准开发过程
COBIT 5的监控、评价和评估(MEA)领域包括评估公司需求的公司战略以及当前IT系统是否满足其涉及目标,以及必要的满足监管要求的控制。此领域包含三个流程:
- 性能和一致性:收集、验证和评估业务、IT和流程的目标和指标。监控以确保流程符合约定的性能和一致性目标和指标,并提供及时的、系统的报告;
- 内部控制系统:持续监控和评估控制环境,包括自我评估和独立的保证审核。使管理层能够识别控制的缺陷和低效率,并启动改进措施。规划、组织和维护内部控制评估和保证活动的标准。
- 符合外部要求:评估IT流程和IT支持的业务流程是否符合法律、法规和合同的要求。确保确定并遵守要求,并将IT合规性与整体企业合规性相结合。
下图基于NIST SP 800-55说明了开发信息安全度量标准的过程。它显示了此过程如何在更大的组织环境中进行,并展示了信息安全度量标准用于逐步度量组织内或特定系统中信息安全活动的实施、效率、有效性和业务影响。
信息安全指标开发过程包括两个主要活动:
1. 确定和定义当前的信息安全程序;
2. 制定和选择具体指标,以度量实施、效率、有效性和安全控制的影响;
2.2.2 安全监控与报告
安全监控和报告的目标是为每个受众提供相关的、准确的、全面的和连续的信息安全性能评估。
对于性能和一致性过程,COBIT-5定义了以下步骤:
1. 建立监控方法。与利益相关者建立并维护一个监控方法,用于定义目标、范围和测量业务解决方案和服务交付以及对企业目标的贡献方法。将此方法与公司的绩效管理系统集成。
2. 设定性能和一致性目标:与利益相关者合作、定义、定期审查、更新和批准性能评估系统中的性能和一致性目标。
3. 收集并处理性能和一致性数据:收集并处理与企业方法一致的及时的、准确的数据。
4. 分析并报告性能:定期检查并报告针对目标的性能,使用一种方法,提供简介的IT性能全面试图,并适合企业的监控系统。
5. 确保实施纠正措施:协助利益相关者识别、启动和跟踪纠正措施以解决异常问题。
对于内部协调控制协调,COBIT-5定义了以下步骤:
1. 监控内部控制:持续监控,基准测试并改进IT控制环境和控制框架,以实现组织目标。
2. 审查业务流程控制的有效性:审查控制的操作,包括审查监控和测试证据,以确保业务流程中的控制有效性。
3. 进行自我评估控制:鼓励管理层和流程所有者通过持续的自我评估计划积极控制控制权,以评估管理层对流程、政策和合同的控制的完整性和有效性。
4. 确定并报告控制缺陷:识别控制缺陷并分析和识别其根本原因。提供控制缺陷并向利益相关者报告。
5. 确保保证提供独立且合格:确保执行保证的实体独立于范围内的功能、组别或组织。
6. 计划保证举措:根据企业目标和战略优先、固有风险、资源限制以及对企业的充分了解来制定计划保证计划。
7. 范围保证举措:根据保证目标,确定并统一管理层对保证计划的范围。
8. 执行保证举措:执行计划中的保证计划。报告已确定的结果。酌情提供积极的保证意见,并提出与已确定的运营绩效、外部合规性和内部控制系统剩余风险相关的改进意见。
NIST SP 800-5提供了基于安全性能指标实现监控和报告功能的视图:
此过程分为六个步骤:
1. 数据收集准备。
2. 收集数据并分析结果。分析应确定的实际绩效和期望绩效之间的差距,找出不良结果的原因,并确定需要改进的领域。
3. 确定纠正措施:根据步骤2,确定适当的纠正措施,并根据风险缓解目标确定优先级。
4. 开发商业案例:这涉及为么给纠正措施制定成本模型,并为采取该行动制定业务案例。
5. 获取资源:获取所需的预算和资源分布。
6. 采取纠正措施:这些行动可能包括对管理、技术和运营领域的调整。
2.3 信息风险报告
风险报告使生成信息系统报告的过程,可以解决威胁、功能、漏洞和固有的风险变化。风险报告描述了机构面临的任何信息安全事件以及管理层在面对这些事件时的响应和恢复能力的有效性。组织需要使用一种方法将这些报告传到给适当的管理成员。如有必要,报告内容应及时采取行动,以保持适当的风险水平。
信息风险报告的一个目标时为执行管理层提供准确的、全面的和一致的整个组织信息风险试图。另一个目标是获得执行管理层对风险处理方案的批准。
信息系统审计和控制协会(ISACA)根据COBIT-5制定了有用的信息风险报告指南。该指南使用了COBIT-5中的两个关键概念:
- 流程:受企业策略和过程影响的实践集合,它从多个源(包括其他过程)获取输入,操作输入并生成输出(例如,产品、服务)。流程对现有的、负责任的所有者有明确的业务原因,围绕流程执行有明确的角色和责任,以及衡量绩效的方法。
- 活动:操作流程采取的主要措施,为实现成功治理和管理企业IT的管理实践提供指导。
ISACA概述了有助于风险报告功能的流程和活动的目标和指标,以及风险报告本身。
2.4 信息安全合规性监控
信息安全合规性监控的目标是确保信息安全控制始终按照与法律、法规、合同、行业标准或组织政策相关的信息安全业务进行优先级排序和处理。
2.4.1 COBIT-5指南
COBIT-5提供了有关安全监控和报告的具体指导,以符合外部要求。
对于确保符合外部要求的过程,COBIT-5定义了以下步骤:
1. 确定外部合规性要求:持续地,从IT角度确定并监控组织必须遵守地当地和国际法律、法规和其他外部要求的变化。
2. 优化对外部要求的响应:审查和调整政策、原则、标准、程序和方法,以确保法律、法规和合同要求得到解决和沟通。考虑行业标准,良好实践准则以及采用和适应的良好实践指南。
3. 确认外部合规性:确认政策、 原则、标准、程序和方法符合法律、法规和合同的要求。
4. 确保外部合规:获取并报告合规性的遵守情况以及对政策、原则、标准、程序和方法的遵守情况。确认及时关闭解决合规性差距的纠正措施。
2.4.2 合规性策略
以下步骤构成了信息安全合规性监控的一般方法:
1. 确定整个组织中经常处理的机构合规性问题的关键利益相关者和合作伙伴。
2. 确定关键标准、法规、合同承诺以及其他满足安全和隐私特定要求的领域。
3. 对适用于确定需要取得进展的每个合规性要求执行高级差距分析。
4. 确定优先行动计划,帮助组织补救工作。
5. 与其他主要利益相关方合作制定合规政策、标准、角色和职责以及程序。